1. Interpretación

1.1 Definiciones:

Automated Decision-Making (ADM): when a decision is made which is based solely on Automated Processing (including profiling) which produces legal effects or significantly affects an individual. The GDPR prohibits Automated Decision-Making (unless certain conditions are met) but not Automated Processing.
Automated Processing: any form of automated processing of Personal Data consisting of the use of Personal Data to evaluate certain personal aspects relating to an individual, in particular to analyse or predict aspects concerning that individual’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements. Profiling is an example of Automated Processing.
Company name: Project Everyone
Company Personnel: all employees, workers, contractors, agency workers, consultants, directors, members and others.
Consent: agreement which must be freely given, specific, informed and be an unambiguous indication of the Data Subject’s wishes by which they, by a statement or by a clear positive action, signifies agreement to the Processing of Personal Data relating to them.
Data Controller: the person or organisation that determines when, why and how to process Personal Data. It is responsible for establishing practices and policies in line with the GDPR. We are the Data Controller of all Personal Data relating to our Company Personnel and Personal Data used in our business for our own commercial purposes.
Data Subject: a living, identified or identifiable individual about whom we hold Personal Data. Data Subjects may be nationals or residents of any country and may have legal rights regarding their Personal Data.
Data Privacy Impact Assessment (DPIA): tools and assessments used to identify and reduce risks of a data processing activity. DPIA can be carried out as part of Privacy by Design and should be conducted for all major system or business change programs involving the Processing of Personal Data.
Data Protection Officer (DPO): the person required to be appointed in specific circumstances under the GDPR. Where a mandatory DPO has not been appointed, this term means a data protection manager or other voluntary appointment of a DPO or refers to the Company data privacy team with responsibility for data protection compliance.
EEA: the 28 countries in the EU, and Iceland, Liechtenstein and Norway.
Explicit Consent: consent which requires a very clear and specific statement (that is, not just action).
General Data Protection Regulation (GDPR): the General Data Protection Regulation ((EU) 2016/679). Personal Data is subject to the legal safeguards specified in the GDPR.
Personal Data: any information identifying a Data Subject or information relating to a Data Subject that we can identify (directly or indirectly) from that data alone or in combination with other identifiers we possess or can reasonably access. Personal Data includes Sensitive Personal Data and Pseudonymised Personal Data but excludes anonymous data or data that has had the identity of an individual permanently removed. Personal data can be factual (for example, a name, email address, location or date of birth) or an opinion about that person’s actions or behaviour.
Personal Data Breach: any act or omission that compromises the security, confidentiality, integrity or availability of Personal Data or the physical, technical, administrative or organisational safeguards that we or our third-party service providers put in place to protect it. The loss, or unauthorised access, disclosure or acquisition, of Personal Data is a Personal Data Breach.
Privacy by Design: implementing appropriate technical and organisational measures in an effective manner to ensure compliance with the GDPR.
Privacy Notices (also referred to as Fair Processing Notices) or Privacy Policies: separate notices setting out information that may be provided to Data Subjects when the Company collects information about them. These notices may take the form of general privacy statements applicable to a specific group of individuals (for example, employee privacy notices or the website privacy policy) or they may be stand-alone, one time privacy statements covering Processing related to a specific purpose.
Processing or Process: any activity that involves the use of Personal Data. It includes obtaining, recording or holding the data, or carrying out any operation or set of operations on the data including organising, amending, retrieving, using, disclosing, erasing or destroying it. Processing also includes transmitting or transferring Personal Data to third parties.
Pseudonymisation or Pseudonymised: replacing information that directly or indirectly identifies an individual with one or more artificial identifiers or pseudonyms so that the person, to whom the data relates, cannot be identified without the use of additional information which is meant to be kept separately and secure.
Related Policies: the Company’s policies, operating procedures or processes related to this Privacy Standard and designed to protect Personal Data.
Sensitive Personal Data: information revealing racial or ethnic origin, political opinions, religious or similar beliefs, trade union membership, physical or mental health conditions, sexual life, sexual orientation, biometric or genetic data, and Personal Data relating to criminal offences and convictions.

2. Introducción

Esta Norma de Privacidad establece cómo Project Everyone ("nosotros", "nuestro", "nos", "la Compañía") maneja los Datos Personales de nuestros clientes, proveedores, empleados, trabajadores y otros terceros.

