POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES SEGÚN EL GDPR

1. ÁMBITO DE APLICACIÓN, PROPÓSITO Y DESTINATARIOS

La Empresa se compromete a cumplir con las leyes y regulaciones aplicables relacionadas con la protección de datos personales en los países en los que opera. Esta Política establece los principios básicos con los que la Empresa trata los datos personales de consumidores, clientes, proveedores, socios comerciales, empleados y otras personas, e indica las responsabilidades de sus departamentos y empleados durante el tratamiento de datos personales.
Esta política se aplica a la Empresa y a las empresas que controla directa o indirectamente que realizan actividades dentro del Espacio Económico Europeo (EEE) o que tratan los datos personales de los interesados dentro del EEE.
Los destinatarios de este documento son todos los empleados, permanentes o temporales, y todos los colaboradores que trabajan en nombre de la Empresa.

2. DOCUMENTOS DE REFERENCIA

Reglamento (UE) 2016/679 del 27 de abril de 2016 (GDPR), Decreto Legislativo n. 196 del 30 de junio de 2003 (Código de Privacidad) y sus modificaciones. Política de retención de datos. Directrices para la lista de datos y el mapeo de actividades de tratamiento. Descripción del rol del Responsable de Protección de Datos. Procedimiento para la solicitud de acceso a datos por parte del interesado. Metodología de evaluación de impacto en la protección de datos. Procedimiento de comunicación de una violación de datos. Manual del SGI.

3. OBJETO Y FINES

El GDPR establece las normas para la protección de las personas físicas en relación con el tratamiento de datos personales, así como las normas para la libre circulación de dichos datos (artículo 1).

4. ÁMBITO DE APLICACIÓN MATERIAL

Dentro del ámbito de aplicación material del Reglamento se encuentran: los datos personales sometidos a tratamiento total o parcialmente automatizado; los datos personales contenidos en un archivo o destinados a ser ingresados en él. Fuera del ámbito de aplicación material se encuentran: los datos personales utilizados en actividades que no entran en el ámbito de aplicación del derecho de la UE; los datos personales utilizados en controles aduaneros y en procedimientos de asilo e inmigración; los datos personales utilizados en relación con actividades puramente personales; los datos personales utilizados con fines de prevención del delito, etc.

5. ÁMBITO DE APLICACIÓN TERRITORIAL

El Reglamento se aplica: a los datos personales utilizados en el curso de actividades que no entran en el ámbito de aplicación del derecho de la UE; a los datos personales utilizados en controles aduaneros y en procedimientos de asilo e inmigración; a los datos personales utilizados en relación con actividades puramente personales; a los datos personales utilizados con fines de prevención del delito, etc.

