Normas Corporativas Vinculantes (BCR)

Con el fin de regular de forma coherente la forma en que se manejan o procesan los datos personales entre las empresas del grupo de los segmentos de negocio Fresenius Kabi (Fresenius Kabi AG y sus empresas afiliadas) y Fresenius Corporate, adoptamos las Normas Corporativas Vinculantes (BCR). Estas BCR están aprobadas por las autoridades europeas de protección de datos.

Las BCR son normas internas para el tratamiento de datos dentro de las organizaciones multinacionales y, junto con las políticas y procedimientos de seguridad asociados, tienen como objetivo crear un nivel de protección de datos globalmente uniforme y adecuado para las empresas participantes.

El compromiso con un estándar común para el procesamiento de datos personales y con un enfoque efectivo para el cumplimiento de la protección de datos refuerza nuestro compromiso de proteger su privacidad a nivel global y local.

Si está interesado en nuestras Normas Corporativas Vinculantes, eche un vistazo al documento o al resumen a continuación:

Normas Corporativas Vinculantes de Fresenius Kabi

Nombre de archivo
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Tamaño
415 KB
Formato
pdf
Normas Corporativas Vinculantes de Fresenius Kabi

Resumen de las Normas Corporativas Vinculantes

El siguiente resumen no reemplaza el documento de Normas Corporativas Vinculantes (BCR). El documento BCR será, en todos los casos, el único que legalmente corresponda.

Un nivel adecuado y uniforme de protección de datos

Fresenius debe cumplir con muchas leyes de protección de datos en todo el mundo. Las Normas Corporativas Vinculantes (BCR, por sus siglas en inglés) establecen un nivel uniforme y adecuado de protección de datos. Esto permite el intercambio interno de datos personales entre las entidades de Fresenius.

Aplicable en todo el mundo

Las BCR se aplican a las siguientes entidades de Fresenius:

  • Fresenius Kabi AG, incluidas todas las subsidiarias / afiliadas
  • Fresenius Digital Technology GmbH
  • Fresenius SE & Co. KGaA

Aplicable para determinadas actividades

Las BCR se aplican a las siguientes actividades de tratamiento de datos personales: 

  • Todas las actividades de entidades europeas.
  • Actividades de entidades no europeas:
    • Cuando recopilen datos personales en nombre de una entidad europea de Fresenius o 
    • Cuando colaboran con una entidad europea de Fresenius
    • Cuando reciben datos personales de entidades europeas
    • Cuando recaben datos personales de personas ubicadas en Europa para la oferta de bienes y servicios o relacionados con el seguimiento de comportamientos.

Las BCR se aplican tanto a los procesos basados en papel como a los basados en TI.
Las BCR se aplican a todos los procesos que permiten la búsqueda estructurada de datos personales.

BCR establece el nivel mínimo

Si alguna ley local de protección de datos requiere reglas más estrictas o adicionales sobre el procesamiento de datos personales, estas deben observarse adicionalmente.

Si una ley local contradice las BCR, se debe informar al Oficial de Protección de Datos (DPO). El DPD evaluará el impacto y resolverá el conflicto.

Si una entidad recibe una orden de una autoridad para divulgar datos personales que no se ajusta a los requisitos de las BCR, es necesario informar al DPO. El DPO informará a la autoridad supervisora en Alemania.

Las BCR son vinculantes para la organización y nuestros empleados

Las BCR deben ser obligatorias y vinculantes para:

  • Todas las entidades: firman un contrato
  • Todos los empleados: tienen el deber de cumplir con las políticas de la empresa en función de su contrato de trabajo.

Las organizaciones y las personas pueden derivar derechos en virtud de estas obligaciones.
La aplicación de las BCR y las posibles sanciones por infracción son las mismas que las de cualquier otra política.

