POLÍTICA DE PROTECCIÓN DE DATOS Y PRIVACIDAD
- CONTEXTUALIZACIÓN
- DEFINICIONES
- ALCANCE
- DESTINOS
- APLICABILIDAD
- OBJETIVOS
- PRINCIPIOS DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
- BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES
- BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES SENSIBLES
- DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES
- DEBERES PARA EL BUEN USO DE LOS DATOS PERSONALES
- RELACIÓN CON LOS SOCIOS COMERCIALES Y LOS PROVEEDORES
- PROGRAMA DE CUMPLIMIENTO DE LA PROTECCIÓN DE DATOS PERSONALES
- SEGURIDAD DE LA INFORMACIÓN
- TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
- FORMACIÓN
- SEGUIMIENTO
1. CONTEXTUALIZACIÓN
La presente Política de Privacidad y Protección de Datos Personales (“Política”) tiene por objeto orientar sobre cómo gestionar las distintas actividades y operaciones de tratamiento de datos personales que existen en NAUTILUS. Este documento forma parte del programa de adaptación del NAUTILUS a la Ley General de Protección de Datos (Ley Nº 13.709/2018 – “LGPD”) y otras leyes sectoriales en la materia.
A NAUTILUS es consciente de la importancia y la necesidad de adaptar sus operaciones de tratamiento de datos personales a una nueva y amplia normativa en la materia, en este caso, la LGPD, aprobada en agosto de 2018, en vigor desde septiembre de 2020, cuyas inspecciones y sanciones pasaron a ser exigibles a partir de agosto de 2021.
Se observa que la LGPD es una ley transversal, que atraviesa diferentes agentes económicos en Brasil, del sector privado, público y del tercer sector; y ofrece las reglas y condiciones para que los datos personales sean utilizados en las actividades de estos agentes.
El proceso de cumplimiento normativo que culminará en el Programa de Cumplimiento de la LGPD implica un trabajo de interpretación de la Ley para definir las obligaciones legales, de diagnóstico de los hechos pertinentes y relevantes para su aplicación y de relevamiento de los flujos y procesos que contribuyen o no a que los hechos se ajusten al documento legal.
2. DEFINICIONES
CONTROLADORES DE DATOS PERSONALESEl controlador y el operador de los datos personales.
ANÓNIMOUso de medios técnicos, razonables y disponibles en el momento del tratamiento de los datos personales, por los que se pierde la posibilidad de asociar, directa o indirectamente, un dato a una persona. Los datos anonimizados no se consideran datos personales a efectos de la LGPD.
AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS (“ANPD”): Órgano de la administración pública encargado de velar, aplicar y controlar el cumplimiento de la LGPD en todo el territorio nacional. La ANPD fue creada por la LGPD como un organismo de la administración pública federal con autonomía técnica, dependiente de la Presidencia de la República, definiendo su naturaleza como transitoria y sujeta a la transformación por parte del Poder Ejecutivo en una entidad de la administración pública federal indirecta, sujeta a un régimen autárquico especial y vinculada a la Presidencia de la República.
CONTROLADOR DE DATOS PERSONALESUna persona física o jurídica, de derecho público o privado, que es responsable de las decisiones relativas al tratamiento de datos personales.
DATOS PERSONALESInformación relativa a una persona física identificada o identificable. También se consideran datos personales los utilizados para formar el perfil de comportamiento de una determinada persona física.
DATOS PERSONALES SENSIBLESDatos personales relativos al origen racial o étnico, las convicciones religiosas, las opiniones políticas, la pertenencia a un sindicato o a una organización religiosa, filosófica o política, los datos relativos a la salud o a la vida sexual, los datos genéticos o biométricos cuando estén vinculados a una persona física.
RESPONSABLE DE LA PROTECCIÓN DE DATOS (DPO)Persona física o jurídica designada por el Encargado del Tratamiento para actuar como canal de comunicación entre el Responsable del Tratamiento, los interesados y la Autoridad Nacional de Protección de Datos. Será responsable de la aplicación del Programa de Cumplimiento de las leyes de protección de datos personales y de la realización de actividades relacionadas con la protección de datos personales en el Sistema de Cumplimiento y Controles Internos de NAUTILUS.
PROVEEDORESEn el contexto de NAUTILUS, se consideran proveedores otros terceros contratados y subcontratados, personas físicas o jurídicas, no encuadrados como socios comerciales.