6. DEFINICIONES

Respecto al Código de Privacidad (Decreto Legislativo n. 196 del 30/06/2003), se ha eliminado la definición de datos sensibles y datos judiciales. Ahora se habla de: a los responsables y encargados del tratamiento en la Unión, independientemente del lugar donde se realice el tratamiento; a los responsables y encargados del tratamiento que no residen en la Unión cuando las actividades de tratamiento afectan a bienes o servicios, independientemente de si se requiere o no un pago, o al monitoreo del comportamiento de los interesados dentro de la UE; a los responsables del tratamiento no establecidos en la Unión, pero en un lugar donde se aplique la ley de un Estado miembro; Categorías especiales de datos personales: datos que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos destinados a identificar de manera única a una persona física, datos relacionados con la salud o la vida sexual u orientación sexual de la persona. Datos relativos a la salud: datos personales relacionados con la salud física o mental de una persona, incluida la prestación de servicios de atención médica, que revelan información sobre su estado de salud. Categorías especiales de datos personales: datos que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos destinados a identificar de manera única a una persona física, datos relacionados con la salud o la vida sexual u orientación sexual de la persona. Datos genéticos: datos personales relacionados con las características genéticas heredadas o adquiridas de una persona que proporcionan información única sobre la fisiología o salud de esa persona, que resultan en particular del análisis de una muestra biológica de la persona en cuestión; Datos biométricos: datos personales obtenidos mediante un tratamiento técnico específico relacionado con las características físicas, fisiológicas o conductuales de una persona que permiten o confirman su identificación única, como la imagen facial o los datos dactiloscópicos. Las siguientes definiciones de términos utilizados en este documento se extraen del Reglamento General de Protección de Datos de la Unión Europea (GDPR): Datos Personales: cualquier información sobre una persona física identificada o identificable ("Interesado"); se considera identificable a la persona que puede ser identificada, directa o indirectamente, con referencia a un identificador como el nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más elementos característicos de su identidad física, fisiológica, genética, psicológica, económica, cultural o social. Titular del tratamiento de datos (Titular): la persona física o jurídica, la autoridad pública, el servicio u otro organismo que, individualmente o junto con otros, determina los fines y los medios del tratamiento de datos personales. Responsable del tratamiento de datos (Data Processor DP): la persona física o jurídica, la autoridad pública, el servicio u otro organismo que trata datos personales en nombre del Titular. Responsable de Protección de Datos (Data Protection Officer DPO): la persona física, empresa, entidad pública o privada, asociación u organismo a la que el titular confía, incluso fuera de su estructura organizativa, tareas específicas y definidas de gestión y control del tratamiento de datos. La designación de un DPO es obligatoria: si el tratamiento lo realiza una autoridad pública o un organismo público; si las actividades principales del titular o del responsable consisten en tratamientos que requieren la supervisión regular y sistemática de los interesados a gran escala; o si las actividades principales del titular o del responsable consisten en el tratamiento a gran escala de categorías especiales de datos o de datos personales relacionados con condenas penales y delitos. La designación obligatoria de un DPO también puede estar prevista en casos adicionales según la ley nacional o el derecho de la UE. Cuando la designación de un DPO se realice de manera voluntaria, se aplican los mismos requisitos, en términos de criterios de designación, posición y tareas, que se aplican a los DPO designados de manera obligatoria (art. 37 GDPR). Tratamiento: cualquier operación o conjunto de operaciones, ya sea realizada con o sin el uso de procesos automatizados, aplicada a datos personales o conjuntos de datos personales, como la recopilación, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, comparación o interconexión, limitación, supresión o destrucción. Consentimiento del interesado: cualquier manifestación de voluntad libre, específica, informada e inequívoca del interesado, mediante la cual este da su consentimiento, ya sea por declaración o acción positiva inequívoca, para que los datos personales que le conciernen sean objeto de tratamiento. Violación de datos personales: la violación de la seguridad que resulta accidental o ilícitamente en la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o de otra manera tratados. Anonimización: desidentificación irreversible de datos personales de manera que la persona no pueda ser identificada utilizando tiempos, costos y tecnologías razonables por parte del Titular o cualquier otra persona para identificar al interesado. Los principios de protección de datos no deben aplicarse, por lo tanto, a la información anónima, es decir, a la información que no se refiere a una persona física identificada o identificable. Pseudonimización: el tratamiento de datos personales de manera que ya no puedan atribuirse a un interesado específico sin el uso de información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que estos datos personales no se atribuyan a una persona física identificada o identificable. La pseudonimización reduce, pero no elimina por completo, la posibilidad de vincular el dato personal al interesado. Dado que los datos pseudonimizados siguen siendo datos personales, el tratamiento de los datos pseudonimizados debe cumplir con los principios del tratamiento de datos personales. Tratamiento transfronterizo: tratamiento de datos personales que tiene lugar en el marco de las actividades de establecimientos en más de un Estado miembro de un Titular o DP de datos en la Unión, donde el Titular o el DP están establecidos en más de un Estado miembro; o el tratamiento de datos personales que tiene lugar en el marco de las actividades de un solo establecimiento de un Titular o DP en la Unión, pero que afecta o puede afectar sustancialmente a interesados en más de un Estado miembro. Autoridad de Control: la autoridad pública independiente establecida por un Estado miembro de conformidad con el artículo 51 del GDPR de la UE; para Italia, es la Garante para la Protección de Datos Personales (GARANTE) con sede en Piazza di Monte Citorio n. 121 - 00186 Roma - www.gpdp.it - www.garanteprivacy.it Correo electrónico: [email protected] Fax: (+39) 06.69677.3785 Central telefónica: (+39) 06.69677.1

7. PRINCIPI APLICABLES AL TRATAMIENTO DE DATOS PERSONALES

Los principios aplicables a la protección de datos delinean las responsabilidades de las organizaciones en la gestión de datos personales. El Titular es responsable de cumplir con los principios y debe poder demostrarlo.

