TRADEDORK LTD
POLÍTICA DE PROTECCIÓN DE DATOS
Esta Política de Protección de Datos (la Política) establece cómo Tradedork Ltd ("nosotros", "nos" y "nuestro") trata los datos personales.
Si en cualquier momento tiene alguna duda sobre esta Política, sus responsabilidades o cualquier aspecto de la ley de protección de datos, póngase en contacto con Chris Smith, nuestro Responsable de Cumplimiento de Datos en Tradedork.
1. Introducción
- El Reglamento General de Protección de Datos del Reino Unido(GDPR del Reino Unido) y la Ley de Protección de Datos de 2018(DPA 2018) (en conjunto, leyes de protección de datos) se aplican al procesamiento de datos personales.
- Todas las leyes de protección de datos exigen que los datos personales se traten de acuerdo con determinados principios (véase el apartado 2) y otorgan a las personas derechos de acceso, rectificación y control sobre el uso que hacemos de sus datos personales (véase el apartado 6).
- La ley de protección de datos en el Reino Unido la aplica la Oficina del Comisario de Información (ICO), que es el organismo regulador de la protección de datos en el Reino Unido.
- En resumen, las leyes de protección de datos nos obligan a:
4.1 procesar los datos personales únicamente para determinados fines;
4.2 procesar los datos personales de acuerdo con los seis principios de "buen manejo de la información" (véase el apartado 2);
4.3 proporcionar determinada información a aquellas personas sobre las que procesamos datos personales que normalmente se facilita en un aviso de privacidad; por ejemplo, usted habrá recibido uno de estos avisos de nuestra parte como miembro de nuestro personal y otro estará disponible en nuestra plataforma para nuestros usuarios;
4.4 respetar los derechos de aquellas personas sobre las que procesamos datos personales (incluido proporcionarles acceso a los datos personales que tenemos sobre ellas); y4 respetar los derechos de las personas sobre las que tratamos datos personales (incluido el acceso a los datos personales que tenemos sobre ellas); y
4.5 mantener registros adecuados de cómo se tratan los datos y, cuando sea necesario, notificar al regulador y posiblemente a las personas afectadas cuando se haya producido una violación de datos.
- Cada miembro de nuestro personal tiene un papel importante que desempeñar en la consecución de estos objetivos. Por lo tanto, es su responsabilidad familiarizarse con esta Política.
2. ¿Qué son los Principios de Protección de Datos?
Las leyes de protección de datos establecen seis principios para mantener y proteger los datos personales, que constituyen la base de la legislación. Todos los datos personales deben ser:
- tratados de forma lícita, leal y transparente y sólo si se cumplen determinadas condiciones específicas ("licitud, lealtad y transparencia");
- recogidos con fines específicos, explícitos y legítimos, y no tratados de forma incompatible con dichos fines ("limitación de la finalidad");
- adecuados y pertinentes, y limitados a lo necesario para los fines para los que se tratan ("minimización de datos");
- exactos y, en su caso, actualizados ("exactitud");
- no se conservarán más tiempo del necesario para su finalidad ("limitación del almacenamiento"); y
- tratados de forma que se garantice una seguridad adecuada de los datos personales utilizando medidas técnicas y organizativas apropiadas ("integridad y seguridad").
3. ¿Qué tipo de información puede constituir datos personales?
- Los datos personales serán datos relativos a un individuo y, por tanto, serán sus datos personales si
1.1 identifican a la persona (por ejemplo, nombres, direcciones, números de teléfono y direcciones de correo electrónico);
1.2 su contenido se refiere a la persona personalmente (por ejemplo, historiales médicos o historial de perfiles de usuario (por ejemplo, preferencias));
1.3 se refieren a la propiedad de la persona;
1.4 podrían tratarse para conocer, registrar o decidir algo sobre la persona (por ejemplo, si se pueden vincular los datos a la persona para saber algo de ella, se referirán a la persona (por ejemplo. datos salariales de un puesto en el que sólo hay una persona nombrada en ese puesto);
1.5 afecta a la privacidad de la persona, ya sea en su capacidad personal, familiar, organizativa o profesional (por ejemplo, la ubicación del trabajo y las direcciones de correo electrónico del trabajo pueden ser datos personales);
1.6 es una expresión de opinión sobre la persona; o
1.7 es una indicación de nuestras intenciones (o las de cualquier otra persona) hacia la persona (por ejemplo, cómo se tratará una queja recibida de un miembro del personal o de un usuario de nuestra plataforma).
