top of page

POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS

Objetivo

Esta política describe cómo se deben tratar y controlar los datos personales para cumplir con los estándares de protección de datos de la empresa y cumplir con la ley.

Objetivo

DOXA ADVISERS, en adelante la empresa, necesita tratar determinada información sobre personas físicas. Estos incluyen consultores, proveedores, contactos comerciales, empleados y cualquier otra persona física con la que la organización tenga una relación o tenga información personal.

Esta política describe cómo se deben tratar y controlar estos datos personales para cumplir con los estándares de protección de datos de la empresa y cumplir con la ley.

Esta política de protección de datos garantiza que la empresa:

  • Cumplir con las leyes de protección de datos y seguir buenas prácticas y códigos de conducta.

  • Proteger los derechos de todas las personas vivas cuyos datos usted controla y procesa

  • Proporcionar información ilimitada sobre cómo la organización controla y procesa los datos de una persona física viva.

  • Protéjase de los riesgos de violaciones de datos y fugas de información

  • Proteja su información de propiedad.

El objetivo principal es garantizar la privacidad de los datos personales de las personas y permitir un mayor control sobre los mismos. Además, la Ley crea reglas claras sobre los procesos de recolección, almacenamiento y divulgación de esta información, contribuyendo a promover el desarrollo tecnológico en la sociedad y la defensa de los derechos de los titulares y consumidores en general.

La Ley de Protección de Datos

La Ley General de Protección de Datos – LGPD n. 13.709, de 14 de agosto de 2018 – fue creada e implementada para atender una necesidad urgente de protección de datos, con miras a sancionar más objetivamente el uso indebido de datos personales por parte de las empresas.

La normativa da más protagonismo al titular de los datos y hace clara y objetiva la necesidad del consentimiento explícito por parte del titular de la información, otorgándole control sobre el uso, procesamiento, modificación, portabilidad y eliminación de estos datos de una forma práctica y no burocrática.

Esto evitará que las empresas utilicen tácticas como hacer que los términos de uso de los datos estén disponibles de manera oscura, sin dejar claro al usuario qué se hará y los objetivos de capturar la información.

La LGPD describe cómo las organizaciones, incluida la empresa, deben recopilar, procesar y almacenar información personal.

Principios LGPD

​La LGPD en su artículo 6 exige que los datos personales sean tratados de forma lícita y transparente. Además de informar y garantizar a los ciudadanos el cumplimiento de la Ley y el correcto tratamiento de sus datos personales. Y establece 10 medidas:

 

1. FINALIDAD

La LGPD exige que exista una finalidad específica para el tratamiento de datos personales. La empresa no puede simplemente recopilar datos personales con fines indefinidos. Además, la empresa debe informar al interesado, de forma clara y objetiva, para qué los recoge y cómo los utiliza. Y no puede cambiar el motivo después de informarle.

 

2. IDONEIDAD

La empresa sólo debe recopilar datos que sean compatibles con el contexto y la finalidad informada al interesado. Por ejemplo, si los datos recabados son para matricularse en un curso, deberá garantizar al titular que los datos sólo serán utilizados con la finalidad de matricularse formalmente en el curso y cumplir con la legislación específica.

3. NECESIDAD

 

Los datos personales deben tener el volumen adecuado, adecuado a la finalidad y no pueden exceder la cantidad necesaria para realizar el tratamiento de datos. En otras palabras, además de garantizar que los datos sean adecuados, el responsable del tratamiento, es decir, la empresa, debe obtener sólo la cantidad mínima de datos personales necesarios para llevar a cabo las finalidades informadas al titular.

 

4. ACCESO GRATUITO

La empresa deberá ofrecer acceso gratuito al titular para consultar sus datos, la forma en que están siendo tratados y el tiempo durante el cual serán tratados.

 

5. CALIDAD DE LOS DATOS

El titular puede comprobar si sus datos son exactos, claros, pertinentes y actualizados de acuerdo con la necesidad y cumplimiento de la finalidad del tratamiento. La empresa deberá garantizar que los datos personales sean exactos y actualizados, teniendo en cuenta las finalidades para las que son tratados, y corregirlos si fuera necesario.