LICITUD, CORRECCIÓN Y TRANSPARENCIA

Los datos personales deben ser tratados de manera lícita, correcta y transparente con respecto al interesado. El tratamiento es lícito solo si y en la medida en que cumple con al menos UNA de las siguientes condiciones: El interesado ha dado su consentimiento para uno o más fines específicos. El tratamiento es necesario para la ejecución de un contrato del cual el interesado es parte. El tratamiento es necesario para cumplir con una obligación legal del responsable del tratamiento. El tratamiento es necesario para la salvaguardia de los intereses vitales del interesado. El tratamiento es necesario para la ejecución de una tarea de interés público o en el ejercicio de los poderes conferidos al responsable del tratamiento. El tratamiento es necesario para la persecución del interés legítimo del responsable del tratamiento.

LIMITACIÓN DE LOS FINES

Los datos personales deben ser recopilados para fines determinados, explícitos y legítimos, y posteriormente tratados de manera que no sea incompatible con dichos fines.

MÍNIMIZACIÓN DE DATOS

Los datos personales deben ser adecuados, relevantes y limitados a lo necesario en relación con los fines para los cuales son tratados. La empresa debe aplicar la anonimización o pseudonimización a los datos personales, si es posible, para reducir el riesgo para los interesados.

EXACTITUD

Los datos personales deben ser exactos y, si es necesario, actualizados; se deben tomar todas las medidas razonables para eliminar o rectificar de manera oportuna los datos inexactos con respecto a los fines para los cuales son tratados.

LIMITACIÓN DEL PERIODO DE CONSERVACIÓN

Los datos deben ser conservados en una forma que permita la identificación de los interesados por un período de tiempo no superior al logro de los fines para los cuales son tratados.

INTEGRIDAD Y CONFIDENCIALIDAD

Teniendo en cuenta las tecnologías y otras medidas de seguridad disponibles, los costos de implementación y la probabilidad y gravedad de los riesgos para los datos personales, la Empresa ha implementado medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado para los datos personales, incluida la protección contra la destrucción accidental o ilegal, pérdida, alteración, divulgación o acceso no autorizado.

RESPONSABILIDAD

El Responsable del tratamiento de datos es responsable de cumplir con los principios antes mencionados y, a través de la correcta aplicación y observación de la presente política, debe poder demostrarlo.

8. PRINCIPIOS DE PROTECCIÓN DE DATOS EN LAS ACTIVIDADES COMERCIALES

La Empresa ha implementado los principios de protección de datos en su propio sistema de gestión de privacidad, asegurando la conformidad normativa de las diferentes fases operativas, desde la recopilación hasta el tratamiento. El objetivo de la Empresa es adoptar y mejorar constantemente sus procesos organizativos y operativos para recopilar la menor cantidad de datos personales posible. Si los datos personales son recopilados por terceros, el responsable del tratamiento debe garantizar que se recopilen legalmente. Manual del Modelo Organizativo de Privacidad de acuerdo con el Reglamento (UE) 2016/679 Rev. 01 del 14/09/2018 DOCUMENTO DE USO INTERNO Pág. 13 de 44

USO, ALMACENAMIENTO Y ELIMINACIÓN

Los propósitos, métodos, límites de registro y el período de retención de los datos personales deben ser coherentes con la información contenida en el Aviso de Privacidad. La empresa debe mantener la precisión, integridad, confidencialidad y relevancia de los datos personales según el propósito del tratamiento. Se deben utilizar mecanismos de seguridad adecuados para proteger los datos personales y evitar su robo, uso indebido o abuso, y prevenir las violaciones de datos personales. El Responsable es responsable del cumplimiento de los requisitos enumerados en esta sección.

DIVULGACIÓN A TERCEROS

Cada vez que la Empresa utiliza un proveedor o socio comercial tercero para el tratamiento de datos personales en su nombre, es necesario obtener garantías de que este proporcione medidas de seguridad adecuadas para salvaguardar los datos personales, adecuadas a los riesgos asociados (por ejemplo, uso inadecuado de datos personales, divulgación no autorizada, etc.). La Empresa se compromete a exigir contractualmente al proveedor o socio comercial que proporcione un nivel adecuado de protección de datos (Formulario GDPR-NRET Nombramiento de Responsable Externo de Tratamiento). Los proveedores o socios comerciales deben tratar los datos personales solo para cumplir con sus obligaciones contractuales con la Empresa o siguiendo las instrucciones de la Empresa y no para otros fines. Cuando la Empresa trata datos personales conjuntamente con un tercero independiente, debe especificar explícitamente las responsabilidades propias y las del tercero en el contrato respectivo o en cualquier otro documento legalmente vinculante.

