Introducción



Yüklə 45,84 Kb.
tarix14.12.2017
ölçüsü45,84 Kb.
#15887

Sus datos, sus derechos: Normas Corporativas Vinculantes de Ericsson como Encargado del Tratamiento en relación con la protección de datos


Introducción


La integridad, la transparencia y la responsabilidad caracterizan la forma de hacer negocios de Ericsson. Como encargado de tratamiento de grandes volúmenes de datos personales de nuestros Clientes (consulte nuestra lista de términos al final de este documento para obtener más información), reconocemos nuestra responsabilidad en relación con el respecto al derecho a la protección de datos y a la aplicación de estándares adecuados de protección de datos.

Operamos en una realidad empresarial altamente conectada, interconectada y global que exige una respuesta coordinada a la protección de datos. Nuestras Normas Corporativas Vinculantes como Encargado del Tratamiento (“NCV”) establecen estándares efectivos y uniformes para el tratamiento de datos personales en todas las operaciones globales de Ericsson. Nuestras NCV nos ayudan a cumplir con los estándares de protección de datos dentro de la Unión Europea (“UE”) y el Espacio Económico Europeo (“EEE”).

El presente documento forma parte de nuestros esfuerzos de transparencia por compartir información sobre nuestro enfoque de la protección de datos. Contiene información completa sobre los aspectos de nuestras NCV que confieren derechos a individuos cuyos datos personales procesamos en nombre de nuestros Clientes.A estos individuos nos referiremos como “Interesados” (consulte nuestra lista de términos al final de este documento para obtener más información). Este documento está diseñado para ayudar a los Interesados en el Espacio Económico Europeo a comprender qué estándares pueden esperar de nuestra empresa y a qué pueden tener derecho de acuerdo con la normativa aplicable. Caso de existir divergencias entre la redacción de este documento y las NCV, prevalecerá el contenido de las NCV.

Preguntas frecuentes


¿Qué son las Normas Corporativas Vinculantes (NCV)?

Las Normas Corporativas Vinculantes, o NCV, son un código de prácticas vinculantes que rige cómo transfiere una empresa multinacional datos personales entre entidades diferentes dentro de su grupo corporativo. Una empresa multinacional tiene partes diferentes de su negocio establecidas en distintas zonas del mundo y por tanto debe someterse a diferentes leyes locales. Aunque algunas leyes nacionales pueden ofrecer un alto nivel de protección de los datos personales, otras pudieran no alcanzar el estándar establecido por la Directiva sobre protección de datos personales de la UE o del EEE (y el Reglamento general sobre la protección de datos que deroga dicha Directiva desde el 25 de mayo de 2018). Por tanto, la mayoría de los datos de carácter personal regidos por las leyes de los estados miembros de la UE o del EEE no pueden transferirse a países que no ofrezcan una protección adecuada, a menos que se establezcan unas garantías adicionales adecuadas. Un ejemplo de ese tipo de garantía adicional son las NCV aprobadas.

Al proporcionar servicios, actuamos como Encargados de Tratamiento de datos para nuestros Clientes, que actúan como Responsables del Tratamiento. Nuestros Clientes determinan por qué y cómo se tratarán los datos, y nosotros llevamos a cabo el tratamiento en su nombre. Para garantizar que actuamos como socio responsable de nuestros Clientes, hemos adoptado nuestras NCV, que han sido aprobadas por las autoridades competentes para la protección de datos de la UE o del EEE. La autoridad para la protección de datos de Suecia (Datainspektionen) actuó como autoridad principal durante el proceso de aprobación.

¿En qué casos se aplican las NCV de Ericsson?

Nuestras NCV se aplican a todos los datos personales tratados por Ericsson en nombre de nuestros Clientes que van a transferirse desde la UE o el EEE a un tercer país (es decir, un país fuera de la UE o del EEE) o a los que se se va a acceder desde un tercer país. Para obtener más información sobre el alcance de nuestras NCV, consulte la sección “F” (Alcance material y descripción de las transferencias) más adelante.