 

6. TRANSPARENCIA

La empresa deberá garantizar al titular información clara, exacta y de fácil acceso sobre cómo se realiza el tratamiento y quiénes son los responsables del mismo. En este caso no será necesario presentar secretos comerciales e industriales

 

7. SEGURIDAD

La empresa deberá presentar garantías técnicas y administrativas adecuadas para garantizar la seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado e ilícito, la pérdida, la destrucción o el daño accidental, adoptando tecnologías apropiadas.

8. PREVENCIÓN

Además de la seguridad, es fundamental que la empresa presente las medidas adoptadas para evitar que se produzcan daños por el tratamiento de datos personales.

 

9. NO DISCRIMINACIÓN

La recopilación de datos personales no puede utilizarse con fines discriminatorios, ilícitos o abusivos.

 

10. RESPONSABILIDAD Y CUENTA DE CUENTAS

El agente deberá demostrar, cuando se le solicite, la adopción de medidas efectivas capaces de acreditar el cumplimiento de las normas de protección de datos personales e, incluso, la eficacia de dichas medidas.

Derechos individuales

La LGPD está dedicada, en el Capítulo III, a los derechos de los titulares de datos personales. Sin embargo, antes de profundizar en su examen específico, es importante destacar que, en capítulos anteriores, la LGPD ya ha abordado varios de estos derechos.

A efectos únicamente de sistematización, se presenta inicialmente el listado de derechos de los titulares que ya estaban previstos en los artículos primeros de la ley:

Captura de pantalla 2024-08-25 222425.png

Es importante resaltar que varios de los derechos de los titulares de datos personales surgen directamente de los principios que contempla la LGPD en su art. 6º, como los siguientes:

Captura de pantalla 2024-08-25 222715.png
Captura de pantalla 2024-08-25 222729.png
Captura de pantalla 2024-08-25 222738.png

Finalmente, cabe destacar que, desde el art. El día 7, la LGPD ya comienza a abordar varios temas relacionados con los derechos de los interesados:

Captura de pantalla 2024-08-25 223343.png
Captura de pantalla 2024-08-25 223333.png
Captura de pantalla 2024-08-25 223322.png
Captura de pantalla 2024-08-25 223239.png

En este documento cubrimos los siguientes derechos para las personas:

  • El derecho a ser informado

  • El derecho de acceso

  • El derecho a la rectificación

  • El derecho a borrar

  • El derecho a restringir el procesamiento

  • El derecho a la portabilidad de los datos

  • El derecho a oponerse

  • Derechos en relación con la elaboración de perfiles y decisiones automatizadas.

Alcance

Esta política se aplica a:

  • A la sede de la empresa

  • A todas las sucursales de la empresa

  • A todo el equipo y a todos los empleados de la empresa.

  • A todos los subcontratistas, proveedores y otras personas que trabajan en nombre de la empresa.

Se aplica a todos los datos que la empresa posee sobre personas que pueden ser identificadas, incluso si esta información está técnicamente fuera del alcance de la LGPD. Esto puede incluir, entre otros:

  • Cualquier otra información que pueda usarse para inferir la identidad de un individuo.

  • Información genética y biométrica.

  • Información de salud física o mental.

  • Información sobre creencias políticas, religiosas o filosóficas.

  • Información propiedad de la empresa

  • Cualquier información propiedad de terceros que la empresa esté obligada contractualmente a proteger.

Riesgos de protección de datos

Esta política ayuda a proteger su empresa de algunos riesgos de seguridad de datos, que incluyen:

  • Violaciones de confidencialidad. Por ejemplo, la distribución inadecuada de información de forma inapropiada.

  • La falta de elección. Por ejemplo, todas las personas deberían tener la libertad de elegir cómo la empresa utiliza los datos relacionados con ellas.

  • Daño a la reputación. Por ejemplo, la empresa podría verse afectada si los piratas informáticos obtienen acceso a datos confidenciales.

