Política de protección de datos

1. Definiciones

1.1 Consentimiento – se refiere a cualquier indicación libre, específica, informada e inequívoca de la voluntad del interesado mediante la cual éste, a través de una declaración o una acción afirmativa clara, manifieste su acuerdo con el tratamiento de datos personales.

1.2 Responsable del tratamiento – la persona física o jurídica, autoridad pública, agencia u otro organismo que, por sí sola o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales; cuando los fines y medios de dicho tratamiento estén determinados por la legislación de la Unión o de un Estado miembro, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos en la legislación de la Unión o de un Estado miembro.

1.3 Sujeto de datos – cualquier persona viva que sea objeto de datos personales en poder de una organización.

1.4 Datos personales – cualquier información relativa a una persona física identificada o identificable; se entiende por persona física identificable aquella que pueda ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

1.5 Introducción de datos personales – cualquier violación de la seguridad que dé lugar a la destrucción, la pérdida, la alteración, la revelación o el acceso no autorizados de datos personales transmitidos, almacenados o tratados de otro modo, ya sea accidental o ilícitamente. El responsable del tratamiento tiene la obligación de informar a la autoridad de control de las infracciones de los datos personales y cuando la infracción pueda afectar negativamente a los datos personales o a la intimidad del interesado.

1.6 Procesamiento – cualquier operación o conjunto de operaciones que se realice sobre datos personales o sobre conjuntos de datos personales, ya sea por medios automatizados o no, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, ajuste o combinación, restricción, supresión o destrucción.

1.7 Procesador – una persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales en nombre del responsable del tratamiento.

1.8 Perfil – es cualquier forma de tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales relacionados con una persona física, o a analizar o predecir el rendimiento laboral, la situación económica, la ubicación, la salud, las preferencias personales, la fiabilidad o el comportamiento de dicha persona. Esta definición está vinculada al derecho del interesado a oponerse a la elaboración de perfiles y a ser informado de la existencia de los mismos, de las medidas basadas en la elaboración de perfiles y de los efectos previstos de la elaboración de perfiles en la persona.

1.9 Categorías especiales de datos personales – los datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la pertenencia a sindicatos, así como el tratamiento de datos genéticos, datos biométricos con el fin de identificar de forma exclusiva a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

1.10 Terceros – una persona física o jurídica, autoridad pública, organismo u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas que, bajo la autoridad directa del responsable del tratamiento, estén autorizadas a tratar datos personales.

2. Propósito

2.1 EasyTranslate se compromete a llevar a cabo su negocio de acuerdo con todas las leyes y normativas aplicables de protección de datos y de acuerdo con los más altos estándares de conducta ética. EasyTranslate es el responsable del tratamiento de acuerdo con las leyes de protección de datos, lo que significa que determina los fines para los que se utilizará la información personal almacenada.

2.2 Esta política establece los comportamientos esperados de todos los empleados de EasyTranslate y de terceros en relación con la recopilación, uso, retención, transferencia, divulgación y destrucción de cualquier dato personal perteneciente a un sujeto de datos.

2.3 Datos personales es cualquier información (incluyendo opiniones e intenciones) que se refiera a una persona física identificada o identificable. Los datos personales están sujetos a ciertas salvaguardias legales y otras regulaciones, que imponen restricciones sobre la forma en que las organizaciones pueden procesar los datos personales. Una organización que maneja datos personales y toma decisiones sobre su uso se conoce como controlador de datos. EasyTranslate, como controlador de datos, es responsable de garantizar el cumplimiento de los requisitos de protección de datos descritos en esta política.

2.4 El liderazgo de EasyTranslate está totalmente comprometido a asegurar la implementación continua y efectiva de esta política, y espera que todos los empleados y Terceros compartan este compromiso. Cualquier incumplimiento de esta política será tomado en serio y puede resultar en acciones disciplinarias o sanciones comerciales.

