Reglas Corporativas Vinculantes

Para regular consistentemente la forma en que los datos personales se manejan o procesan entre las empresas del grupo de los segmentos comerciales Fresenius Kabi AG y sus empresas afiliadas y Fresenius Corporate, adoptamos Normas Corporativas Vinculantes (BCR). Estas BCR están aprobadas por las autoridades europeas de protección de datos.

Las BCR son reglas internas para el procesamiento de datos dentro de organizaciones multinacionales y, junto con las políticas y procedimientos de seguridad asociados, tienen como objetivo crear un nivel de protección de datos adecuado y uniforme a nivel mundial para las empresas participantes.

El compromiso con un estándar común para el procesamiento de datos personales y con un enfoque eficaz para el cumplimiento de la protección de datos refuerza nuestro compromiso de proteger su privacidad a nivel global y local.

En caso de que esté interesado en nuestras Normas corporativas vinculantes, consulte el documento o el resumen a continuación:

Nombre de archivo
Binding_Corporate_Rules_Fresenius-Kabi.pdf
Tamaño
415 KB
Formato
pdf
Documento de normas corporativas vinculantes Fresenius Kabi
Nombre de archivo
Fresenius Kabi_Reglas_Corporativas_Vinculantes_BCR_ES.pdf
Tamaño
177 KB
Formato
pdf
Resumen: Documento de normas corporativas vinculantes Fresenius Kabi

Resumen de las Normas Corporativas Vinculantes

El resumen a continuación no reemplaza el documento de Normas corporativas vinculantes (BCR). El documento BCR será en todo caso el único documento legalmente aplicable.

Un nivel adecuado y uniforme de protección de datos

Fresenius necesita cumplir con muchas leyes de protección de datos en todo el mundo. Las Normas Corporativas Vinculantes (BCR) establecen un nivel uniforme y adecuado de protección de datos. Esto permite el intercambio interno de datos personales entre las entidades de Fresenius en el ámbito.

Aplicable en todo el mundo

Las BCR se aplican a las siguientes entidades de Fresenius:

  • Fresenius Kabi AG, incluidas todas las subsidiarias/afiliadas
  • Fresenius Digital Technology GmbH
  • Fresenius SE & Co. KGaA

Aplicable para ciertas actividades.

Las BCR se aplican a las siguientes actividades de procesamiento de datos personales:

  • Todas las actividades de entidades europeas
  • Actividades de entidades no europeas:
    • Cuando recopilan datos personales en nombre de una entidad europea de Fresenius o
    • Cuando colaboran con una entidad Fresenius europea
    • Cuando reciben datos personales de entidades europeas
    • Cuando recopilen datos personales de personas ubicadas en Europa para la oferta de bienes y servicios o relacionados con el seguimiento del comportamiento.

Las BCR se aplican tanto a los procesos en papel como a los basados en TI.
Las BCR se aplican a todos los procesos que permiten la búsqueda estructurada de datos personales.

BCR fija el nivel mínimo

Si alguna ley local de protección de datos requiere reglas más estrictas o adicionales sobre el procesamiento de datos personales, estas deben observarse adicionalmente.

Si una ley local contradice las BCR, se debe informar al Oficial de Protección de Datos (DPO). El DPO evaluará el impacto y resolverá el conflicto.

Si una entidad recibe una orden de una autoridad para divulgar datos personales que no se ajustan a los requisitos de las BCR, se debe informar al RPD. El DPO informará a la autoridad supervisora en Alemania.

Las BCR son vinculantes para la organización y nuestros empleados

Las BCR deben estar obligadas y son vinculantes para:

  • Todas las entidades: firman un contrato
  • Todos los empleados: tienen el deber de seguir las políticas corporativas en base a su contrato de trabajo.

Las organizaciones y las personas pueden derivar derechos bajo estas obligaciones.
La aplicación de las BCR y las sanciones potenciales debido a las infracciones son las mismas que cualquier otra infracción de la política.

