Política de privacidad de Sogrape

REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Introducción

El Reglamento general de protección de datos (RGPD), relativo a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, entró en vigor el día 25 de mayo de 2016 y derogó la Directiva 95/46/CE.

Este Reglamento tiene como objetivo devolver el control de los datos personales a los ciudadanos, evitando la diseminación y utilización abusiva o indebida de su información personal.

Al tratarse de un Reglamento comunitario, es de aplicación directa en todos los Estados miembros, de manera que se garantice una armonización legislativa en cuanto a la protección de datos.

Este Reglamento estableció un periodo transitorio de dos años para que las organizaciones se adaptaran a esta nueva realidad, y pasó a ser aplicable a partir del 25 de mayo de 2018. En consecuencia, se creó un nuevo marco legal que modifica el paradigma en la forma en que las organizaciones tratan los datos personales, cuyo impacto varía en función de las dimensiones de la organización, el área de actividad, la naturaleza de los datos recogidos y también el modo de tratamiento de los datos personales.

Se establecen los derechos del interesado, titular de los datos objeto de tratamiento, mediante el refuerzo de la necesidad de consentimiento en las situaciones de tratamiento que no están legitimadas por otra base legal, el derecho al fácil acceso y rectificación de los datos, el derecho a la información, el derecho «a ser olvidado», el derecho a oponerse al uso de los datos personales y el derecho a la portabilidad de los datos.

Asimismo, dispone obligaciones generales para los responsables del tratamiento de datos y subcontratantes, incluyéndose aquí la obligación de implementar medidas técnicas y organizativas, teniendo en cuenta el riesgo inherente a las operaciones de tratamiento de datos personales. Estas medidas deben ser adecuadas y necesarias para garantizar la conformidad con el Reglamento. Las disposiciones de esta Política se aplican a las relaciones que el Grupo Sogrape mantiene con sus clientes, proveedores, socios y otros profesionales intervinientes en el ámbito de su actividad comercial.

La presente Política se aplica a las operaciones realizadas en Portugal o a partir de datos portugueses.

Definiciones

  1. Datos personales: información relativa a una persona física identificada o identificable (el «interesado»); se considera identificable a una persona física que pueda ser identificada, directa o indirectamente, en especial por referencia a un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, identificadores por vía electrónica o a uno o más elementos específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de la persona física.

  2. Datos sensibles: datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la pertenencia a un sindicado, así como datos genéticos (entendidos como datos personales relativos a las características genéticas, hereditarias o adquiridas, de una persona física, que proporcionen información única sobre la fisiología o la salud de dicha persona física y que resulten, en particular, de un análisis de una muestra biológica procedente de la persona física en cuestión), datos biométricos (entendidos como datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o comportamentales de una persona física que permitan o confirmen la identificación única de dicha persona física, en especial, imágenes faciales o datos dactiloscópicos) para identificar a una persona de forma inequívoca, datos relativos a la salud (entendidos como datos personales relacionados con la salud física o mental de una persona física, incluida la prestación de servicios sanitarios que revelen información sobre su estado de salud) o datos relativos a la vida sexual o la orientación sexual de una persona.

  3. Datos relativos a la salud: datos personales relacionados con la salud física y mental de la persona, incluidas recetas médicas que contengan información sobre el estado de salud del paciente.

  4. Responsable del tratamiento: la persona física o jurídica que determina las finalidades y los medios de tratamiento de los datos personales. Podrán existir responsables conjuntos.

  5. Subcontratante: la persona física o jurídica que trata los datos en nombre del responsable del tratamiento.

  6. Interesado: la persona física titular de la información tratada o «a la que se refieren o asocian los datos».

  7. Tratamiento de datos personales: cualquier operación o conjunto de operaciones sobre datos personales, con o sin medios automatizados, como la recogida, consulta, utilización, conservación, recuperación, modificación, registro o divulgación.

  8. Encargado de la protección de datos: persona designada por la organización que estará implicada en todas las cuestiones relacionadas con la protección de datos personales y determina las finalidades y los medios de tratamiento de los datos.