Esta Norma de Privacidad se aplica a todos los Datos Personales que procesamos, independientemente del medio en el que se almacenen dichos datos o de si se refieren a empleados, trabajadores, clientes o contactos de proveedores pasados o presentes, accionistas, usuarios del sitio web o cualquier otro sujeto de datos.

Esta norma de privacidad se aplica a todo el personal de la empresa ("usted", "su"). Debe leer, comprender y cumplir con esta Norma de Privacidad cuando procese datos personales en nuestro nombre y asistir a la formación sobre sus requisitos. Esta Norma de privacidad establece lo que esperamos de usted para que la Empresa cumpla con la ley aplicable. El cumplimiento de esta Norma de privacidad es obligatorio. Las políticas y directrices de privacidad relacionadas están disponibles para ayudarle a interpretar y actuar de acuerdo con esta Norma de privacidad. También debe cumplir con todas las Políticas y Directrices de privacidad relacionadas. Cualquier incumplimiento de esta Norma de privacidad puede dar lugar a medidas disciplinarias.

Esta Norma de Privacidad (junto con las Políticas y Directrices de Privacidad relacionadas) es un documento interno y no puede compartirse con terceros, clientes o reguladores sin la autorización previa de la OPD.

3. Alcance

Reconocemos que el tratamiento correcto y legal de los Datos Personales mantendrá la confianza en la organización y permitirá el éxito de las operaciones comerciales. La protección de la confidencialidad e integridad de los Datos Personales es una responsabilidad crítica que nos tomamos en serio en todo momento. La Compañía está expuesta a posibles multas de hasta 20 millones de euros (aproximadamente 18 millones de libras esterlinas) o el 4% del total de la facturación anual mundial, lo que sea mayor y dependiendo de la infracción, por incumplimiento de las disposiciones de la Ley de Protección de Datos.

Todas las áreas de negocio son responsables de asegurar que todo el personal de la empresa cumpla con esta norma de privacidad y necesitan implementar prácticas, procesos, controles y capacitación adecuados para asegurar dicho cumplimiento.

4. Principios de protección de datos personales

Nos adherimos a los principios relativos al tratamiento de datos personales establecidos en la RBP que requieren que los datos personales sean:
a) Procesados de forma legal, justa y transparente (Legalidad, Equidad y Transparencia).
b) Recopilados únicamente con fines específicos, explícitos y legítimos (Limitación de la finalidad).
c) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se procesan (Minimización de datos).
d) Exactos y, cuando sea necesario, actualizados (Exactitud).
e) No se conservan en una forma que permita la identificación de los sujetos de los datos durante más tiempo del necesario en relación con los fines para los que se procesan los datos (Limitación del almacenamiento).
f) Procesados de forma que se garantice su seguridad utilizando medidas técnicas y organizativas adecuadas para protegerlos contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidentales (Seguridad, integridad y confidencialidad).
g) No se transfiere a otro país sin que existan las salvaguardias adecuadas (Limitación de la transferencia).
h) Se pondrán a disposición de los interesados y se les permitirá ejercer ciertos derechos en relación con sus datos personales (Derechos y solicitudes del interesado).
Somos responsables y debemos poder demostrar el cumplimiento de los principios de protección de datos enumerados anteriormente (Responsabilidad).

5. 5. Legalidad, justicia, transparencia

5.1 La legalidad y la equidad

Los datos personales deben ser procesados de manera legal, justa y transparente en relación con el sujeto de los datos.
Sólo podrá recoger, procesar y compartir datos personales de forma justa y lícita y para fines específicos. El GDPR restringe nuestras acciones con respecto a los Datos Personales a propósitos legales especificados. Estas restricciones no tienen por objeto impedir el procesamiento, sino asegurar que procesemos los Datos Personales de manera justa y sin afectar negativamente al Sujeto de Datos.
La GDPR permite el Procesamiento para fines específicos, algunos de los cuales se exponen a continuación:
a) El interesado ha dado su consentimiento;
b) el tratamiento es necesario para el cumplimiento de un contrato con el interesado;
c) para cumplir con nuestras obligaciones legales de cumplimiento.;
d) para proteger los intereses vitales del interesado;
e) para perseguir nuestros intereses legítimos con fines que no se vean anulados por el hecho de que el tratamiento perjudique los intereses o los derechos y libertades fundamentales del interesado. Los fines para los que procesamos los Datos Personales por intereses legítimos deben establecerse en las notificaciones de privacidad o en las notificaciones de procesamiento justo aplicables; o
Debe identificar y documentar el fundamento jurídico en el que se basa cada actividad de procesamiento.