TRANSFERENCIA TRANSFRONTERIZA DE DATOS PERSONALES

La Empresa no realiza transferencias de datos personales al extranjero; sin embargo, en caso de que se realicen transferencias de datos personales desde el Espacio Económico Europeo (EEE), deben utilizarse medidas de protección adecuadas, incluida la firma de un acuerdo de transferencia de datos, como lo exige la Unión Europea y, si es necesario, se debe obtener la autorización de la Autoridad de Protección de Datos correspondiente.

DERECHO DE ACCESO POR PARTE DE LOS INTERESADOS

La empresa es responsable de proporcionar a los interesados un mecanismo razonable de acceso para permitirles acceder a sus datos personales y debe permitirles actualizar, corregir, eliminar o transmitir sus datos personales, según corresponda o lo requiera la ley. El mecanismo de acceso se detallará aún más en el Procedimiento de solicitud de acceso a los datos por parte del Interesado.

PORTABILIDAD DE LOS DATOS

Los interesados tienen derecho a recibir, a pedido, una copia de los datos que nos han proporcionado en un formato estructurado y transmitir esos datos a otro Responsable, de forma gratuita. La empresa es responsable de garantizar que dichas solicitudes se procesen en un plazo de un mes, no sean excesivas y no afecten los derechos relacionados con los datos personales de otras personas.

DERECHO AL OLVIDO

A pedido, los interesados tienen derecho a obtener de la Empresa la eliminación de sus datos personales si se cumple uno de los siguientes motivos: Los datos personales ya no son necesarios en relación con los fines para los cuales fueron recopilados o procesados de otra manera. El interesado retira el consentimiento en el que se basa el tratamiento y no existe otro fundamento jurídico para el tratamiento. El interesado se opone al tratamiento y no hay un interés legítimo imperioso para proceder con el tratamiento. Los datos personales han sido tratados ilícitamente. Los datos personales deben ser eliminados para cumplir con una obligación legal.

9. DIRECTRICES SOBRE EL TRATAMIENTO CORRECTO

Los datos personales deben tratarse solo si son expresamente autorizados por el Responsable del tratamiento. El Responsable decide si realizar la Evaluación de Impacto de Protección de Datos para cada actividad de tratamiento de datos según las Directrices sobre Evaluación de Impacto de Protección de Datos.

COMUNICACIONES A LOS INTERESADOS

En el momento de la recopilación o antes de la recopilación de datos personales para cualquier tipo de actividad de tratamiento, pero no limitado a la venta de productos, servicios o actividades de marketing, el Responsable es responsable de informar adecuadamente a los interesados de lo siguiente: la identidad y los datos de contacto del Responsable del tratamiento; si está designado, la identidad y los datos de contacto del Delegado de Protección de Datos (DPD); métodos y fines del tratamiento de datos; bases legales para el tratamiento de datos; categorías de destinatarios; posibles transferencias de datos (si las hay); período de retención; derechos del interesado con respecto a sus datos personales; si los datos se compartirán con terceros y las medidas de seguridad establecidas por la Empresa para proteger los datos personales; las consecuencias de no otorgar el consentimiento para el tratamiento. Esta información se proporciona a través del Aviso de Privacidad (Modelo GDPR-IC para Clientes; GDPR-IF para Proveedores). Además, en cumplimiento del principio de Responsabilidad, la Empresa deberá obtener la confirmación del interesado de que ha leído y comprendido el contenido del aviso mediante una declaración en copia del mismo.