LEY GENERAL DE PROTECCIÓN DE DATOS (“LGPD”): Un diploma normativo (Ley nº 13.709 de 14 de agosto de 2018) que dispone sobre el tratamiento de datos personales en soporte digital o físico realizado por persona física o jurídica, de derecho público o privado, con el objetivo de defender a los titulares de los datos personales y al mismo tiempo permitir el uso de los datos para diferentes fines, equilibrando los intereses y armonizando la protección de la persona humana con el desarrollo tecnológico y económico.
OPERADOR DE DATOS PERSONALESPersona física o jurídica, de derecho público o privado, que realiza el tratamiento de datos personales por cuenta del Responsable del Tratamiento.
SOCIOS COMERCIALESEn el contexto de NAUTILUS, se consideran socios comerciales los terceros contratistas, ya sean personas físicas o jurídicas, que actúan en su nombre: Consultores, Contratistas y Agentes Comerciales (aquellos que indican actividades en las que NAUTILUS puede actuar como contratista).
SISTEMA DE CONTROL INTERNO Y CUMPLIMIENTO DE NAUTILUS NAUTILUS (AMAZON ELASTIC COMPUTE CLOUD – AMAZON EC2) Constituido por un conjunto de elementos que, operados de forma integrada y dinámica, ayudan a la Institución a alcanzar sus objetivos estratégicos, así como su misión, visión y valores, orientando su desarrollo y garantizando con un grado razonable de certeza que los riesgos que puedan comprometer su sostenibilidad y crecimiento serán gestionados de forma eficiente y eficaz.
TERCERA PARTEEs toda persona física o jurídica contratada por NAUTILUS para desarrollar o ayudar al desarrollo de sus actividades, tanto como proveedores de bienes o servicios como socios comerciales.
EL SUJETO DE LOS DATOS PERSONALES (“SUJETO DE LOS DATOS”)Persona física a la que se refieren los datos personales objeto del tratamiento.
TRATAMIENTO DE DATOS PERSONALES (“TRATAMIENTO”)Cualquier operación realizada con datos personales, como las relativas a la recogida, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, tratamiento, archivo, almacenamiento, eliminación, borrado, evaluación, control de la información, modificación, comunicación, transferencia, difusión o extracción.
3. ALCANCE
Esta política establece las directrices para la NAUTILUS para la protección y uso de los datos personales que puedan ser tratados en sus actividades, con referencia a la Ley General de Protección de Datos de Carácter Personal, entre otras normas nacionales e internacionales relativas a la privacidad y protección de datos personales, con especial atención al Reglamento General de Protección de Datos.
4. DESTINATARIOS
Esta política se aplica (i) a los empleados de NAUTILUS(ii) a todos los terceros, ya sean personas físicas o jurídicas que actúen por cuenta o en nombre de NAUTILUS en las operaciones de tratamiento de datos personales que se lleven a cabo en el ámbito de las actividades realizadas por el NAUTILUS(iii) procesadores de datos personales externos a la NAUTILUS que tengan algún tipo de relación con ella ; y (iv) los titulares de datos personales cuyos datos sean tratados por NAUTILUS.
Adhesión al Programa de Cumplimiento de NAUTILUS NAUTILUS a las leyes de protección de datos personales y a los actos normativos que de ellas se derivan, el Programa de Cumplimiento de la LGPD, incluida esta Política, es obligatorio para todos los destinatarios mencionados anteriormente en la medida en que se relacionen con la NAUTILUS. Todas las operaciones que implican el tratamiento de datos personales realizadas en el ámbito de las actividades llevadas a cabo por el NAUTILUS están sujetos a esta normativa.
5. APLICABILIDAD
Esta política establece directrices y normas para garantizar que sus destinatarios comprendan y cumplan la legislación en materia de protección de datos personales en todas las interacciones con sujetos de datos personales actuales y potenciales, terceros y responsables del tratamiento de datos personales externos a NAUTILUS en el ámbito de sus actividades.
Además de los conceptos definidos por la normativa sobre privacidad y protección de datos personales, la información contemplada en esta Política incluye todos los datos que posea, utilice o transmita NAUTILUS o en su nombre, en cualquier tipo de soporte. Esto incluye los datos personales registrados en papel, mantenidos en sistemas informáticos o dispositivos portátiles, así como los datos personales transmitidos oralmente.