- La información sobre empresas u otras personas jurídicas que no son personas físicas vivas no son datos personales. Sin embargo, la información sobre directores, accionistas, directivos y empleados, y sobre empresarios individuales o socios, suele ser datos personales, por lo que la información relacionada con empresas a menudo puede ser datos personales.
- Los datos de categoría especial según las leyes de protección de datos son los datos personales relativos a la raza, las opiniones políticas, la salud, las creencias religiosas o de otro tipo, los antecedentes sindicales, la vida sexual, los datos biométricos y los datos genéticos de una persona. Además, los datos de condenas e infracciones penales pertenecen a una categoría especial, que en muchos aspectos recibe el mismo tratamiento que los datos de categoría especial. Anteriormente, estos tipos de datos personales se denominaban datos personales sensibles y es posible que algunas personas sigan utilizando este término.
4. ¿Cómo tratamos los datos personales?
- Todos los días tratamos datos personales con diversos fines y de diversas maneras. Prácticamente todo lo que hacemos con los datos personales se considera "tratamiento" de los mismos, incluida su recogida, modificación, transferencia, visualización, supresión, conservación, copia de seguridad, archivo, conservación, divulgación o destrucción. Por tanto, incluso el mero almacenamiento de datos personales es una forma de tratamiento. Podemos procesar datos personales utilizando ordenadores o manualmente llevando registros en papel.
- Entre los ejemplos de tratamiento de datos personales cabe citar el uso de datos personales para mantener correspondencia con los usuarios de nuestra plataforma o la conservación de datos personales en nuestros sistemas de almacenamiento o bases de datos en línea o en documentos impresos.
5. ¿En qué circunstancias tenemos derecho a tratar datos personales?
- Para que el tratamiento de los datos personales sea lícito, debemos basarnos en uno de los motivos legales establecidos en la legislación sobre protección de datos.
- Para el tratamiento de datos personales ordinarios en nuestra organización, estos pueden incluir, entre otras cosas:
2.1 la persona en cuestión ha dado su consentimiento para el tratamiento;
2.2 el tratamiento es necesario para la ejecución de un contrato con la persona en cuestión;
2.3 el tratamiento es necesario para el cumplimiento de una obligación legal a la que estamos sujetos; o
2.4 el tratamiento es necesario para lograr nuestros intereses legítimos (o los de otra persona).
- Para tratar legalmente categorías especiales de datos personales, deben cumplirse otras condiciones. Normalmente, sólo esperamos tratar datos personales de categoría especial o datos de condenas e infracciones penales en un contexto laboral y, por tanto, las condiciones en las que nos basaríamos habitualmente pueden incluir, entre otras:
3.1 en relación con las categorías especiales de datos personales:
3.1.1 cuando la persona haya dado su consentimiento explícito al tratamiento;
3.1.2 cuando el tratamiento sea necesario para el cumplimiento de nuestras obligaciones en virtud de la legislación laboral;
3.1.3 cuando el tratamiento sea necesario para proteger los intereses vitales de la persona en cuestión. La OIC ha indicado anteriormente que es improbable que se cumpla esta condición salvo en caso de vida o muerte u otra situación extrema;
3.1.4 cuando el tratamiento sea necesario para el seguimiento de la igualdad de oportunidades; o
3.1.5 cuando el tratamiento sea necesario con fines de medicina preventiva o laboral o para la evaluación de la capacidad laboral del empleado; y
3.2 en relación con los datos sobre condenas e infracciones penales, cuando la persona haya dado su consentimiento explícito al tratamiento.
6. ¿Qué derechos tienen las personas físicas sobre sus datos personales?
- Las personas tienen ciertos derechos en virtud de la legislación sobre protección de datos(Derechos). Éstos son:
1.1 derecho de acceso (también conocido como "solicitud de acceso del interesado");
1.2 derecho de rectificación;
1.3 derecho de supresión (también conocido como "derecho al olvido");
1.4 derecho a la limitación del tratamiento;
1.5 derecho a la portabilidad de los datos;
1.6 derecho de oposición; y
1.7 derechos en relación con la toma de decisiones automatizadas y la elaboración de perfiles.
