POLÍTICA DE CONFIDENCIALIDAD DE LA EMPRESA
1. Objetivo
Este documento contiene la política de confidencialidad que ejecuta el Grupo Herstal, en lo sucesivo denominado «la empresa», en el marco de sus actividades. La empresa se compone de las siguientes entidades jurídicas:
- HERSTAL SA
- FN HERSTAL
- BROWNING International
- BROWNING SA
- HERSTAL Group Services
La protección de su intimidad y datos personales es de la mayor importancia para la empresa.
Esta política de confidencialidad ha sido elaborada para garantizar el cumplimiento del Reglamento Europeo 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, o RGPD).
El objetivo de esta política de confidencialidad es informarle a usted sobre cómo la empresa recoge, usa y conserva sus datos.
2. ¿Cuál es el alcance de esta política?
¿Qué incluye la frase «tratamiento de sus datos» y quién es responsable del tratamiento?
Recogemos y usamos solo los datos personales necesarios para nuestras actividades y que nos permiten ofrecer servicios de calidad.
Por consiguiente, somos el punto de contacto tanto de usted como de las autoridades de control (por ejemplo, «la Autoridad de Protección de Datos») para toda cuestión relativa al uso de sus datos.
Para ciertos servicios, recurrimos a terceros especializados que, en casos concretos, intervienen como encargados del tratamiento de datos. En tal caso, deben cumplir nuestras directrices y nuestra política de confidencialidad. En otros casos, estos terceros son también (co)responsables del tratamiento de datos, y deben, a su vez, cumplir las disposiciones legales de este ámbito.
Para ello, nos ocupamos de que estos encargados del tratamiento solo reciban los datos que son estrictamente necesarios para ejecutar su parte del contrato.
Además, podemos intervenir como encargados del tratamiento para otras entidades jurídicas. En tal caso, esas entidades son las responsables del tratamiento de los datos personales. Nosotros cumplimos sus instrucciones. ¿Qué datos están sujetos a nuestra política?
Los datos a los que son de aplicación esta política son datos personales de personas físicas, es decir, datos que identifican directa o indirectamente a una persona.
En el marco de sus relaciones e interacciones con la empresa, probablemente deberemos recoger diversos datos personales, como por ejemplo:
- datos de identificación y contacto (por ejemplo: su tratamiento, nombre, dirección, fecha y lugar de nacimiento, número del Registro Nacional, número de cuenta , número de teléfono, dirección electrónica, dirección IP, profesión);
- situación familiar (por ejemplo: estado civil, número de hijos);
- datos bancarios, datos financieros y datos de transacciones (por ejemplo: datos de contacto del banco, números de cuenta, datos relativos a transferencias, incluidas las comunicaciones, y en general, todos los datos registrados al ejecutar sus transferencias bancarias);
- datos relativos a su comportamiento y costumbres en relación con el uso de nuestros canales (por ejemplo: nuestra ciberpágina) y nuestros productos;
- datos relativos a sus preferencias e intereses, que nos comunica usted directa o indirectamente, por ejemplo, por medio de su participación en nuestros actos o encuestas, etc;
- datos procedentes de sus interacciones en nuestras páginales especiales en redes sociales (ejemplos: Facebook y LinkedIn);
Nunca tratamos datos relativos a su origen racial o étnico, opiniones políticas, religión, convicciones filosóficas o afiliación a un sindicato, datos genéticos, vida sexual u orientación sexual, a menos que sean necesarios por ley o que sea consecuencia de lo que usted hace con nuestros productos y servicios.
3. Principios rectores en el tratamiento de datos personales
Cumplimos, entre otros, los siguientes principios en el tratamiento de datos personales en el marco de la gestión y ejecución de nuestros compromisos:
- Tratamiento de datos legal: tratamos datos personales de manera legal en el marco de nuestras actividades;
- Objetivos concretos y limitación de objetivos: recogemos y tratamos datos personales para los objetivos legales mencionados más abajo;
- Minimalización de tratamiento de datos: limitamos el tratamiento de datos personales a lo necesario para nuestras actividades;
- Exactitud de datos personales: tomamos todas las medidas razonales para encargarnos de que los datos personales son exactos y que son rectificados inmediatamente y/o eliminados en caso de que parezca que ya no lo son;
- Limitación de tratamiento y conservación: no trataremos y conservaremos datos personales más del tiempo necesario para la ejecución de nuestras actividades;
- Medidas de seguridad: tomamos las medidas adecuadas técnicas y/o organizativas para la seguridad de los datos personales.
4. ¿Cuándo son recogidos sus datos personales?