  • Daño a las operaciones comerciales causado por la divulgación de información patentada

  • Acciones legales derivadas de incidentes de violación de la confidencialidad de datos personales, como se ejemplificó anteriormente.

Responsabilidades

Todos los que trabajan para o con la empresa tienen cierta responsabilidad de garantizar que los datos se controlen y traten en consecuencia.

Todo grupo que maneje datos confidenciales debe asegurarse de que sean tratados de acuerdo con esta política, las buenas prácticas de protección de datos o cualquier normativa o estándar aplicable.

Roles

La ley detalla los roles de cuatro agentes diferentes: el titular, el controlador, el operador y el responsable.

  • El titular: es la persona natural a quien se refieren los datos personales que serán tratados.

  • El responsable del tratamiento: es la empresa o persona física que recopila datos personales y toma todas las decisiones sobre la forma y finalidad del procesamiento de datos. El responsable del tratamiento es responsable de cómo se recogen los datos, para qué se utilizan y durante cuánto tiempo se conservan.

  • El operador: es la empresa o persona física que procesa datos personales bajo las órdenes del responsable del tratamiento.

  • El responsable (DPO - Delegado de Protección de Datos): es la persona física designada por el responsable y que actúa como canal de comunicación entre las partes (responsable, titulares y autoridad nacional), además de orientar a los empleados del responsable sobre las prácticas de tratamiento de datos. . datos. Es responsable de supervisar la estrategia e implementación de la protección de datos para garantizar el cumplimiento de los requisitos no sólo de la LGPD, sino también de otras normas internacionales a las que la empresa pueda estar sujeta cuando asume el rol de responsable del tratamiento u operador, recibiendo. atender y resolver quejas y comunicaciones de los interesados ​​y de la autoridad nacional y orientar a los empleados y terceros sobre las mejores prácticas en materia de tratamiento de datos personales. En otras palabras, su función será educar sobre los requisitos de cumplimiento, capacitar a todos los involucrados, realizar auditorías de seguridad periódicas, mantener registros completos de todas las actividades y actuar como interfaz entre la organización, los interesados ​​y la Agencia Nacional de Seguridad de Protección de Datos (ANPD). ). El estándar no incluye una lista de credenciales para el DPO, pero se recomienda encarecidamente que sea un profesional o una empresa que tenga conocimientos especializados en leyes y prácticas de protección de datos, que esté alineado con las operaciones, la infraestructura y los sistemas de tecnología de la información. de la organización y, principalmente, que conozca los riesgos involucrados en esta particular, considerando las especificidades del negocio y de la empresa. Idealmente, el RPD debería tener habilidades de gestión y capacidad para interactuar con el personal interno, terceros, interesados ​​y organismos oficiales. Es necesario que los datos de identidad del RPD, así como los datos de contacto, sean públicos y se divulguen de forma clara y objetiva.
     

 

La alta dirección es responsable de garantizar que la empresa cumpla con sus obligaciones legales.

 

El área de seguridad de la información es responsable de:

  • Mantener actualizada a la dirección sobre responsabilidades, riesgos y cuestiones relativas a la protección de datos.

  • Revisar todos los procedimientos de protección de datos y políticas relacionadas según un cronograma acordado.

  • Organizar formación y asesoramiento en materia de protección de datos para las personas cubiertas por esta política.

  • Responder preguntas sobre protección de datos del personal y de cualquier otra persona cubierta por esta política.

  • Gestionar solicitudes de personas para ver los datos que la empresa tiene sobre ellos, conocidas como solicitudes de acceso de sujetos.

  • Revisar y aprobar cualquier contrato o acuerdo con terceros que puedan manejar datos confidenciales de la empresa.

El departamento de TI es responsable de:

  • Asegúrese de que todos los sistemas, servicios y equipos utilizados para almacenar datos cumplan con estándares de seguridad aceptables.

  • Realice depuraciones y comprobaciones frecuentes para garantizar que el hardware y el software de seguridad funcionen correctamente.

  • Evaluar la seguridad de cualquier servicio de terceros que la empresa esté considerando utilizar para almacenar o procesar datos. Por ejemplo, servicios de computación en la nube.