6. OBJETIVOS
Los objetivos de la Política de Privacidad y Protección de Datos Personales son NAUTILUS:
Establecer las directrices y responsabilidades de NAUTILUS que garantizan y refuerzan su compromiso con el cumplimiento de la legislación aplicable en materia de protección de datos personales;
Describir las normas que deben seguirse en el desarrollo de las actividades y operaciones de tratamiento de datos personales realizadas por el NAUTILUS y por los destinatarios de esta Política, en el ámbito de las actividades de la NAUTILUSque garantizan su cumplimiento con la legislación aplicable en materia de protección de datos personales, y en particular con la LGPD.
Esta Política debe leerse conjuntamente con las obligaciones establecidas en los documentos que se enumeran a continuación, que tratan de la información en general, y la complementan cuando es aplicable:
i. Contratos de trabajo de los empleados de NAUTILUS y otros documentos comparables, que prevén obligaciones de confidencialidad en relación con la información en poder de la Institución;
ii. Políticas y normas de procedimientos de seguridad de la información, así como términos y condiciones de usoque se ocupan de la confidencialidad, integridad y disponibilidad de la información de INFORMACIÓN SOBRE EL NAUTILUS;
iii. Toda la normativa interna en materia de protección de datos personales que se desarrolle y actualice periódicamente.
7. PRINCIPIOS DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
A NAUTILUS respetará los siguientes principios de protección de datos personales cuando
tratamiento de datos personales:
PROPÓSITO: a NAUTILUS tratará los datos personales únicamente con fines legítimos, específicos, explícitos e informados, sin que sea posible un tratamiento posterior incompatible con dichos fines;
FITNESS: a NAUTILUS tratará los datos personales de forma compatible con los fines informados al interesado, y de acuerdo con el contexto del tratamiento;
REQUISITOEl tratamiento de datos personales realizado por NAUTILUS se limitará al mínimo necesario para llevar a cabo sus fines, abarcando los datos que sean pertinentes, proporcionados y no excesivos en relación con los fines del tratamiento;
ACCESO GRATUITO: a NAUTILUS garantizará a los titulares de los datos personales una consulta fácil y gratuita sobre la forma y duración del tratamiento, así como sobre la integridad de sus datos;
CALIDAD DE LOS DATOS: a NAUTILUS garantizará a los titulares de los datos personales la exactitud, claridad, pertinencia y actualización de los mismos de acuerdo con la necesidad y para el cumplimiento de la finalidad de su tratamiento;
TRANSPARENCIA: a NAUTILUS garantizará que los interesados reciban información clara, precisa y fácilmente accesible sobre el tratamiento de los datos personales y sobre los respectivos agentes que los tratan, con la debida observancia del secreto comercial e industrial;
SEGURIDAD: a NAUTILUS utilizará medidas técnicas y administrativas para proteger los datos personales contra el acceso no autorizado y la destrucción, pérdida, alteración, comunicación o difusión accidental o ilícita;
PREVENCIÓN: a NAUTILUS adoptará medidas para evitar daños como consecuencia del tratamiento de datos personales;
NO DISCRIMINACIÓN: a NAUTILUS garantizará la imposibilidad de tratar los datos personales con fines discriminatorios ilícitos o abusivos;
LA RENDICIÓN DE CUENTAS Y LA RESPONSABILIDAD: a NAUTILUS se compromete a demostrar la adopción de medidas efectivas capaces de probar la observancia y el cumplimiento de la normativa de protección de datos personales, así como la eficacia de dichas medidas.
8. BASES LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES
Todas las operaciones de tratamiento de datos personales en el ámbito de las actividades realizadas por NAUTILUS tendrán una base legal que legitime su ejecución, con estipulación de la finalidad y designación de los responsables del tratamiento.
A NAUTILUS asume como compromiso institucional la evaluación periódica de las finalidades de sus operaciones de tratamiento, considerando el contexto en el que se insertan estas operaciones, los riesgos y beneficios que pueden generarse para el titular de los datos personales, y el interés legítimo de la Institución.
