Política Global de Privacidad
Aviso Política Global de Privacidad
1. Descripción general y objetivos
La protección de los datos personales, como también el cumplimiento de las leyes y las normas de privacidad y protección de datos, es importante para nuestra organización y sus afiliados (“nosotros”, “la Compañía”). Lo tomamos con la máxima seriedad y aspiramos a asegurar los derechos privados de nuestros empleados, de nuestros contactos comerciales y de nuestros clientes cuando manejamos información sobre ellos.
Esta Política global de privacidad (“la Política”) establece un marco de control integral para mitigar los factores de riesgo que afectan la privacidad y la protección de datos. Esta Política, junto con sus documentos de respaldo, detalla procesos y herramientas que sirven específicamente para mitigar los factores de riesgo que afectan la privacidad en toda la organización.
La protección de los datos personales de empleados, contactos comerciales y clientes es fundamental para preservar nuestra confiabilidad.
En particular, esta Política:
- establece los Principios de protección de datos que respaldan nuestro marco de privacidad global;
- identifica y detalla los roles y las responsabilidades en la protección de datos;
- establece el Programa de privacidad;
- identifica políticas, procedimientos y normas internos que respaldan esta Política y, junto con esta Política, constituye nuestro marco de privacidad de la organización; y
- establece una lista (no exhaustiva) de los requisitos que los empleados, contratistas, consultores o cualquier persona que trabaje con nosotros debe cumplir para preservar la confidencialidad y la seguridad de los datos personales que se manejan.
Esta Política no proporciona una lista exhaustiva de conductas permitidas o prohibidas ni establece todas las normativas. Adoptar esta Política no significa dejar de lado la responsabilidad de ejercer un buen criterio comercial con el cuidado que se merece. Ante cualquier cuestión que no esté abordada específicamente en esta Política, rogamos acudir a recursos adecuados para tratar esta materia.
2. Alcance y aplicación
Esta Política se aplica a todos los directores, gerentes, empleados, contratistas, consultores y a cualquier otra persona que brinde apoyo o servicios dentro de nuestra organización con respecto a todas nuestras operaciones en el mundo que involucren el procesamiento de datos personales.
Es responsabilidad de cada director, gerente, empleado, contratista, consultor y de cualquier otra persona que brinde apoyo o servicios a nuestra organización cumplir con esta Política. Se requiere aceptación y comprensión de esta Política a través de contratos y capacitación obligatoria. La falta de cumplimiento de esta Política puede considerarse una violación de los términos de empleo y llevar a la aplicación de medidas disciplinarias, incluso, en una última instancia, el despido y la finalización de los contratos de servicio.
La alta gerencia es la máxima responsable de garantizar el cumplimiento de esta Política. El Departamento legal, en coordinación con la Auditoría interna, es responsable de controlar el cumplimiento de esta Política.
Definiciones
Término
|
Definición
|
Persona o titular de los datos |
es cualquier persona viva con la que se relacionen los datos personales o datos confidenciales. Ejemplos de titulares de los datos son consumidores, contactos comerciales y empleados, contratistas, consultores o cualquier persona que brinde apoyo o servicios a la Compañía.
|
Leyes de protección de datos
|
significa cualquier ley, reglamentación, requisito legal y código de práctica aplicable relacionado con la protección de personas respecto del procesamiento de datos personales, incluso la seguridad de información.
|
Acceso no autorizado o incidente de datos
|
significa cualquier hecho real o presunto donde la seguridad, confidencialidad, integridad o disponibilidad de datos personales haya estado o podría haber estado comprometida y que podría causar la destrucción, la pérdida, la alteración, la divulgación de o el acceso a datos personales, o cualquier otro uso ilegal de datos personales (por ejemplo, un correo electrónico con datos personales es enviado inadvertidamente a destinatarios erróneos; un registro impreso con datos personales se pierde o es robado; un ataque cibernético ha sido perpetrado por hackers; una computadora portátil laboral se pierde o es robada).
|
Procesamiento o tratamiento de datos
|
significa cualquier uso de los datos personales por parte de nuestra organización (o un tercero en nombre de nuestra organización), incluidos recopilación de datos, intercambio de datos y almacenamiento de datos. El mero almacenamiento de datos es tratamiento.
|
Datos personales
|
significa cualquier información relacionada con una persona que identifique a la persona o que podría ser usada razonablemente para identificar a la persona independientemente del medio involucrado (por ejemplo, papel, video electrónico, audio). Ejemplos de datos personales incluyen datos de contacto, datos financieros, contraseñas, direcciones de IP, imágenes, historial de búsqueda en Internet, información de geolocalización. A menos que se indique lo contrario, los datos personales están previstos para incluir datos confidenciales (como se define a continuación).
|
Datos personales confidenciales
|
significa datos personales sobre el origen racial o étnico, opiniones políticas, creencias religiosas o similares, afiliación sindical, salud o condición física o mental, vida sexual, datos genéticos (por ejemplo, secuencia genética de una persona), datos biométricos (por ejemplo, huellas digitales, reconocimiento facial, escaneos de retina), delitos penales cometidos o supuestamente cometidos.
|
3. Principios de protección de datos
Las operaciones comerciales de nuestra organización deben ser siempre coherentes con los Principios de protección de datos establecidos a continuación. Estos principios son obligatorios para todos nuestros negocios.
- Procesamiento legal, justo y transparente
Nuestra organización solo usa datos personales de una manera legal, justa y transparente.