Principios relativos al tratamiento de datos personales

El Grupo Sogrape procede al tratamiento de datos personales de clientes, proveedores y empleados. Tales tratamientos respetan los siguientes principios:

• Principio de la información adecuada, pertinente y limitada a lo necesario («Minimización de los datos») (Artículo 5, apartado 1, letra c del RGPD). Los datos personales deben ser objeto de un tratamiento leal, lícito y transparente en relación con el interesado. Estos se recogen para determinadas finalidades, explícitas y legítimas, por lo que no podrán utilizarse posteriormente de una forma incompatible con tales finalidades. Los datos recogidos deben ceñirse únicamente a lo que es estrictamente necesario y adecuado respecto a las finalidades para las que son recogidos y tratados. Este es uno de los nuevos conceptos introducidos que deben pautar todo el proceso de tratamiento de datos personales, la privacidad por defecto («Privacy by Default»), que significa que deben introducirse mecanismos para garantizar que, por defecto, solo se recoge la cantidad necesaria de datos personales. El Grupo Sogrape procede al tratamiento de datos personales en diversos momentos de su actividad. En este sentido, los datos solicitados a los clientes, proveedores y empleados están limitados a las finalidades necesarias para las que se recogen.

• Principio de la limitación de la finalidad. Los datos son recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. Este principio, que se establece en el artículo 5, apartado 1, letra b) del RGPD, implica que, cuando las empresas del Grupo Sogrape recogen datos para una o más finalidades, este tratamiento será compatible con las finalidades para las que fueron inicialmente recogidos.

• Principio de la exactitud. Las empresas que integran el Grupo Sogrape garantizan la actualización y la posibilidad de rectificación de los datos personales, a fin de garantizar la exactitud de los datos en sus bases de datos. Con el fin de respetar este principio, se han adoptado las medidas adecuadas para que los datos que estén desactualizados o sean incorrectos de acuerdo con las finalidades para las que se tratan sean eliminados o rectificados sin dilación.

• Principio de la limitación del plazo de conservación. Los datos sujetos a tratamiento, como revela el principio de la limitación de la finalidad, se recogen para finalidades específicas, determinadas y explícitas (artículo 5, apartado 1, letra e del RGPD). Pasado el tiempo necesario para las finalidades para las que se tratan, los datos serán eliminados o anonimizados.

• Principio de integridad y confidencialidad. Los datos personales son tratados de tal manera que se garantice la confidencialidad y la seguridad, a fin de no causar daños en la esfera jurídica del interesado (artículo 5, apartado 1, letra f).

• Principio de la responsabilidad. Las empresas que integran el Grupo Sogrape, en los términos del artículo 5, apartado 2 del Reglamento, son responsables del cumplimiento de todos los principios anteriormente indicados y tienen que poder comprobarlo.

Derechos de los interesados

Las empresas que forman parte del Grupo Sogrape garantizan los derechos de los clientes, proveedores y empleados en materia de protección de datos y han adoptado las medidas necesarias para ofrecer información y cualquier comunicación en relación con el tratamiento de datos de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo. Esta información está disponible por escrito o por medios electrónicos o, si así se solicita, podrá prestarse de forma oral. Es importante que cada empresa que integra el Grupo Sogrape tome medidas a fin de garantizar que la persona que solicita los datos personales es la interesada. En caso de que la empresa tenga dudas razonables en cuanto a la identidad de la persona física que presenta la solicitud, podrá solicitar la información adicional que sea necesaria para confirmar la identidad del interesado.

Si la empresa no da seguimiento a la solicitud, tendrá que informar al interesado de las razones que la han llevado a no tomar medidas y de las posibilidades que este tiene de reclamar a una autoridad de control o incluso a través de una acción judicial, en el plazo de un mes a partir de la fecha de recepción de la solicitud. La información y comunicaciones de medidas deben concederse a título gratuito. Sin embargo, si las solicitudes son infundadas o excesivas, la empresa podrá: i) bien exigir el pago de una tasa razonable teniendo en cuenta sus costes; ii) o bien rechazar el seguimiento de la solicitud.

Asimismo, los interesados podrán solicitar que sus datos sean totalmente eliminados de las bases de datos de las empresas, sin demora injustificada y, en este sentido, estas deberán proceder a su eliminación.