La realización de operaciones de tratamiento de datos personales por parte de NAUTILUS puede llevarse a cabo:
(i) Cuando el titular de los datos personales dé su consentimiento;
(ii) Para cumplir con una obligación legal o reglamentaria;
(iii) Para la realización de estudios por parte de un organismo de investigación;
(iv) Cuando sea necesario para la ejecución de un contrato o de procedimientos preliminares relacionados con un contrato en el que el interesado sea parte;
(v) Para el ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales;
(vi) para la protección de la vida o la seguridad física del interesado o de un tercero;
(vii) Para la protección de la salud, exclusivamente, en un procedimiento llevado a cabo por profesionales de la salud, servicios de salud o autoridad sanitaria;
(viii) Cuando sea necesario para satisfacer los intereses legítimos de NAUTILUS o de terceros
(ix) Para la protección del crédito.
A NAUTILUS mantendrá registros de sus operaciones de tratamiento de las categorías de tratamiento, cada una de ellas descrita por su(s) finalidad(es), sirviendo de ayuda y soporte para su evaluación periódica del cumplimiento del marco normativo de protección de datos personales.
Los registros de las operaciones de tratamiento de datos personales pueden ser consultados por el interesado, así como por las autoridades públicas competentes para acceder y conservar los datos en su nombre, salvaguardando los derechos del interesado.
9. BASIS LEYES PARA O PROCESAMIENTO DE DATOS PERSONALES SENSIBLES
A NAUTILUS reconoce que el tratamiento de datos personales sensibles supone mayores riesgos para el titular de los mismos y, por ello, se compromete a tomar precauciones especiales en el tratamiento de datos personales sensibles.
Este compromiso incorpora los datos personales sensibles enumerados en el artículo 5, apartado II de la LGPD, así como los datos financieros que, a efectos de esta Política y del Programa de Cumplimiento de la LGPD de NAUTILUStendrá el mismo estatus que los datos personales sensibles.
Los datos personales de niñas, niños y adolescentes serán tratados con el mismo nivel de cuidado exigido y ofrecido a los datos personales sensibles, pero además estarán sujetos a las disposiciones propias establecidas en el Capítulo II, Sección III, de la LGPD, y demás normativa específica aplicable.
La realización de operaciones de tratamiento de datos personales sensibles por parte de NAUTILUS sólo puede llevarse a cabo
(i) Cuando el titular de los datos o su tutor legal consientan, de manera específica y destacada, para fines concretos;
(ii) Sin necesidad de que el interesado dé su consentimiento, en los casos en que el tratamiento sea indispensable para:
a. Cumplimiento de obligaciones legales o reglamentarias por parte de NAUTILUS;
b. La realización de estudios cuando NAUTILUS tenga la condición de Organismo de Investigación, garantizando, siempre que sea posible, la anonimización de los datos personales sensibles;
c. El ejercicio regular de los derechos, incluso en los contratos y en los procedimientos judiciales, administrativos y de arbitraje;
d. Protección de la vida o la seguridad física del interesado o de terceros;
e. Protección de la salud, exclusivamente en un procedimiento llevado a cabo por profesionales de la salud, servicios sanitarios o autoridades sanitarias.
f. Garantía de la prevención del fraude y la seguridad del titular de los datos personales, en los procesos de identificación y autentificación del registro en los sistemas electrónicos.
10. DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES
A NAUTILUSen el marco de sus actividades de tratamiento de datos personales, refuerza su compromiso de respetar los derechos de los titulares de los datos personales, a saber
DERECHO A LA CONFIRMACIÓN DE LA EXISTENCIA DEL TRATAMIENTOEl titular de los datos personales puede dirigirse a NAUTILUSsi se están tratando o no datos personales que le conciernen;
DERECHO DE ACCESOel interesado puede solicitar y recibir una copia de todos los datos personales recogidos y almacenados;
DERECHO DE CORRECCIÓNEl titular de los datos personales puede solicitar la corrección de los datos personales que sean incompletos, inexactos o no estén actualizados;
DERECHO DE SUPRESIÓNEl titular de los datos personales puede solicitar la supresión de sus datos personales de las bases de datos gestionadas por NAUTILUSa menos que exista un motivo legítimo para su conservación, como una obligación legal de conservar los datos o un estudio por parte de un organismo de investigación. En caso de eliminación, el NAUTILUS se reserva el derecho de elegir el procedimiento de eliminación empleado, comprometiéndose a utilizar medios que garanticen la seguridad y eviten la recuperación de los datos;
DERECHO A SOLICITAR LA SUSPENSIÓN DEL TRATAMIENTO ILEGAL DE DATOS PERSONALESEn cualquier momento, el titular de los datos personales puede solicitar al NAUTILUS la anonimización, el bloqueo o la supresión de sus datos personales que hayan sido reconocidos por la autoridad competente como innecesarios, excesivos o tratados en contra de lo dispuesto en la LGPD.