Los datos que utilizamos para controlar o ampliar nuestros bancos de datos pueden ser recogidos directamente por usted o recibidos de las siguientes fuentes:
- publicaciones/bancos de datos que han sido puestos a disposición de la opinión pública por las autoridades oficiales (por ejemplo: Boletín Oficial del Estado de Bélgica);
- las empresas a las que suministramos o nuestros prestadores de servicios;
- ciberpáginas/páginas de redes sociales con información que ha hecho pública usted (por ejemplo: su ciberpágina o red social);
- bancos de datos hechos públicos por terceros.
Algunos de sus datos también pueden ser recogidos por la empresa, a saber:
- cuando se convierte usted en cliente o proveedor;
- cuando debe usted visitar nuestras instalaciones o solicitar una visita;
- cuando se registra usted para usar nuestros servicios en línea (a cada identificación o uso);
- cuando rellena usted los formularios y contratos que le presentamos;
- cuando utiliza usted nuestros servicios y productos tras la firma de un contrato;
- cuando se abona usted a nuestros boletines de noticias;
- cuando se pone usted en contacto con nosotros a través de los distintos canales de los que usted dispone;
- cuando sus datos son publicados o transmitidos por terceros autorizados o proveedores de datos profesionales;
- cuando es usted filmado por nuestras cámaras de seguridad que se encuentran en nuestros locales/edificios o alrededor de ellos.
Las imágenes solo son grabadas para proteger la seguridad de bienes y personas, y para evitar abusos, fraude y otras infracciones contra nuestros clientes y/o nuestro personal (su presencia es indicada por medio de pegatinas con nuestros datos de contacto).
5. ¿En base a qué, y por qué usamos sus datos personales?
Tratamos sus datos personales para diversos objetivos. En cada tratamiento, solo son tratados los datos relevantes para el objetivo buscado.
En general, usamos sus datos personales:
- en el marco de la ejecución de un contrato o para tomar medidas precontractuales;
- para cumplir las disposiciones legales y reglamentarias a las que estamos sujetos;
- por razones que corresponden a un interés legítimo de la empresa (véanse las ilustraciones de más abajo). Cuando realizamos este tipo de tratamiento, nos encargamos de que haya un equilibrio entre dicho interés legítimo y el respeto de su vida privada;
- cuando hemos obtenido su permiso.
Los datos personales son tratados por la empresa para, entre otros, los siguientes fines, pero sin limitarse a ellos:
- proporcionarle a usted información sobre nuestros productos y servicios;
- ayudarle y contestar a sus peticiones;
- hacer posible una buena ejecución de los acuerdos contraídos;
- encargarnos de la gestión financiera y contable de la empresa;
- ocuparnos de una buena gestión de clientes, material, servicios postventa y proveedores;
- establecer perfiles de usuarios siempre que haya dado usted permiso para ello; realizar actividades de información y/o promoción en el ámbito de productos y servicios de las sociedades de su grupo y/o de sus socios comerciales;
- mejorar los servicios existentes o los servicios en desarrollo por medio de encuestas a clientes o clientes potenciales, estadísticas, pruebas, observaciones que usted nos envíe directamente o que usted publique en nuestras ciberpáginas;
- cumplir las obligaciones legales y reglamentarias, incluidas respuestas a peticiones oficiales de las autoridades públicas o judiciales debidamente autorizadas;
- detectar y evitar abusos y fraude: tratamos y gestionamos datos de contacto y de seguridad (lector de tarjetas, contraseña, etc) para validar, hacer un seguimiento y garantizar la seguridad de transacciones y comunicaciones a través de nuestros canales externos;
- encargarnos de la prestación del servicio recurriendo a encargados del tratamiento;
- encargarnos de hacer un seguimiento de nuestras actividades de investigación y desarrollo;
- mejorar la calidad del servicio individual a nuestros clientes y socios;
- realizar actividades de prospección relativas a los servicios de la empresa;
- encargarnos de la seguridad de nuestros edificios e infraestructura, así como de las personas que están en esos lugares.
6. ¿Quién tiene acceso a sus datos y a quién se transmiten?
Solo los usuarios autorizados tienen acceso a sus datos personales para cumplir los objetivos mencionados más arriba. Por usuario autorizado, se entenderán las personas que en el marco del desempeño de su función en la empresa tienen permiso en el marco de las actividades que realizan para tratar datos personales en virtud de las directrices de la empresa.
Para cumplir los objetivos mencionados, la empresa proporciona sus datos personales a:
- el auditor externo;
- el interventor acreditado;
- el asesor jurídico;
- el consultor financiero;
- otro profesional y/o prestador de servicios/asesor;
- organismos bancarios, compañías de seguros/fondos;
- empresas de tecnología de la información o prestadores de servicios de programas informáticos y almacenamiento electrónico de datos (servidores, etc);
- autoridades judiciales, administrativas o policiales.