Fresenius Group estableció una organización interna de protección de datos y asignó las siguientes funciones y responsabilidades:

  • El Delegado de Protección de Datos (DPO) supervisa, es decir, comprueba y supervisa si se cumplen las BCR, las leyes, las normas y los procesos locales. El DPD puede realizar auditorías, revisiones e investigaciones. El DPO es también el punto de contacto para las autoridades de protección de datos en Europa. Los datos de contacto son:
    Delegado de Protección de Datos:
    Else-Kröner-Str. 1
    61352 Bad Homburg v.d.H.
    Alemania
    O por correo:
    Para Fresenius SE and Netcare: dataprotectionofficer@fresenius.com
    Para Fresenius Kabi entities: dataprotectionofficer@fresenius-kabi.com
  • El Asesor Local de Protección de Datos (LDPA) ayuda y asesora a los empleados locales, así como a los propietarios de procesos, siempre que tengan alguna pregunta o inquietud relacionada con la protección de datos. Cuando es necesario, la LDPA apoya a la DPA y a la DPO, por ejemplo, a petición de la misma, en su función de supervisión y en contacto con las autoridades de supervisión, por ejemplo, debido a cuestiones lingüísticas.
  • El Asesor de Protección de Datos (DPA) proporciona tareas de apoyo y consultoría para las LDPA y es responsable del sistema de gestión de la protección de datos. Cuando es necesario, el DPA apoya al DPO cuando se le solicita en su función de supervisión y en contacto con las autoridades de supervisión, por ejemplo, debido a problemas lingüísticos.

Al procesar datos personales, seguiremos varios principios para proteger los derechos y libertades fundamentales de las personas de acuerdo con las BCR. Cada entidad debe cumplir con los siguientes principios al tratar datos personales:

Principio 1: Licitud o Legalidad

Contar con una base legal documentada a la hora de recopilar, utilizar y procesar datos personales. Estas bases legales se enumeran de manera limitativa. Algunos ejemplos son:

  • El tratamiento es necesario para la ejecución de un contrato con la persona física, como los contratos de empleados y los contratos de venta
  • La persona ha dado su consentimiento
  • Los intereses legítimos de Fresenius son más grandes que las consecuencias negativas para los individuos
  • La necesidad de cumplir con otras obligaciones legales, como las leyes fiscales, los requisitos de vigilancia o los requisitos de GxP.

Las categorías especiales de datos, como los datos sanitarios, necesitan fundamentos jurídicos adicionales.
Si las leyes locales exigen disposiciones adicionales o divergentes, también deben seguirse (esto podría ser, por ejemplo, relevante para los datos de los empleados).

Principio 2: Transparencia y Equidad

Manejar los datos personales de manera justa y transparente. Informar a las personas físicas antes o en el momento de la recolección y uso de los datos personales sobre:

  • ¿Quién es el responsable y cómo puede ponerse en contacto con nosotros?
  • ¿Qué datos se recopilan?
  • Cómo se recopilan los datos
  • Por qué necesitamos los datos (finalidad)
  • Con qué organizaciones se comparten los datos
  • Si se comparte con otros países
  • Cuánto tiempo se almacenarán los datos
  • La base jurídica para la recopilación y el uso de datos y una explicación de ello (principio 1)
  • Si se perfila a los individuos
  • Si tomamos alguna decisión por medios automatizados
  • Si se deben proporcionar los datos y qué sucede si no se hace
  • Los datos de contacto del DPO y de la autoridad
  • Los derechos que tienen los individuos.

Toda esta información debe facilitarse de forma exhaustiva y de fácil acceso, utilizando un lenguaje claro y sencillo.

Principio 3: Limitación de la finalidad

Utilizar los datos personales únicamente para los fines especificados, explícitos y legítimos para los que se recopilan. No se permite el uso posterior, a menos que este uso adicional esté en línea con el propósito original y/o se tomen medidas adicionales.
Las finalidades del tratamiento posterior que, por lo general, se consideran coherentes con la finalidad original son:

  • Archivamiento
  • Auditoría interna
  • Investigaciones.

El (L)DPA podrá proporcionar orientación si se permite un cambio de propósito. En caso de que se permita un cambio de propósito, las personas deben ser informadas de dichos cambios.

Principio 4: Minimización de datos

Recopilar y utilizar únicamente los datos personales que sean necesarios para el fin definido tal y como se ha comunicado a la persona. Eso significa garantizar que los datos personales sean relevantes y no excesivos a la luz del propósito.

Principio 5: Precisión o Exactitud

Mantener los datos personales precisos y actualizados. Se deben implementar procedimientos para garantizar que los datos inexactos se eliminen, corrijan o actualicen sin demora.