DERECHO A OPONERSE AL TRATAMIENTO DE DATOS PERSONALESEn los casos en que el tratamiento de los datos personales no se base en la obtención del consentimiento, el interesado podrá someterse a NAUTILUS una oposición, que será analizada en base a los criterios presentes en la LGPD.
DERECHO A LA PORTABILIDAD DE LOS DATOSEl titular de los datos personales puede solicitar NAUTILUS poner sus datos personales a disposición de otro proveedor de servicios o productos, respetando el secreto comercial e industrial de la institución, así como los límites técnicos de su infraestructura.
DERECHO A RETIRAR EL CONSENTIMIENTOel interesado tiene derecho a retirar su consentimiento. Sin embargo, se subraya que esto no afectará a la legalidad de cualquier tratamiento realizado antes de la retirada. En caso de que se revoque el consentimiento, es posible que no se puedan prestar determinados servicios. En este caso, se informará al interesado.
A NAUTILUS reitera su compromiso con los derechos de los titulares de los datos personales a la transparencia y a la información adecuada, destacando el suministro de:
(i) Información sobre las entidades públicas y privadas con las que NAUTILUS ha hecho un uso compartido de los datos;
(ii) Información sobre la posibilidad de no dar el consentimiento y sobre las consecuencias de la negativa.
11. DEBERES PARA EL BUEN USO DE LOS DATOS PERSONALES
Los deberes de cuidado, atención y uso adecuado de los datos personales se extienden a todos los destinatarios de esta Política en el desarrollo de su trabajo y actividades en NAUTILUScompromiso de asistirla en el cumplimiento de las obligaciones en la aplicación de su estrategia de privacidad y protección de datos personales.
DEBERES ESPECÍFICOS DE LOS TITULARES DE DATOS PERSONALES:
Es responsabilidad de los titulares de los datos personales informar NAUTILUS de cualquier modificación de sus datos personales (por ejemplo, cambio de dirección, número de teléfono, dirección de correo electrónico y otros), preferiblemente notificándolo a NAUTILUS en el siguiente orden:
(i) A través de la plataforma puesta a disposición por NAUTILUS con el que el titular tiene una relación;
(ii) Por correo electrónico dirigido al responsable de NAUTILUS con el que el titular tiene una relación;
(iii) Por correo electrónico dirigido directamente a NAUTILUS DPOen el momento de su nombramiento; y
(iv) Por medios físicos (por ejemplo, una carta) dirigida directamente a NAUTILUS DPOcuando fue nombrado.
FUNCIONES ESPECÍFICAS DE LOS EMPLEADOS DE NAUTILUS:
El intercambio de datos personales de los interesados entre las unidades y departamentos de NAUTILUS está permitida siempre que se respete su finalidad y base legal, observando el principio de necesidad, con el tratamiento de datos personales siempre restringido a los autorizados por NAUTILUS. Cualquier uso o tratamiento de datos por parte de un empleado no autorizado se considerará un FALLO GRAVE.
DEBERES DE LOS EMPLEADOS DE NAUTILUS, DE LOS ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES Y DE LOS TERCEROS:
(i) No proporcione ni conceda acceso a los datos personales que posee NAUTILUS a cualquier persona no autorizada o competente.
(ii) Obtener la autorización necesaria para el tratamiento de datos y disponer de los documentos necesarios que demuestren la designación de su competencia para llevar a cabo la operación de tratamiento de datos legal, de acuerdo con la MANUAL DE LAS ACTIVIDADES DE CADA SECTOR de NAUTILUS.
(iii) Cumplir con las normas, recomendaciones, directrices de seguridad de la información y prevención de incidentes de seguridad de la información publicadas por la Institución
(por ejemplo, la política de seguridad de la información, el plan de respuesta a incidentes de seguridad de la información, las directrices de gestión de contraseñas, entre otros).