Cumplimos con las leyes de protección y privacidad de datos dentro de cada una de las jurisdicciones en las que operamos. Cuando la ley lo exija, también nos comprometemos a ayudar a las personas a comprender qué información recopilamos, cómo la usamos y cuáles son sus opciones al respecto. Explicamos esto a empleados, contratistas, consultores y otros trabajadores, consumidores y contactos comerciales en una manera simple y clara en nuestras declaraciones de privacidad. Revisamos las declaraciones de privacidad regularmente para mantenerlas actualizadas y garantizar que coincidan con nuestras prácticas internas.
- Limitación de propósitos
Solo recopilamos datos personales para propósitos específicos, claros y legítimos, y solo recopilamos tantos datos personales como necesitemos para alcanzar esos propósitos. Si bien los datos personales nos ayudan a mejorar los servicios que brindamos, solo los usamos para lo que comprenden nuestras metas específicas.
- Exactitud de los datos
Tomamos medidas para asegurar que los datos personales que conservamos sean exactos, estén actualizados y sean relevantes para los propósitos para los cuales los recopilamos.
- Retención de datos
Solo mantenemos datos personales en una forma identificable durante el tiempo que sea necesario para los propósitos para los cuales los estamos usando.
- Derechos de las personas
Estamos plenamente comprometidos con facilitar los derechos de privacidad de las personas con respecto a nuestro procesamiento de sus datos personales, de acuerdo con las leyes aplicables.
- Seguridad de la información
Aplicamos medidas físicas, técnicas y organizativas adecuadas para mantener los datos personales seguros y garantizar su integridad, confidencialidad y disponibilidad en todos los sistemas, en todo momento.
También estamos comprometidos con garantizar que nuestros vendedores y proveedores que puedan procesar datos personales en nuestro nombre preserven la confidencialidad, integridad y disponibilidad de aquellos datos.
- Transferencia internacional de datos personales
Nuestra organización es un negocio global y, como tal, tenemos que transferir información a nivel internacional. Estamos plenamente comprometidos con garantizar que haya salvaguardas adecuadas en el lugar, conforme a lo requerido por las leyes aplicables, para proteger los datos personales que transferimos a países que no tengan leyes adecuadas de protección de datos.
- Responsabilidad
Somos responsables de atenernos a los Principios de protección de datos y respetar los derechos de privacidad individuales. Tenemos una obligación colectiva e individual de proteger los datos personales de nuestros empleados, contratistas, consultores, de otros trabajadores, de nuestros consumidores y de nuestros socios comerciales. Para crear un ambiente de confianza y cumplir con las leyes de protección de datos aplicables, todas las personas que operen dentro o en nombre de nuestra organización deben cumplir con nuestras políticas de privacidad y ayudar a la organización a mantener sus compromisos de protección de datos personales.
4. Funciones y responsabilidades
Las distintas partes interesadas en los distintos niveles corporativos dentro de nuestra organización colaboran para garantizar el cumplimiento general de las políticas de gestión de riesgos para la privacidad y la protección de datos. Los siguientes cargos y empleados han sido identificados con funciones y responsabilidades específicas:
- El Departamento legal es responsable de promover y asegurar el cumplimiento de las normas de privacidad, supervisar la gestión de datos de privacidad en general y del programa de cumplimiento de normas, responder las consultas y solicitudes de los titulares de los datos, responder las solicitudes regulatorias sobre protección de datos, coordinar con el Departamento de TI cuando sea necesario para garantizar la seguridad de información que es una parte central de la protección de datos personales.
- El Departamento de TI es responsable de salvaguardar y monitorear nuestras redes y sistemas internos y, en particular, garantizar que los datos personales almacenados, transferidos, accedidos y utilizados en estas redes y sistemas estén protegidos adecuadamente contra posibles accesos no autorizados. El Departamento de TI también es responsable de participar en algunas actividades importantes de protección de datos, como la Evaluación de Impacto en la Protección de Datos ("EIPD").
- El Departamento de RR. HH. es responsable de manipular adecuadamente los datos personales de empleados, contratistas, consultores o cualquier otra persona que brinde apoyo y servicios, en cumplimiento de las leyes aplicables. El Departamento de RR. HH. también es responsable de atender las solicitudes de empleados, contratistas, consultores y otros trabajadores para ejercer sus derechos de protección de datos y elevar cualquier consulta o queja al Departamento legal. El Departamento de RR.HH. también debe informar al Departamento legal sobre actividades de procesamiento que impacten sobre los datos personales de empleados, contratistas, consultores u otros trabajadores. El Departamento de RR. HH. debe participar en la realización de las EIPD de las nuevas actividades de procesamiento de RR. HH. También debe participar en la actualización de los avisos de privacidad para empleados, contratistas, consultores u otros trabajadores e informarles de sus obligaciones y responsabilidades para con la protección de datos personales (incluso esta Política).
Además, cualquier función comercial que procese datos personales es responsable de:
- gestionar los factores de riesgo que afectan la privacidad relacionados con el procesamiento llevado a cabo por la función;
- consultar al Departamento legal cuando sea requerido por las políticas y los procedimientos internos;
- garantizar la seguridad de los datos personales que se procesan; y
- manejar y derivar cualquier incidente de privacidad cuando sea requerido.
Todos los directores, gerentes, empleados, contratistas, consultores y trabajadores son responsables de preservar la confidencialidad de los datos personales que usan. Deben manejar esta información de manera segura y de acuerdo con esta Política o cualquier política, proceso o normativa pertinente (ver "Marco de la Política").