OBTENCIÓN DE CONSENTIMIENTOS

Cada vez que el tratamiento de datos personales se basa en el consentimiento del interesado o en otros motivos legítimos, el Responsable es responsable de: mantener un registro de dicho consentimiento (mediante la retención del formulario de información firmado por el interesado); proporcionar a los interesados opciones para dar su consentimiento; informar a los interesados y garantizarles que el consentimiento otorgado (cada vez que el consentimiento se utilice como base legal para el tratamiento) se pueda revocar en cualquier momento. Cuando la recopilación de datos personales se refiera a un menor de 16 años, el Responsable debe garantizar que se obtenga el consentimiento del titular de la responsabilidad parental antes de la recopilación mediante el formulario específico. Cuando se solicite corregir, modificar o eliminar registros de datos personales, el Responsable debe garantizar que dichas solicitudes se manejen en un tiempo razonable y también debe registrar las solicitudes y mantener un registro de ellas. Los datos personales solo deben tratarse para los fines para los cuales fueron recopilados originalmente. En caso de que la Empresa desee tratar los datos personales recopilados para otro propósito, la Empresa debe solicitar el consentimiento de los interesados de manera clara y concisa por escrito. Cualquier solicitud de este tipo debe incluir el propósito original para el cual se recopilaron los datos y también los nuevos o adicionales propósitos. La solicitud también debe incluir el motivo del cambio de propósito. Ahora y en el futuro, el Responsable debe garantizar que los métodos de recopilación sean conformes a la ley, las buenas prácticas y las normas industriales pertinentes. El Responsable es responsable de crear y mantener un registro de los Avisos de Privacidad.

TRATAMIENTO DE CATEGORÍAS ESPECIALES DE DATOS PERSONALES

Está prohibido procesar datos personales que revelen: raza; origen étnico; opiniones políticas; creencias religiosas; creencias filosóficas; afiliación sindical; datos genéticos; datos biométricos; datos relativos a la salud; vida sexual de una persona; orientación sexual. Excepciones: el interesado ha dado su consentimiento explícito; el tratamiento es necesario para cumplir con las obligaciones y ejercer los derechos específicos del responsable del tratamiento o del interesado en materia de derecho laboral y seguridad social y protección social, en la medida en que esté autorizado por la ley de la Unión o de los Estados miembros o por un convenio colectivo en virtud de la ley de los Estados miembros, con garantías adecuadas para los derechos fundamentales e intereses del interesado; el tratamiento es necesario para proteger un interés vital del interesado o de otra persona física cuando el interesado se encuentre en incapacidad física o jurídica para dar su consentimiento; el tratamiento es realizado, en el ámbito de sus actividades legítimas y con garantías adecuadas, por una fundación, asociación u otro organismo sin fines de lucro que persiga fines políticos, filosóficos, religiosos o sindicales, a condición de que el tratamiento se refiera únicamente a los miembros, ex miembros o personas que tengan contactos regulares con la fundación, asociación u organismo por sus fines y que los datos personales no se comuniquen a terceros sin el consentimiento del interesado; los datos personales son hechos manifiestamente públicos por el interesado; el tratamiento es necesario para establecer, ejercer o defender un derecho en un procedimiento judicial o siempre que los tribunales ejerzan sus funciones judiciales; el tratamiento es necesario por razones de interés público importante basado en la ley de la Unión o de los Estados miembros, que debe ser proporcionado al propósito perseguido, respetar la esencia del derecho a la protección de datos y prever medidas adecuadas y específicas para proteger los derechos fundamentales e intereses del interesado; el tratamiento es necesario con fines de medicina preventiva o medicina laboral, evaluación de la capacidad laboral del empleado, diagnóstico, atención o tratamiento sanitario o social, o gestión de sistemas y servicios sanitarios o sociales en virtud de la ley de la Unión o de los Estados miembros o de conformidad con el contrato con un profesional de la salud; el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección contra amenazas graves para la salud de carácter transfronterizo o garantizar estándares elevados de calidad y seguridad de la atención médica y de medicamentos y dispositivos médicos, en virtud de la ley de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional; el tratamiento es necesario para fines de archivo de interés público, investigación científica o histórica o fines estadísticos. La licitud del tratamiento es un requisito previo.

REQUISITOS PARA EL TRATAMIENTO DE DATOS PERSONALES DE LOS EMPLEADOS

Cualquier tratamiento de datos personales de los empleados por parte de departamentos e individuos dentro de la Empresa debe llevarse a cabo con un propósito legítimo y cumplir con los siguientes requisitos.

COMUNICACIÓN A LOS EMPLEADOS

Con el fin de garantizar la transparencia en el tratamiento de los datos personales de los empleados, cuando un departamento o individuo dentro de la Empresa recopila datos personales de un empleado, se debe informar al empleado sobre los tipos de datos recopilados, los fines y tipos de tratamiento, los derechos del empleado y las medidas de seguridad adoptadas para proteger los datos personales. Esta información se proporciona a través de un Aviso de Tratamiento de Datos Personales (Modelo GDPR-ID).