5.2 Consentimiento

Un controlador de datos sólo debe procesar datos personales sobre la base de una o más de las bases legales establecidas en la RBP, que incluyen el consentimiento.

El interesado consiente en el tratamiento de sus datos personales si indica claramente su acuerdo, ya sea mediante una declaración o una acción positiva al tratamiento. El consentimiento requiere una acción afirmativa, por lo que es poco probable que el silencio, las casillas premarcadas o la inactividad sean suficientes. Si el consentimiento se da en un documento que trata de otros asuntos, entonces el consentimiento debe mantenerse separado de esos otros asuntos.

Los sujetos de los datos deben poder retirar fácilmente el consentimiento para el procesamiento en cualquier momento y la retirada debe cumplirse con prontitud. Puede ser necesario renovar el consentimiento si se tiene la intención de procesar datos personales para un propósito diferente e incompatible que no se haya revelado cuando el sujeto de los datos dio su consentimiento por primera vez.

A menos que podamos confiar en otra base jurídica de procesamiento, se suele requerir el consentimiento explícito para el procesamiento de datos personales delicados, para la toma de decisiones automatizada y para las transferencias transfronterizas de datos. Normalmente nos basaremos en otra base jurídica (y no se requiere el consentimiento explícito) para procesar la mayoría de los tipos de datos sensibles. Cuando se requiera un consentimiento explícito, deberá emitir una notificación de procesamiento justo al sujeto de los datos para captar el consentimiento explícito.

Necesitará evidenciar el consentimiento capturado y mantener registros de todos los consentimientos para que la Compañía pueda demostrar el cumplimiento de los requisitos de consentimiento.

5.3 Transparencia (notificación a los interesados)

La GDPR requiere que los Controladores de Datos proporcionen información detallada y específica a los Sujetos de Datos dependiendo de si la información fue recogida directamente de los Sujetos de Datos o de otro lugar. Esa información debe proporcionarse mediante avisos de privacidad o avisos de procesamiento equitativo apropiados que deben ser concisos, transparentes, inteligibles, fácilmente accesibles y en un lenguaje claro y sencillo para que el interesado pueda comprenderlos fácilmente.

Siempre que recabemos Datos Personales directamente de los Sujetos de Datos, incluso para fines de recursos humanos o de empleo, debemos proporcionar al Sujetos de Datos toda la información requerida por el PBI, incluyendo la identidad del Controlador de Datos, cómo y por qué usaremos, procesaremos, revelaremos, protegeremos y retendremos esos Datos Personales a través de un Aviso de Procesamiento Justo que debe ser presentado cuando el Sujetos de Datos proporcione por primera vez los Datos Personales...

Cuando los Datos Personales se recogen de forma indirecta (por ejemplo, de un tercero o de una fuente de acceso público), usted debe proporcionar al interesado toda la información requerida por la RPI lo antes posible después de recoger/recibir los datos. También debe comprobar que los Datos Personales fueron recopilados por el tercero de acuerdo con la GDPR y sobre una base que contemple nuestra propuesta de procesamiento de esos Datos Personales.

6. 6. Limitación de la finalidad

Los datos personales deben recopilarse únicamente con fines específicos, explícitos y legítimos. No deben ser procesados de ninguna manera incompatible con esos propósitos.

No puede utilizar los datos personales para fines nuevos, diferentes o incompatibles con los revelados cuando se obtuvieron por primera vez, a menos que haya informado al interesado de los nuevos fines y éste haya dado su consentimiento cuando sea necesario.

7. Minimización de datos

Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se procesan.

Sólo puede procesar datos personales cuando el desempeño de su trabajo lo requiera. No puede procesar datos personales por ningún motivo que no esté relacionado con sus funciones laborales.

Sólo puede recopilar los datos personales que necesite para sus tareas laborales: no recopile datos excesivos. Asegúrese de que cualquier dato personal que se recopile sea adecuado y relevante para los fines previstos.

