Un nivel uniforme y adecuado de protección de datos

Fresenius debe seguir diversas leyes de protección de datos en todo el mundo. Las BCR establecen un marco uniforme y adecuado para la protección de datos. De este modo, se permite el intercambio interno de datos personales entre las entidades de Fresenius

Aplicable en todo el mundo

Las BCR son aplicables a las siguientes entidades:

• Fresenius Kabi AG, inclusive todas las empresas subsidiarias/asociadas
• Fresenius Digital Technology (FDT)
• Fresenius SE & Co. KGaA

Aplicable para ciertas actividades

Las BCR son aplicables a las siguientes actividades de procesamiento de datos:

• Todas las actividades de entidades europeas

• Actividades de entidades no europeas:

• Cuando recogen datos personales por encargo de una entidad europea de Fresenius
• Cuando colaboran con una entidad europea de Fresenius
• Cuando reciben datos personales de entidades europeas
• Cuando recogen datos personales de personas situadas en Europa para ofrecer productos y servicios, o monitorear su comportamiento.

Las BCR son aplicables tanto a procesos en papel, como informáticos.

Las BCR son aplicables a todos los procesos que permiten una búsqueda estructurada de datos personales.

Las BCR establecen el nivel mínimo

Si existen leyes locales en materia de protección de datos que requieran normas adicionales o más severas para el tratamiento de datos personales, estas también deberán observarse.

Si una ley local es contraria a las BCR, se debe informar al delegado de Protección de Datos (DPO). El DPO evaluará las repercusiones y resolverá el conflicto.

Si una autoridad ordena a una entidad comunicar datos personales y esto infringe las disposiciones de las NCV, se debe informar al DPO. El DPO informará a la autoridad de control en Alemania.

Las BCR son vinculantes para la organización y nuestros colaboradores

Las BCR son de cumplimiento obligatorio, y vinculantes para:

• Todas las entidades: firman un contrato
• Todo el personal: tienen el deber de cumplir con las políticas de la empresa en función de su contrato de trabajo.

Estas obligaciones generan derechos para organizaciones y personas.

La aplicación de las BCR y las posibles sanciones por infracción son las mismas que las de cualquier otra política.

El grupo Fresenius creó una organización interna de protección de datos con las siguientes funciones y responsabilidades:

• El  delegado de protección de datos (DPO) realiza monitoreos, por ejemplo, verifica y supervisa que se cumplan las BCR, así como leyes, reglamentos y procesos locales. El DPO puede llevar a cabo auditorías, inspecciones e investigaciones. Asimismo, el DPO es el punto de contacto de las autoridades de protección de datos de Europa. A continuación, se detallan los datos de contacto:

            Delegado de Protección de Datos:

            Else-Kröner-Str. 1

            61352 Bad Homburg v.d.H.

            Alemania

            O por correo electrónico:

            Para Fresenius SE y FDT: dataprotectionofficer@fresenius.com

            Para entidades de Fresenius Kabi: dataprotectionofficer@fresenius-kabi.com

• El consultor local en materia de protección de datos (DPA) ayuda y asesora al personal de forma local, así como a los responsables de procesos si tienen alguna consulta o preocupación relacionada con la protección de datos. Si es necesario, el LDPA asiste al DPA y al DPO, por ejemplo, si solicitan que ejerza su función de supervisión o necesitan que contacte con autoridades de control, por ejemplo, por cuestiones de idioma.
• El consultor en materia de protección de datos (DPA) realiza tareas de asistencia y consultoría para los LDPA y es responsable del sistema de gestión de protección de datos. Si es necesario, el DPA asiste al DPO, si se solicita que ejerza su función de supervisión o se necesita que contacte con autoridades de control, por ejemplo, por cuestiones de idioma.

Al tratar datos personales, seguiremos distintos principios para proteger los derechos y libertades fundamentales de las personas, de acuerdo con las BCR. Cada entidad debe cumplir con los siguientes principios al tratar datos personales:

Principio 1: Licitud

Poseer una base jurídica documentada al recolectar, utilizar y tratar datos personales. Estas bases jurídicas se enumeran de forma taxativa. Algunos ejemplos son los siguientes:

• El tratamiento de datos es necesario para celebrar un contrato con la persona, como contratos del personal y contratos de ventas
• La persona ha otorgado su consentimiento
• Los intereses legítimos de Fresenius son mayores que las consecuencias negativas para las personas
• La necesidad de cumplir con otras obligaciones legales, como leyes fiscales, requisitos de control o requisitos de buenas prácticas

Los datos de categorías especiales, como datos de salud, necesitan fundamentos jurídicos adicionales.

Si la legislación local exige disposiciones adicionales o distintas, estas también deben respetarse (esto puede ser importante, por ejemplo, para los datos de los colaboradores).