5. Programa de privacidad
Nuestro Departamento legal supervisará nuestro Programa de Privacidad, que proporciona un enfoque integral coordinado, para gestionar los riegos de privacidad mientras se atienden las necesidades y estrategias comerciales. Nuestro Programa de privacidad comprende, como mínimo, los siguientes componentes:
- marco de la política
- cumplimiento legal
- centralización de servicios comerciales
- cumplimiento con la documentación de protección de datos (decisiones, implementación y auditoría)
- registros de actividades de procesamiento
- evaluación del impacto de la protección de datos
- gestión de riesgos de privacidad para proveedores
- capacitación en protección de datos
- manejo de accesos no autorizados
- derechos del titular de los datos
- marco de la política
Nuestra organización debe operar en todo momento cumpliendo con esta Política, el Código de conducta y ética comercial y todas las políticas, procedimientos y normas internas relativas a la privacidad, tales como la Política de Uso Aceptable de la Tecnología de la Información, la Política de Clasificación y Manipulación de Datos, y la Política de Respuesta a Incidentes y avisos de privacidad al personal, usuarios de Internet y otras personas. Tenga en cuenta que esta lista puede ser actualizada ocasionalmente o reemplazada y que su alcance puede extenderse a otras políticas.
- cumplimiento legal
El Departamento legal mantendrá en todo momento procesos que permitan que nuestra organización entienda y cumpla con requisitos legales relacionados con la protección de datos, como el envío de avisos de privacidad a los titulares de los datos o la obtención de su consentimiento al procesamiento de datos cuando sea necesario. El Departamento legal se ocupará de que las leyes de privacidad sean abordadas de manera consistente en toda la región en la que estas tengan vigencia.
- centralización de servicios comerciales
El Departamento legal, junto con la alta gerencia, determinará dónde podría estar ubicado nuestro establecimiento principal sobre la base de nuestras actividades de procesamiento de datos para identificar la autoridad de supervisión principal dentro de la Unión Europea para el procesamiento transfronterizo. La decisión debe documentarse. El Departamento legal se mantendrá al corriente de las recomendaciones y otras publicaciones de la autoridad de supervisión principal para comprender las prioridades de aplicación de las normativas.
- cumplimiento con la documentación de protección de datos (decisiones, implementación y auditoría)
El Departamento legal, respaldado por las funciones comerciales relacionadas, creará y mantendrá registros de las decisiones y acciones tomadas en pro de la gestión de riesgos de privacidad y en pro del cumplimiento de las leyes de protección de datos. Esto nos permitirá cooperar con los entes reguladores cuando sea necesario. También permitirá que nuestra organización documente y demuestre su cumplimiento de las normas de privacidad en todo momento.
Cuando se tomen decisiones y acciones relacionadas con la privacidad a nivel regional o comercial, las políticas y los procedimientos que se adopten determinarán quién será el responsable de llevar los registros adecuados.
El Departamento legal también es responsable de garantizar y supervisar el desarrollo de los registros adicionales que fueran requeridos para demostrar el cumplimiento de las leyes de protección de datos aplicables (por ejemplo, formularios de consentimiento, avisos a los titulares de los datos, registro de accesos no autorizados).
-
registros de actividades de procesamiento
El Departamento legal recopilará en un documento en evolución constante la lista de todas las actividades de procesamiento que ocurran dentro de nuestra organización en un momento determinado; este documento será actualizado periódicamente para reflejar cambios en las operaciones comerciales. El Departamento de TI, el Departamento de RR. HH. y las demás funciones comerciales involucradas en el procesamiento de datos personales deben contribuir al registro de actividades de procesamiento (proporcionando información relevante como los propósitos del uso de datos y transferencia de datos).
-
evaluaciones del impacto de la protección de datos
El Departamento legal establecerá pautas y procedimientos para llevar a cabo las EIPD con respecto a nuevos productos, tecnologías y operaciones comerciales, cuando sea requerido por las leyes aplicables o cuando esto parezca apropiado para la gestión de riesgos de privacidad. Las EIPD requerirán el aporte y la participación de las funciones comerciales relevantes.
-
gestión de riesgos de privacidad para proveedores
Establecer la gestión de riesgos en lo que involucra a los proveedores de servicios tercerizados que procesan datos en nuestro nombre ("procesadores de datos") es fundamental para garantizar el cumplimiento de las normas de protección de datos. El Departamento legal proporcionará las pautas y los contenidos de privacidad necesarios para la evaluación de riesgos de terceros, manteniéndolos actualizados según sea necesario para abordar los riesgos de privacidad emergentes. Los riesgos asociados con un tercero deben ser elevados al Departamento legal.
En particular, el Departamento legal asegurará que:
- se investiguen las prácticas de seguridad informática de los posibles procesadores de datos con debida diligencia, antes de seleccionarlos como socios comerciales;
- se lleguen a acuerdos con los procesadores de datos para establecer sus obligaciones en materia de protección de datos; y
- se monitoree ocasionalmente el cumplimiento de estos acuerdos y las leyes aplicables.
- capacitación en protección de datos
La capacitación en materia de protección de datos formará parte del programa anual de capacitación para el cumplimiento de normas. Esta capacitación será obligatoria para los nuevos empleados que trabajen con estos datos, tanto en el momento de su ingreso como periódicamente mientras permanezcan en la firma. El Departamento legal asegurará que el contenido de la capacitación se mantenga actualizado y sea apropiado para las operaciones comerciales de nuestra organización. Deben asegurarse de que este contenido sea renovado de manera regular. Las tasas de empleados que terminan la capacitación serán supervisadas y documentadas (por ejemplo, en un registro de capacitación).
- manejo de accesos no autorizados
Todas la funciones comerciales deberán monitorear sus operaciones para detectar incidentes de seguridad de datos y a tiempo y de manera consistente. También deberán aplicar estrategias adecuadas para mitigar los factores de riesgo.
Todos los empleados y funciones comerciales son responsables de derivar inmediatamente cualquier acceso no autorizado real o supuesto, según nuestra Política de respuesta a incidentes. Cualquier cargo o función comercial deberá participar en el manejo de accesos no autorizados, según dicha política.