Debe asegurarse de que cuando los Datos Personales ya no se necesiten para fines específicos, se eliminen o se hagan anónimos de acuerdo con las directrices de retención de datos de la Empresa.

8. Precisión

Los datos personales deben ser exactos y, cuando sea necesario, mantenerse actualizados. Deben ser corregidos o borrados sin demora cuando sean inexactos.

Usted se asegurará de que los Datos Personales que usamos y guardamos sean exactos, completos, actualizados y relevantes para el propósito para el que los recogimos. Debe comprobar la exactitud de los Datos Personales en el momento de la recogida y a intervalos regulares después. Debe tomar todas las medidas razonables para destruir o corregir los Datos Personales inexactos o desactualizados.

9. 9. Limitación de almacenamiento

Los datos personales no deben conservarse en forma identificable durante más tiempo del necesario para los fines para los que se procesan.

No debe guardar los Datos Personales en una forma que permita la identificación del Sujeto de los Datos durante más tiempo del necesario para el propósito o los propósitos comerciales legítimos para los cuales los recogimos originalmente, incluyendo el propósito de satisfacer cualquier requisito legal, de contabilidad o de presentación de informes.

La Compañía mantendrá políticas y procedimientos de retención para asegurar que los datos personales se eliminen después de un tiempo razonable para los fines para los que fueron retenidos, a menos que una ley exija que dichos datos se conserven durante un tiempo mínimo.
Usted tomará todas las medidas razonables para destruir o borrar de nuestros sistemas todos los Datos Personales que ya no necesitemos de acuerdo con todos los programas y políticas de retención de registros aplicables de la Empresa. Esto incluye la exigencia a terceros de que eliminen dichos datos cuando corresponda.

Usted se asegurará de que los Sujetos de Datos sean informados del período durante el cual se almacenan los datos y de cómo se determina ese período en cualquier Aviso de Privacidad o Aviso de Procesamiento Justo aplicable.

10. Seguridad, integridad y confidencialidad

10.1 Protección de los datos personales
Los datos personales deben ser asegurados mediante medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal, y contra la pérdida, destrucción o daño accidental.

Desarrollaremos, implementaremos y mantendremos salvaguardas apropiadas a nuestro tamaño, alcance y negocio, nuestros recursos disponibles, la cantidad de Datos Personales que poseemos o mantenemos en nombre de otros y los riesgos identificados (incluyendo el uso de encriptación y seudonimización cuando sea aplicable). Evaluaremos y probaremos regularmente la eficacia de esas salvaguardias para garantizar la seguridad de nuestro procesamiento de datos personales. Usted es responsable de proteger los Datos Personales que poseemos. Debe implementar medidas de seguridad razonables y apropiadas contra el procesamiento ilegal o no autorizado de Datos Personales y contra la pérdida o daño accidental de los mismos. Debe tener especial cuidado en la protección de los Datos Personales Sensibles contra la pérdida y el acceso, uso o divulgación no autorizados.

Debe seguir todos los procedimientos y tecnologías que ponemos en marcha para mantener la seguridad de todos los datos personales desde el punto de recogida hasta el punto de destrucción. Sólo podrá transferir Datos Personales a terceros proveedores de servicios que acepten cumplir con las políticas y procedimientos requeridos y que acepten poner en práctica las medidas adecuadas, según se solicite.
Debe mantener la seguridad de los datos protegiendo la confidencialidad, la integridad y la disponibilidad de los Datos Personales, que se definen a continuación:
a) Confidencialidad significa que sólo pueden acceder a los Datos Personales las personas que tienen necesidad de conocerlos y están autorizadas a utilizarlos.
b) Integridad significa que los Datos Personales son exactos y adecuados para el propósito con el que se procesan.
c) Disponibilidad significa que los usuarios autorizados pueden acceder a los Datos Personales cuando los necesitan para fines autorizados.
Usted debe cumplir y no tratar de eludir las salvaguardias administrativas, físicas y técnicas que aplicamos y mantenemos de conformidad con la RBP y las normas pertinentes para proteger los Datos Personales.

10.2 Denunciar una violación de los datos personales
La GDPR exige a los controladores de datos que notifiquen cualquier violación de los datos personales al regulador aplicable y, en ciertos casos, al titular de los datos.

Hemos establecido procedimientos para tratar cualquier sospecha de violación de datos personales y notificaremos a los sujetos de los datos o a cualquier regulador aplicable cuando estemos legalmente obligados a hacerlo.