 

El departamento de marketing es responsable de:

  • Aprobar todas las declaraciones de protección de datos adjuntas a las comunicaciones, p.e. por ejemplo, correos electrónicos y cartas.

  • Aborde cualquier pregunta sobre protección de datos formulada por periodistas o medios de comunicación como periódicos.

  • Trabaje con otros miembros del equipo cuando sea necesario para garantizar que las iniciativas de marketing respeten los principios de protección de datos.

Responsabilidades generales del equipo:

  • La ley detalla los roles de cuatro agentes diferentes: el titular, el controlador, el operador y el responsable.

  • La alta dirección es responsable de garantizar que la empresa cumpla con sus obligaciones legales.

  • El área de seguridad de la información es responsable de:

  • Mantener actualizada a la dirección sobre responsabilidades, riesgos y cuestiones relativas a la protección de datos.

  • Revisar todos los procedimientos de protección de datos y políticas relacionadas según un cronograma acordado.

  • Organizar formación y asesoramiento en materia de protección de datos para las personas cubiertas por esta política.

  • Responder preguntas sobre protección de datos del personal y de cualquier otra persona cubierta por esta política.

  • Gestionar solicitudes de personas para ver los datos que la empresa tiene sobre ellos, conocidas como solicitudes de acceso de sujetos.

  • Revisar y aprobar cualquier contrato o acuerdo con terceros que puedan manejar datos confidenciales de la empresa.

  • Las únicas personas capaces de acceder a los datos objeto de esta política deberán ser aquellas que necesariamente los necesiten para realizar su trabajo.

  • Los datos no deben compartirse de manera informal. Cuando se requiere acceso a información confidencial, los empleados pueden solicitarlo a sus superiores directos.

  • La empresa formará a todos los empleados para ayudarles a comprender sus responsabilidades en el tratamiento de datos de acuerdo con la Política de Formación.

  • Los empleados deben garantizar la seguridad de todos los datos, siguiendo los lineamientos de las políticas de seguridad de la información y los procedimientos de la empresa.

  • Las contraseñas deben gestionarse según lo estipulado en la Política de Contraseñas.

  • Los datos personales nunca deben ser revelados a personas no autorizadas, ya sea dentro o fuera de la empresa.

  • Si un empleado sospecha de una violación o ocurrencia de seguridad, debe informarlo al departamento de seguridad de la información.

  • Los datos deben revisarse con frecuencia y actualizarse si están desactualizados. Si ya no son necesarios, deberán ser eliminados y desechados según lo estipulado en el Procedimiento de Enajenación.

  • Los empleados deben pedir ayuda a su superior inmediato, al departamento de seguridad de la información o al responsable de protección de datos si no están seguros sobre algún aspecto de la protección de datos.

  • Tenga en cuenta y utilice todas las políticas aplicables.

Capacitación

Todo el personal recibirá capacitación sobre esta política, las políticas que la respaldan y los procedimientos de la empresa. Cuando una nueva persona se une al equipo, será capacitada como parte del proceso de incorporación. Se brindará capacitación adicional periódicamente o siempre que haya un cambio sustancial en la Ley o las políticas y procedimientos.

Los registros de estas capacitaciones se mantendrán como parte de la Política de capacitación y se almacenarán en los registros de capacitación.

Los principios de protección de datos

Condiciones justas, legales y transparentes para el procesamiento:


La empresa se asegurará de que cualquier tratamiento de datos personales tenga una base jurídica documentada. Todos los responsables del tratamiento de datos personales conocerán las condiciones del tratamiento. Las condiciones para el procesamiento estarán disponibles para los interesados en forma de aviso de privacidad o aviso de procesamiento legítimo.

Avisos de privacidad

Para garantizar un procesamiento legítimo, legal y transparente, se deben emitir avisos de privacidad y avisos de procesamiento legítimo a los interesados para que sepan cómo la empresa pretende utilizar y proteger sus datos.
Estos avisos deben:

  • Declarar las finalidades del tratamiento de los datos.

  • Informar la información que se debe conservar.

