Al procesar datos personales, seguiremos varios principios para proteger los derechos y libertades fundamentales de las personas de acuerdo con las BCR. Cada entidad debe cumplir con los siguientes principios al tratar datos personales:
Principio 1: Licitud o Legalidad
Contar con una base legal documentada a la hora de recopilar, utilizar y procesar datos personales. Estas bases legales se enumeran de manera limitativa. Algunos ejemplos son:
- El tratamiento es necesario para la ejecución de un contrato con la persona física, como los contratos de empleados y los contratos de venta
- La persona ha dado su consentimiento
- Los intereses legítimos de Fresenius son más grandes que las consecuencias negativas para los individuos
- La necesidad de cumplir con otras obligaciones legales, como las leyes fiscales, los requisitos de vigilancia o los requisitos de GxP.
Las categorías especiales de datos, como los datos sanitarios, necesitan fundamentos jurídicos adicionales.
Si las leyes locales exigen disposiciones adicionales o divergentes, también deben seguirse (esto podría ser, por ejemplo, relevante para los datos de los empleados).
Principio 2: Transparencia y Equidad
Manejar los datos personales de manera justa y transparente. Informar a las personas físicas antes o en el momento de la recolección y uso de los datos personales sobre:
- ¿Quién es el responsable y cómo puede ponerse en contacto con nosotros?
- ¿Qué datos se recopilan?
- Cómo se recopilan los datos
- Por qué necesitamos los datos (finalidad)
- Con qué organizaciones se comparten los datos
- Si se comparte con otros países
- Cuánto tiempo se almacenarán los datos
- La base jurídica para la recopilación y el uso de datos y una explicación de ello (principio 1)
- Si se perfila a los individuos
- Si tomamos alguna decisión por medios automatizados
- Si se deben proporcionar los datos y qué sucede si no se hace
- Los datos de contacto del DPO y de la autoridad
- Los derechos que tienen los individuos.
Toda esta información debe facilitarse de forma exhaustiva y de fácil acceso, utilizando un lenguaje claro y sencillo.
Principio 3: Limitación de la finalidad
Utilizar los datos personales únicamente para los fines especificados, explícitos y legítimos para los que se recopilan. No se permite el uso posterior, a menos que este uso adicional esté en línea con el propósito original y/o se tomen medidas adicionales.
Las finalidades del tratamiento posterior que, por lo general, se consideran coherentes con la finalidad original son:
- Archivamiento
- Auditoría interna
- Investigaciones.
El (L)DPA podrá proporcionar orientación si se permite un cambio de propósito. En caso de que se permita un cambio de propósito, las personas deben ser informadas de dichos cambios.
Principio 4: Minimización de datos
Recopilar y utilizar únicamente los datos personales que sean necesarios para el fin definido tal y como se ha comunicado a la persona. Eso significa garantizar que los datos personales sean relevantes y no excesivos a la luz del propósito.
Principio 5: Precisión o Exactitud
Mantener los datos personales precisos y actualizados. Se deben implementar procedimientos para garantizar que los datos inexactos se eliminen, corrijan o actualicen sin demora.
Principio 6: Limitación del almacenamiento
No conservar los datos personales durante más tiempo que sea necesario para el propósito para el que han sido recopilados, a menos que lo exija la ley. En tal caso, el acceso a la misma debe restringirse. Eliminar o anonimizar los datos personales si ya no existe una razón o propósito legal.
Principio 7: Seguridad, integridad y confidencialidad
Tomar las medidas técnicas y organizativas apropiadas para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso a los datos personales (por ejemplo, a través del concepto de roles y derechos adecuados, copia de seguridad y restauración o mediante el uso de cifrado).
Al implementar tales medidas, se deben considerar los riesgos para el individuo. La seguridad de los sistemas informáticos debe evaluarse a la luz de estos riesgos a la hora de instalar y mantener los sistemas informáticos.
Documentar e informar a la organización de protección de datos de cualquier violación de la seguridad que pueda suponer un riesgo para las Personas afectadas. Dependiendo de la situación, tales infracciones también deben notificarse a la autoridad de control, a las personas u otras organizaciones.
Principio 8: Responsabilidad
Ser capaz de demostrar el cumplimiento de las BCR. Esto se hace mediante la creación y el mantenimiento de la documentación adecuada, como por ejemplo:
- Registros de actividades de tratamiento
- Medidas técnicas y organizativas adoptadas para cumplir con los principios de protección de datos y hacer frente a los riesgos.
- Evaluaciones de riesgos y controles de protección de datos
Contratación de los encargados del tratamiento
Solo contrate procesadores que brinden garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos de las BCR y las leyes locales de protección de datos. Esto debe garantizarse mediante un contrato de protección de datos entre la entidad respectiva y el encargado del tratamiento.
(En adelante) Transferencias de datos personales
Implementar medidas para salvaguardar adecuadamente las transferencias de datos personales a otras organizaciones situadas fuera del EEA de conformidad con estas BCR. Esto podría hacerse acordando con la otra organización cláusulas contractuales tipo adoptadas por la Comisión Europea.