Si sabe o sospecha que se ha producido una violación de datos personales, no intente investigar el asunto usted mismo. Contacte inmediatamente con el Director. Debe conservar todas las pruebas relacionadas con la posible violación de datos personales.

11. Limitación de la transferencia

La GDPR restringe las transferencias de datos a los países fuera del EEE a fin de garantizar que no se menoscabe el nivel de protección de datos que la GDPR ofrece a las personas. Usted transfiere datos personales originados en un país a través de las fronteras cuando transmite, envía, ve o accede a esos datos en o a un país diferente.
Sólo puede transferir Datos Personales fuera del EEE si se cumple una de las siguientes condiciones:
a) la Comisión Europea ha emitido una decisión que confirma que el país al que transferimos los Datos Personales garantiza un nivel adecuado de protección de los derechos y libertades de los Sujetos de Datos;
b) Existen salvaguardias adecuadas, como normas corporativas vinculantes (BCR), cláusulas contractuales estándar aprobadas por la Comisión Europea, un código de conducta aprobado o un mecanismo de certificación, cuya copia puede obtenerse del responsable de la protección de datos (cuando proceda);
c) El interesado ha dado su consentimiento explícito a la transferencia propuesta tras haber sido informado de los posibles riesgos; o
d) La transferencia es necesaria por alguna de las otras razones establecidas en la RDPI, incluido el cumplimiento de un contrato entre nosotros y el interesado, razones de interés público, para establecer, ejercer o defender demandas legales o para proteger los intereses vitales del interesado cuando éste sea física o jurídicamente incapaz de dar su consentimiento y, en algunos casos limitados, por nuestro interés legítimo.

12. Derechos y solicitudes del interesado

Los Sujetos de Datos tienen derechos en cuanto a cómo manejamos sus Datos Personales. Estos incluyen los derechos a:
a) retirar el consentimiento para el procesamiento en cualquier momento;
b) Recibir cierta información sobre las actividades de procesamiento del controlador de datos;
c) Solicitar acceso a sus datos personales que obran en nuestro poder;
d) impedir que utilicemos sus datos personales para fines de comercialización directa;
e) Pedirnos que borremos los Datos Personales si ya no es necesario en relación con los fines para los que fueron recogidos o procesados o para rectificar datos inexactos o completar datos incompletos;
f) restringir el procesamiento en circunstancias específicas;
g) Impugnar el tratamiento que se haya justificado por nuestros intereses legítimos o por el interés público;
h) Solicitar una copia de un acuerdo en virtud del cual se transfieran datos personales fuera del EEE;
(i) objetar las decisiones basadas únicamente en el Procesamiento Automatizado, incluyendo la elaboración de perfiles (ADM);
(j) prevenir el procesamiento que pueda causar daño o angustia al sujeto de los datos o a cualquier otra persona;
k) ser notificados de una violación de los datos personales que pueda resultar en un alto riesgo para sus derechos y libertades;
l) Presentar una denuncia a la autoridad supervisora; y
m) En circunstancias limitadas, recibir o pedir que sus datos personales se transfieran a un tercero en un formato estructurado, de uso común y legible por máquina.
Debe verificar la identidad de la persona que solicita los datos en virtud de cualquiera de los derechos enumerados anteriormente (no permita que terceros le persuadan para que revele sus datos personales sin la debida autorización).
Debe remitir inmediatamente cualquier solicitud de datos que reciba a un director.

13. 13. Rendición de cuentas

13.1 El responsable del tratamiento de datos debe aplicar de manera eficaz las medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de los principios de protección de datos. El responsable del tratamiento es responsable del cumplimiento de los principios de protección de datos y debe poder demostrarlo.
Debe disponer de recursos y controles adecuados para asegurar y documentar el cumplimiento de la RDPI, incluyendo:
a) El nombramiento de un RPD debidamente cualificado (cuando sea necesario) y un ejecutivo responsable de la privacidad de los datos;
b) aplicar el principio de privacidad por diseño cuando se procesen datos personales y completar las DPIA cuando el procesamiento presente un alto riesgo para los derechos y libertades de los sujetos de los datos;
c) Integrar la protección de datos en documentos internos, como la presente norma de privacidad, las políticas conexas, las directrices de privacidad, las notificaciones de privacidad o las notificaciones de procesamiento justo;
d) capacitar periódicamente al personal de la empresa sobre el PIBR, la presente Norma de Privacidad, las Políticas Relacionadas y las Directrices de Privacidad y las cuestiones relativas a la protección de datos, incluidos, por ejemplo, los derechos de los Sujetos de Datos, el Consentimiento, la base jurídica, la DPIA y las infracciones de los datos personales. La Compañía debe mantener un registro de asistencia a la capacitación del Personal de la Compañía; y
e) Poner a prueba periódicamente las medidas de protección de la vida privada aplicadas y realizar exámenes y auditorías periódicas para evaluar el cumplimiento, incluida la utilización de los resultados de las pruebas para demostrar la labor de mejora del cumplimiento.