¿Cómo afectan las NCV de Ericsson a mis derechos?

Si hubiera una infracción de las NCV, puede recibir una compensación de Ericsson en el caso en el que no consiga presentar una reclamación contra la entidad en nombre de la cual realizamos el tratamiento de sus datos personales (es decir, nuestro Cliente), bien porque haya desaparecido o porque haya dejado de existir legalmente o porque sea insolvente. Puede encontrar más información en la sección “B” (Derechos de terceros beneficiarios para los Interesados) más adelante.



¿Cómo puedo obtener más información?

Si desea saber más sobre cómo tratamos sus datos personales en nombre de nuestros Clientes, o si cree que puede haber sido víctima de una infracción de datos personales, no dude en ponerse en contacto con nosotros utilizando los datos que se proporcionan al final de este documento.1


Información sobre derechos de beneficiarios conforme a nuestras NCV

A. Obligación de respetar las NCV


Todos los miembros del Grupo Ericsson, sus empleados, indefinidos o temporales, deben respetar las NCV y el Acuerdo de servicios. Tenemos la clara obligación de respetar las instrucciones del Cliente sobre el procesamiento de datos tal como se indica en el Acuerdo de servicios. El Equipo principal de privacidad del Grupo Ericsson ofrecerá asistencia y consejo sobre temas de cumplimiento de la privacidad.

B. Derechos de terceros beneficiarios para los Interesados

En caso de que el Interesado no pueda presentar una reclamación contra el Cliente correspondiente porque el Cliente ha desaparecido de hecho o ha dejado de existir legalmente o porque es insolvente, y a menos que alguna entidad sucesora del Cliente haya asumido todas las obligaciones jurídicas del Cliente por contrato o por ley, se aplica lo siguiente:



      1. Los Interesados tienen derecho a hacer cumplir estas NCV ante cualquier Entidad del Grupo Ericsson que haya infringido estas NCV.

      2. La parte contratante del EEE2 con el Cliente es responsable de (y aceptará) tomar las medidas necesarias para reparar los actos de las Entidades del Grupo Ericsson establecidas fuera del EEE o de reparar las infracciones causadas por subencargados del tratamiento externos establecidos fuera del EEE y de pagar una compensación a los Interesados por los daños resultantes de la infracción de estas NCV.

      3. Ericsson AB pudiera llegar a asumir la responsabilidad, aunque pudiera resultar más conveniente para el Interesado acudir a la entidad encargada del tratamiento de su propio país que sea la parte contratante en el EEE con el Cliente, si así lo decide.

La Entidad del Grupo Ericsson que haya asumido la responsabilidad conforme a los apartados ii o iii anteriores aceptará la responsabilidad como si dicha infracción hubiera sido causada por la mencionada parte contratante en lugar de por la Entidad del Grupo Ericsson fuera del EEE o en lugar del subencargado del tratamiento externo establecido fuera del EEE.

No obstante lo anterior, si la Empresa del Grupo Ericsson que haya asumido la responsabilidad conforme a los apartados ii o iii anteriores puede demostrar que el miembro del grupo fuera del EEE no es responsable del acto, puede eximirse de cualquier responsabilidad.



C. Responsabilidad con respecto al Cliente

El Cliente tiene el derecho de hacer cumplir estas NCV y el Acuerdo de servicios ante cualquiera de las Entidades del Grupo Ericsson por infracciones de las mismas que se hayan producido, lo que incluye el derecho de cumplimiento ante la parte contratante del EEE con el Cliente, si la infracción ha sido causada por un subencargado externo establecido fuera del EEE.

La parte contratante del EEE con el Cliente, y Ericsson AB si fuera necesario, es responsable de (y aceptará) tomar las medidas necesarias para remediar los actos de las Entidades del Grupo Ericsson establecidas fuera del EEE o de corregir las infracciones causadas por subencargados externos establecidos fuera del EEE y de pagar una compensación a los Interesados por los daños resultantes de la infracción de estas NCV tal como se haya acordado en el Acuerdo de servicios.