  • Indique la base legal para el tratamiento de los datos, indique el plazo de conservación de los datos

  • Indique las medidas adoptadas para proteger todos los datos.

  • Indique los terceros que pueden acceder a estos datos

  • Proporcionar los datos de contacto del Responsable (DPO)

  • Proporcionar datos de contacto del DPO de terceros

  • Informar a los interesados sobre sus derechos

Precisión

Al recopilar o procesar datos, la empresa debe seguir el Procedimiento de Garantía de Calidad de los Datos al recopilar y garantizar que los datos personales procesados sean correctos y estén actualizados.


Los interesados tienen la responsabilidad de tomar medidas razonables para garantizar que los datos personales de la empresa sean precisos y estén actualizados según sea necesario.


Por ejemplo, si sus circunstancias personales cambian, deben informar a la empresa para que se puedan actualizar sus registros.

Idoneidad y relevancia

La empresa debe garantizar que todos los datos personales recopilados se utilicen únicamente para el fin para el que fueron obtenidos. Los datos personales obtenidos para un fin no deben utilizarse para ningún fin no relacionado a menos que el interesado haya dado su consentimiento o exista una obligación legal de hacerlo.

Retención de datos

La empresa no conservará los datos personales durante más tiempo del necesario. Definir lo que es necesario dependerá de las circunstancias de cada caso, teniendo en cuenta los motivos por los cuales se obtuvieron los datos personales, pero debe determinarse de manera consistente con las pautas de retención de datos de la empresa. El registro del Registro de Activos de Información de la empresa contiene la información del período de retención de cada activo. Esta retención no afecta el derecho del titular a ser suprimida. Los activos deben enajenarse siguiendo el Procedimiento de Enajenación.

Seguridad de datos

La empresa debe mantener los datos confidenciales protegidos contra pérdida, mal uso o divulgación no autorizada. Cuando otras organizaciones procesan datos personales como un servicio en nombre de la empresa, deben existir disposiciones contractuales para proporcionar el mismo nivel de protección de datos que la empresa. Para proporcionar un nivel consistente de protección de la información en toda la empresa, la Política de Seguridad de la Información debe implementarse y hacerse cumplir mediante el uso de políticas y procedimientos de apoyo, capacitación y tecnologías apropiadas.

Privacidad por diseño y por defecto

La empresa está obligada a adoptar medidas de protección de datos, ante la creación de cualquier nueva tecnología o producto desde su concepción. EL FUNCIONARIO (DPO) será responsable de realizar evaluaciones de impacto en la privacidad y garantizar que todos los proyectos de TI ya incluyan un plan de privacidad. Cuando sea relevante, y cuando no haya un impacto negativo en el interesado, la configuración de privacidad se establecerá de forma predeterminada en la más privada.

Evaluación de impacto de la protección de datos
{DPIA – Evaluación de impacto de la protección de datos}

Siempre que el tratamiento de información personal pueda suponer un riesgo para los derechos y libertades de los interesados, se deberá realizar una evaluación de impacto en materia de protección de datos y los resultados deberán implementarse e incorporarse al proyecto. Se deben almacenar registros de todas las EIPD y la evaluación debe realizarse de acuerdo con el Procedimiento de evaluación de impacto de la protección de datos.

Almacenamiento de datos

Todos los datos controlados por la empresa deben almacenarse de forma segura. En los casos en que los datos se almacenen en papel impreso, deben almacenarse en un lugar seguro, lejos del acceso de personas no autorizadas. Los datos impresos deberán triturarse cuando ya no sean necesarios, de acuerdo con las normas del Procedimiento de Eliminación. Los datos almacenados en una computadora deben protegerse como se describe en la Política de seguridad de la información. Los datos almacenados en CD o tarjetas de memoria deben cumplir con las pautas de la Política de medios extraíbles. Los datos deben ser respaldados periódicamente, de acuerdo con los Planes de Continuidad y Recuperación ante Desastres de la empresa. Todos los servidores que contienen datos confidenciales deben estar aprobados y protegidos por firewalls y software de seguridad sólidos.