DEBERES DE TODOS LOS DESTINATARIOS DE ESTA POLÍTICA:
Todos los destinatarios de esta política tienen la obligación de ponerse en contacto con el NAUTILUSOficial cuando se sospecha o se han producido las siguientes acciones:
(i) Operación de tratamiento de datos personales realizada sin una base legal que la justifique;
(ii) Tratamiento de datos personales sin la autorización de NAUTILUS en el ámbito de sus actividades;
(iii) Las operaciones de tratamiento de datos personales que no se realicen de acuerdo con la Política de Seguridad de la Información de NAUTILUS;
(iv) Eliminación o destrucción no autorizada por NAUTILUS de datos personales de plataformas digitales o colecciones físicas en todas las instalaciones de NAUTILUS o utilizado por ella;
(v) Cualquier otro incumplimiento de esta Política o de cualquiera de los principios de protección de datos establecidos en la sección 7 anterior.
12. RELACIÓN CON TERCEROS
La LGPD establece que la responsabilidad en caso de daños patrimoniales, morales, individuales o colectivos derivados de infracciones a la legislación de protección de datos personales es solidaria, es decir, todos los agentes de la cadena que implique el tratamiento de datos personales pueden ser considerados responsables de los daños causados.
En este sentido, la posibilidad de NAUTILUS ser responsable de las acciones de terceros implica la necesidad de emplear sus mejores esfuerzos para verificar, evaluar y garantizar que dichos terceros cumplan con la legislación aplicable en materia de protección de datos.
Por lo tanto, todos los contratos con terceros deben contener cláusulas sobre la protección de datos personales, estableciendo deberes y obligaciones al respecto, y acreditando el compromiso de los terceros de cumplir con la legislación aplicable en materia de protección de datos personales. También hay que tener en cuenta que estos contratos serán revisados y sometidos a la aprobación del NAUTILUS DPO y su equipo técnico, de acuerdo con el marco normativo vigente.
Todos los terceros deben firmar el término de aceptación de esta Política, la Política de Seguridad de la Información y el Plan de Respuesta a Incidentes de Seguridad, presentando las actividades contratadas en el marco de la relación con NAUTILUS a esta normativa también.
13. PROGRAMA DE CUMPLIMIENTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES
El Programa de Cumplimiento de la LGPD tiene como objetivo garantizar el compromiso de NAUTILUS para garantizar el correcto tratamiento de los datos personales con fines legítimos que puedan ser objeto de sus actividades y refuerza su compromiso con las buenas prácticas de privacidad y protección de datos con las siguientes acciones:
Elaboración y difusión de información, independientemente del formato, que describa las responsabilidades individuales de los destinatarios de esta Política en materia de privacidad y protección de datos personales;
Formación, orientación y asesoramiento para los empleados de NAUTILUS y de terceros, incluyendo, entre otros, cursos online, talleres, reuniones internas, charlas periódicas, conferencias, entre otras iniciativas; comunicando contenidos puestos a disposición en formato digital y presencial.
Incorporación de la preocupación y el cuidado en el tratamiento de los datos personales en todas las etapas de sus actividades, incluyendo pero no limitado a las rutinas administrativas, actividades de investigación, prestación de servicios, actividades académicas, entre otros.
Identificación y evaluación posterior de los riesgos que pueden comprometer la consecución de los objetivos de la empresa NAUTILUS en el ámbito de la privacidad y la protección de datos personales; definir, crear y aplicar planes de acción y políticas para mitigar los riesgos identificados; y mantener una evaluación continua de los escenarios con vistas a valorar si las medidas aplicadas no requieren nuevas directrices y actitudes.
El RPD o responsable de datos, asistido por su equipo técnico, tiene las siguientes responsabilidades:
Supervisar el cumplimiento de las leyes de protección de datos personales aplicables, de acuerdo con las políticas de POLÍTICAS DE NAUTILUS;
Orientar a los destinatarios de esta Política sobre el régimen de privacidad y protección de datos personales de NAUTILUS;
Garantizar que las normas y directrices de protección de datos sean informadas e incorporadas a las rutinas y prácticas de NAUTILUS;
Organizar una formación sobre la protección de datos personales en NAUTILUS;
Aportar aclaraciones, ofrecer información y presentar informes sobre las operaciones de tratamiento de datos personales y sus repercusiones a las autoridades públicas competentes (por ejemplo, la Fiscalía, la Autoridad Nacional de Protección de Datos Personales, etc.);
Responder a las solicitudes y reclamaciones de los interesados cuyos datos han sido tratados por un NAUTILUS.
Ayudar en las auditorías o en cualquier otra medida de evaluación y control que implique la protección de datos;
Elaboración de informes de impacto sobre la privacidad y la protección de datos, dictámenes técnicos y revisión de documentos en materia de protección de datos.
