POLÍTICA DE CONFIDENCIALIDAD

INTRODUCCIÓN

TENEMOS DATOS PERSONALES SOBRE NUESTROS EMPLEADOS, CLIENTES, PROVEEDORES Y OTROS INDIVIDUOS PARA UNA VARIEDAD DE FINES EMPRESARIALES.

ESTA POLÍTICA EXPONE LA FORMA EN LA QUE PROCURAMOS PROTEGER LOS DATOS PERSONALES Y GARANTIZAR QUE EL PERSONAL ENTIENDA LAS REGLAS QUE RIGEN EL USO DE LOS DATOS PERSONALES A LOS CUALES TIENEN ACCESO EN EL DESEMPEÑO DE SU TRABAJO. EN PARTICULAR, ESTA POLÍTICA REQUIERE QUE EL PERSONAL SE ASEGURE DE CONSULTAR AL RESPONSABLE DE LA PROTECCIÓN DE DATOS (DPO) ANTES DE INICIAR CUALQUIER NUEVA ACTIVIDAD SIGNIFICATIVA DE PROCESAMIENTO DE DATOS, PARA GARANTIZAR QUE SE ABORDEN LOS PASOS DE CUMPLIMIENTO PERTINENTES.

DEFINICIONES

Fines empresariales

Los fines por los cuales podemos usar datos personales:

Fines del personal, administrativos, financieros, reglamentarios, de nómina y desarrollo empresarial.

Los fines empresariales incluyen lo siguiente:

  • El cumplimiento de nuestras obligaciones legales, reglamentarias y de gestión empresarial, así como de las buenas prácticas.
  • Recolectar información como parte de las investigaciones de entidades reguladoras o en relación con solicitudes o procedimientos legales
  • Garantizar que se cumplan las políticas empresariales (tales como las políticas que abarcan el uso del correo electrónico y el internet)
  • Motivos operacionales, tales como registrar transacciones, capacitación y control de calidad, garantizar la confidencialidad de la información comercialmente reservada, las investigaciones de seguridad, calificación y verificación crediticia
  • Investigar quejas
  • Verificar referencias, garantizar prácticas de trabajo seguro, monitorear y manejar el acceso del personal a los sistemas e instalaciones y las ausencias del personal, administración y evaluaciones.
  • Monitorear la conducta del personal, asuntos disciplinarios
  • Comercializar nuestro negocio
  • Mejorar evaluaciones

Datos personales

La información relacionada con individuos identificables, tales como solicitantes de empleo, empleados actuales y anteriores, personal de la agencia, contractual y de otra índole, clientes, proveedores y contactos de mercadeo.

Los datos personales que recopilamos pueden incluir: detalles de contacto de las personas, formación académica, detalles financieros y de pago, detalles de certificados y diplomas, educación y habilidades, estado civil, nacionalidad, nombre del cargo y currículum vitae.

Datos personales confidenciales

Datos personales sobre el origen racial o étnico de una persona, sus opiniones políticas, creencias religiosas o similares, membresías sindicales (o no-membresías), salud o condición física o mental, delitos o procedimientos relacionados—cualquier uso de datos personales confidenciales debe ser estrictamente controlado de conformidad con esta política.

ALCANCE

Esta política aplica a todo el personal. Debe familiarizarse con esta política y cumplir con sus términos.

Esta política complementa nuestras otras políticas relacionadas con el uso del internet y el correo electrónico. Podemos complementar o modificar esta política mediante políticas y directrices adicionales de forma periódica. Cualquier política nueva o modificada se hará circular al personal antes de implementarse.

¿Quién es responsable por esta política?

Como nuestro Encargado de Protección de Datos, Daniel Guerard tiene la responsabilidad general por la implementación diaria de esta política.

NUESTROS PROCEDIMIENTOS

Procesamiento justo y legítimo

Debemos procesar los datos personales de forma justa y legítima, de conformidad con los derechos de las personas. Esto generalmente se traduce en que no debemos procesar datos personales a menos que la persona cuyos detalles se estén procesando haya dado su consentimiento para que esto suceda.