Transferencia Internacional de Datos

Sólo se permite en los casos previstos en la LGPD, que incluyen el traslado a países con un grado de protección adecuado (a definir por la ANPD) o mediante el uso de cláusulas contractuales tipo, estándares corporativos globales, sellos y certificados y aprobados. códigos de conducta de la ANPD, entre otras hipótesis;

Derechos del interesado

El arte. 17, de la LGPD, establece que “Toda persona física tiene asegurada la propiedad de sus datos personales y se garantizan los derechos fundamentales de libertad, intimidad y privacidad, en los términos de esta Ley.

Entonces, el art. 18 establece que “El titular de datos personales tiene derecho a obtener del responsable del tratamiento, en relación con los datos del titular tratados por él, en cualquier momento y previa solicitud:

I – confirmación de la existencia del tratamiento;

II – acceso a los datos;

III – corrección de datos incompletos, inexactos o desactualizados;

IV – anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados que no cumplan con las disposiciones de esta Ley;

V – portabilidad de datos a otro proveedor de servicios o productos, previa solicitud expresa y respetando secretos comerciales e industriales, de acuerdo con las normas del organismo controlador;

VI – supresión de los datos personales tratados con el consentimiento del titular, salvo en los casos previstos en el art. 16 de esta Ley;

VII – información sobre entidades públicas y privadas con las que el responsable compartió datos;

VIII – información sobre la posibilidad de no prestar el consentimiento y las consecuencias de la negativa;

IX – revocación del consentimiento, conforme al § 5 del art. 8° de esta Ley.”

La empresa deberá respetar los derechos del interesado establecidos en la LGPD. Cualquier solicitud de un individuo debe ser tramitada por el DPO a cargo (DPO) y se debe emitir una respuesta dentro de los 15 días. En casos justificados, este plazo podrá ser excepcional.

Consentir

La LGPD impone requisitos específicos para el consentimiento, que debe consistir en una expresión previa, libre, informada e inequívoca, con una finalidad determinada, y puede ser revocado en cualquier momento;

Cuando la empresa utilice el consentimiento como base jurídica para el tratamiento de datos, deberá quedar constancia del consentimiento activo del interesado. El consentimiento debe recibirse de la manera descrita en el Procedimiento de gestión del consentimiento. El interesado tiene derecho a retirar este consentimiento en cualquier momento. Este derecho no afecta a ninguno de los demás derechos.

Cuando se traten datos personales sensibles, se requerirá el consentimiento explícito del interesado para este tratamiento, salvo que concurran circunstancias excepcionales o exista una obligación legal de hacerlo [por ejemplo, cumplir con obligaciones legales para garantizar la salud y la seguridad en el trabajo]. Cualquier consentimiento de este tipo deberá identificar claramente cuáles son los datos relevantes, por qué se procesan y a quién se revelarán.

Si el interesado es menor de 16 años, la empresa deberá obtener la autorización del tutor legal del interesado.

El derecho a ser informado

Según la LGPD, los interesados tienen derecho a ser informados sobre cómo se tratan sus datos. Para cumplir con este derecho, la empresa proporciona la información necesaria en su aviso de tratamiento legítimo.

El derecho de acceso

Respecto a la LGPD, el derecho de acceso a los datos se complementa con el Art. 19, según el cual “La confirmación de la existencia o del acceso a los datos personales se proporcionará, previa solicitud del titular:

I – en formato simplificado, inmediatamente; o

II – mediante declaración clara y completa, indicando el origen de los datos, la falta de registro, los criterios utilizados y la finalidad del tratamiento, observando secretos comerciales e industriales, siempre en un plazo de hasta 15 (quince) días, a contar desde la fecha de la solicitud del titular.”

El § 1 del art. 19 refuerza además que “los datos personales se almacenarán en un formato que favorezca el ejercicio del derecho de acceso”, determinando el § 2 que “las informaciones y los datos podrán ser proporcionados, a discreción del titular:

I – por medios electrónicos, seguros y adecuados para tal fin; o

II – en forma impresa.”