La parte contratante del EEE con el Cliente aceptará la responsabilidad como si dicha infracción hubiera sido causada por la parte contratante del EEE con el propio Cliente en lugar de la Entidad del Grupo Ericsson establecido fuera del EEE o en lugar del subencargado externo establecido fuera del EEE.

No obstante lo anterior, si la parte contratante del EEE con el Cliente puede demostrar que el miembro del grupo Ericsson establecido fuera del EEE no es responsable del acto, puede eximirse de cualquier responsabilidad.

D. Proceso de gestión de reclamaciones


A los Interesados que deseen cursar una reclamación o una solicitud, se les indicará que envíen un correo electrónico a ericsson.group.privacy@ericsson.com, preferiblemente conforme a esta instrucción:
Cómo comunicarme de manera segura por correo electrónico con usuarios de Ericsson. Dichas reclamaciones o solicitudes deben procesarse con la herramienta SIMS3, comunicarse al Cliente correspondiente y gestionarse conforme a las instrucciones 4 del Acuerdo de servicios del Cliente.

Cuando un Cliente ha desaparecido de hecho o ha dejado de existir legalmente o es insolvente, y a menos que alguna entidad sucesora del Cliente haya asumido todas las obligaciones jurídicas del Cliente por contrato o por ley, el Grupo Ericsson se encargará de las reclamaciones de los Interesados conforme al procedimiento siguiente:

Cuando se reciban las reclamaciones, se acusará su recibo y se proporcionará al reclamante un plazo inicial para la gestión de la reclamación. Además, se informará al reclamante de las consecuencias en caso de que se rechace la reclamación, de las consecuencias en caso de que la reclamación se considere justificada y de las consecuencias en el caso en el que al reclamante no le satisfagan las respuestas, como el derecho a presentar una reclamación ante los tribunales o ante las autoridades competentes de protección de datos. Las reclamaciones las gestionará la Función Corporativa de Asesoría Jurídica (Group Function Legal Affairs) del Grupo Ericsson.

La Autoridad de protección de datos competente será la Autoridad de protección de datos en Suecia (donde se encuentra la sede central de Ericsson) o en el país en que esté situada la parte contratante del EEE con el Cliente o en cualquier otro país en que el Interesado tenga derecho legal de adoptar medidas ante la Autoridad de protección de datos. El tribunal competente será un tribunal de Suecia (donde se encuentra la sede central de Ericsson) o en el país en que esté situada la parte contratante del EEE con el Cliente o en cualquier otro país en que el Interesado tenga derecho conforme a la ley aplicable de acudir a un tribunal.



E. Obligación de cooperar con el Cliente y las Autoridades de protección de datos

Las Entidades del Grupo Ericsson tienen la clara obligación de cooperar con y de aceptar ser auditadas por una Autoridad de protección de datos pertinente o por los Clientes. En caso de que una Autoridad de protección de datos haya dictado una Decisión, esta Decisión deberá seguirse dentro del Grupo Ericsson cuando Ericsson no haya ejercido su derecho de recurrir la decisión. Además, las Entidades del Grupo Ericsson deben tomar en consideración cualquier consejo sobre asuntos relacionados con normativas en materia de privacidad. Las Autoridades de protección de datos pueden dar consejos sobre cualquier asunto relacionado con la protección de datos, en cuyo caso la Entidad del Grupo Ericsson es responsable de informar al equipo encargado de la privacidad dentro del Grupo Ericsson y, si fuera necesario, de asesorarse en la materia.



F. Alcance material y descripción de las transferencias

Estas NCV tienen como objetivo alcanzar un nivel adecuado de protección de los datos personales en la transferencia de datos desde el Espacio Económico Europeo a un tercer país que no disponga de un nivel adecuado de protección.

Estas NCV son aplicables en el conjunto del Grupo Ericsson cuando Ericsson sea el Encargado del Tratamiento5 y un Cliente sea el Responsable del Tratamiento.