El Departamento legal, en conjunto con el Departamento de TI, se ocupará de identificar, evaluar, y remediar de manera apropiada los incidentes confirmados y las posibles amenazas. Deberán evaluar las tendencias para descubrir el origen de estos ataques. El Departamento legal también estará a cargo de informar al regulador competente o a los titulares de los datos de los avisos de ataques cuando la ley lo requiera.
- derechos del titular de los datos
El Departamento legal proporcionará pautas y asistencia al Departamento de RR. HH. y a cualquier otra oficina para abordar cualquier solicitud de derecho del titular de los datos (por ejemplo, la solicitud de una persona para acceder a los datos personales que tenemos de acuerdo con la ley aplicable), así como para informar a cualquier titular de los datos de sus derechos en virtud de la ley aplicable, que incluye el derecho a presentar una queja ante los reguladores gubernamentales de privacidad de datos pertinentes en caso de que la Compañía infrinja cualquier ley de privacidad de datos aplicable en el procesamiento de los datos personales y los datos personales confidenciales de un titular de los datos.
6. Qué deben hacer los empleados, los contratistas, los consultores y los trabajadores
Aplicar los Principios de protección de datos a la recopilación y el uso de datos personales y seguir las políticas, los procedimientos y las normas sobre privacidad. En particular, se exige el cumplimiento con las siguientes políticas:
- Política de uso aceptable y tecnología de la información
- Política de datos confidenciales
- Política de clasificación y manipulación de datos
- Política de correos electrónicos
- Política de encriptación
- Política de contraseñas
- Política de acceso remoto
- Política de software de terceros
- Política de retención de datos
También se espera que usted complete toda capacitación requerida en materia de protección de datos.
La falta de cumplimiento de los términos de esta Política dará lugar a la aplicación de medidas disciplinarias, incluso, en última instancia, el despido o la finalización de la relación comercial, como también una acción legal.
7. Presentación de informes y preguntas
El personal de ICU Medical puede informar cualquier inquietud, incluidas las relacionadas con la privacidad de los datos, a través de una línea directa anónima y confidencial al número 1-844-330-0007. También, el personal puede confeccionar informes confidenciales y anónimos, mediante correo electrónico a reports@lighthouse-services.com (debe incluir el nombre de la Compañía en el informe), mediante una presentación web confidencial en https://www.lighthouse-services.com/icumed o a través de la sección Informes de gestión en nuestro sitio web de gestión corporativa https://ir.icumed.com/corporate-governance. Un representante de la Compañía también puede hacer un informe confidencial a su supervisor, al Departamento de RR.HH., al encargado de cumplimiento o al asesor jurídico general.
8. Enmiendas de la Política
El Departamento legal revisará esta Política al menos una vez por año y recomendará los cambios adecuados.
Llamaremos su atención respecto de cualquier cambio cuando sea apropiado o requerido.
9. Excepciones y derivaciones
Cualquier excepción a esta Política debe ser revisada y aprobada por el Departamento legal. Todas las excepciones a esta Política deben ser aprobadas por escrito antes de su implementación.
El Departamento legal es responsable de resolver dudas sobre la interpretación adecuada de esta Política a la luz de los requisitos legales y regulatorios. El Departamento legal es responsable de abordar preguntas sobre la interpretación de esta Política.
Anexo A
Política global de privacidad. Anexo para Colombia
ICU MEDICAL COLOMBIA LIMITADA ("ICU COLOMBIA"), domiciliada en Colombia, está afiliada a ICU MEDICAL, INC. (la "Compañía") con sede en los Estados Unidos.
Este Anexo tiene como objetivo complementar la Política Global de Privacidad ("GPP") de la Compañía para incluir ciertos elementos que solo corresponden en la medida en que se aplique la Ley de Protección de Datos de Colombia. La Ley de Protección de Datos de Colombia se aplica solo al procesamiento de datos personales en Colombia y al procesamiento de datos personales de los titulares de los datos con sede en Colombia en el extranjero, bajo ciertas circunstancias.
Los términos utilizados en el presente tendrán el significado atribuido en la GPP a menos que se defina lo contrario en este documento.
Término
|
Definición
|
Definiciones |
En la medida en que se aplique la Ley de Protección de Datos de Colombia, además de las definiciones provistas en la Sección "Definiciones" de la GPP, se aplicarán las siguientes definiciones; y en la medida en que haya un conflicto en las "Definiciones", estas definiciones a continuación regirán:
- Leyes de protección de datos: la ley aplicable, en este caso, las leyes y reglamentos colombianos.
- Procesamiento de datos: cualquier operación o conjunto de operaciones sobre datos personales como recopilación, almacenamiento, uso, circulación o eliminación.
- Autorización: consentimiento previo, expreso e informado del titular de los datos para procesar sus datos personales.
- Procesador de datos: persona individual o jurídica, pública o privada que, sola o en asociación con otros, procese datos personales en nombre del Controlador de Datos.
- Controlador de datos: la persona física o jurídica, pública o privada que, sola o en asociación con otros, decide sobre la base de datos o el procesamiento de los datos.
- Titular de los datos: cualquier persona viva con la que se relacionen los datos personales o datos confidenciales.
- Transferencia: la transferencia de datos ocurre cuando el Controlador de Datos o el Procesador de Datos ubicados en Colombia envían la información o los datos personales a un receptor, el cual también es un Controlador de Datos y se encuentra dentro o fuera del país.