Las responsabilidades del Encargado de Protección de Datos:

  • Mantener a la junta al día respecto a las responsabilidades, los riesgos y los problemas de la protección de datos
  • Revisar todos los procedimientos y políticas de protección de datos con regularidad
  • Organizar capacitaciones y asesorías de protección de datos para todos los miembros del personal y aquellos en esta política.
  • Responder a las preguntas sobre la protección de datos provenientes del personal, los miembros de la junta y otras partes interesadas.
  • Dar respuesta a las personas, como clientes o empleados, que desean saber cuáles datos tiene Rideau Recognition Solutions inc. sobre ellos
  • Verificar y aprobar cualquier contrato o acuerdo respecto al procesamiento de datos con terceras partes que manejen los datos de la empresa

RESPONSABILIDADES DEL DIRECTOR DE TI

  • Garantizar que todos los sistemas, servicios, software y equipos cumplan con estándares de seguridad aceptables
  • Verificar y escanear el hardware y software de seguridad con regularidad para asegurarse de que esté funcionando de manera adecuada.
  • Investigar servicios de terceros, tales como servicios en la nube, que la empresa esté considerando usar para almacenar o procesar datos

RESPONSABILIDADES DEL DIRECTOR DE MERCADEO

  • Aprobar las declaraciones de protección de datos adjuntas a los correos electrónicos y otros textos de mercadeo
  • Abordar las consultas sobre protección de datos de los clientes, el público objetivo y los medios de comunicación
  • Coordinar con el Encargado de Protección de Datos para garantizar que todas las iniciativas de mercadeo se adhieran a las leyes de protección de datos y la Política de Protección de Datos de la empresa.

El procesamiento de todos los datos debe ser:

  • Necesario para prestar nuestros servicios
  • En nuestros legítimos intereses y no perjudicar de forma indebida la privacidad de la persona
  • En la mayoría de los casos esta disposición se aplicará a las actividades rutinarias de procesamiento de datos empresariales.

Nuestros Términos Comerciales contienen un Aviso de Privacidad para los clientes sobre la protección de datos.

El aviso:

  • Establece los propósitos para los cuales retenemos datos personales de los clientes y empleados
  • Resalta que nuestro trabajo puede requerir que demos información a terceras partes, tales como testigos periciales y otros asesores profesionales
  • Estipula que los clientes tienen derecho de acceso a los datos personales que tenemos sobre ellos

DATOS PERSONALES CONFIDENCIALES

En la mayoría de los casos donde procesemos datos personales confidenciales, requeriremos el consentimiento explícito del titular de los datos para hacer esto, a menos que se apliquen circunstancias excepcionales o que la ley nos obligue a hacerlo (ejemplo: para cumplir con las obligaciones legales con el fin de garantizar la salud y la seguridad en el trabajo). Este tipo de consentimiento tendrá que identificar claramente cuáles son los datos relevantes, por qué se están procesando y a quién se les divulgarán.

PRECISIÓN Y PERTINENCIA

Nos aseguraremos de que cualquier dato que procesemos sea preciso, adecuado, pertinente y no excesivo, dado el fin para el cual se obtuvo. No procesaremos datos personales obtenidos con una finalidad específica para otros fines inconexos, a menos que la persona en cuestión haya estado de acuerdo con esto o que, de otro modo, lo espere lógicamente.

Las personas pueden pedir que corrijamos datos personales inexactos relacionados con ellas. Si usted cree que la información es inexacta, debe dejar constancia del hecho de que la exactitud de la información se discute e informarle al Encargado de Protección de Datos, Daniel Guerard.

SUS DATOS PERSONALES

Debe tomar medidas razonables para garantizar que los datos personales que tenemos sobre usted sean precisos y estén actualizados según sea necesario. Por ejemplo, si cambian sus circunstancias personales, por favor informe al Encargado de Protección de Datos para que puedan actualizar sus registros.

SEGURIDAD DE LOS DATOS

Debe mantener sus datos personales seguros contra pérdidas o usos indebidos. Donde otras organizaciones procesen datos personales como un servicio en nombre nuestro, el Encargado de Protección de Datos establecerá cuáles arreglos adicionales específicos de seguridad de datos, de haberlos, deben implementarse en los contratos con dichas organizaciones terceras.

ALMACENAMIENTO SEGURO DE DATOS

  • En casos donde los datos estén almacenados en papel impreso, el mismo debe mantenerse en un lugar seguro donde no exista acceso para personal no autorizado
  • Las impresiones de datos deben destruirse cuando ya no se necesiten
  • Los datos almacenados en un ordenador deben estar protegidos por contraseñas complejas que se cambien con regularidad. Alentamos a todo el personal a usar un gestor de contraseñas para crear y almacenar sus contraseñas.
  • Los datos almacenados en discos compactos o memorias USB deben estar bajo llave de forma segura cuando no estén en uso y preferiblemente encriptados. Si estos medios se trasladan fuera de las instalaciones, deben estar encriptados.
  • El Encargado de Protección de Datos debe aprobar cualquier nube que se use para almacenar datos.
  • Los servidores que contengan datos personales deben mantenerse en una ubicación segura, lejos del espacio de las oficinas generales.
  • Se debe hacer un respaldo de seguridad a los datos con regularidad, de conformidad con los procedimientos de respaldo de la empresa.
  • Nunca se deben guardar los datos directamente en dispositivos móviles como laptops, tabletas o teléfonos inteligentes.
  • Todos los servidores que contengan datos delicados deben estar aprobados y protegidos por software de seguridad y un sólido cortafuegos.