Las presentes normas son aplicables al tratamiento de datos personales por medios electrónicos y en sistemas de archivo de documentos en papel accesibles de manera sistematizada. Ejemplos de operaciones dentro del alcance, sin carácter limitativo:

Servicios gestionados

Atención al cliente

Distribución remota de software

Prospección de datos y análisis de datos masivos

Análisis empresarial y de I+D

Servicios de la nube

Comercio móvil

Gestión de cuentas

Marketing, ventas y promociones

Asuntos gubernamentales y regulatorios

Las Entidades del Grupo Ericsson que se encuentran dentro del ámbito subjetivo de estas NCV son Telefonaktiebolaget LM Ericsson (LME) y cualquier empresa o entidad jurídica de la que LME, directa o indirectamente, posea más del 50 % del capital de acciones emitido, tenga más del 50 % de los derechos de voto en reuniones generales de accionistas o tenga poder para nombrar a una mayoría de los directivos de dicha empresa o entidad jurídica.

El Cliente también se asegurará de que estas NCV se apliquen a todas las transferencias y los tratamientos de sus datos personales que realice Ericsson.



G. Principios de privacidad

Transparencia e imparcialidad

Se informará a los Clientes sobre en qué países procesarán los datos personales las Entidades del Grupo Ericsson o los subencargados externos. Cualquier cambio en relación con dichos países se comunicará a los Clientes cuando les sea de aplicación.

La información sobre las actividades de tratamiento aplicables se pondrá a disposición de los Clientes y de las Autoridades de protección de datos competentes, revelando únicamente lo estrictamente necesario. Los cambios significativos en relación con el tratamiento se comunicarán a los Clientes cuando les sea de aplicación.

Se notificará de inmediato a los Clientes a los que les fuere de aplicación y a las Autoridades de protección de datos competentes si hay o se prevé que haya en el futuro una legislación que impida el cumplimiento previsto de estas NCV o del Acuerdo de servicios aplicable. De ser así, el Cliente tendrá derecho a suspender la transferencia de datos.

Si no va contra la investigación de ilícitos penales de acuerdo con las leyes aplicables, se informará de inmediato a los Clientes a los que les fuere de aplicación si una autoridad policial exige a Ericsson la revelación de datos personales del Cliente.

Limitación de las finalidades

Todos los datos personales sobre los que se realice el tratamiento en nombre del Cliente solo se recopilarán y se tratarán para el cumplimiento de obligaciones jurídicas o contractuales. Ericsson respetará que el Cliente determine exclusivamente la definición y las finalidades del tratamiento de los datos personales sobre los que se va a realizar el tratamiento en su nombre.

Los datos personales bajo la custodia de Ericsson y sobre los que se realiza el tratamiento en nombre del Cliente serán devueltos al extinguirse el contrato a menos que se indique a Ericsson que los destruya.

Calidad de los datos

Todas las entidades del Grupo Ericsson deben asistir al Cliente para cumplir con las leyes de protección de datos aplicables para que los datos se actualicen, se corrijan, se eliminen o se hagan anónimos.

Se tomarán medidas necesarias para rectificar cualquier imprecisión y para eliminar los datos personales cuando sea razonablemente solicitado por el Cliente. Se velará por que todas las Entidades del Grupo Ericsson y los subencargados externos en posesión de los datos personales en cuestión tomen dichas medidas. Si no se acuerda lo contrario, los datos personales de los Clientes se eliminarán o se anonimizarán cuando ya no sean necesarios para el cumplimiento de obligaciones jurídicas o contractuales.

Seguridad

Se cumplirán las medidas de seguridad que apliquen las leyes del estado miembro del EEE del Cliente exportador y que cumplan las instrucciones del Cliente expuestas en el Acuerdo de servicios, además de la seguridad estándar del Grupo Ericsson expuesta en los documentos rectores aplicables del grupo. Dichas medidas protegerán los datos personales contra el mal uso o la destrucción, la pérdida, la alteración, la revelación o el acceso accidentales. Los derechos de acceso a datos personales se autorizarán individualmente cuando sea estrictamente necesario si no se acuerda lo contrario con el Cliente. El personal que acceda a datos personales deberá cumplir las obligaciones de confidencialidad que se especifiquen en los acuerdos de confidencialidad. Cualquier infracción de la seguridad que afecte a la privacidad de datos personales sobre los que se esté realizando el tratamiento en nombre del Cliente se comunicará de inmediato al Cliente relevante.