- Transmisión: procesamiento de Datos Personales, que implica la comunicación de datos personales, dentro o fuera de Colombia, cuando tiene el propósito de un procesamiento de datos realizado por un Procesador de Datos en nombre de un Controlador de Datos.
|
Los Principios de protección de datos |
En la medida en que se aplique la Ley de Protección de Datos de Colombia, además de los principios establecidos en la Sección de la GPP "Principios de protección de datos", se aplicarán los siguientes principios:
- Principio del estado de derecho sobre el procesamiento de datos: El procesamiento tratado bajo el Régimen de Protección de Datos de Colombia (leyes y reglamentos) es una actividad regulada que debe estar sujeta a sus disposiciones.
- Principio del propósito: el Procesamiento de Datos debe seguir un propósito legítimo de acuerdo con la Constitución y las leyes, el cual debe informarse a los titulares de los datos.
- Principio del propósito: el Procesamiento de Datos debe seguir un propósito legítimo de acuerdo con la Constitución y las leyes, el cual debe informarse a los titulares de los datos.
- Principio de confidencialidad: todas las personas involucradas en el procesamiento de Datos Personales que no son de naturaleza pública deben garantizar la confidencialidad de la información.
|
Propósito del procesamiento de datos personales y datos personales confidenciales |
La información personal que ICU COLOMBIA recopila se procesará para los siguientes propósitos:
- envío/procesamiento de información y documentos relacionados con la relación comercial de los titulares de los datos con ICU COLOMBIA.
- suministro de información de contacto a la fuerza comercial o red de distribución de ICU COLOMBIA.
- transmisión internacional de datos mediante el alojamiento en servidores externos.
- transferencia internacional de datos mediante el envío a otra filial o a cualquier otra entidad relacionada con ICU COLOMBIA.
- transferencia de información, requisitos y notificaciones de ICU COLOMBIA a todos sus empleados, proveedores, contratistas y otros titulares de los datos.
- envío de boletines, correos electrónicos y otros mensajes de datos para informar sobre promociones y eventos o actividades llevadas a cabo por ICU COLOMBIA.
- envío de encuestas de opinión sobre la satisfacción de clientes, usuarios y clientes potenciales.
- derivación de la información para cumplir con los requisitos legales y requisitos de las autoridades judiciales.
- los otros propósitos descritos en los formularios de consentimiento.
|
Motivos para el procesamiento de Datos personales |
En la medida en que se aplique la Ley de Protección de Datos de Colombia, los datos personales y los datos personales confidenciales estarán sujetos a los siguientes requisitos:
Datos personales Las bases legales para el procesamiento de Datos personales son las especificadas en los artículos 9 y 10 de la Ley 1581 de 2012.
Datos personales confidenciales Los fundamentos legales para el procesamiento de Datos personales son los especificados en el artículo 6 de la Ley 1581 de 2012.
|
Consentimiento |
Los criterios de consentimiento a los que se hace referencia en la GPP se aplicarán bajo este Anexo junto con los siguientes criterios adicionales:
- El procesamiento de datos personales y datos personales confidenciales requiere del consentimiento previo, expreso e informado de los titulares de los datos.
- Los Controladores de Datos establecerán mecanismos para obtener la autorización de los titulares de los datos o quien tenga derecho de acuerdo con las disposiciones del Artículo 20 del Decreto 1377 de 2013. Estos mecanismos pueden incluir medios técnicos que pueden facilitar que el Procesador de Datos obtenga el consentimiento automatizado. Debe entenderse que la autorización cumple con estos requisitos cuando se proporciona (i) por escrito, (ii) oralmente o (iii) por los comportamientos inequívocos de los titulares de los datos que nos llevan a concluir razonablemente que la autorización fue otorgada. En ningún caso el silencio puede entenderse como un comportamiento inequívoco.
- El formulario de consentimiento debe incluir un casillero específico para autorizar la recopilación, el procesamiento y la transferencia de datos personales confidenciales. Dicho casillero debe ser diferente al utilizado para consentir la recopilación de datos personales no confidenciales.
|
FInformación de procesamiento justa
|
La información que debe proporcionarse al titular de los datos al que se hace referencia en la GPP se aplicará en este Anexo junto con la siguiente información adicional:
- nombre o nombre de la compañía, domicilio, dirección, correo electrónico y número de teléfono del Controlador de Datos.
- los derechos a los que está facultado el titular de los datos.
- persona o área que es responsable de atender solicitudes, consultas y quejas por medio de las cuales el titular de los datos puede ejercer sus derechos de conocer, actualizar, rectificar y eliminar los datos y revocar la autorización.
- procedimiento para que los titulares de los datos ejerzan sus derechos de conocer, actualizar, rectificar y eliminar información y revocar la Autorización.
|
Transferencia de datos/transmisión de datos con terceros
|
En la medida en que se aplique la Ley de Protección de Datos de Colombia, se debe considerar lo siguiente:
Cuando ICU COLOMBIA instruya a un tercero para que procese Datos Personales en nombre de ICU COLOMBIA (transmisión de datos) o para sus propios propósitos (transferencia de datos), el tercero debe celebrar un acuerdo por escrito con ICU COLOMBIA. Los acuerdos deben incluir una serie de disposiciones exigidas por los artículos 24 y 25 del Decreto 1377 de 2013 sobre la transferencia internacional y la transmisión de datos personales y un acuerdo de transmisión de datos personales.
Además de lo anterior, en el caso de transmisiones, el Controlador de Datos solo necesita revelar al titular de los datos que existe la posibilidad de compartir datos con procesadores de datos externos e indicar si estos procesadores se encuentran en el extranjero en el momento de obtener el consentimiento. En este caso, existe la obligación de divulgar la posibilidad de una transmisión, pero no es necesario obtener el consentimiento previo y expreso para compartir los Datos Personales con el procesador externo que ha suscrito un acuerdo de transmisión de conformidad con las leyes aplicables en Colombia.