3. Campo de aplicación

3.1 Esta política se aplica a todas las entidades de EasyTranslate que procesan datos personales.

3.2 Esta política se aplica a todo el tratamiento de datos personales en formato electrónico o en archivos manuales que estén estructurados de forma que contengan información sobre las personas.

4. Principios básicos

4.1 EasyTranslate ha adoptado los siguientes principios para regular la recogida, uso, retención, transferencia, divulgación y destrucción de datos personales:

  • Legalidad, equidad y transparencia: Los datos personales se tratan de forma legal, justa y transparente en relación con el interesado.
  • Limitación de la finalidad: Los datos personales recogidos tendrán una finalidad específica, explícita y legítima.
  • Minimización de datos: Los datos personales recogidos serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
  • Exactitud: Los datos personales recogidos serán exactos y, en su caso, actualizados.
  • Limitación del almacenamiento: Los datos personales no se conservarán más tiempo del necesario para los fines para los que fueron tratados.
  • Integridad y confidencialidad: Los datos personales se tratarán de manera que se garantice la seguridad adecuada de los datos personales, incluida la protección contra su tratamiento no autorizado o ilícito y contra su pérdida, destrucción o deterioro accidentales, utilizando las medidas técnicas u organizativas adecuadas.
  • Rendición de cuentas: EasyTranslate será responsable y podrá demostrar el cumplimiento de los principios mencionados anteriormente. Esta política proporciona la base para el cumplimiento de esta responsabilidad.

5. Legalidad del tratamiento

5.1 EasyTranslate procesará los datos personales de acuerdo con todas las leyes aplicables y las obligaciones contractuales aplicables.

5.2 Más específicamente, EasyTranslate no procesará datos personales a menos que sea aplicable uno de los otros fundamentos disponibles para el procesamiento. Como ejemplos no exhaustivos de estos motivos válidos cabe mencionar los siguientes:

  • El titular ha dado su consentimiento válido.
  • Tratamiento necesario para la ejecución de un contrato en el que el titular sea parte o para tomar medidas a petición del interesado antes de celebrar un contrato.
  • El tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento.

5.3 En la medida en que EasyTranslate procese categorías especiales de datos (también conocidas como datos sensibles), dichos procesos recibirán especial atención en la gestión de los datos personales. En particular, dicho tratamiento solo tendrá lugar si se cumplen los requisitos más estrictos para el tratamiento de categorías especiales de datos.  Como ejemplos no exhaustivos de estos motivos válidos cabe mencionar los siguientes:

  • El titular ha dado su consentimiento válido.
  • El tratamiento se refiere a datos personales que el interesado ya ha hecho públicos.
  • El tratamiento es necesario para el establecimiento, ejercicio o defensa de derechos legales.
  • El tratamiento está específicamente autorizado o requerido por la ley.

6. Información a los interesados

6.1 EasyTranslate, cuando lo exija la ley aplicable, el contrato, o cuando considere que es razonablemente apropiado hacerlo, proporcionará a los sujetos de los datos información sobre la finalidad del tratamiento de sus datos personales.

6.2 Cuando se recopilen datos personales, se realizarán todas las revelaciones apropiadas, de una manera que llame la atención sobre los mismos, a menos que se aplique alguna de las siguientes condiciones:

  • El sujeto de los datos ya tiene la información
  • Una exención legal se aplica a los requisitos de divulgación y/o consentimiento.

6.3 A modo de ejemplo no exhaustivo, EasyTranslate ha implementado los siguientes métodos estándar para proporcionar información a los interesados:

  • Todos los datos personales procesados en el sitio web de EasyTranslate se describen en una Política de privacidad que se pone a disposición de todos los usuarios del sitio web de EasyTranslate.
  • Todos los datos personales procesados por los propios empleados de EasyTranslate se describen en los contratos de trabajo de cada empleado.

7. Cumplimiento continuo de los principios básicos

7.1 Los principios básicos del tratamiento lícito descritos en la sección 4 también se aplicarán cuando los mismos datos personales sean posteriormente almacenados, utilizados y/o compartidos.