Principio 2: Transparencia y Equidad

Tratar los datos personales de manera justa y transparente. Informar a las personas antes o en el momento de la recolección y del uso de los datos personales sobre las siguientes cuestiones:

• Quién es responsable del tratamiento y cómo se puede contactar con esa persona
• Qué datos se recogen
• Cómo se recolectan los datos
• Por qué necesitamos los datos (propósito)
• Con qué organizaciones se comparten los datos
• Si se comparten con otros países
• Por cuánto tiempo se almacenan los datos
• La base jurídica de la recolección y del uso de datos y una explicación de esto (principio 1)
• Si se elaboran perfiles de las personas
• Si tomamos decisiones por medios automatizados
• Si los datos deben comunicarse y qué sucede si no se comunican
• Los datos de contacto del DPO y de la autoridad
• Los derechos que tienen las personas

Toda esta información debe comunicarse de manera comprensible y de forma que pueda accederse a ella fácilmente, utilizando palabras claras y sencillas.

Principio 3: Limitación de la finalidad

Utilizar los datos personales únicamente para los fines especificados, explícitos y legítimos para los que se recogen. No se permite usos posteriores, a menos que este uso posterior esté en consonancia con el propósito original y/o se tomen medidas adicionales.

Las finalidades del tratamiento posterior que generalmente se consideran acordes con el propósito original son:

• Archivo
• Auditoría interna
• Investigaciones.

La LDPA podrá orientar si está permitido un cambio en el propósito. En caso de que se permita un cambio de finalidad, las personas deben ser informadas de dichos cambios.

Principio 4: Minimización de datos

Recolectar y utilizar únicamente los datos personales que sean necesarios para el propósito definido y comunicado a la persona. Esto significa garantizar que los datos personales sean pertinentes y no excesivos a la luz del propósito.

Principio 5: Exactitud

Mantener los datos personales exactos y actualizados. Se deben aplicar procedimientos para garantizar que los datos inexactos son eliminados, corregidos o actualizados sin demora.

Principio 6: Limitación del plazo de conservación

No conserve los datos personales más tiempo del necesario del propósito para el que se han recolectado, salvo que lo exija la ley. En tal caso, el acceso a los mismos debe ser restringido. Suprima o anonimice los datos personales si ya no existe más un motivo legal o propósito.

Principio 7: Seguridad, Integridad y Confidencialidad

Adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales contra la destrucción, la pérdida, la alteración, la divulgación o el acceso a los datos personales (por ejemplo, mediante funciones adecuadas, respaldos y restauraciones o por encriptación).

A la hora de implementar estas medidas, hay que tener en cuenta los riesgos para las personas. La seguridad de los sistemas informáticos debe evaluarse a la luz de estos riesgos durante la instalación y mantenimiento de los sistemas informáticos.

Documentar y notificar a la organización de protección de datos cualquier violación de la seguridad que pueda suponer un riesgo para las personas afectadas. Dependiendo de la situación, dichas violaciones también deben ser notificadas a la autoridad, a los individuos o a otras organizaciones.

Principio 8: Responsabilidad

Ser capaz de demostrar el cumplimiento de las BCR. Esto se hace creando y manteniendo la documentación adecuada, como:

• registros de las actividades de procesamiento
• las medidas técnicas y organizacionales adoptadas para cumplir con los principios de protección de datos y hacer frente a los riesgos.
• evaluaciones de riesgo y control de la protección de datos

Compromiso de los procesadores

Contratar únicamente a procesadores que ofrezcan garantías suficientes para implementar las medidas técnicas y organizacionales apropiadas de manera que el tratamiento cumpla los requisitos de la BCR y de la legislación local en materia de protección de datos. Esto debe garantizarse mediante un contrato de protección de datos entre la entidad respectiva y el procesador.

(En adelante) Transferencias de datos personales

Implementar medidas para salvaguardar adecuadamente las transferencias de datos personales a otras organizaciones situadas fuera del EEA en cumplimiento de estas BCR. Esto podría hacerse acordando con la otra organización las cláusulas contractuales estándar adoptadas por la Comisión Europea.

Evaluación de riesgos de protección de datos

Para cada actividad de tratamiento de datos, es necesario realizar una evaluación del riesgo. Esta evaluación es un proceso formal para valorar el impacto de la actividad en los derechos y libertades de los respectivos titulares de datos.

Los vacíos de control y los riesgos potenciales identificados deben ser notificados y documentados. Las medidas técnicas y organizacionales de mitigación deben aplicarse antes de iniciar la actividad de procesamiento de datos.

Evaluación de impacto de protección de datos

Si el resultado de la evaluación de riesgo de protección de datos es alto, es necesario realizar una evaluación del impacto de la protección de datos (DPIA). Se solicitará el asesoramiento del Oficial de Protección de Datos a nivel corporativo.

Cuando una DPIA identifique un riesgo alto en una actividad específica de procesamiento de datos, deberán implementarse las medidas adecuadas para mitigar dichos riesgos antes del inicio de la actividad de procesamiento de datos. Si la DPIA sigue indicando un riesgo alto tras la aplicación de las medidas, deberá consultarse a la autoridad de control correspondiente, antes de proceder al tratamiento de los datos.