RETENCIÓN DE DATOS

Debemos retener datos personales durante no más de lo necesario. Lo que sea necesario dependerá de las circunstancias de cada caso, tomando en cuenta los motivos por los que se obtuvieron los datos personales, pero debe determinarse de forma acorde con nuestras directrices de retención de datos.

TRANSFERIR DATOS INTERNACIONALMENTE

Existen restricciones respecto a las transferencias internacionales de datos personales. No debe transferir datos personales a ningún lugar fuera de Canadá sin consultar primero al Encargado de Protección de Datos.

SOLICITUD DE ACCESO A DATOS PERSONALES

Por favor tenga en cuenta que bajo la Ley de Protección de Datos de la Unión Europea de 1998, las personas tienen derecho, con determinadas excepciones, a solicitar acceso a la información que se posea sobre ellos.

Si recibe una solicitud de acceso a datos personales, debe remitir dicha solicitud inmediatamente al Encargado de Protección de Datos. Podemos pedirle que nos ayude a cumplir con dichas solicitudes.

Por favor contacte al Encargado de Protección de Datos si quisiera corregir o solicitar información que tengamos sobre usted. También existen restricciones sobre la información a la cual tiene derecho bajo las leyes aplicables.

PROCESAMIENTO DE DATOS DE CONFORMIDAD CON LOS DERECHOS DE LA PERSONA

Debe cumplir con cualquier solicitud de una persona respecto a no usar sus datos personales para fines de mercadeo directo y notificar al Encargado de Protección de Datos sobre tal solicitud.

No envíe material de mercadeo directo a otra persona de forma electrónica (por ejemplo, vía correo electrónico) a menos que tenga una relación de negocios existente con ellos en relación con los servicios que se están comercializando.

Por favor contacte al Encargado de Protección de Datos para consultas sobre el mercadeo directo antes de iniciar cualquier nueva actividad de mercadeo directo.

CAPACITACIÓN

Todo el personal recibirá capacitación sobre esta política. Los nuevos integrantes recibirán capacitación como parte del proceso de inducción. Se proporcionarán más capacitaciones al menos cada dos años o cuando exista un cambio considerable en la ley o nuestras políticas y procedimientos.

Se proporciona capacitación con regularidad a través de un seminario interno.

El mismo abarcará:

  • Las leyes relacionadas con la protección de datos
  • Nuestras políticas y procedimientos de protección de datos y aspectos relacionados.

La culminación de la capacitación es obligatoria.

DISPOSICIONES DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Aviso de Privacidad – transparencia de la protección de datos

El hecho de ser transparente y proporcionar información accesible a las personas sobre cómo usamos sus datos personales es importante para nuestra organización. Los siguientes son detalles sobre cómo recopilamos los datos y lo que haremos con ellos:

¿Qué información se está recolectando?

Nuestros clientes proporcionan la base de los datos personales a través de transferencias seguras de datos. Esto incluye Nombre, Corporativos: correo electrónico, dirección, supervisor directo, años de servicio, datos del empleo, fecha de terminación. El titular de los datos puede proporcionar direcciones de entrega, información de pagos y opciones de transacciones (bien seleccionado)

En algunos pocos casos tenemos la fecha de nacimiento del titular de los datos.

Recolectamos el tráfico web para los análisis de calidad y en conjunto, planificación de infraestructura.

¿Quién la está recolectando?

Soluciones de Reconocimiento Rideau y programas afiliados (Vistance)

¿Cómo se recolecta?

Transferencia de datos de los clientes y datos del titular a través de formularios web, correo electrónico, llamadas telefónicas, cartas

¿Por qué se está recolectando?

Los datos se recolectan únicamente con el propósito de cumplir con el contrato de reconocimiento de empleados con nuestros clientes. (Lealtad), capacitación, entrenamiento y consultoría sobre el reconocimiento.

¿Cómo se usará?

¿Con quién se compartirá?

Se compartirán los datos mínimos requeridos con los proveedores para los envíos, entrega directa, servicios de tarjetas de pago.

Detalles de identidad y contacto de cualquiera de los controladores de datos

Detalles de traslados a terceros países y salvaguardias

Periodo de retención

Todos los registros financieros son retenidos por siete (7) años. Los datos de reconocimiento del titular de los datos se retienen por periodos requeridos para el uso adecuado de la aplicación cliente por cliente.