A diferencia de esto, en el caso de la transferencia, el Controlador de Datos compartirá los datos con un nuevo Controlador de Datos. Por lo tanto, debe obtener el consentimiento del titular de los datos para compartir estos datos con el nuevo Controlador de Datos y también debe divulgar la política de privacidad que corresponda (es decir, la del nuevo Controlador de Datos). Los respectivos acuerdos deben reflejar estas condiciones, entre otros requisitos.
|
Transferencia internacional de datos personales
|
En la medida en que se aplique la Ley de Protección de Datos de Colombia, se debe considerar lo siguiente:
De acuerdo con la Ley 1581 de 2012, el Decreto 1377 de 2013 y sus normas y reglamentos correspondientes, los Datos Personales, cualquiera que sea su naturaleza, solo pueden transferirse a países que ofrezcan niveles suficientes de protección de datos. Se considerará que un país ofrece suficientes niveles de protección de datos siempre y en la medida en que cumpla con los estándares aplicables establecidos por la Superintendencia de la Industria y el Comercio ("SIC"). Las normas anteriores no pueden en ningún caso establecer obligaciones menores a las contenidas en el Régimen de Protección de Datos Colombiano.
Esta prohibición no se aplicará a:
- información a la que el titular de los datos ha otorgado autorización expresa e inequívoca para su transferencia.
- intercambio de datos médicos cuando así lo requiera el Procesamiento de Datos del titular de los datos debido a razones de salud pública.
- transferencias bancarias o de mercado de acuerdo con las leyes aplicables.
- transferencias acordadas en virtud de acuerdos internacionales en los que la República de Colombia es una de las partes sobre la base del principio de reciprocidad.
- transferencias necesarias para ejecutar un contrato entre el titular de los datos y el Controlador de Datos, o bien para ejecutar medidas contractuales futuras siempre que el titular de los datos haya otorgado su consentimiento.
|
Derechos del titular de los datos
|
En la medida en que se aplique la Ley de Protección de Datos de Colombia, los titulares de datos colombianos tienen una serie de derechos legales en relación con sus Datos Personales. Estos derechos incluyen:
- acceso, actualización y corrección de sus Datos Personales ante el Controlador o Procesador de Datos, debido a que los datos son parciales, inexactos, incompletos, divididos, engañosos o provienen de un procesamiento no autorizado/prohibido.
- solicitar la prueba del consentimiento otorgado.
- solicitar qué uso o procesamiento se le ha dado a sus datos personales.
- presentar quejas ante la Superintendencia de la Industria y el Comercio.
- revocar el consentimiento o solicitar la eliminación de datos cuando se hayan violado los principios, cuando la Superintendencia de la Industria y el Comercio determine que el procesamiento por parte del Controlador o Procesador de datos fue contrario a la ley y a la Constitución Colombiana.
|
Procedimiento de consulta
|
En cualquier momento y sin costo, el titular de los datos o sus sucesores pueden consultar sus Datos Personales en posesión de ICU COLOMBIA. La consulta debe enviarse al correo electrónico del funcionario de protección de datos, que debe estar públicamente disponible para los titulares de los datos. ICU COLOMBIA responderá a todas las consultas dentro de los diez (10) días hábiles posteriores a la recepción de la consulta. Si ICU COLOMBIA no puede responder dentro de este plazo, se informará al titular de los datos sobre esta circunstancia, los motivos de la demora y la fecha en que se responderá la consulta, que debe ser dentro de los cinco (5) días hábiles siguientes al vencimiento del plazo inicial.
|
Procedimiento de reclamos
|
Si el titular de los datos o sus sucesores consideran que los Datos Personales en posesión de ICU COLOMBIA deben modificarse, actualizarse o eliminarse, o bien, si tienen algún reclamo relacionado con sus Datos Personales en posesión de ICU COLOMBIA o el procesamiento de estos Datos Personales por la Compañía, pueden presentar un reclamo en los siguientes términos:
- El reclamo debe presentarse utilizando el formato preparado por ICU COLOMBIA para estos propósitos.
- El reclamo debe contener al menos la siguiente información: (i) la identificación adecuada del titular de los datos; (ii) la descripción de los eventos que originaron el reclamo; (iii) los datos de contacto del titular de los datos; y (iv) cualquier documento que el titular de los datos considere relevante para el reclamo. Si al reclamo le falta alguna parte de esta información, dentro de los cinco (5) días hábiles posteriores a la recepción del reclamo, ICU COLOMBIA debe solicitar al titular de los datos que actualice el formulario del reclamo con la información que falta.
Dentro de los dos (2) días hábiles posteriores a la recepción de un reclamo completo, se debe insertar un aviso en la base de datos donde se incluyen los Datos Personales del titular de los datos para el reclamo, lo que indica que un reclamo relacionado con la información incluida en dicha base de datos está en proceso. También se debe insertar una breve explicación del reclamo dentro de la base de datos correspondiente hasta que se resuelva el reclamo
- ICU COLOMBIA tendrá un plazo de quince (15) días hábiles desde el día en que se reciba el reclamo completo para entregar una respuesta al titular de los datos. Si ICU COLOMBIA no puede responder dentro de este plazo, debe informar al titular de los datos sobre esta circunstancia, los motivos del retraso y la fecha en que se responderá el reclamo, que debe ser dentro de los ocho (8) días hábiles posteriores al vencimiento del plazo inicial.