- El ejercicio de estos derechos podrá hacerse por escrito, incluido el correo electrónico, y también verbalmente, y deberá responderse por escrito sin demora indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Este plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de las solicitudes. Deberemos informar al particular de cualquier prórroga en el plazo de un mes a partir de la recepción de la solicitud, junto con los motivos del retraso.
- Si recibe una solicitud verbal en relación con un derecho, o cree que ha recibido una solicitud verbal para el ejercicio de un derecho, debe transmitir la llamada o la persona a nuestro Responsable de Cumplimiento de Datos. Nuestro Responsable de Cumplimiento de Datos dejará constancia por escrito de todos los detalles pertinentes y le explicará el procedimiento. Si es posible, intente que la solicitud se confirme por escrito. Si no es posible transferir a la persona, deje constancia por escrito de la solicitud y de los datos de contacto de la persona que la presenta. Si recibe una carta o un correo electrónico ejerciendo un derecho, deberá transmitirlos a nuestro Responsable de Cumplimiento de Datos, que responderá a la persona en nuestro nombre.
- Nuestro Responsable de Cumplimiento de Datos se encargará de la coordinación. Las medidas que se tomen dependerán de la naturaleza de la solicitud y del derecho. Nuestro Responsable de Cumplimiento de Datos escribirá a la persona y le explicará la situación jurídica y si vamos a acceder a la solicitud.
- Podemos pedir información adicional para confirmar la identidad de la persona que hace la solicitud y también podemos pedir que se acote el alcance de la solicitud para facilitar las búsquedas que hay que realizar (pero la persona no tiene por qué estar de acuerdo con tal petición nuestra). Cuando las solicitudes sean manifiestamente infundadas o excesivas o sean repetitivas, podremos cobrar una tarifa razonable teniendo en cuenta los costes administrativos de facilitar la información (y la cantidad puede estar sujeta a límites) o negarnos a responder. Cuando nos neguemos a responder a una solicitud, explicaremos los motivos al particular, informándole de su derecho a presentar una reclamación ante la autoridad de control y a un recurso judicial sin demora indebida y a más tardar en el plazo de un mes.
- Si recibimos la solicitud de un tercero (por ejemplo, un asesor jurídico), debemos tomar medidas para verificar que la solicitud fue, de hecho, instigada por el individuo y que el tercero está debidamente autorizado para hacer la solicitud. Por lo general, esto significa ponerse en contacto directamente con la persona en cuestión para verificar que el tercero está debidamente autorizado para realizar la solicitud.
- Si un particular no está de acuerdo con que hayamos cumplido adecuadamente un derecho o no le hayamos respondido, puede solicitar una orden judicial o presentar una denuncia ante la OIC, en cada caso exigiéndonos que cumplamos adecuadamente el derecho. Si el tribunal o la OIC están de acuerdo con el particular, pueden ordenarnos que cumplamos debidamente el derecho y las medidas necesarias para ello, y ordenarnos que notifiquemos el derecho a los terceros a los que hayamos transmitido los datos. Un tribunal también puede conceder una indemnización a la persona por cualquier daño que haya sufrido como consecuencia de nuestro incumplimiento. La ICO también puede imponernos una multa civil. Estas multas pueden ser muy cuantiosas
7. ¿Podemos transferir datos personales fuera del Reino Unido?
- Los datos personales no deben transferirse fuera del Reino Unido a menos que el país de destino garantice un nivel adecuado de protección de los derechos de las personas en relación con el tratamiento de datos personales o que nosotros establezcamos protecciones adecuadas. Estas protecciones pueden derivarse de contratos especiales que tengamos que firmar con el destinatario de los datos personales, de su consentimiento a someterse a normas específicas de protección de datos o del hecho de que la legislación del país del destinatario ofrezca protección suficiente.
- En ningún caso deberá transferir datos personales fuera del Reino Unido sin el consentimiento previo por escrito de nuestro Responsable de Cumplimiento de Datos. También tendremos que informar a las personas afectadas de cualquier transferencia de sus datos personales fuera del Reino Unido y es posible que tengamos que modificar nuestro aviso de privacidad para tener en cuenta la transferencia de datos fuera del Reino Unido.
- Si participa en un nuevo tratamiento de datos personales que pueda implicar la transferencia de datos personales fuera del Reino Unido, solicite la aprobación de nuestro Responsable de Cumplimiento de Datos antes de realizar cualquier tratamiento de datos personales que pueda tener este efecto.
8. ¿Cuáles son las consecuencias del incumplimiento de esta política?