Este derecho solo podrá ser concedido por parte de las empresas que integran el Grupo Sogrape en las siguientes situaciones:

a. Los datos personales han dejado de ser necesarios para la finalidad que motivó su recogida o tratamiento; b. El interesado retiró el consentimiento en el que se basa el tratamiento de los datos personales, sin que exista ningún otro fundamento jurídico que justifique su tratamiento; c. El interesado ejerce el derecho de oponerse, por motivos relacionados con su situación particular, al tratamiento de sus datos personales que le conciernen cuando la base para ello sea el interés legítimo, siempre que no existan otros motivos imperiosos y legítimos que prevalezcan; d. El interesado ejerce el derecho de oponerse al tratamiento, cuando los datos personales son tratados a efectos de marketing directo; e. Exista una obligación jurídica para la eliminación de los datos personales; f. La recogida de los datos personales se realizó en el contexto de la oferta de servicios de la sociedad de información; g. Cuando se haya superado el plazo de conservación definido para los datos.

No obstante, las empresas que integran el Grupo Sogrape no accederán a la eliminación cuando el tratamiento se revele necesario para: a. El ejercicio de la libertad de expresión y de información; b. El cumplimiento de una obligación legal que exija el tratamiento prevista por el derecho de la Unión Europea o de un Estado miembro al que el responsable esté sujeto, el ejercicio de funciones de interés público o el ejercicio de la autoridad pública en que esté involucrado el Responsable del tratamiento de datos personales; c. Fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho mencionado sea susceptible de imposibilitar o perjudicar gravemente la obtención de los objetivos de dicho tratamiento; o d. A efectos de declaración, ejercicio o defensa de un derecho en un proceso judicial.

Asimismo, el interesado tiene derecho a que la empresa, sin demora injustificada, rectifique los datos que sean inexactos.

Entidades subcontratadas

En el ámbito del tratamiento de datos personales, las empresas del Grupo Sogrape recurren o pueden recurrir a entidades terceras, subcontratadas por ellas, para que, en nombre de cada entidad el Grupo Sogrape, y de acuerdo con las instrucciones dadas por esta, procedan al tratamiento de datos personales, en el estricto cumplimiento con lo dispuesto en la ley y en la presente Política de privacidad.

Estas entidades subcontratadas no podrán transmitir los datos personales comunicados a otras entidades sin que la empresa del Grupo Sogrape haya dado autorización para ello previamente y por escrito, y no podrán contratar a otras entidades sin la autorización previa de la empresa del Grupo Sogrape. Las empresas del Grupo Sogrape asumen el compromiso de subcontratar únicamente a entidades que ofrezcan garantían suficientes de ejecución de las medidas técnicas y organizativas adecuadas, a fin de asegurar la defensa de los derechos de los interesados. Todas las entidades subcontratadas por las empresas del Grupo Sogrape estarán vinculadas a través de un contrato escrito en el que se regularán, en particular, el objeto y la duración del tratamiento, la naturaleza y finalidad del tratamiento, el tipo de datos personales, las categorías de los interesados y los derechos y obligaciones de las partes.

Seguridad en el tratamiento

Las empresas que integran el Grupo Sogrape aplicarán las medidas técnicas y organizativas apropiadas para que se garantice un nivel de seguridad adecuado al riesgo, a fin de evitar la destrucción accidental o ilícita, la pérdida accidental, la modificación, la difusión o el acceso no autorizado de los datos. Es necesario tener en cuenta las potenciales vulnerabilidades del sistema y realizar una previsión del impacto que pueden causar en las personas, a fin de evaluar los riesgos y definir las medidas que mejor se adapten. Tras realizar la evaluación del impacto, el resultado de dicha evaluación podrá influir en las medidas adoptadas. Las empresas que integran el Grupo Sogrape gozan de libertad para elegir los medios que consideren adecuados, puesto que el RGPD solo establece una obligación de resultado a los responsables del tratamiento.