Está claro que la LGPD pretende, a través de estos dispositivos, facilitar el acceso a los datos en todas sus formas.

Estas solicitudes deben pasarse al DPO responsable (DPO) para su procesamiento.

Cuando se traten estas solicitudes, se deberá enviar respuesta al interesado en el plazo de 15 días. Las solicitudes deben registrarse y monitorearse y se debe seguir el proceso del Procedimiento de solicitud de acceso a datos del sujeto.

El derecho a la portabilidad de los datos

La LGPD prevé, en su art. 18, V, derecho a la “portabilidad de los datos a otro prestador de servicios o productos, previa solicitud expresa y respetando secretos comerciales e industriales, de acuerdo con la normativa del organismo controlador”.

Se trata, por tanto, de un derecho que tiene como uno de sus principales objetivos el empoderamiento y refuerzo de la autodeterminación informativa de su titular. En efecto, la portabilidad busca permitir al titular un control efectivo sobre sus datos para las más diversas finalidades, permitiéndoles ser gestionados y reutilizados, incluso con el objetivo de facilitar la migración del titular a servicios competidores. Esto evita que los consumidores queden atados a un proveedor en particular (efecto bloqueo) debido a dificultades o incluso altos costos de cambio que resultarían de la “pérdida” de datos.

De ahí la idea de que el derecho a la portabilidad, para lograr estos fines, debe ser fácil, gratuito y garantizado para permitir la usabilidad de los datos de manera eficiente y segura.

Por tanto, el interesado debe tener derecho a recibir una copia de sus datos en un formato estructurado previa solicitud. Estas solicitudes deberán trabajarse en el plazo de un mes siempre que no supongan una carga indebida y no comprometa la privacidad de los demás. Un interesado también podrá solicitar que sus datos sean transferidos directamente a otro sistema. Esto debe hacerse de forma gratuita.

Según la LGPD, el interesado puede solicitar que sus datos personales sean transferidos de un responsable del tratamiento a otro.

Estas solicitudes deben remitirse al DPO responsable (DPO) para su tramitación.

Respecto a estas solicitudes, deberá enviarse respuesta al interesado en el plazo de un mes. Las solicitudes deben registrarse y monitorearse y se debe seguir el proceso descrito en el Procedimiento de Portabilidad de Datos.

El derecho a la rectificación

Dada la creciente importancia de los datos para la vida de las personas, es fundamental establecer un tipo de proceso legal en relación con los datos, que permita a los interesados corregir errores, inexactitudes o información desactualizada que pueda causarles daño. Según los términos de la LGPD, los interesados podrán solicitar que se corrija la información personal almacenada.

De conformidad con el § 6 del Art. 18 de la LGPD, el RESPONSABLE DPO (DPO) deberá informar inmediatamente a los encargados del tratamiento con quienes se han compartido los datos, garantizando la plena efectividad del mencionado derecho.

Respecto de estas solicitudes, se deberá enviar respuesta al interesado en el plazo de 15 días. Las solicitudes deben ser registradas y monitoreadas y se debe seguir el proceso descrito en el Procedimiento de Solicitud de Rectificación del Propietario.

El derecho a borrar

Según la LGPD, el interesado puede solicitar que la información personal almacenada sea borrada o eliminada, y cualquier tercero que procese o utilice estos datos también deberá cumplir con la solicitud. Una solicitud de supresión sólo podrá rechazarse en casos excepcionales.

Estas solicitudes deben pasarse al DPO responsable (DPO) para su procesamiento. Respecto a estas solicitudes, deberá enviarse respuesta al interesado en el plazo de un mes. Las solicitudes deben registrarse y monitorearse y se debe seguir el proceso descrito en el Procedimiento de solicitud de eliminación de sujetos.

El derecho a restringir el procesamiento

Según la LGPD, los interesados pueden solicitar la limitación del tratamiento de sus datos personales en los casos en que el interesado no desee que se supriman sus datos, pero tampoco desee que se traten.