13.2 Mantenimiento de registros
La GDPR requiere que mantengamos registros completos y precisos de todas nuestras actividades de procesamiento de datos.
Usted debe mantener y mantener registros corporativos precisos que reflejen nuestro procesamiento, incluyendo registros de los consentimientos de los sujetos de datos y procedimientos para obtener los consentimientos.
Estos registros deben incluir, como mínimo, el nombre y los datos de contacto del responsable del tratamiento de datos y del RPD (cuando corresponda), descripciones claras de los tipos de datos personales, los tipos de sujetos de los datos, las actividades de tratamiento, los fines del tratamiento, los terceros destinatarios de los datos personales, las ubicaciones de almacenamiento de los datos personales, las transferencias de datos personales, el período de retención de los datos personales y una descripción de las medidas de seguridad vigentes. Para crear esos registros, deben crearse mapas de datos que incluyan los detalles antes mencionados junto con los flujos de datos apropiados.

13.3 Capacitación y auditoría
Debemos asegurarnos de que todo el personal de la empresa haya recibido la capacitación adecuada para que pueda cumplir con las leyes de privacidad de datos. También debemos probar regularmente nuestros sistemas y procesos para evaluar el cumplimiento.
Debe someterse a toda la formación obligatoria relacionada con la privacidad de datos y asegurarse de que su equipo se somete a una formación obligatoria similar.
Debe revisar regularmente todos los sistemas y procesos bajo su control para asegurarse de que cumplen con esta Norma de Privacidad y comprobar que los controles de gobierno y los recursos adecuados están en su lugar para asegurar el uso y la protección adecuados de los Datos Personales.

13.4 Evaluación del impacto de la privacidad por diseño y la protección de datos (DPIA)
Estamos obligados a aplicar las medidas de Privacy by Design en el procesamiento de datos personales mediante la aplicación de medidas técnicas y organizativas adecuadas (como la seudonimización) de manera efectiva, para garantizar el cumplimiento de los principios de privacidad de datos.
Usted debe evaluar qué medidas de Privacidad por Diseño pueden implementarse en todos los programas/sistemas/procesos que Procesan Datos Personales teniendo en cuenta lo siguiente:
a) El estado de la técnica;
b) el costo de la aplicación;
c) la naturaleza, el alcance, el contexto y los fines del tratamiento; y
d) Los riesgos que plantea el procesamiento para los derechos y libertades de los interesados, que varían en cuanto a su probabilidad y gravedad.
Los responsables del tratamiento de datos también deben llevar a cabo evaluaciones de impacto ambiental con respecto al tratamiento de alto riesgo.
Usted debe llevar a cabo una DPIA al implementar programas de cambio de sistemas o negocios importantes que involucren el Procesamiento de Datos Personales, incluyendo:
(e) el uso de nuevas tecnologías (programas, sistemas o procesos), o el cambio de tecnologías (programas, sistemas o procesos);
(f) Procesamiento automatizado, incluyendo la elaboración de perfiles y ADM;
g) Procesamiento en gran escala de datos sensibles; y
h) Vigilancia sistemática en gran escala de una zona de acceso público.
Una DPIA debe incluir:
i) Una descripción del tratamiento, sus objetivos y los intereses legítimos del responsable del tratamiento, si procede;
j) Una evaluación de la necesidad y la proporcionalidad del tratamiento en relación con su finalidad;
k) Una evaluación del riesgo para las personas; y
l) Las medidas de mitigación de riesgos en vigor y la demostración del cumplimiento.