Si ICU COLOMBIA recibe un reclamo que debería haberse dirigido a otra entidad, debe enviar el reclamo a la entidad correspondiente e informar al titular de los datos sobre esta situación.
|
Funcionario de protección de datos
|
Como se menciona en la GPP, ICU COLOMBIA debe designar y tener en todo momento un funcionario de protección de datos que tenga las siguientes obligaciones:
- Responder consultas y reclamos de los titulares de los datos: el funcionario de protección de datos será responsable de responder todas las consultas y reclamos de los titulares de los datos o sus sucesores que estén relacionados con sus Datos Personales en posesión de ICU COLOMBIA y el procesamiento de estos.
- Brindar asistencia y soporte a otras áreas de la Compañía: cualquier pregunta dentro de ICU COLOMBIA relacionada con el procesamiento de Datos Personales debe ser atendida y respondida por el funcionario de protección de datos.
- Gestión de riesgos: cualquier situación que resulte o pueda resultar en una violación de la seguridad de los Datos Personales debe ser informada al funcionario de protección de datos, quien será responsable de preparar e implementar un plan para gestionar y resolver la violación de la seguridad o la posible violación.
- Mantener y actualizar los registros relacionados con la protección de datos y presentar los documentos ante las autoridades: el funcionario de protección de datos debe asegurar que (i) la información de ICU COLOMBIA y los titulares de los datos incluidos en el Registro Nacional de Bases de Datos administradas por el SIC se mantenga y actualice adecuadamente; (ii) cualquier base de datos nueva creada por ICU COLOMBIA que contenga Datos Personales se registrará adecuadamente ante el SIC; (iii) los reclamos presentados por los titulares de los datos se informan adecuadamente al SIC; y (iv) cualquier incidente de seguridad relacionado con los Datos Personales se informa al SIC.
|
Responsable del procesamiento de datos |
El Controlador de Datos de los Datos Personales en Colombia es ICU MEDICAL COLOMBIA LIMITADA, identificado con el NIT 830143035-2, domiciliado en la ciudad de Bogotá, Colombia, en la Avenida Carrera 72 # 80-94.
Todas las solicitudes relacionadas con el procesamiento de Datos Personales se enviarán por correo electrónico a habeasdatacolombia@icumed.com.
|
Información de contacto del funcionario de informes y protección de datos |
Las inquietudes se pueden informar a través de una línea directa anónima y confidencial al 1-844-330-0007. También se pueden realizar informes anónimos y confidenciales por correo electrónico a reports@lighthouse-services.com (debe incluir el nombre de la Compañía en el informe), a través de un envío web confidencial en http://www.lighthouse-services.com/icumed, o bien, a través de la sección de Informes de Administración en nuestro sitio web de gobierno corporativo en https://ir.icumed.com/corporate-governance. El funcionario de protección de datos puede ser contactado por correo electrónico a: ethicsandcompliance@icumed.com. |
Anexo B
Política global de privacidad. Anexo para México
En la medida en que se apliquen las leyes o regulaciones mexicanas de protección de datos, se aplicarán los siguientes elementos básicos y disposiciones adicionales específicos de México y prevalecerán sobre las disposiciones contradictorias en la Política global de privacidad existente.
Term
|
Definition
|
Definiciones |
- 'Ley de protección de datos' significa la Ley Federal sobre Protección de Datos Personales en Posesión de los Particulares (Ley Federal de Protección de Datos Personales en Posesión de los Particulares o FDPL) y su Reglamento de implementación.
- ‘Datos personales confidenciales’ significa cualquier dato genético, biométrico y relacionado con la salud, así como datos personales que revelen el origen racial y étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical o datos relacionados con la vida sexual u orientación sexual de una persona. Estos datos son muy relevantes porque están sujetos a un mayor nivel de protección y deben tratarse con mayor seguridad.
|
Principios de protección de datos |
Además de los principios proporcionados en la Sección Error! Reference source not found., las disposiciones de la ley mexicana de protección de datos establecen los principios clave relacionados con el procesamiento de datos personales, de la siguiente manera:
- Consentimiento: El procesamiento y la transferencia de datos personales se basan en el consentimiento del titular de los datos. Se requiere consentimiento explícito para el procesamiento y la transferencia de datos personales confidenciales, financieros o inmobiliarios. Antes de otorgar el consentimiento, se informará de ello al titular de los datos. Como excepción a las reglas generales, no se requiere consentimiento para la transferencia de datos entre nuestra organización y un procesador de datos siempre que exista un acuerdo de procesamiento de datos.
- Limitación de propósitos: Los datos personales serán recabados para propósitos específicos, explícitos y legítimos, tal y como se establece en el correspondiente Aviso de Privacidad. El procesamiento posterior para otros propósitos incompatibles con los propósitos iniciales deberá obtener el consentimiento específico para el nuevo propósito.
- Principio de minimización: El procesamiento debe ser adecuado, relevante y limitado a lo necesario en relación con los propósitos del procesamiento.
- Principio de fidelidad: Los datos personales se procesarán de manera que se garantice la seguridad adecuada de estos datos, dando prioridad a la protección de los intereses del titular de los datos.