- Cualquier infracción de esta Política se considerará muy grave. Todo el personal debe leer atentamente esta Política y asegurarse de que la conoce. El incumplimiento de esta política constituye una infracción disciplinaria y se tratará con arreglo a nuestro procedimiento disciplinario y de capacidad.
- Si no cumple las leyes de protección de datos y/o esta Política, le animamos a que informe de ello inmediatamente a nuestro Responsable de Cumplimiento de Datos. Esta autoinformación se tendrá en cuenta a la hora de evaluar cómo tratar cualquier infracción, incluidos los incumplimientos que puedan ser anteriores a la entrada en vigor de esta Política.
- Asimismo, si tiene conocimiento o cree que algún otro representante nuestro no está cumpliendo la legislación sobre protección de datos y/o esta Política, debe comunicarlo confidencialmente a nuestro Responsable de Cumplimiento de Datos. Nuestra política de denuncia de irregularidades se aplicará en estas circunstancias y puede optar por informar de cualquier incumplimiento o infracción a través de nuestro servicio confidencial de denuncia de irregularidades.
- El incumplimiento de la legislación sobre protección de datos puede tener graves consecuencias tanto para usted como para nosotros. Entre ellas:
4.1 Para usted:
4.1.1 Acción disciplinaria o despido
4.1.2 Sanciones penales por infracciones graves
4.1.3 Investigaciones y entrevistas
4.2 Para nuestra empresa:
4.2.1 Sanciones penales
4.2.2 Multas civiles de hasta 17,5 millones de libras esterlinas o el 4% de la facturación mundial, la cifra que sea más alta.
4.2.3 Evaluaciones, investigaciones y medidas coercitivas por parte de la ICO
4.2.4 Órdenes judiciales
4.2.5 Reclamaciones de indemnización de particulares
4.2.6 Mala publicidad y pérdida de negocio
4.2.7 Drenaje de tiempo y recursos de gestión
9. ¿Qué medidas prácticas puedo tomar para garantizar el cumplimiento?
Aunque siempre debe aplicar el sentido común a la hora de utilizar y salvaguardar los datos personales, y tratarlos con cuidado y respeto, a continuación se ofrecen algunos ejemplos de lo que se debe y no se debe hacer:
- No saque los datos personales de nuestras instalaciones (salvo que sea absolutamente necesario).
- Sólo revele sus nombres de usuario y contraseñas exclusivos para cualquiera de nuestros sistemas informáticos al personal autorizado (por ejemplo, informáticos) y a nadie más.
- No dejes nunca desatendido ningún objeto que contenga datos personales en un lugar público, por ejemplo, en un tren, en una cafetería o en lugares inseguros, por ejemplo, en tu coche durante la noche; esto incluye archivos en papel, teléfonos móviles, ordenadores portátiles, tabletas, lápices de memoria, etc.
- Cifre los ordenadores portátiles, los dispositivos móviles y los dispositivos de almacenamiento extraíbles que contengan datos personales, bloquéelos y manténgalos fuera del alcance de los ojos cuando no se utilicen.
- Proteja con contraseña los documentos y bases de datos que contengan datos personales más sensibles.
- Elimine los papeles que contengan datos personales de forma confidencial; no los tire a la basura ordinaria, a un contenedor, etc., a menos que los haya triturado previamente.
- Cuando esté en un lugar público, por ejemplo un tren o una cafetería, o incluso en la oficina, tenga cuidado con quién puede ver la información en la pantalla de cualquier dispositivo que esté utilizando cuando tenga información personal en pantalla y, si es necesario, cambie de lugar o de tarea. Además, cuando hables por teléfono en un lugar público, o incluso en la oficina, procura no utilizar el nombre completo de las personas u otros datos identificativos, ya que no sabes quién puede escuchar la conversación. En su lugar, utilice las iniciales o sólo el nombre de pila para preservar la confidencialidad.
- Nunca actúe siguiendo instrucciones de alguien a menos que esté absolutamente seguro de su identidad, y si no está seguro, tome medidas para determinar su identidad. Esto es especialmente cierto cuando las instrucciones se refieren a información que puede ser delicada o perjudicial si llega a manos de un tercero, o cuando las instrucciones se refieren a dinero, bienes u objetos valiosos o no pueden anularse fácilmente.
- No transfiera datos personales a terceros sin el consentimiento previo por escrito de un alto cargo de la empresa.