7.2 En particular, es esencial asegurarse de que cualquier cambio en la finalidad del tratamiento de datos personales,

7.3 También es esencial que todos los Datos Personales almacenados en todo momento sean exactos y estén actualizados.[1] Para lograr este objetivo, EasyTranslate ha implementado los siguientes procedimientos:

  • Corregir los datos personales que se sepa que son incorrectos, inexactos, incompletos, ambiguos, engañosos o desactualizados, incluso si el titular no solicita su rectificación.
  • Solo se almacenarán los datos personales durante el período necesario para satisfacer los usos permitidos o el período de retención legal aplicable.
  • Restricción, en lugar de eliminación de datos personales, en la medida en que:
    • una ley prohíba el borrado.
    • la supresión perjudicaría los intereses legítimos del interesado.
    • el titular cuestione que sus datos personales sean correctos y no se pueda determinar claramente si su información es correcta o incorrecta.

8. Traspasos dentro del grupo de sociedades

8.1 Para que EasyTranslate pueda llevar a cabo sus operaciones de forma eficaz en sus distintas entidades, puede haber ocasiones en las que sea necesario transferir datos personales de una entidad a otra, o permitir el acceso a los datos personales desde una ubicación en el extranjero. En caso de que esto ocurra, la entidad EasyTranslate que envía los datos personales sigue siendo responsable de garantizar la protección de dichos datos personales. Todas las entidades de EasyTranslate están situadas dentro de la UE.

9. Transferencias a terceros

9.1 EasyTranslate solo transferirá datos personales a, o permitirá el acceso a, terceros cuando se asegure que la información será procesada legítimamente y protegida adecuadamente por el destinatario. En los casos en que se lleve a cabo el procesamiento por parte de terceros, EasyTranslate identificará en primer lugar si, de acuerdo con la legislación aplicable, el tercero es considerado un controlador de datos o un procesador de datos de los datos personales que se están transfiriendo.

9.2 Cuando se considere que el tercero es un controlador de datos, la entidad EasyTranslate celebrará un acuerdo apropiado con el controlador para aclarar las responsabilidades de cada una de las partes con respecto a los datos personales transferidos.

9.3 En el caso de que se considere que el tercero es un procesador de datos, EasyTranslate celebrará un acuerdo con el procesador de datos.

10. Uso de procesadores de datos

10.1 EasyTranslate firmará un acuerdo con todos sus procesadores de datos.

10.2 El acuerdo debe requerir que el procesador de datos proteja los datos personales contra su divulgación y que solo procese los datos personales de acuerdo con las instrucciones de EasyTranslate. Además, el acuerdo requerirá que el responsable del tratamiento aplique las medidas técnicas y organizativas adecuadas para proteger los datos personales, así como los procedimientos para notificar las violaciones de datos personales.

10.3 Cuando EasyTranslate externaliza servicios a un tercero (incluidos los servicios de Cloud Computing), identificará si el tercero procesará los datos personales en su nombre y si la externalización implicará la transferencia de datos personales a un tercer país. En cualquier caso, se asegurará de incluir las disposiciones adecuadas en el acuerdo de subcontratación para tales transferencias de Procesamiento y de Terceros Países.

11. Transferencia de datos personales fuera de la UE

11.1 EasyTranslate solo transferirá datos personales a destinatarios internos o de terceros ubicados en países fuera de la Unión Europea cuando se cumplan las condiciones para dicha transferencia.

12. Seguridad

12.1 EasyTranslate adoptará medidas físicas, técnicas y organizativas para garantizar la seguridad de los datos personales. Esto incluye la prevención de pérdidas o daños, alteraciones no autorizadas, acceso o tratamiento, y otros riesgos a los que pueda estar expuesto en virtud de la acción humana o del entorno físico o natural.