COMUNICACIÓN A LOS CANDIDATOS

La misma transparencia garantizada para el tratamiento de los datos personales de los empleados se asegura también para la recopilación de datos personales de un candidato durante una entrevista para una posible contratación. El candidato debe ser informado sobre los tipos de datos recopilados, los propósitos y tipos de tratamiento, sus derechos y las medidas de seguridad adoptadas para proteger los datos personales. Esta información se proporciona mediante una Declaración de Privacidad específica (modelo GDPR-ICL).

ELECCIÓN Y CONSENTIMIENTO DE LOS EMPLEADOS

En principio, la Empresa puede procesar los datos personales de los empleados para fines legítimos como empleador y generalmente puede hacerlo sin obtener el consentimiento del empleado, para mejorar la eficiencia de las operaciones internas. Las actividades de seguridad y gestión de recursos humanos, como entrevistas, contrataciones, terminación de la relación laboral, presencia, compensaciones y beneficios, servicios a empleados, salud y seguridad en el trabajo, pueden implicar el procesamiento de datos personales sensibles.

RECOLECCIÓN

Los departamentos empresariales y las personas físicas deben recopilar los datos personales de los empleados para fines legítimos y deben respetar el principio de Minimización de Datos. Si los datos personales de un candidato o empleado son recopilados por un tercero (por ejemplo, agencias de trabajo temporal), la Empresa debe esforzarse por garantizar que este tercero obtenga los datos personales de manera legítima. Ningún departamento empresarial o individuo puede recopilar los datos personales de candidatos o empleados de manera no conforme a la ley o a la ética empresarial.

USO, ALMACENAMIENTO Y ELIMINACIÓN

Los departamentos empresariales y las personas físicas deben utilizar, almacenar y disponer de los datos personales de los empleados de manera coherente con la comunicación al empleado. También deben garantizar su exactitud, integridad y relevancia. La empresa ha implementado medidas de seguridad adecuadas para proteger los datos personales de los empleados contra destrucción accidental o ilícita, pérdida, alteración, acceso no autorizado o divulgación, de acuerdo con la política de seguridad de la información y otros documentos que describen la seguridad de los datos. Los departamentos empresariales y las personas físicas no deben destruir o modificar ilegalmente los datos personales de los empleados. No deben acceder, vender o proporcionar ilegalmente o sin autorización los datos personales de los empleados a terceros. Durante las operaciones empresariales, el Titular decidirá si los datos personales de los empleados se tratarán de las siguientes maneras para minimizar el riesgo para la protección de datos: los datos personales de los empleados pueden anonimizarse con fines de desidentificación irreversible; o los datos pueden agregarse en resultados estadísticos o de investigación. (Los principios de tratamiento de datos personales no se aplican a datos anonimizados o datos agregados, ya que no son datos personales).

REVELACIÓN A TERCEROS

Cuando los departamentos empresariales y los individuos deben comunicar los datos personales de los empleados a un proveedor, socio comercial u otros terceros, deben asegurarse de que el proveedor, socio comercial u otros terceros proporcionen medidas de seguridad adecuadas para salvaguardar los datos personales de los empleados que sean adecuadas para los riesgos asociados. También deben exigir al tercero que proporcione el mismo nivel de protección de datos que proporcionan a la Empresa por contrato u otro acuerdo (Modelo GDPR-NRET). Además, cuando los departamentos empresariales y los individuos revelan los datos personales de los empleados en respuesta a una solicitud de las fuerzas del orden o una autoridad judicial, deben informar primero al Delegado de Protección de Datos (DPD) autorizado por la Empresa para coordinar los esfuerzos para manejar la solicitud.

TRANSFERENCIA TRANSFRONTERIZA DE DATOS PERSONALES DE EMPLEADOS

La empresa no realiza transferencias transfronterizas de datos; sin embargo, en caso de que sea necesario hacerlo, antes de transferir los datos personales, los departamentos empresariales y las personas físicas deben consultar con el Responsable de Protección de Datos (DPO) o el Titular del tratamiento para determinar si la transferencia transfronteriza es necesaria y legítima.

ACCESO DE LOS EMPLEADOS

Los departamentos empresariales deben proporcionar medios razonables a los empleados para acceder a los datos personales que tienen sobre ellos y permitirles actualizar, corregir, eliminar o transmitir sus datos personales si es necesario o requerido por la ley. Al responder a una solicitud de acceso de un empleado, los departamentos empresariales pueden no proporcionar ningún dato personal hasta que hayan verificado la identidad del empleado. La empresa debe asegurarse de conocer la identidad de la persona que realiza la solicitud antes de enviar los datos personales a dicha persona.