Las medidas adoptadas dependerán de lo que se considere necesario para cada caso concreto, pudiendo ser: i) la pseudononimización y el cifrado de los datos; ii) la capacidad de asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; iii) la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico-técnico; iv) un proceso para estar, apreciar y evaluar con regularidad la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Violación de datos personales («PERSONAL DATA BREACH»)

La violación de datos personales consiste en una violación de seguridad que provoque, de forma accidental o ilícita, la destrucción, pérdida, modificación, divulgación o el acceso, no autorizado, a datos personales transmitidos, conservado o sujetos a cualquier otro tipo de tratamiento. La detección de un incidente de seguridad de la información podrá tener su origen en diversas situaciones (p. ej., un empleado pierde el portátil y comunica el incidente, un cliente observa una situación anómala y la comunica a un empleado, un equipo de seguridad detecta actividades sospechosas en el comportamiento de una aplicación, etc.).

Una violación de datos personales podrá tener su origen en: a. Violación de confidencialidad: siempre que se observe la divulgación de los datos personales o el acceso a estos de una forma no autorizada o accidental; b. Violación de disponibilidad: siempre que se verifique la pérdida de acceso o la destrucción de datos personal de forma no autorizada o accidental; y c. Violación de integridad: siempre que se compruebe la modificación de datos personales de una forma no autorizada o accidental. En caso de que se produzca una violación de datos personales, la empresa tendrá que notificarlo a la autoridad de control competente, sin demora injustificada y, siempre que sea posible, en un plazo de 72 horas tras haber tenido conocimiento de ella, salvo que la violación no presente un riesgo para los derechos, libertades y garantías de los interesados. Si esta notificación supera el plazo de 72 horas, la empresa deberá justificar dicho retraso.

En caso de que la empresa sea subcontratante, la notificación se efectuará al responsable del tratamiento de datos personales, sin demora injustificada. Además de la notificación a la autoridad de control competente, podrá ser necesario comunicar la violación de datos personales al interesado. Esta comunicación será necesaria cuando la violación de los datos personales implique un riesgo elevado para los derechos y libertades de las personas físicas, y en este sentido deberá realizarse sin demora injustificada. Para caracterizar la extensión del incidente de seguridad, habrá que tener en cuenta, por ejemplo, una estimación del número de interesados afectados por la violación de datos personales, el momento del incidente y su duración o consecuencias permanentes o temporales.

Las empresas que integran el Grupo Sogrape como responsables del tratamiento de datos personales deberán documentar cualquier violación de datos personales. Esta documentación incluye los hechos relacionados con las violaciones, los efectos y la medida adoptada a fin de permitir a la autoridad de control verificar el cumplimiento de estas exigencias. Por otro lado, las empresas que integran el Grupo Sogrape deberán garantizar un plan de acción correctivo, para evitar su futura repetición. Las empresas que integran el Grupo Sogrape serán responsables de mantener un registro de pruebas de las acciones correctivas implementadas (p. ej., informe de pruebas que confirmen que se corrigió la vulnerabilidad que dio origen a la violación de datos personales).

Entre los ejemplos de medidas técnicas y organizativas de resolución se incluyen, entre otros: a. La modificación de contraseñas en sistemas operativos o aplicaciones afectadas por la violación de datos personales; b. La revocación y generación de nuevos certificados digitales; c. La revocación de sesiones de cuentas de usuario; d. La comunicación a usuarios del deber de modificar credenciales en los sistemas o aplicaciones; e. El formateado y reinstalación de sistemas y aplicaciones en equipos afectados; f. La recuperación de información a partir de copias de seguridad.

Ejercicio de derechos

El interesado podrá ejercer los derechos de rectificación, eliminación, limitación, portabilidad y oposición poniéndose en contacto con la empresa del Grupo Sogrape correspondiente, a través del correo electrónico privacy@sogrape.pt. La empresa del Grupo Sogrape correspondiente responderá por escrito (incluidos los medios electrónicos) a la solicitud del interesado en el plazo máximo de un mes a contar desde la recepción de la solicitud, salvo en casos de especial complejidad, en los que dicho plazo podrá prorrogarse hasta dos meses. Si las solicitudes presentadas por el interesado son manifiestamente infundadas o excesivas, en especial debido a su carácter repetitivo, la empresa del Grupo Sogrape se reserva el derecho de cobrar costes administrativos o negarse a dar seguimiento a la solicitud.