Principio 6: Limitación del almacenamiento

No conservar los datos personales durante más tiempo que sea necesario para el propósito para el que han sido recopilados, a menos que lo exija la ley. En tal caso, el acceso a la misma debe restringirse. Eliminar o anonimizar los datos personales si ya no existe una razón o propósito legal.

Principio 7: Seguridad, integridad y confidencialidad

Tomar las medidas técnicas y organizativas apropiadas para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso a los datos personales (por ejemplo, a través del concepto de roles y derechos adecuados, copia de seguridad y restauración o mediante el uso de cifrado).
Al implementar tales medidas, se deben considerar los riesgos para el individuo. La seguridad de los sistemas informáticos debe evaluarse a la luz de estos riesgos a la hora de instalar y mantener los sistemas informáticos.
Documentar e informar a la organización de protección de datos de cualquier violación de la seguridad que pueda suponer un riesgo para las Personas afectadas. Dependiendo de la situación, tales infracciones también deben notificarse a la autoridad de control, a las personas u otras organizaciones.

Principio 8: Responsabilidad

Ser capaz de demostrar el cumplimiento de las BCR. Esto se hace mediante la creación y el mantenimiento de la documentación adecuada, como por ejemplo:

  • Registros de actividades de tratamiento
  • Medidas técnicas y organizativas adoptadas para cumplir con los principios de protección de datos y hacer frente a los riesgos.
  • Evaluaciones de riesgos y controles de protección de datos

Contratación de los encargados del tratamiento

Solo contrate procesadores que brinden garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos de las BCR y las leyes locales de protección de datos. Esto debe garantizarse mediante un contrato de protección de datos entre la entidad respectiva y el encargado del tratamiento.

(En adelante) Transferencias de datos personales

Implementar medidas para salvaguardar adecuadamente las transferencias de datos personales a otras organizaciones situadas fuera del EEA de conformidad con estas BCR. Esto podría hacerse acordando con la otra organización cláusulas contractuales tipo adoptadas por la Comisión Europea.

Evaluación de riesgos de protección de datos

Para cada actividad de tratamiento de datos, es necesario llevar a cabo una evaluación de riesgos de protección de datos. Esta evaluación es un proceso formal para evaluar el impacto de la actividad en los derechos y libertades de los respectivos interesados interesados.

Las brechas de control identificadas y los riesgos potenciales deben ser reportados y documentados. Se deben implementar medidas técnicas y organizativas de mitigación antes de que se inicie la actividad de procesamiento de datos.

Evaluaciones de impacto de la protección de datos

Si el resultado de la evaluación de riesgos de protección de datos es de alto riesgo, es necesario llevar a cabo una evaluación de impacto de la protección de datos (DPIA). Se solicitará el asesoramiento del DPO.

Cuando una DPIA identifique un alto riesgo de una actividad específica de tratamiento de datos, deberán aplicarse medidas adecuadas para mitigar dichos riesgos antes del inicio de la actividad de tratamiento. Si la DPIA sigue indicando un riesgo elevado tras la aplicación de las medidas, debe consultarse a la autoridad de control competente antes de tratar los datos.

Las personas deben poder ejercer sus derechos (derechos de los interesados):

  • Derecho de acceso a los datos personales: La persona puede solicitar acceder/recibir información sobre los datos personales individuales tratados por Fresenius (por ejemplo, la finalidad del tratamiento, las categorías de datos personales en cuestión, los destinatarios, los plazos de conservación, cualquier existencia de toma de decisiones automatizada).
  • Derecho a rectificar los datos personales: La persona puede solicitar la corrección de los datos personales inexactos o incompletos.
  • Derecho a la supresión de los datos personales: La persona puede solicitar la supresión de sus datos personales, a menos que deban mantenerse, por ejemplo, debido a los requisitos legales de conservación.
  • Derecho a restringir el procesamiento de datos personales: La persona puede solicitar que se restrinja el procesamiento de sus datos personales si se impugna la exactitud de los datos personales o si el procesamiento es ilegal (ya no es necesario para los fines perseguidos).
  • Derecho a recibir datos personales en un formato portátil: La persona puede solicitar recibir sus datos personales en un formato de uso común y legible por máquina, si se cumplen las siguientes condiciones:
    • Los datos personales han sido proporcionados por la persona
    • El tratamiento se basa en el consentimiento de la persona o en un contrato con la persona
    • El tratamiento se lleva a cabo por medios automatizados.
  • Derecho a oponerse al tratamiento de datos personales: La persona puede, debido a su situación personal, oponerse al tratamiento de sus datos personales basado en un interés legítimo o público. Dicha solicitud debe ser evaluada. Además, el individuo puede oponerse al marketing directo y a la elaboración de perfiles. A continuación, el procesamiento debe detenerse.
  • Derecho a no estar sujeto a la toma de decisiones automatizada: La persona tiene derecho a no estar sujeta a la toma de decisiones automatizada (incluida la elaboración de perfiles) que pueda tener efectos legales o similares significativos en la persona, a menos que:
    • Es necesario para la celebración o ejecución de un contrato entre la persona y la entidad respectiva
    • Se basa en el consentimiento explícito de la persona.