CONDICIONES PARA EL PROCESAMIENTO

Nos aseguraremos de que cualquier uso de datos personales se justifique usando al menos una de las condiciones para el procesamiento, y esto se documentará de forma específica. Todo el personal que sea responsable del procesamiento de datos personales estará al tanto de las condiciones para el procesamiento. Las condiciones para el procesamiento estarán a disposición de los titulares de los datos en forma de un aviso de privacidad.

JUSTIFICACIÓN PARA LOS DATOS PERSONALES

Procesaremos los datos personales en cumplimiento con los seis principios de protección de datos.

Documentaremos la justificación adicional para el procesamiento de datos confidenciales y nos aseguraremos de que cualquier dato biométrico o genético se considere confidencial.

CONSENTIMIENTO

Los datos que recolectamos están sujetos al consentimiento activo por parte del titular de los datos. Este consentimiento se puede revocar en cualquier momento.

VERIFICACIONES DE ANTECEDENTES PENALES

Cualquier verificación de antecedentes penales está justificada por la ley. Las verificaciones de antecedentes penales no pueden efectuarse basándose únicamente en el consentimiento del titular.

PORTABILIDAD DE DATOS

Previa solicitud, un titular de datos debe tener el derecho de recibir una copia de sus datos en un formato estructurado. Estas solicitudes deben procesarse dentro de un plazo de un mes, siempre que no haya carga excesiva y no comprometa la privacidad de otros individuos. Un titular de datos también puede solicitar que sus datos se transfieran directamente a otro sistema. Esto debe hacerse de forma gratuita.

DERECHO AL OLVIDO

Un titular de datos puede solicitar que se borre o elimine cualquier información suya que se tenga, y cualquier tercero que procese o use dichos datos también debe cumplir con la solicitud. Una solicitud de borrado solo puede rechazarse si una exención aplica.

PRIVACIDAD POR DISEÑO Y POR DEFECTO

La privacidad por diseño es un enfoque a los proyectos que promueve el cumplimiento de la protección de datos y la privacidad desde el inicio. El Encargado de Protección de Datos será responsable de llevar a cabo Evaluaciones de Impacto de Privacidad y garantizar que todos los proyectos de TI comiencen con un plan de privacidad.

Cuando sea pertinente, y cuando no tenga un impacto negativo en el titular de los datos, las configuraciones de privacidad se ajustarán a la más privada por defecto.

TRANSFERENCIAS DE DATOS INTERNACIONALES

Ningún dato puede transferirse fuera del espacio económico europeo (EEA por sus siglas en inglés) sin primero discutirse con el encargado de protección de datos. Debe obtenerse el consentimiento específico del titular de los datos antes de transferir sus datos fuera del espacio económico europeo.

REGISTRO Y AUDITORÍA DE DATOS

Las auditorías de datos habituales para manejar y mitigar los riesgos servirán de base para el registro de datos. Este contiene información sobre los datos que se tienen, dónde se almacenan, cómo se usan, quién es responsable y cualquier otro reglamento o escala de retención que pueda ser pertinente.

REPORTE DE INCUMPLIMIENTOS

Todos los miembros del personal tienen la obligación de reportar incumplimientos en la protección de datos, potenciales o reales. Esto nos permite:

  • Investigar el incumplimiento y tomar acciones correctivas de ser necesario
  • Mantener un registro de incumplimientos
  • Notificar a la autoridad de supervisión (SA por sus siglas en inglés) sobre cualquier incumplimiento que sea relevante por sí mismo o como parte de un patrón de incumplimientos.

Por favor consulte nuestra Política de Incumplimientos para ver nuestro procedimiento de reporte.

MONITOREO

Todos deben acatar esta política. El Encargado de Protección de Datos tiene la responsabilidad general por esta política. Él la monitoreará con regularidad para asegurarse de que se esté acatando.

CONSECUENCIAS DEL INCUMPLIMIENTO

Tomamos el cumplimiento de esta política con mucha seriedad. El incumplimiento pone en riesgo tanto a usted como a la organización.

La importancia de esta política se traduce en que el incumplimiento de cualquier obligación puede dar lugar a acciones disciplinarias bajo nuestros procedimientos, las cuales pueden resultar en despido. Un abogado que incumpla con la responsabilidad de Protección de Datos bajo las leyes o el Código de Conducta puede ser inhabilitado

Si tiene alguna pregunta o inquietud sobre esta política, no dude en contactar al Encargado de Protección de Datos.