7. Durante cuánto tiempo conservamos sus datos?
Conservamos sus datos personales todo el tiempo necesario para cumplir la legislación y reglamentación aplicable, o durante otro periodo que hay que tener en cuenta en relación con limitaciones operativas como una correcta contabilidad, una gestión eficaz de la relación con clientes y socios, y las respuestas a procedimientos judiciales o peticiones de autoridades.
Ciertos datos son archivados durante periodos más largos para cumplir nuestras obligaciones legales y para fines probatorios, en particular para preservar sus derechos. Dichos datos archivados solo son accesibles como pruebas en procedimientos judiciales, control por una autoridad habilitada (por ejemplo, por la Agencia Tributaria) a fines de presentación de documentos a autoridades judiciales y administrativas o servicios policiales.
8. Seguridad y confidencialidad
La empresa se compromete a tomar las medidas técnicas, físicas y organizativas que sean necesarias y adecuadas para proteger los datos personales contra un acceso no autorizado, un tratamiento ilícito y no autorizado, pérdida involuntaria y destrucción ilícita. Estas medidas serán evaluadas regularmente y si es necesario, actualizadas para garantizar la máxima protección de los datos personales de los interesados.
En caso de piratería o fuga informática, como se describe más abajo, se tomarán las medidas necesarias/adecuadas para establecer el alcance y las consecuencias para ponerles fin lo más rápido posible y, si procede, limitar su impacto respecto a los afectados.
9. Cuáles son sus derechos?
De conformidad con la legislación aplicable, tiene usted diversos derechos:
- derecho a solicitar el acceso a sus datos personales (A)
- derecho de rectificación (A)
- derecho a suprimir datos personales (A)
- derecho de oposición contra el tratamiento (B)
- derecho a retirar el permiso (B)
- derecho a solicitar la limitación del tratamiento (B)
- derecho a la transferibilidad de los datos (C)
A. Derecho a acceso, rectificación y supresión
Todo interesado tiene derecho a solicitar acceso. Si un interesado hace uso de este derecho, la empresa tendrá la obligación de proporcionarle información sobre este asunto, entre otros:
- dar una descripción y una copia de los datos personales;
- informar al interesado sobre las razones por las que la empresa trata esos datos.
Si los datos son incorrectos o incompletos, el interesado podrá solicitar su rectificación.
En ciertas circunstancias y de conformidad con la legislación relativa a la protección de datos, el interesado podrá solicitar la supresión de un dato personal relativo a él, entre otos, si dicho dato personal ya no es necesario para los fines para los que ha sido recogido o tratado. Sin embargo, la empresa podrá negarse a suprimir dichos datos, por ejemplo, para la presentación, empleo o prueba de un derecho en un procedimiento judicial.
Para mantener sus datos perfectamente actualizados, le pedimos que nos comunique toda modificación (por ejemplo: cambio de estado civil, cambio de domicilio).
B. Derecho de oposición o de limitación del tratamiento de sus datos, y derecho a retirar su permiso ?
Tiene usted derecho a oponerse a ciertos tratamientos de sus datos personales que nos gustaría realizar. En particular, tiene usted derecho, sin tener que justificarlo, a oponerse al uso de sus datos para fines de prospección. Además, puede usted solicitar la limitación del tratamiento de sus datos.
Sin embargo, este derecho solo podrá ser ejercido con ciertas condiciones:
1) su petición deberá estar fechada y firmada;
2) para casos distintos de oposición a fines de prospección, deberá usted tener razones graves y justificadas relacionadas con su situación específica para oponerse a la realización del tratamiento. En caso de oposición justificada, el tratamiento en cuestión ya no podrá estar relacionado con dichos datos.
Sin embargo, usted no podrá oponerse a un tratamiento necesario para la ejecución de un contrato celebrado con usted o para la ejecución de medidas precontractuales que hayan sido tomadas a petición de usted; ni contra el cumplimiento de una disposición legal o reglamentaria a la que estemos sujetos.
Si ha autorizado usted el tratamiento de sus datos personales, tiene derecho a retirar en todo momento dicha autorización.
C. Derecho a la transferibilidad ?
Si es necesario y siempre que sea de aplicación, el interesado podrá pedir que se le envíen ciertos datos personales que ha dado a la empresa en el marco de la gestión y ejecución de sus actividades, y transferirlos a otro responsable del tratamiento. Si ello es técnicamente posible, el interesado podrá solicitar a la empresa que transmita directamente dichos datos a otro responsable del tratamiento.
De conformidad con la legislación, tiene usted derecho a presentar una reclamación a la autoridad de control competente.