|
Aviso de privacidad |
Nuestra organización debe registrar nuestros propósitos para la recopilación y el procesamiento y especificarlos en un documento para los titulares de los datos. Según la legislación mexicana, un Aviso de Privacidad de datos adecuado debe contener, al menos, la siguiente información:
- Nuestra identidad, dirección (incluida la calle, número, ciudad, código postal) y los datos de contacto
- Propósitos del procesamiento al que se destinan los datos personales
- Categorías de los datos personales en cuestión
- Información específica sobre nuestro procesamiento de datos personales confidenciales
- La existencia del derecho a retirar el consentimiento para seguir procesando los datos personales con un propósito distinto al que se recopilaron (es decir, fines de marketing)
- En su caso, el hecho de que pretendamos transferir datos personales a un tercero en México o un tercer país
- Modalidades para el ejercicio de los derechos de los titulares de los datos
- De qué manera el titular de los datos puede retirar su consentimiento para el procesamiento de datos
- Medios para ejercer el derecho a solicitar a la Compañía la restricción del procesamiento o la divulgación en relación con el titular de los datos
- Política de cookies que proporciona información sobre los tipos de cookies activas en nuestro sitio web, qué datos rastrean, con qué propósito, en qué parte del mundo se envían los datos e instrucciones detalladas sobre cómo pueden configurar sus preferencias de cookies
- Datos de contacto de nuestro departamento o funcionario de protección de datos
- Procedimientos y medios para comunicar cambios a nuestro Aviso de privacidad
Esta información se facilitará por escrito o por otros medios, incluidos, cuando corresponda, los medios electrónicos.
|
Condiciones para el consentimiento |
El procesamiento de datos personales será legal únicamente, y en la medida en que, el titular de los datos haya dado su consentimiento para el procesamiento de sus datos personales para uno o más fines específicos.
La Compañía debe obtener una declaración expresa de consentimiento por parte del titular de los datos; por ejemplo, en una declaración escrita, cuando así lo requiera la ley o el titular de los datos, el procesamiento de datos personales confidenciales, financieros o patrimoniales.
Sin embargo, el titular de los datos tendrá derecho a retirar su consentimiento en cualquier momento. El retiro del consentimiento no afectará la legalidad del procesamiento basado en el consentimiento previo a su retiro.
FDPL permite obtener el consentimiento expreso por escrito a través de medios tecnológicos (incluidos los botones o las casillas “I accept” (Acepto)), siempre que no estén seleccionados previamente. Las principales reglas relacionadas con el consentimiento se pueden resumir de la siguiente manera:
- Se requiere la suscripción para la recopilación de datos personales confidenciales
- Se requiere la suscripción para la recopilación de datos financieros o relacionados con la propiedad personal
- Las casillas de verificación para obtener el consentimiento no deben estar marcadas previamente
- No se requiere consentimiento en ciertos casos excepcionales establecidos en la FDPL, incluida la recopilación de datos para la ejecución de un contrato
- Propósitos de tratamiento de datos no esenciales. El texto del Aviso de Privacidad debe diferenciar entre aquellas finalidades del tratamiento de datos que son necesarias para la existencia, el mantenimiento y el cumplimiento de la relación jurídica entre nuestra organización y el titular de los datos, que hacen que exista la relación, de aquellas finalidades que no son imprescindibles (por ejemplo, procesamiento de datos personales con fines de marketing directo)
- Regla de exclusión previa. Para el caso de fines de procesamiento innecesarios o secundarios, el Aviso de Privacidad debe incluir el mecanismo para que el titular de los datos ejerza el derecho a retirar el consentimiento para el procesamiento de datos para este fin.
|
Exenciones de consentimiento |
Nuestra organización no está obligada a obtener el consentimiento para el procesamiento de datos personales cuando:
- los datos personales deben ser procesados por ley, por cualquier autoridad gubernamental o de otro tipo, o por un tribunal u otra autoridad de jurisdicción competente;
- el procesamiento se relaciona con datos personales que están disponibles públicamente;
- los datos personales están sujetos a un proceso de desagregación;
- el procesamiento es necesario para la ejecución de un contrato en el que la Compañía y los titulares de los datos son partes;
- el procesamiento es necesario para proteger los intereses vitales de un individuo;
- el tratamiento es necesario para fines de medicina preventiva u ocupacional, diagnóstico médico, prestación de asistencia sanitaria o tratamiento o gestión de sistemas y servicios sanitarios, cuando el titular de los datos es física o legalmente incapaz de dar su consentimiento.
|
Derechos del titular de los datos |
Facilitaremos el ejercicio de los derechos del titular de los datos y no nos negaremos a actuar a solicitud del titular de los datos para ejercer los siguientes derechos: (i) derecho a acceder a los datos personales almacenados por nosotros y a obtener información sobre nuestras prácticas de procesamiento; (ii) derecho a la rectificación de los datos personales inexactos sobre el titular de los datos; (iii) derecho a solicitar la eliminación de los datos personales si los datos no se están procesando conforme a la ley o si ya no son necesarios; y (iv) derecho a oponerse en cualquier momento al procesamiento de los datos personales que le conciernen por motivos legítimos o para un fin específico. Estos derechos se denominan 'Derechos ARCO'.
Los titulares de los datos tendrán derecho a retirar su consentimiento en cualquier momento para el tratamiento de sus datos personales.
Además, proporcionaremos a los titulares de los datos más información sobre su derecho a presentar una queja ante la autoridad de control.
|
Comunicación de una violación de datos personales |
Cuando es probable que la violación de datos personales resulte en un alto riesgo para los derechos de las personas, nuestra organización comunicará la violación de datos personales a los titulares de los datos sin demoras indebidas. La comunicación a los titulares de los datos deberá describir al menos la naturaleza de la violación de datos personales, los datos personales involucrados, las medidas recomendadas que debe tomar el titular de los datos para proteger sus intereses, describir las medidas tomadas o propuestas por la Compañía para abordar la violación de datos personales, y el nombre y la información de contacto de nuestro funcionario de protección de datos u otro punto de contacto dentro de nuestra organización donde se pueda obtener más información.
|
Departamento/funcionario de protección de datos |
Nuestra organización debe nombrar y designar a un empleado o departamento como un departamento o funcionario de protección de datos, respectivamente. Este departamento o funcionario de protección de datos será responsable de tomar medidas sobre las solicitudes de los titulares de los datos.
|