14. SEGURIDAD DE LA INFORMACIÓN
Las normas de seguridad de la información y de prevención de incidentes con datos personales están contenidas en la Política de Seguridad de la Información de NAUTILUS La política de seguridad de la información de la empresa y los reglamentos y documentos internos relacionados con el tema.
A NAUTILUS refuerza el compromiso plasmado en su Política de Seguridad de la Información de emplear medidas técnicas y organizativas adecuadas en el tratamiento de los datos personales, y de esforzarse por proteger los datos personales de los titulares de los mismos contra el acceso no autorizado, la pérdida, la destrucción, el intercambio no autorizado, entre otras hipótesis.
15. TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
En los casos en que el NAUTILUS está autorizada a tratar los datos personales independientemente del consentimiento del interesado, NAUTILUS NAUTILUS puede transferir datos personales a otros países siempre que, alternativamente
(i) El país está clasificado como con un nivel adecuado de protección de datos asignado por la APN o la transferencia está autorizada por la ANPD;
(ii) A la espera de la publicación de una lista de países en el nivel adecuado por parte de la ANPDel país está clasificado por la Comisión Europea, mediante una Decisión de Adecuación, como país de nivel adecuado según los criterios de la CRITERIOS GDPR;
(iii) El responsable del tratamiento internacional de datos personales proporciona la NAUTILUS al menos una de las salvaguardias que se indican a continuación:
a. Códigos de conducta emitidos periódicamente o “normas corporativas vinculantes”.
aprobado por la Comisión Europea;
b. Cláusulas contractuales tipo emitidas por la APN o la Comisión Europea;
c. Sellos y Certificados de cumplimiento o adecuación a la protección de datos personales otorgados por entidades reconocidas por la ANPD o la Comisión Europea.
(iv) Obtener el consentimiento datos personales explícitos y desvinculados realizar operaciones de transferencia internacional de datos personales, informando previamente del carácter internacional de la operación y destacando que el país no tiene reconocido un nivel adecuado de protección de datos o que no existen garantías de cumplimiento del encargado del tratamiento, según el caso.
En los casos en que el NAUTILUS está autorizado a tratar datos personales sobre la base del consentimiento, el NAUTILUS puede transferir datos personales a otros países siempre que obtenga el consentimiento explícito e inequívoco de los titulares de los datos personales para realizar transferencias internacionales de datos personales, con información previa sobre el carácter internacional de la operación.
Cuando el país no tenga reconocido un nivel adecuado de protección de datos o cuando no existan garantías de cumplimiento por parte del encargado del tratamiento, deberá facilitarse dicha información al interesado con antelación para que consienta los riesgos de la operación.
NAUTILUS se compromete a informar a los titulares de datos personales en sus plataformas digitales (por ejemplo, sitios web, aplicaciones, etc.) de la realización de operaciones de transferencia internacional de datos personales, designando el conjunto de datos remitidos, la finalidad del envío y su destino.
La información sobre la transferencia internacional de datos estará disponible en el Portal de Protección de Datos Personales de NAUTILUS NAUTILUS.
16. FORMACIÓN
Los destinatarios de esta Política se comprometen a participar en las formaciones, talleres, reuniones y desarrollo de capacidades propuestas por el COMISIONADO DE NAUTILUS para la expansión de la cultura de protección de datos personales en la Institución.
Los empleados de NAUTILUS cuyas funciones requieran el tratamiento habitual de datos personales, o los responsables de la aplicación de esta Política se comprometen a asistir a una formación adicional que les ayude a comprender sus obligaciones y a cumplirlas.
17. SEGUIMIENTO
Se reitera que el NAUTILUS reconoce su compromiso de garantizar el correcto tratamiento de los datos personales con fines legítimos que puedan ser objeto de sus actividades y refuerza su compromiso con las buenas prácticas de privacidad y protección de datos, comprometiéndose a mantener su Programa de cumplimiento de la LGPD actualizados con las normas y recomendaciones emitidas por la ANPD u otras autoridades competentes.
A NAUTILUS asume el compromiso de revisar esta Política periódicamente y, a su criterio, promover modificaciones que actualicen sus disposiciones con el fin de reforzar su compromiso permanente con la privacidad y la protección de los datos personales.
Documento Política de privacidad y protección de datos personales
Publicado: 04 de noviembre de 2021
Revisado: 04 de noviembre de 2021
Nautilus