RESPONSABILIDAD

El Departamento de Recursos Humanos es responsable de la gestión de los datos personales de los empleados.

ORGANIZACIÓN EMPRESARIAL

El GDPR introduce nuevos deberes organizativos. La responsabilidad de garantizar un tratamiento adecuado de los datos personales recae en cualquier persona que trabaje para o con la Empresa y tenga acceso a los datos personales procesados por la Empresa; para ello, la Empresa ha implementado su propio organigrama de privacidad. Las principales áreas de responsabilidad se identifican en los siguientes roles organizativos: el Titular del tratamiento de datos, toma decisiones y aprueba las estrategias generales de la Empresa en materia de protección de datos personales. Este rol lo desempeña el representante legal pro tempore. El Responsable de Protección de Datos (RPD/DPO) es responsable de la gestión del programa de protección de datos personales y es responsable del desarrollo y promoción de las políticas de protección de datos personales de principio a fin, según se define en la Descripción del Rol del Responsable de Protección de Datos. El Administrador del sistema es responsable de: asegurar que todos los sistemas, servicios y equipos utilizados para el registro de datos cumplan con estándares de seguridad aceptables. Realizar controles y escaneos regulares para garantizar que el hardware y el software de seguridad funcionen correctamente. La Auditoría Interna es responsable de las verificaciones internas para garantizar el cumplimiento de los procedimientos y políticas de protección de datos personales. Las Personas Autorizadas son empleados formalmente autorizados para realizar operaciones de tratamiento por el titular.

OBLIGACIONES GENERALES

REGISTROS DE ACTIVIDADES DE TRATAMIENTO

El Titular del tratamiento debe mantener un registro de las actividades de tratamiento que contenga la siguiente información: datos de contacto del Titular del tratamiento y, cuando sea aplicable, del copropietario del tratamiento y del Responsable de Protección de Datos; fines del tratamiento; categorías de interesados; categorías de datos personales tratados; categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales; cuando sea aplicable, transferencias de datos personales a un tercer país u organización internacional; cuando sea posible, los plazos previstos para la eliminación de las diversas categorías de datos; cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

RESPUESTA A INCIDENTES DE VIOLACIÓN DE DATOS PERSONALES

Cuando la Empresa tenga conocimiento de una presunta o efectiva violación de datos personales, el Titular, con la asistencia del DPO, debe llevar a cabo una investigación interna y tomar medidas correctivas apropiadas de manera oportuna, de acuerdo con el Procedimiento de respuesta y comunicación de violaciones de datos.

AUDITORÍA Y RESPONSABILIZACIÓN

La Auditoría Interna es responsable de verificar cómo los departamentos empresariales implementan esta política. Cualquier empleado que viole esta política estará sujeto a acciones disciplinarias y también podría enfrentar responsabilidad civil o penal si su conducta viola leyes o regulaciones.

CONFLICTOS CON LA LEY

Esta política tiene como objetivo cumplir con las leyes y regulaciones del lugar de establecimiento y de los países en los que opera la Empresa.

Mi cuenta

Iniciar sesión

Registro

Adventure

R 1200 GS ADV

Tour

Heritage

Roadster

R 1250 R

Sport

Richiesta

Adventure

Adventure Benelli

Scrambler

Scrambler Benelli

Naked

Sport

Classic

Richiesta Benelli

Adventure

Sport & Touring

Supersport

Roadster

CB650R

Scooter

ADV350

Richiesta

Sport Touring

Tracer 7/GT

Supersport

Hyper Naked

Categorie Yamaha

Sport Heritage

Scooter

Richiesta

Adventure

Multistrada 1260/S

Roadster

Diavel V4

Sport

Panigale

Scrambler

Naked

Streetfighter 1098

Ducati

Multiterrain

CF Moto Multiterrain

Naked

Classic

Gran Tour

650GT

Super Sport

CFMoto richiesta

Touring

Touring

Scrambler

Scrambler

Naked

Naked

Voge Richiesta

Travel

Travel Categorie

Supermoto

Supersport

Naked

Sports Tourer

Richiesta

Sport Enduro Tourer

Sport Enduro Tourer

Hayabusa