13.5 Procesamiento automatizado (incluida la elaboración de perfiles) y toma de decisiones automatizada
Generalmente, la ADM está prohibida cuando una decisión tiene un efecto significativo legal o similar en un individuo a menos que:
a) El interesado haya dado su consentimiento explícito;
b) El tratamiento esté autorizado por la ley; o
c) La tramitación es necesaria para el cumplimiento o la celebración de un contrato.

Si se están procesando ciertos tipos de datos sensibles, no se permitirán los motivos b) o c), pero esos datos sensibles pueden procesarse cuando sea necesario (a menos que se puedan utilizar medios menos intrusivos) por razones de interés público sustancial, como la prevención del fraude.

Si una decisión se va a basar únicamente en el procesamiento automatizado (incluida la elaboración de perfiles), se debe informar a los interesados cuando se les comunique por primera vez su derecho a objetar. Este derecho debe señalarse explícitamente a su atención y presentarse de manera clara y separada de otras informaciones. Además, deben establecerse medidas adecuadas para salvaguardar los derechos y libertades del interesado y sus intereses legítimos.

También debemos informar al interesado de la lógica que interviene en la toma de decisiones o en la elaboración de perfiles, la importancia y las consecuencias previstas, y concederle el derecho a solicitar la intervención humana, expresar su punto de vista o impugnar la decisión.

Se debe llevar a cabo una DPIA antes de emprender cualquier actividad de procesamiento automatizado (incluyendo la elaboración de perfiles) o de ADM.

13.6 Comercialización directa
Estamos sujetos a ciertas reglas y leyes de privacidad cuando hacemos marketing para nuestros clientes.
Por ejemplo, para la comercialización electrónica directa (por ejemplo, por correo electrónico, texto o llamadas automáticas) se requiere el consentimiento previo del interesado. La excepción limitada para los clientes existentes conocida como "soft opt in" permite a las organizaciones enviar textos o correos electrónicos de marketing si han obtenido los datos de contacto en el curso de una venta a esa persona, si están comercializando productos o servicios similares y si han dado a la persona la oportunidad de optar por no participar en la comercialización cuando se recogen los datos por primera vez y en cada mensaje posterior.

El derecho a oponerse a la comercialización directa debe ofrecerse explícitamente al interesado de manera inteligible, de modo que se distinga claramente del resto de la información.

La objeción de un sujeto de datos a la comercialización directa debe ser honrada con prontitud. Si un cliente se retira en cualquier momento, sus datos deben ser suprimidos lo antes posible. La supresión implica retener sólo la información suficiente para asegurar que las preferencias de comercialización se respeten en el futuro.

13.7 Intercambio de datos personales
Por lo general, no se nos permite compartir datos personales con terceros a menos que se hayan establecido ciertas salvaguardias y acuerdos contractuales.

Sólo puede compartir los Datos Personales que poseemos con otro empleado, agente o representante de nuestro grupo (lo que incluye a nuestras filiales y a nuestra sociedad de cartera última junto con sus filiales) si el destinatario tiene una necesidad relacionada con el trabajo de conocer la información y la transferencia cumple con cualquier restricción de transferencia transfronteriza aplicable.
Sólo podrá compartir los Datos Personales que poseemos con terceros, como nuestros proveedores de servicios si:
a) Tienen la necesidad de conocer la información a los efectos de prestar los servicios contratados;
(b) el hecho de compartir los Datos Personales cumple con la Notificación de Privacidad proporcionada al Sujeto de los Datos y, si es necesario, se ha obtenido el Consentimiento del Sujeto de los Datos;
c) El tercero haya aceptado cumplir las normas, políticas y procedimientos de seguridad de los datos requeridos y establecer las medidas de seguridad adecuadas;
d) La transferencia cumpla las restricciones aplicables a las transferencias transfronterizas; y
e) Se ha obtenido un contrato escrito totalmente ejecutado que contiene cláusulas de terceros aprobadas por el GDPR.

14. Cambios en esta norma de privacidad

Nos reservamos el derecho de cambiar esta Norma de Privacidad en cualquier momento sin previo aviso, por lo que le rogamos que vuelva a visitarnos regularmente para obtener la última copia de esta Norma de Privacidad.
Esta Norma de Privacidad no anula ninguna de las leyes y reglamentos nacionales de privacidad de datos aplicables en los países en los que opera la Compañía.