- Notifique inmediatamente a nuestro Responsable de Cumplimiento de Datos cualquier sospecha de violación de la seguridad o pérdida de datos personales (incluida la pérdida de dispositivos o materiales que contengan datos personales).
ANEXO 1 A LA POLÍTICA DE PROTECCIÓN DE DATOS
VIOLACIONES DE DATOS
1. Infracciones de datos
- Una violación de datos incluye cualquier pérdida de datos de nuestra propiedad o utilizados por nosotros, tanto si un tercero obtiene acceso a los datos como si no. Así, por ejemplo, esto incluirá:
1.1 pérdida de un ordenador, portátil, teléfono móvil o medio de almacenamiento extraíble, pérdida de archivos físicos en papel o destrucción no segura de nuestros datos;
1.2 pérdida de nuestros datos almacenados en un ordenador o servidor debido a la corrupción del disco duro o la piratería o un ataque (por ejemplo, ransomware, malware, virus) a nuestra red y sistemas informáticos (o los de terceros);
1.3 enviar un correo electrónico o postal a la persona equivocada que contenga nuestros datos o enviar un correo electrónico a un grupo de destinatarios utilizando el campo "para" cuando sus direcciones de correo electrónico no deberían haberse revelado a los demás destinatarios;
1.4 permitir que alguien escuche una conversación telefónica cuando se revelan datos identificativos; o
1.5 que se revelen o divulguen datos a alguien que no tiene derecho a ver o conocer esos datos.
- La lista anterior no es exhaustiva, y las violaciones de datos pueden adoptar muchas formas. Exigimos la notificación de las violaciones de datos, estén o no relacionados con una persona, por lo que se nos debe notificar cualquier tipo de violación de datos.
2. ¿Qué debe hacer?
- Tan pronto como tenga conocimiento de cualquier violación de datos que afecte a nuestros datos, debe notificarlo INMEDIATAMENTE a nuestro Responsable de Cumplimiento de Datos. También debe asegurarse de que se acusa recibo de la notificación, para evitar que el destinatario esté fuera de la oficina o de vacaciones. Si no recibe acuse de recibo en un plazo de 2 horas, informe inmediatamente al Director de Imran Ahmed de la violación de los datos. Es su trabajo asegurarse de que se notifica la violación de datos y de que se recibe la notificación. No se limite a enviar un correo electrónico o dejar un mensaje de voz y olvidarse del asunto.
- Tendrá que facilitar detalles y antecedentes sobre la violación de datos, incluyendo detalles sobre el tipo de datos perdidos, la cantidad de datos perdidos, a quién se refieren, cómo se perdieron y la identidad de cualquier tercero que haya adquirido los datos (si se conoce). También deberá facilitarnos cualquier otra información que le solicitemos y, en algunos casos, puede que le pidamos que rellene un formulario detallando la violación de datos con toda la información de que disponga. Aunque no disponga inmediatamente de toda esta información, no tarde en notificarnos la violación de los datos. El tiempo es crucial.
- La obligación de notificación se aplica tanto si usted ha participado en la violación de los datos como si no ha sido la causa de la misma. Si tiene conocimiento de una violación de datos, debe notificárnosla independientemente de su causa. Trataremos todas las notificaciones que se refieran a un colega u otro trabajador de forma confidencial, de conformidad con nuestra política de denuncia de irregularidades.
4. ¿Cuáles son las consecuencias si no se notifica?
- Si notifica una violación de datos de acuerdo con esta política, incluso si usted es culpable de causar o contribuir a la violación de datos, por ejemplo debido a un error humano, preferiríamos conocer la violación de datos. El hecho de que lo haya notificado jugará a su favor, y es un hecho que a veces se producen violaciones de datos.
- Sin embargo, si tiene conocimiento de una violación de datos en relación con nuestros datos y no notifica dicha violación de acuerdo con esta Política, lo consideraremos una falta grave. Esto se aplica tanto si la violación de datos ha sido causada por usted o ha contribuido a ella como si sólo tiene conocimiento de una violación de datos causada o contribuida por un colega o un tercero, o incluso si sólo tiene conocimiento de una violación de datos en la que nadie ha sido culpable.
5. ¿Por qué debe notificar?