10. Transferencia de datos fuera del Espacio Económico Europeo (EEE) ?
En el caso de transferencia desde el EEE a un país tercero sobre el que la Comisión Europea ha emitido una decisión de adecuación por la que se otorga a dicho país un nivel de protección de datos que corresponde al estipulado por la legislación del EEE, sus datos personales serán transferidos sobre esa base
En el caso de transferencias a países fuera del EEE sobre los que la Comisión Europea no ha emitido una decisión de adecuación, nos basamos en una excepción aplicable a la situación (por ejemplo: en caso de pago internacional, la transferencia es necesaria para la ejecución del contrato), o en el hecho de que el destinatario de los datos ha autorizado el tratamiento de los datos personales de conformidad con las «Cláusulas contractuales tipo» establecidas por la Comisión Europea para responsables o encargados del tratamiento.
Para recibir una copia de esos textos o para saber cómo puede usted consultarlos, puede usted presentar una solicitud por escrito como se indica en el articulo 13.
11. Violación de datos personales
11.1 Menciones en relación con datos personales
En el ejercicio de su tarea, los usuarios autorizados deberán evitar que se produzcan incidentes (sean o no deliberados) que puedan violar la intimidad de los interesados.
En caso de violación relacionada con los datos personales, se tomarán lo más rápido posible medidas adecuadas para limitar al mínimo el riesgo de daños a los interesados o a la empresa (menoscabo de su reputación, imposición de sanciones, etc).
En cualquier caso, todos los usuarios autorizados, así como todas las demás personas que consulten, usen o gestionen información de la empresa deberán comunicar inmediatamente toda violación de la seguridad e incidentes relacionados con la seguridad de la información al «Director responsable de protección de la intimidad» de modo que se pueda realizar inmediatamente un análisis, se puedan tomar las medidas necesarias, y para saber si la violación debe ser notificada a la Autoridad de Protección de Datos o a los interesados.
Si la notificación se realiza por correo electrónico, es importante que sea enviada al «Director responsable de protección de la intimidad» (véase el párrafo 10.2) y que en el asunto del correo electrónico se indique expresamente que se trata de un mensaje muy urgente con motivo de una posible violación de datos personales.
La información deberá contener una descripción completa y detallada del incidente, incluida la identidad de la persona que hace la notificación (nombre y apellidos, dirección, correo electrónico (en su caso) y número de teléfono), el tipo de incidente y cuántas personas están implicadas.
11.2 Investigación y análisis de riesgos
En principio, se deberá abrir una investigación a iniciativa de la empresa en el plazo de 24 horas después de que el incidente o la violación haya sido establecida por la empresa o notificada por un encargado del tratamiento, usuario autorizado, destinatario, interesado o tercero.
La investigación indicará la naturaleza del incidente, el tipo de datos en cuestión, y si ello, tiene consecuencias específicas sobre los datos personales (y en caso afirmativo, quiénes son los implicados y qué datos personales han sido afectados). La investigación determinará si se trata de una violación de datos personales o no.
Si se trata de una violación, se realizará un análisis de riesgo para averiguar cuáles son (o pueden ser) las posibles consecuencias de la violación, y en particular, las (posibles) consecuencias para los interesados.
En tal caso, la empresa decidirá en base a la naturaleza de la violación si existe obligación de notificación a la Autoridad de Protección de Datos y/o al interesado.
11.3 Documentación de la violación
Todas las violaciones serán documentadas en un registro. El registro dará una relación detallada de la causa principal del incidente y de los factores que lo han hecho posible, la cronología de los acontecimientos, las acciones de respuesta, las recomendaciones y las lecciones aprendidas para identificar los ámbitos que necesitan mejora. Las modificaciones recomendadas a sistemas y procedimientos serán documentadas y ejecutadas lo antes posible.
Investigamos las consecuencias dadas al tratamiento de la violación mencionadas en la notificación.
12 ¿Cómo tomar conocimiento de esta política y de sus modificaciones?
En un mundo de cambios tecnológicos continuos, tendremos que adaptar regularmente la política de confidencialidad.
Le invitamos a conocer la última versión de este documento en nuestras ciberpáginas y le mantendremos informado de todo cambio substancial a través de nuestras ciberpáginas o de nuestros medios de comunicación habituales.
13. ¿Cómo puede usted ponerse en contacto con nosotros?
Puede usted ponerse en contacto con el Director responsable de protección de la intimidad en la dirección electrónica rgpd@herstalgroup.com o gdpr@herstalgroup.com, o enviando una carta a la dirección postal del Grupo Herstal - Voie de Liège 33, 4040 Herstal, Bélgica.
Tanto nuestro personal, como los candidatos a puestos vacantes y antiguos empleados de la empresa, pueden también consultar la «Política de confidencialidad de Recursos Humanos» en la intranet del Grupo Herstal.
Esta política de confidencialidad es de aplicación desde el 25 de mayo de 2018.