  • Fresenius Group estableció una organización interna de protección de datos y asignó las siguientes funciones y responsabilidades:
  • El Oficial de Protección de Datos (DPO) monitorea, es decir, verifica y supervisa si se siguen las BCR, las leyes locales, las reglas y los procesos. El DPO puede realizar auditorías, revisiones e investigaciones. El DPO es también el punto de contacto para las autoridades de protección de datos en Europa. Los datos de contacto son:
    Delegado de protección de datos:
    Else-Kröner-Str. 1
    61352 Bad Homburg v.d.H.
    Alemania
    O por correo:
    Para Fresenius SE y Netcare: dataprotectionofficer@fresenius.com
    Para entidades de Fresenius Kabi: dataprotectionofficer@fresenius-kabi.com
  • El asesor local de protección de datos (LDPA) ayuda y asesora a los empleados locales, así como a los propietarios de los procesos, siempre que tengan alguna pregunta o inquietud relacionada con la protección de datos. Cuando sea necesario, LDPA apoya a DPA y DPO, p. previa solicitud en su función de supervisión y contacto con las autoridades de control, por ejemplo, debido a problemas de idioma.

  • El Asesor de Protección de Datos (APD) realiza tareas de apoyo y consultoría a las LDPA y es el responsable del sistema de gestión de protección de datos. Cuando sea necesario, el DPA apoya al DPO a pedido en su función de monitoreo y contacto con las Autoridades de Supervisión, por ejemplo, debido a problemas de idioma.

Evaluación de riesgos de protección de datos

Para cada actividad de procesamiento de datos, se debe realizar una evaluación de riesgos de protección de datos. Esta evaluación es un proceso formal para evaluar el impacto de la actividad en los derechos y libertades de los respectivos interesados.

Las brechas de control identificadas y los riesgos potenciales deben informarse y documentarse. Las medidas técnicas y organizativas de mitigación deben implementarse antes de que se inicie la actividad de procesamiento de datos.

Evaluaciones de impacto de la protección de datos

Si el resultado de la evaluación de riesgos de protección de datos es de alto riesgo, se debe realizar una Evaluación de impacto de protección de datos (DPIA). Se solicitará el asesoramiento del DPO.

Cuando una DPIA identifica un alto riesgo de una actividad de procesamiento de datos específica, se deben implementar medidas adecuadas para mitigar dichos riesgos antes del inicio de la actividad de procesamiento. Si la DPIA aún indica un alto riesgo después de la implementación de las medidas, se debe consultar a la autoridad de control correspondiente, antes de procesar los datos.

Las personas deben estar habilitadas para ejercer sus derechos (derechos de los interesados):

  • Derecho a acceder a datos personales: La persona puede solicitar acceder/recibir información sobre datos personales individuales procesados por Fresenius (p. ej., el propósito del procesamiento, las categorías de datos personales en cuestión, los destinatarios, los períodos de almacenamiento, cualquier toma de decisiones automatizada).
  • Derecho de rectificación de datos personales: El interesado puede solicitar la rectificación de datos personales inexactos o incompletos.
  • Derecho a borrar datos personales: la persona puede solicitar que se eliminen sus datos personales a menos que deban mantenerse, p. debido a los requisitos legales de retención.
  • Derecho a restringir el procesamiento de datos personales: la persona puede solicitar que se restrinja el procesamiento de sus datos personales si se cuestiona la exactitud de los datos personales o si el procesamiento es ilegal (ya no es necesario para los fines perseguidos).
  • Derecho a recibir los datos personales en un formato portátil: La persona puede solicitar recibir sus datos personales en un formato de uso común y lectura mecánica, si se cumplen las siguientes condiciones:
    • Los datos personales han sido proporcionados por el individuo
    • El procesamiento se basa en el consentimiento del individuo o en un contrato con el individuo
    • El tratamiento se lleva a cabo por medios automatizados.
    • The processing is carried out by automated means.
  • Derecho a oponerse al tratamiento de datos personales: El interesado puede, en razón de su situación personal, oponerse al tratamiento de sus datos personales en base a un interés legítimo o público. Dicha solicitud debe ser evaluada. Además, el individuo puede objetar el marketing directo y la elaboración de perfiles. Entonces el procesamiento debe detenerse.
  • Derecho a no estar sujeto a la toma de decisiones automatizada: la persona tiene derecho a no estar sujeto a la toma de decisiones automatizada (incluida la elaboración de perfiles) que podría tener efectos significativos legales o similares en la persona, a menos que:
    • Es necesario para celebrar o ejecutar un contrato entre el individuo y la entidad respectiva
    • Se basa en el consentimiento explícito de la persona.