12.2 El conjunto mínimo de medidas de seguridad que EasyTranslate debe adoptar se encuentra en la Política de Seguridad de la Información. A continuación se ofrece un resumen de las medidas de seguridad relacionadas con los datos personales:

  • Evitar que personas no autorizadas accedan a los sistemas de tratamiento de datos en los que se procesan los datos personales.
  • Impedir que las personas con derecho a utilizar un sistema de tratamiento de datos accedan a los datos personales más allá de sus necesidades y autorizaciones.
  • Asegurarse de que los datos personales durante la transmisión electrónica durante el transporte no puedan ser leídos, copiados, modificados o eliminados sin autorización.
  • Asegurarse de que existan registros de acceso para establecer si los datos personales se introdujeron, modificaron o eliminaron de un sistema de procesamiento de datos, y quién lo hizo.
  • Asegurarse de que en el caso de que el procesamiento sea llevado a cabo por un procesador de datos, los datos pueden ser procesados solo de acuerdo con las instrucciones del controlador de datos.
  • Asegurarse de que los datos personales estén protegidos contra su destrucción o pérdida indeseada.
  • Asegurarse de que los datos personales recogidos para diferentes propósitos puedan y sean procesados por separado.
  • Asegurarse de que los datos personales no se guardan más tiempo del necesario.

13. Denuncia de infracciones

13.1 Cualquier persona que sospeche que se ha producido una violación de datos personales debido al robo o a la exposición de datos personales deberá notificarlo inmediatamente al responsable de la protección de datos, Juli B. Bexkens, facilitando una descripción de lo ocurrido. La notificación de la incidencia se puede realizar a través del correo electrónico gdpr@easytranslate.com o llamando a los números de teléfono de cada mercado:

·       Dinamarca +45 70 20 55 50

·       Noruega +47 21 38 03 03

·       Suecia +46 8 446 831 84

·       Alemania +49 40 8740 9534

·       Reino Unido +44 20 3868 8596

·       Holanda +31 20 808 3603

·       Francia +33 1 7635 0562

·       Austria +43 720 815 987

·       Suiza +41 43 508 331

·       Bélgica +32 2 588 4108

·       Luxemburgo +35 2 2786 0245

13.2 El responsable de la protección de datos investigará todos los incidentes denunciados para confirmar si se ha producido o no una violación de datos personales. Si se confirma una violación de datos personales, el responsable de la protección de datos seguirá el procedimiento autorizado pertinente en función de la criticidad y la cantidad de los datos personales de que se trate, evaluados mediante la realización de una evaluación de impacto de la protección de datos (EIPD).

14. Limitación del período de retención

14.1 Para garantizar un procesamiento justo, EasyTranslate no conservará los datos personales durante más tiempo del necesario en relación con los fines para los que fueron recogidos originalmente, o para los que fueron procesados posteriormente.

14.2 El período de tiempo durante el cual EasyTranslate debe conservar los datos personales se establece en el programa de conservación de datos personales. Esto tiene en cuenta los requisitos legales y contractuales, tanto mínimos como máximos, que influyen en los períodos de retención establecidos en la lista. Todos los datos personales deben eliminarse o destruirse lo antes posible cuando se haya confirmado que ya no es necesario conservarlos.

15. Notificación al responsable de la protección de datos

15.1 Todas las solicitudes recibidas de acceso o rectificación de datos Personales deben dirigirse al responsable de protección de datos designado, quien registrará cada solicitud a medida que la reciba.

15.2 El responsable de la protección de datos observará que todas las solicitudes de los interesados se tratan de acuerdo con los apartados 16-18 siguientes.

16. Procedimiento de tratamiento de las solicitudes de los interesados

16.1 El responsable de la protección de datos ha establecido un sistema para permitir y facilitar el ejercicio de los derechos de los interesados relacionados con:

  • Acceso a la información.
  • Objeción al procesamiento.
  • Objeción a la toma de decisiones automatizada y a la elaboración de perfiles.
  • Restricción de procesamiento.
  • Portabilidad de datos.
  • Rectificación de datos.
  • Borrado de datos.

16.2 Si una persona realiza una solicitud relacionada con cualquiera de los derechos mencionados anteriormente, EasyTranslate considerará cada una de dichas solicitudes de acuerdo con todas las leyes y reglamentos de protección de datos aplicables. No se cobrará ninguna tasa de administración por considerar y/o cumplir con dicha solicitud inicial, a menos que se considere que la solicitud es innecesaria o excesiva debido a solicitudes repetitivas.