Acceso a BCR

Las BCR deben estar disponibles para las personas de manera adecuada. Las BCR se publicarán en internet e intranet.
Las personas también pueden acceder a las BCR poniéndose en contacto con el DPO respectivo o con cualquier miembro de la organización de protección de datos.

Manejo de quejas de BCR

Toda persona tiene derecho a:

  • Reclamar la violación de las BCR, las leyes locales de protección de datos, las órdenes de las autoridades de supervisión, las políticas y directrices internas, o los autocompromisos voluntarios relacionados con la protección de datos.
  • Abordar sus derechos individuales
  • Hacer valer cualquier otro derecho del BCR.

Dichas reclamaciones pueden presentarse, por ejemplo, por teléfono, por correo electrónico o por carta, oralmente dirigiéndose al DPO respectivo, al (L)DPA respectivo o a la línea directa de cumplimiento.
En caso de que la queja se considere justificada, la entidad tomará las medidas adecuadas para abordar la queja e informar a la persona respectivamente dentro de un mes.

Responsabilidad y ejecución

Las personas que se vean afectadas o hayan sufrido daños como resultado del tratamiento de sus respectivos datos personales, tienen derecho a hacer cumplir estas partes de las BCR y, en su caso, a recibir una indemnización ante un tribunal competente.
En caso de violaciones comprobadas por parte de partes establecidas fuera de la EU/EFA, FSE acepta la responsabilidad por cualquier daño hacia las personas. La entidad que causó el daño deberá proporcionar asistencia razonable a FSE para responder a dichas quejas o solicitudes de manera oportuna.

Cooperación con las Autoridades de Supervisión

Cada entidad está obligada a cooperar con las autoridades supervisoras, a cumplir con los consejos relativos a la interpretación de estas BCR y a aceptar ser auditada por las autoridades supervisoras competentes.

Entrenamiento

Cada entidad inscribirá y obligará a sus empleados a participar en una capacitación sobre las BCR y protección de datos y a repetir regularmente dicha capacitación. La capacitación general debe proporcionarse al menos dos veces al año a todos los empleados relevantes. Además, se imparte formación específica para cada función (por ejemplo, para los departamentos de RRHH o de compras) teniendo en cuenta las necesidades específicas de determinadas funciones/personas.

Auditoría

Todas las partes se comprometerán a ser auditadas periódicamente (a través de auditorías planificadas o ad hoc) para evaluar y probar el cumplimiento de las BCR e implementar mecanismos adecuados y suficientes para remediar el incumplimiento de una entidad con las BCR. La organización de protección de datos hará un seguimiento de cualquier auditoría realizada para evaluar si las acciones correctivas propuestas se han implementado adecuadamente y documentará los resultados en el informe de auditoría. Cada entidad pondrá los informes de auditoría a disposición de las autoridades supervisoras que lo soliciten.

Actualización de las BCR

Las Partes revisarán las leyes locales de protección de datos e indicarán si es necesario realizar cambios en las BCR. Fresenius puede enmendar el BCR si es necesario. Cualquier cambio significativo en las BCR será reportado de inmediato a cada entidad y a la autoridad supervisora. Cualquier otra modificación no sustantiva del BCR será informada a las partes tan pronto como sea posible.