- En virtud de la legislación sobre protección de datos, tenemos la obligación de informar a la OIC lo antes posible de las violaciones de datos que afecten a los datos personales que controlamos, en los casos en que la violación de los datos pueda perjudicar a las personas. Tenemos que informar a la ICO lo antes posible y, en cualquier caso, en las 72 horas siguientes a tener conocimiento de la violación de datos. Este plazo se cuenta a partir del momento en que usted tiene conocimiento de la violación de los datos, y no a partir del momento en que usted nos notifica la violación de los datos. Por lo tanto, la notificación debe ser inmediata.
- Su notificación nos permitirá evaluar si debemos o no notificar a la OIC la violación de los datos. Si no lo notificamos a la OIC cuando debemos, podemos exponernos a multas de hasta el 2% de la facturación mundial del grupo o de 8,7 millones de libras esterlinas, la cantidad que sea mayor. Se trata de riesgos muy importantes y, por este motivo, no notificarnos cualquier violación de datos de la que usted tenga conocimiento se considera una falta grave que puede dar lugar al despido o a la rescisión del contrato.
6. ¿Qué ocurre una vez que se ha notificado?
- Una vez que haya notificado una violación de datos, evaluaremos qué debe hacerse a continuación. Es posible que debamos informar de la violación de datos a la OIC. También es posible que tengamos que informar de la violación de datos a las personas cuyos datos se vean afectados por la violación de datos.
- También es posible que tengamos que tomar medidas para tratar de mitigar el impacto de la violación de datos, contenerla o revertirla. Estas medidas son más fáciles de tomar si conocemos la violación de los datos lo antes posible y sin retrasos.
- También es posible que tengamos que cambiar nuestros sistemas, procedimientos y protecciones para evitar o reducir el riesgo de que se produzca una violación de datos de este tipo en el futuro. Por lo general, siempre hay algo que aprender de una violación de datos.
- Pase lo que pase, registraremos la violación de datos en nuestro registro de violaciones de datos, que puede ayudarnos a detectar patrones o áreas de especial riesgo a lo largo del tiempo, de modo que podamos tomar medidas para prevenir o reducir el riesgo de que se repitan las violaciones de datos.
ANEXO 2 A LA POLÍTICA DE PROTECCIÓN DE DATOS
DOCUMENTO POLÍTICO APROPIADO
1. Introducción
Este documento establece cómo protegeremos los datos de categoría especial y los datos de condenas e infracciones penales y cumple con el requisito de la Ley de Protección de Datos de 2018 de que exista un documento de política apropiado cuando dichos datos personales en determinadas circunstancias.
2. Por qué tratamos datos de categoría especial y datos sobre condenas e infracciones penales
- Tratamos datos de categoría especial para los siguientes fines:
1.1 evaluar la aptitud de un empleado para trabajar;
1.2 cumplir con las obligaciones en materia de salud y seguridad;
1.3 cumplir con la Ley de Igualdad de 2010;
1.4 comprobar el derecho de los solicitantes y empleados a trabajar en el Reino Unido; y
1.5 verificar que los candidatos son aptos para el empleo o la continuación del empleo.
- Tratamos los datos de condenas e infracciones penales con los siguientes fines:
2.1 verificar que los candidatos son aptos para el empleo o la continuidad en el empleo; y
2.2 garantizar que el personal está autorizado a conducir vehículos de la empresa y contratar un seguro para la conducción de dichos vehículos.
3. Cumplimiento de los principios de protección de datos
- Legalidad, equidad y transparencia
1.1 Sólo trataremos los datos personales de forma justa y lícita y con fines específicos. La ley de protección de datos restringe nuestras acciones en relación con los datos personales a los fines legales especificados. Sólo podemos tratar datos de categoría especial y datos de condenas e infracciones penales si tenemos un fundamento jurídico para el tratamiento y se aplica una de las condiciones específicas de tratamiento relativas a los datos de categoría especial o a los datos de condenas e infracciones penales. Identificaremos y documentaremos el fundamento jurídico y la condición específica de tratamiento en que se basa cada actividad de tratamiento.