17. Acceso a la información

17.1 Los interesados tienen derecho a obtener, previa solicitud por escrito a la oficina de protección de datos y previa verificación de su identidad, la siguiente información sobre sus propios datos personales:

  • La finalidad de la recogida, tratamiento, uso y almacenamiento de sus datos personales.
  • La(s) fuente(s) de los datos personales, si no se han obtenido del titular;
  • Las categorías de datos personales almacenados para el titular.
  • Los destinatarios o categorías de destinatarios a los que se han transmitido o pueden transmitirse los datos personales, así como la ubicación de dichos destinatarios.
  • El período previsto de almacenamiento de los datos personales o la razón por la que se determina el período de almacenamiento.
  • El uso de cualquier proceso automatizado de toma de decisiones, incluyendo la elaboración de perfiles.

18. Tiempo de respuesta

18.1 La respuesta a cada solicitud se dará dentro de los 30 días siguientes a la recepción de la solicitud escrita del interesado. Una verificación adecuada deberá confirmar que el solicitante es el interesado o su representante legal autorizado. Las personas a las que se refieren los datos tendrán derecho a exigir [Company] la corrección o complementación de datos personales erróneos, engañosos, obsoletos o incompletos. Si [Company] no puede responder plenamente a la solicitud en el plazo de 30 días, la Oficina de Protección de Datos facilitará, no obstante, la siguiente información al interesado o a su representante legal autorizado en el plazo especificado:

  • Un acuse de recibo de la solicitud.
  • Cualquier información localizada hasta la fecha.
  • Detalles de cualquier información solicitada o modificaciones que no se facilitarán al interesado, los motivos de la denegación y los procedimientos disponibles para apelar la decisión.
  • Una fecha estimada para la cual se proporcionarán las respuestas restantes.
  • Una estimación de cualquier coste que deba pagar el interesado (por ejemplo, si la solicitud es de naturaleza excesiva).
  • El nombre y los datos de contacto de la persona con la que EasyTranslate debe ponerse en contacto para el seguimiento.

19. Responsable de la protección de datos

19.1 Para demostrar nuestro compromiso con la protección de datos y para mejorar la eficacia de nuestros esfuerzos de cumplimiento, EasyTranslate ha nombrado a un empleado para que sea el supervisor principal de EasyTranslate en el cumplimiento de las normas de protección de datos (el RPD).

19.2 El RPD depende directamente del CEO de EasyTranslate.

19.3 Las funciones del RPD son las siguientes:

  • Informar y asesorar a EasyTranslate y a sus empleados que llevan a cabo el tratamiento de acuerdo con la normativa de protección de datos, la legislación nacional o las disposiciones de protección de datos basadas en sindicatos;
  • Asegurar la alineación de esta política con la normativa de protección de datos, la legislación nacional o las disposiciones de protección de datos basadas en la Unión;
  • Proporcionar orientación con respecto a la realización de evaluaciones de impacto de la protección de datos (EIPD);
  • Actuar como punto de contacto y cooperación con las autoridades de protección de datos (APD);
  • Determinar la necesidad de notificaciones a una o más APD como resultado de las actividades de procesamiento de datos personales actuales o previstas de EasyTranslate;
  • Realizar y mantener notificaciones actuales a una o más APD como resultado de las actividades de procesamiento de datos personales actuales o previstas de EasyTranslate;
  • El establecimiento y funcionamiento de un sistema que proporcione respuestas rápidas y adecuadas a las solicitudes de los interesados;
  • Informar a los altos directivos, funcionarios y directores de EasyTranslate de cualquier posible sanción corporativa, civil o penal que pueda imponerse a EasyTranslate y/o a sus empleados por violación de las leyes de protección de datos aplicables.
  • Asegurar el establecimiento de procedimientos y disposiciones contractuales estándar para obtener el cumplimiento de esta política por parte de cualquier tercero que:
    • proporcione datos personales a EasyTranslate
    • reciba datos personales de EasyTranslate
    • tenga acceso a datos personales recogidos o procesados por EasyTranslate.