• Derecho al acceso de datos personales: las personas pueden solicitar acceder/recibir información sobre sus datos personales procesados por Fresenius (por ejemplo, el propósito del procesamiento, las categorías de datos personales a ser tratados, los destinatarios, los plazos de almacenamiento, la eventual existencia de decisiones automatizadas).
• Derecho a rectificar datos personales: las personas pueden solicitar la corrección de datos personales incompletos o imprecisos
• Derecho a eliminar datos personales: las personas pueden solicitar la eliminación de sus datos personales a menos que deban ser conservados (por ejemplo, debido a requisitos legales)
• Derecho a restringir el procesamiento de datos personales: las personas pueden solicitar la restricción del procesamiento de sus datos personales, si se impugna la exactitud de los datos personales o el procesamiento es ilícito (ya no es necesario para los fines perseguidos)
• Derecho a recibir sus datos personales en un formato que permita su portabilidad: la persona puede solicitar recibir sus datos personales en un formato de uso común y lectura mecánica, si se cumplen las siguientes condiciones:
  • Los datos personales han sido provistos por el Titular de datos personales
  • El procesamiento está basado en el consentimiento dado por la persona o en un contrato con esta persona
  • El procesamiento se realiza por medios automatizados
• Derecho a oponerse al procesamiento de datos personales: debido a su situación personal, la persona puede oponerse al procesamiento de sus datos personales basado en un interés público o legítimo. Este requerimiento debe ser evaluado. Asimismo, las personas pueden oponerse a procesamiento que tengan por objeto el Marketing directo y la elaboración de perfiles. En caso de oposición, el procesamiento deberá detenerse.
• Derecho a no ser objeto de decisiones automatizadas: las personas tienen derecho a no ser objeto de decisiones tomadas de forma automatizada (incluida la elaboración de perfiles), lo cual puede conducir a efectos legales o similares, a menos que:
  • Sea necesario para la ejecución de un contrato entre la persona y una entidad correspondiente.
  • Se base en el consentimiento explícito de la persona.

Acceso al BCR

El BCR debe estar disponible para las personas de manera apropiada. El BCR será publicado en Internet y en la Intranet

Las personas también pueden acceder al BCR contactando al DPO o a cualquier miembro de la organización de protección de datos

Manejo de quejas del BCR

Cada persona está facultada para:

• Reclamar incumplimientos de las BCR, leyes locales de protección de datos, órdenes de autoridades supervisoras, políticas y guías internas, o compromisos voluntarios relacionados a la protección de datos
• Hacer referencia a sus derechos personales
• Hacer cumplir otros derechos por el BCR

Cualquiera de estos reclamos puede presentarse vía teléfono, correo o carta, de forma oral al respectivo DPO, al LDPA o a la línea caliente de cumplimiento.

En caso el reclamo esté considerado justificado, la entidad deberá tomar acciones adecuadas para atender el reclamo e informar a la persona en el transcurso del mes.

Responsabilidad y ejecución

Las personas que se vean afectadas o hayan sufrido daños como consecuencia del procesamiento de sus respectivos datos personales, tienen derecho a hacer valer estas partes de la BCR y, si procede, a recibir una indemnización ante un tribunal competente.

En el caso de que se demuestre la existencia de infracciones por parte de partes establecidas fuera de la EU/EFA, FSE acepta la responsabilidad de los daños y perjuicios causados a las personas. La entidad, que causó el daño, deberá proporcionar asistencia razonable a FSE para responder a dichas quejas o solicitudes de manera oportuna.

Cooperación con Autoridades Supervisoras

Cada entidad está obligada a cooperar con las autoridades supervisoras, a cumplir con el BCR, y aceptar ser auditada por las autoridades supervisoras.

Entrenamiento

Cada entidad va a inscribir y obligar a sus empleados a participar en el entrenamiento del BCR y protección de datos y repetir dicho entrenamiento de forma regular. El entrenamiento general se debe realizar, al menos, cada 2 años a todos los empleados que son relevantes. Adicionalmente, los entrenamientos específicos (por ejemplo, para el departamento de Recursos Humanos o Compras) se deben realizar considerando las necesidades específicas de acuerdo a los roles/personas.

Auditoría

Todas las partes se comprometen a ser auditadas regularmente (auditorías planeadas o no) para evaluar el cumplimiento de las BCR e implementar mecanismos suficientes y adecuados para remediar el incumplimiento de una entidad con BCR. La organización de protección de datos hará seguimiento a toda auditoría realizada para evaluar si las acciones correctivas propuestas han sido implementadas apropiadamente y documentar cualquier resultado del reporte de auditoría. Cada entidad mantendrá reportes de auditoría disponibles para las autoridades supervisoras según lo requieran.

Actualización del BCR

Las partes revisarán las leyes de protección de datos locales e indicarán si se deben ejecutar cambios al BCR. Fresenius puede corregir el BCR si es necesario. Cualquier cambio significante en el BCR será reportado oportunamente a cada entidad y a la autoridad supervisora. Cualquier otra corrección insignificante al BCR será reportado a las partes tan pronto se pueda.