El Proceso de gestión de incidentes de seguridad describe las instrucciones obligatorias para garantizar que se informe debidamente de los incidentes de seguridad y de privacidad y que se gestionen correctamente para evitar daños y costes innecesarios, así como para cumplir con la legislación, las normas y las obligaciones contractuales.

Derechos de los Interesados:

Consulte las secciones B (Derechos de terceros beneficiarios para los Interesados) y D (Proceso de gestión de reclamaciones) de este documento.



Tratamiento de datos a través de subencargados del tratamiento y transferencia sucesiva

El Acuerdo de servicios entre el Cliente y una Entidad del Grupo Ericsson establecida al inicio de la prestación de un servicio estipulará preferiblemente el permiso a cualquier miembro del Grupo Ericsson para realizar el tratamiento de datos como subencargado del tratamiento. Este acuerdo incluirá información sobre los elementos principales, como partes, países, medidas de seguridad, etc.

En cualquier caso y antes de llevar a cabo la subcontratatación para el tratamiento de datos, se obtendrá el consentimiento del Cliente caso a caso.6 Con anterioridad a llevar a cabo la transferencia subsiguiente de datos personales a subencargados externos, se obtendrá el consentimiento por escrito del Cliente para ello. Las instrucciones por escrito para proporcionar una protección adecuada implementada por subencargados externos deben acordarse antes de que pudiera tener lugar el tratamiento de los datos personales. Dichas instrucciones incluirán las siguientes provisiones que se incluirán en los acuerdos con subencargados externos:

(a)Los datos personales se tratarán solo conforme a las instrucciones de Ericsson y para la finalidad autorizada por Ericsson.

(b)Se mantendrá la confidencialidad de los datos personales.

(c)No se permitirá un tratamiento posterior por un subencargado sin el consentimiento previo por escrito de Ericsson, que antes debe obtener el consentimiento del Cliente.

(d)Se informará de inmediato a Ericsson de cualquier Infracción, real o presunta, de la privacidad.

(e)Medidas de seguridad que estarán en vigor para mitigar los riesgos en relación con los datos de carácter personal.

Para transferencias sucesivas de datos personales desde el EEE, Ericsson utiliza las Cláusulas contractuales estándar conforme a la decisión de la Comisión Europea de 5 de febrero de 2010 sobre cláusulas contractuales tipo para la transferencias de datos personales a encargados del tratamiento establecidos en terceros países en los que sea de aplicación la Directiva de protección de datos de la UE o del EEE (y el Reglamento general sobre la protección de datos que sucede a dicha Directiva a partir del 25 de mayo de 2018) u otros mecanismos jurídicos para la transferencia, como las Normas Corporativas Vinculantes.

H. Lista de entidades sometidas a las NCV

Puede encontrar una lista de Entidades del Grupo Ericsson aquí. Adicionalmente, las NCV también se aplican a la entidad Ericsson India Global Services Private Limited en la India. Las normas de este documento también son aplicables en el caso de que se acuerden tratamiento de datos por subencargados externos.


I. Lista de términos


Término

Definición

Anonimización

Eliminación de datos personales para que no se identifique a la persona, también conocido como “desidentificar”.

Normas Corporativas Vinculantes

Códigos de prácticas elaborados y acatados voluntariamente por organizaciones multinacionales. Estas normas tienen como objetivo establecer garantías adecuadas para el tratamiento y las transferencias de datos personales entre las entidades que pertenecen al mismo grupo corporativo y que acatan estas normas corporativas. Las normas se basan en los estándares europeos de protección de datos.

Cliente

Persona física o jurídica, autoridad pública, agencia o cualquier otro organismo con quien Ericsson ha establecido un Acuerdo de servicios para llevar a cabo un tratamiento de datos personales en nombre de esa entidad. Consulte “Responsable del Tratamiento” más adelante.