20. Conocimiento

20.1 El equipo directivo de EasyTranslate se asegurará de que todos los empleados de EasyTranslate responsables del tratamiento de datos personales conozcan y cumplan con el contenido de esta política.

20.2 Todos los empleados de EasyTranslate que tengan acceso a los Datos Personales tendrán sus responsabilidades bajo esta política descritas como parte de la formación inicial de su personal. Además, cada una de las entidades de EasyTranslate proporcionará formación periódica en materia de protección de datos y orientación sobre procedimientos a su personal.

20.3 La formación y las directrices de procedimiento establecidas consistirán, como mínimo, en los siguientes elementos:

  • Los Principios de Protección de Datos establecidos en la sección 4 anterior.
  • La obligación de cada empleado de utilizar y permitir el uso de los datos personales solo por personas autorizadas y para fines autorizados.
  • La necesidad de, y el uso apropiado de, las formas y procedimientos adoptados para implementar esta política.
  • El uso correcto de contraseñas, tokens de seguridad y otros mecanismos de acceso.
  • La importancia de limitar el acceso a los datos personales, por ejemplo, utilizando protectores de pantalla protegidos por contraseña y saliendo cuando los sistemas no están siendo atendidos por una persona autorizada.
  • Almacenamiento seguro de archivos manuales, impresos y medios de almacenamiento electrónico.
  • La necesidad de obtener la autorización adecuada y de utilizar las salvaguardias adecuadas para todas las transferencias de datos personales fuera de la red interna y de los locales físicos de la oficina.
  • Eliminación adecuada de los datos personales mediante el uso de instalaciones seguras de destrucción de datos.
  • Cualquier riesgo especial asociado con actividades o funciones específicas del departamento.

21. Gobierno de terceros y procesadores de datos

21.1 Además, EasyTranslate se asegurará de que todos los terceros encargados del tratamiento de datos personales en nombre de EasyTranslate (es decir, sus procesadores de datos) conozcan y cumplan con el contenido de esta política.

21.2 La garantía de dicho cumplimiento debe obtenerse de todos los terceros, ya sean empresas o particulares, antes de concederles acceso a los Datos Personales controlados por EasyTranslate.

22. Evaluaciones de impacto de la protección de datos

22.1 El responsable de la protección de datos velará por que se realice una evaluación de impacto de la protección de datos, en cooperación con la Oficina de Protección de Datos, para todos los sistemas o procesos nuevos o revisados de los que sea responsable. En su caso, el departamento de Tecnologías de la Información (TI), como parte de su proceso de revisión del diseño del sistema informático y de las aplicaciones, cooperará con el Supervisor de Protección de Datos para evaluar el impacto de cualquier uso de nuevas tecnologías en la seguridad de los datos personales.

23. Monitoreo del cumplimiento

23.1 Para confirmar que EasyTranslate ha alcanzado un nivel de cumplimiento adecuado en relación con esta política, el responsable de la protección de datos llevará a cabo una auditoría anual de cumplimiento de la protección de datos para todas las partes relevantes de la organización. Cada auditoría evaluará, como mínimo, lo siguiente:

  • Cumplimiento de la Política de Protección de Datos de Carácter Personal, incluyendo la asignación de responsabilidades, sensibilización y formación de los empleados.
  • La eficacia de las prácticas operativas relacionadas con la protección de datos,
  • El nivel de comprensión de las políticas de protección de datos y avisos de privacidad.
  • La exactitud de los datos personales almacenados.
  • La conformidad de las actividades del procesador de datos.
  • La adecuación de los procedimientos para subsanar el incumplimiento y las violaciones de datos personales.

23.2 El RPD, en cooperación con las principales partes interesadas de la dirección, elaborará un plan con un calendario para corregir las deficiencias detectadas en un plazo definido y razonable.