Estas solicitudes deben pasarse al DPO responsable (DPO) para su procesamiento. Respecto a estas solicitudes, se deberá enviar respuesta al interesado en el plazo de 15 días. Las solicitudes deben registrarse y monitorearse y se debe seguir el proceso descrito en el Procedimiento de restricción de tratamiento.

El derecho a oponerse

Según la LGPD, los interesados pueden oponerse al tratamiento si sospechan que sus datos se están tratando de forma ilegal. Tras una objeción, se solicita al responsable del tratamiento que investigue la reclamación y comunique los resultados al interesado.

Estas solicitudes deben pasarse al DPO responsable (DPO) para su procesamiento. Cuando se traten estas solicitudes, se deberá enviar respuesta al interesado en el plazo de un mes. Las solicitudes deben ser registradas y monitoreadas y se debe seguir el proceso descrito en el Procedimiento de Solicitud de Oposición del Sujeto.

Derechos en relación con perfiles y decisiones automatizadas

Según la LGPD, los interesados tienen derecho a ser informados si son objeto de decisiones automatizadas y las posibles consecuencias que dichas decisiones automatizadas puedan tener sobre ellos. Para cumplir con este derecho, se debe proporcionar la información necesaria en su aviso de procesamiento legítimo y la recopilación y documentación del consentimiento se debe realizar como se describe en el Procedimiento de consentimiento de recopilación.

Monitoreo de cumplimiento

Todos deben observar esta política. EL FUNCIONARIO (DPO) tiene total responsabilidad por esta política. Debe haber un seguimiento continuo para garantizar que se respete esta política.

Auditoría y registro de datos

Se realizarán auditorías de datos con frecuencia para gestionar y mitigar los riesgos y proporcionar registro de datos. Contiene información sobre qué datos se almacenan, dónde se almacenan, cómo se utilizan, quién es el responsable y cualquier otro estándar o cronograma de retención que pueda ser relevante.

Denunciar infracciones

Todos los miembros del equipo tienen la obligación de informar los incumplimientos existentes o potenciales en materia de protección de datos. Esto nos permite: -

  • Investigar la falla y tomar medidas correctivas si es necesario.

  • Mantener un registro de incumplimientos

  • Notificar a la Autoridad de Supervisión [SA] sobre cualquier falla de cumplimiento que sea material por sí misma o como parte de un patrón de fallas.

Consecuencias del incumplimiento

Cuando un empleado haya violado las políticas o procedimientos de la empresa, se podrán tomar las siguientes acciones:

Advertencia escrita: una advertencia oficial de que cualquier infracción adicional dará lugar a medidas adicionales.

Eliminación de privilegios: se le puede prohibir al empleado realizar ciertas acciones, acceder a ciertos sistemas o usar ciertos dispositivos.

Acción correctiva: instruya al empleado a actuar de manera que no se produzcan otras infracciones, por ejemplo, mediante capacitación.

Terminación de la relación laboral - El empleado podrá ver terminada su relación laboral con la empresa.

Acción civil – El empleado puede sufrir sanciones legales y tener que pagar una indemnización de conformidad con la ley.

Acción penal - La empresa pasará los detalles de la infracción a las autoridades con la intención de presentar cargos.

Terceros contratados

En los casos en que un tercero contratado haya incumplido obligaciones contractuales en materia de protección de datos, se podrán adoptar las siguientes acciones:

Advertencia escrita: una advertencia oficial de que cualquier infracción adicional dará lugar a medidas adicionales.

Eliminación de privilegios - Se prohibirá al tercero contratado realizar determinadas acciones, acceder a determinados sistemas o utilizar determinados dispositivos

Acción correctiva: instruir al tercero contratado para que actúe de manera que no se produzcan otras infracciones, por ejemplo, mediante capacitación.

Auditoría de seguridad: una auditoría de los sistemas de terceros contratados para garantizar que aún cumplan con sus obligaciones.

Terminación del contrato - El tercero contratado ya no debe ser contratado para trabajar para la empresa

Acción civil - Se puede reclamar una indemnización legal contra el tercero contratado

Acción penal l - La empresa pasará los detalles de la infracción a las autoridades con la intención de presentar cargos.

bottom of page