Responsable del Tratamiento

Persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera autónoma o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales. En este contexto, el Responsable del Tratamiento es una entidad externa con la que Ericsson ha establecido un Acuerdo de servicios, como un cliente, un socio, etc.

El Responsable del Tratamiento es el principal responsable ante las Autoridades de protección de datos y los Interesados de garantizar que estén protegidos los datos personales transferidos fuera del EEE.



Encargado del Tratamiento

El Encargado del Tratamiento es la persona física o jurídica, la autoridad pública, la agencia o cualquier otro organismo que procesa datos personales en nombre del Responsable. En este contexto, el Encargado del Tratamiento es una Entidad del Grupo Ericsson.

Interesado

Persona identificada o identificable con quien están relacionados los datos personales. Se trata de alguien que puede identificarse, directa o indirectamente, haciendo referencia a un número de identificación o a uno o varios factores específicos (físicos, fisiológicos, mentales, económicos, culturales, sociales...).

Parte contratante del EEE

Entidad de Ericsson Group situada en el EEE7 que ha suscrito un Acuerdo de servicios con el Cliente.

Datos personales

“Datos personales” se refiere a cualquier información referida a un Interesado.

Infracción de privacidad

Acceso, uso o revelación no autorizados de Información personal de una forma no permitida por ley, reglamento o contrato, que pone en peligro la seguridad y la privacidad de los datos personales y que crea un riesgo sustancial de robo de identidad, fraude o daños contra una persona. Esto incluye la destrucción, la pérdida o la alteración accidentales, o la revelación no autorizada de datos personales.

Tratamiento

“Tratamiento de datos personales” se refiere a cualquier operación o conjunto de operaciones que se realizan con datos personales, sea o no a través de medios automáticos (por ejemplo, recopilación, registro, adaptación o alteración, recuperación, consulta, uso, revelación por transmisión, eliminación o destrucción, etc.).

Tercer país

Un “tercer país” es un país fuera del EEE.

La Comisión de la UE mantiene una lista de terceros países que garantizan un nivel adecuado de protección de datos.



Tercero beneficiario

Un tercero beneficiario es una persona que no es parte en un contrato, pero que tiene derechos legales para hacer cumplir el contrato o participación en los beneficios porque el contrato se realizó para beneficio de dicho tercero.

Información de contacto


Si tiene alguna consulta sobre las NCV de Ericsson o sobre nuestro enfoque sobre la protección de datos personales en general, no dude en ponerse en contacto con nosotros a través de la siguiente dirección de correo electrónico:

ericsson.group.privacy@ericsson.com

o por correo postal a:

Group Data Protection Officer, Ericsson AB, Group Function Legal Affairs, 164 80 Stockholm (Estocol



1 El Cliente tiene la obligación de proporcionar a los Interesados una copia completa de nuestras NCV y de nuestro Acuerdo de servicios (sin incluir información comercial confidencial) cuando se le solicite.

2 Entidad de Ericsson Group situada en el EEE que ha establecido un Acuerdo de servicios con el Cliente.

3 SIMS son las siglas en inglés del Sistema de gestión de incidentes de seguridad, donde se registran y se despachan los asuntos de Privacidad con los encargados relevantes de seguridad para que tomen medidas.

4 Se incluyen las medidas que se ejecutarán, el tiempo de respuesta y las consecuencias si una reclamación o una solicitud no se gestionan debidamente.

5 Principalmente en relación con transferencias y procesamientos internacionales de datos de suscripción de clientes.

6 Nota: un Cliente puede prohibir o restringir la transferencia de datos.

7 Espacio Económico Europeo (EEE) El Espacio Económico Europeo lo componen los estados miembros de la UE más Noruega, Islandia y Liechtenstein.

Yüklə 45,84 Kb.

Dostları ilə paylaş:




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©www.genderi.org 2024
rəhbərliyinə müraciət

    Ana səhifə