1.2 Cuando recopilemos datos de categoría especial y datos de condenas e infracciones penales de los interesados, ya sea directamente de los interesados o indirectamente (por ejemplo, de un tercero), proporcionaremos a los interesados un aviso de privacidad en el que se exponga toda la información exigida por la ley de protección de datos en un aviso de privacidad conciso, transparente, inteligible, de fácil acceso y en un lenguaje claro y sencillo que pueda comprenderse fácilmente.|
Trabajadores, contratistas y empleados | |
Datos relativos a la salud Consentimiento (artículo 6 (1) (a) GDPR del Reino Unido). Cumplimiento de una obligación legal (Artículo 6 (1) (c) GDPR del Reino Unido). Necesario para la ejecución de un contrato con el interesado (Artículo 6 (1) (b) GDPR del Reino Unido). En los intereses legítimos de la organización que no son superados por los derechos y libertades fundamentales del sujeto de datos (Artículo 6 (1) (f) GDPR del Reino Unido). | El interesado ha dado su consentimiento explícito al tratamiento (artículo 9, apartado 2, letra a) del GDPR del Reino Unido). Necesario para el cumplimiento de las obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del empleo y la seguridad social y la legislación en materia de protección social (artículo 9, apartado 2, letra b) del GDPR del Reino Unido y apartado 1, anexo 1, DPA 2018). Necesario para proteger los intereses vitales del interesado o de otra persona física cuando el interesado está física o legalmente incapacitado para dar su consentimiento (Artículo 9(2)(c) GDPR del Reino Unido). Necesario para fines de medicina preventiva o laboral, para la evaluación de la capacidad laboral del empleado, el diagnóstico médico, la prestación de atención o tratamiento sanitario o social o la gestión de sistemas y servicios de atención sanitaria o social, siempre que dichos datos sean tratados por o bajo la responsabilidad de un profesional u otra persona sujeta a una obligación legal de secreto profesional en virtud de o normas establecidas por un organismo nacional competente (Artículo 9(2)(h) GDPR del Reino Unido y Párrafo 2, Anexo 1, DPA 2018). |
Datos sobre el origen racial o étnico Consentimiento (artículo 6, apartado 1, letra a)). Cumplimiento de una obligación legal (artículo 6, apartado 1, letra c)). En interés legítimo de la organización, sobre el que no prevalecen los derechos y libertades fundamentales del interesado (artículo 6, apartado 1, letra f)). | El interesado ha dado su consentimiento explícito al tratamiento (artículo 9, apartado 2, letra a) del GDPR del Reino Unido). Necesario a efectos del cumplimiento de las obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del empleo y la seguridad social y la legislación en materia de protección social (artículo 9, apartado 2, letra b) del GDPR del Reino Unido y párrafo 1, anexo 1, DPA 2018). Necesario para identificar o mantener bajo revisión la existencia o ausencia de igualdad de oportunidades o trato entre grupos de personas especificados en relación con esa categoría con el fin de permitir que se promueva o mantenga dicha igualdad. (Artículo 9(2)(g) GDPR del Reino Unido y Párrafo 8, Anexo 1, DPA 2018) Llevado a cabo como parte de un proceso de identificación de personas adecuadas para ocupar altos cargos en una organización en particular, un tipo de organización u organizaciones en general o necesario para los fines de promover o mantener la diversidad en los orígenes raciales y étnicos de las personas que ocupan altos cargos en la organización u organizaciones y, en ambos casos, puede llevarse a cabo razonablemente sin el consentimiento del interesado. (Artículo 9, apartado 2, letra g), GDPR del Reino Unido y Párrafo 9, Anexo 1, DPA 2018) |
Datos sobre condenas e infracciones penales Cumplimiento de una obligación legal (artículo 6, apartado 1, letra c)). En interés legítimo de la organización, sobre el que no prevalecen los derechos y libertades fundamentales del interesado (artículo 6, apartado 1, letra f)). | Necesario para el cumplimiento de las obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del empleo y la seguridad social y la legislación en materia de protección social (artículo 9, apartado 2, letra b) del GDPR del Reino Unido y apartado 1, anexo 1, DPA 2018). Prevención o detección de actos ilícitos (Artículo 10 GDPR del Reino Unido y Párrafos 10 y 36 Anexo 1, DPA 2018). Requisitos reglamentarios relacionados con actos ilícitos y deshonestidad (Artículo 10 GDPR del Reino Unido y Párrafos 12 y 36 Anexo 1, DPA 2018). |
| |
- Limitación de la finalidad
Sólo recopilaremos datos personales para fines específicos, explícitos y legítimos e informaremos a los interesados de cuáles son esos fines en un aviso de privacidad publicado. No utilizaremos los datos personales para fines nuevos, diferentes o incompatibles con los que se revelaron cuando se obtuvieron por primera vez, a menos que hayamos informado al interesado de los nuevos fines y este haya dado su consentimiento cuando sea necesario.