Acceso a BCR

El BCR debe estar disponible para las personas de manera adecuada. El BCR se publicará en Internet e Intranet.
Las personas también pueden acceder al BCR poniéndose en contacto con el DPO respectivo o cualquier miembro de la organización de protección de datos.

Manejo de quejas BCR

Cada individuo tiene derecho a:

  • Reclamar la violación de las BCR, las leyes locales de protección de datos, las órdenes de las autoridades de control, las políticas y directrices internas o los compromisos voluntarios relacionados con la protección de datos.
  • Abordar sus derechos individuales
  • Hacer valer cualquier otro derecho del BCR.

Cualquier queja de este tipo puede presentarse, p. por teléfono, correo electrónico o carta, oralmente acercándose al respectivo DPO, el respectivo (L)DPA o la línea directa de cumplimiento.
En caso de que la denuncia se considere justificada, la entidad tomará la(s) acción(es) adecuada(s) para atender la denuncia e informar a la persona respectivamente en el plazo de un mes.

Responsabilidad y Ejecución

Las personas que se vean afectadas o hayan sufrido daños como resultado del procesamiento de sus respectivos datos personales, tienen derecho a hacer cumplir estas partes de las BCR y, si corresponde, a recibir una compensación ante un tribunal competente.
En caso de violaciones comprobadas por partes establecidas fuera de la UE/ALE, FSE acepta la responsabilidad por cualquier daño a las personas. La entidad que ocasionó el daño deberá prestar asistencia razonable al FSE para responder a dichas quejas o solicitudes de manera oportuna.

Cooperación con las Autoridades de Supervisión

Cada entidad está obligada a cooperar con las autoridades de control, cumplir con los consejos relativos a la interpretación de estas BCR y aceptar ser auditada por las autoridades de control correspondientes.

Capacitación

Cada entidad inscribirá y obligará a sus empleados a participar en una formación sobre las BCR y la protección de datos y a repetir periódicamente dicha formación. Se debe proporcionar capacitación general al menos dos veces al año a todos los empleados relevantes. Además, se brinda capacitación específica para cada función (por ejemplo, para los departamentos de recursos humanos o adquisiciones) teniendo en cuenta las necesidades específicas de ciertas funciones/personas.

Revisión de cuentas

Todas las partes se comprometerán a ser auditadas regularmente (a través de auditorías planificadas o ad hoc) para evaluar y probar el cumplimiento de las BCR e implementar mecanismos adecuados y suficientes para remediar el incumplimiento de una entidad con las BCR. La organización de protección de datos hará un seguimiento de cualquier auditoría realizada para evaluar si las acciones correctivas propuestas se han implementado adecuadamente y documentar los resultados en el informe de auditoría. Cada entidad pondrá a disposición de las autoridades de control los informes de auditoría que lo soliciten.

Actualización de BCR

Las partes revisarán las leyes locales de protección de datos e indicarán si es necesario realizar cambios en las BCR. Fresenius puede modificar el BCR si es necesario. Cualquier cambio significativo en el BCR será informado oportunamente a cada entidad ya la autoridad de control. Cualquier otra modificación no sustancial de las BCR se informará a las partes tan pronto como sea posible.