- Minimización de datos
Sólo recopilaremos o revelaremos el mínimo de datos personales necesarios para los fines para los que se recopilan o revelan los datos. Nos aseguraremos de no recopilar datos excesivos y de que los datos personales recopilados sean adecuados y pertinentes para los fines previstos.
- Precisión
Nos aseguraremos de que los datos personales que conservamos y utilizamos sean exactos, completos, estén actualizados y sean pertinentes para el fin para el que los recopilamos. Comprobamos la exactitud de los datos personales en el momento de su recogida y posteriormente a intervalos regulares. Tomamos todas las medidas razonables para destruir o modificar los datos personales inexactos o caducados.
- Limitación de almacenamiento
5.1 Sólo conservamos los datos personales de forma identificable durante el tiempo necesario para los fines para los que fueron recogidos, o cuando tenemos la obligación legal de hacerlo. Una vez que ya no necesitemos los datos personales, se eliminarán o se convertirán en anónimos de forma permanente.
5.2 Mantenemos una política de conservación de datos y procedimientos relacionados para garantizar que los datos personales se eliminan una vez transcurrido un tiempo razonable para los fines para los que se conservaron, a menos que estemos legalmente obligados a conservar dichos datos durante más tiempo.
5.3 Nos aseguraremos de que los interesados estén informados del periodo durante el cual se almacenan los datos y de cómo se determina dicho periodo en cualquier aviso de privacidad aplicable.
- Seguridad, integridad, confidencialidad
Nos tomamos muy en serio la seguridad de los datos de categoría especial y de los datos sobre condenas e infracciones penales. Disponemos de las salvaguardias administrativas, físicas y técnicas adecuadas para proteger los datos personales contra el tratamiento ilícito o no autorizado, o la pérdida o el daño accidentales.
- Principio de responsabilidad
7.1 Somos responsables del cumplimiento de los principios anteriores y podemos demostrarlo. Nuestro Responsable de Cumplimiento de Datos es responsable de garantizar que cumplimos los principios anteriores.
7.2 Nos comprometemos a:
7.2.1 garantizar que se mantengan registros de todas las actividades de tratamiento de datos personales y que éstos se faciliten a la OIC cuando ésta lo solicite;
7.2.2 llevar a cabo una evaluación del impacto de la protección de datos para cualquier tratamiento de datos personales de alto riesgo con el fin de comprender cómo el tratamiento puede afectar a los interesados y consultar a la OIC si procede;
7.2.7.2.3 garantizar que se designa a un responsable del cumplimiento de la normativa sobre datos para que proporcione asesoramiento independiente y supervise el tratamiento de los datos personales, y que el responsable del cumplimiento de la normativa sobre datos tiene acceso a informar al más alto nivel directivo; y
7.2.4 disponer de procesos internos para garantizar que los datos personales sólo se recopilan, utilizan o tratan de manera conforme con la legislación sobre protección de datos.
4. Políticas de conservación y supresión de datos personales
- Cuando se traten datos de categoría especial o datos de condenas e infracciones penales, nos aseguraremos de que:
1.1 se registre el tratamiento, y el registro establezca, cuando sea posible, un plazo adecuado para la supresión segura y permanente de las diferentes categorías de datos de conformidad con nuestra Política de Conservación de Datos;
1.2 cuando ya no necesitemos los datos de categoría especial o los datos de condenas e infracciones penales para el fin para el que se recogieron, los suprimiremos o anonimizaremos permanentemente lo antes posible;
1.3 cuando se destruyan los registros, nos aseguraremos de que se eliminan de forma segura y permanente.
- Los interesados reciben un aviso de privacidad en el que se explica cómo se tratarán sus datos personales cuando los obtenemos por primera vez, y que incluirá el periodo durante el cual se almacenarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho periodo.
5. Revisar
- Este documento de política adecuada sobre el tratamiento de datos de categoría especial y datos sobre condenas e infracciones penales se revisa anualmente.
- Este documento de política adecuado se conservará cuando tratemos datos de categoría especial y datos sobre condenas e infracciones penales, y durante un período de al menos seis meses después de que dejemos de llevar a cabo dicho tratamiento.
- Se facilitará una copia de esta política al ICO previa solicitud y de forma gratuita.