Binding Corporate Rules

Para regular consistentemente la forma en que se manejan o procesan los datos personales entre las empresas del grupo de los segmentos comerciales Fresenius Kabi (Fresenius Kabi AG y sus empresas afiliadas) y Fresenius Corporate, adoptamos Normas Corporativas Vinculantes (BCR). Estas BCR están aprobadas por las autoridades europeas de protección de datos.

Las BCR son reglas internas para el procesamiento de datos dentro de organizaciones multinacionales y, junto con las políticas y procedimientos de seguridad asociados, tienen como objetivo crear un nivel globalmente uniforme y adecuado de protección de datos para las empresas participantes.

El compromiso con un estándar común para el procesamiento de datos personales y con un enfoque eficaz para el cumplimiento de la protección de datos refuerza nuestro compromiso de proteger su privacidad a nivel global y local.

En caso de que esté interesado en nuestras Normas corporativas vinculantes, consulte el documento o el resumen a continuación:

Fresenius Kabi Binding Corporate Rules Document

Nombre de archivo
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Tamaño
415 KB
Formato
pdf
Fresenius Kabi Binding Corporate Rules Document

Resumen de las Binding Corporate Rules

El siguiente resumen no reemplaza el documento de Biding Corporate Rules(BCR). El documento BCR será en todos los casos el único documento legalmente aplicable.

Un nivel adecuado y uniforme de protección de datos

Fresenius debe cumplir muchas leyes de protección de datos en todo el mundo. Las Normas Corporativas Vinculantes (NCV) establecen un nivel uniforme y adecuado de protección de datos. Esto permite el intercambio interno de datos personales entre las entidades de Fresenius incluidas.

Aplicables al rededor del mundo 

Las BCR se aplican a las siguientes entidades Fresenius:

  • Fresenius Kabi AG incluyendo todas las subsidiarias/afiliadas
  • Fresenius Digital Technology GmbH
  • Fresenius SE & Co. KGaA

Aplicable para determinadas actividades.

Las BCR se aplican a las siguientes actividades de procesamiento de datos personales:

  • Todas las actividades de entidades europeas.
  • Actividades de entidades no europeas
    • Cuando recopilen datos personales en nombre de una entidad europea Fresenius 
    • Cuando colaboran con una entidad europea de Fresenius
    • Cuando reciben datos personales de entidades europeas
    • Cuando recopilen datos personales de personas ubicadas en Europa para la oferta de bienes y servicios o relacionados con el seguimiento de comportamientos.

Las BCR se aplican tanto a procesos basados ​​en papel como a procesos basados ​​en TI.
Las BCR se aplican a todos los procesos que permitan la búsqueda estructurada de datos personales.

 

BCR fija el nivel mínimo indispensable

ISi alguna ley local de protección de datos requiere reglas más estrictas o adicionales sobre el procesamiento de datos personales, estas deben observarse adicionalmente.

Si una ley local contradice las BCR, se debe informar al Delegado de Protección de Datos (DPO). El RPD evaluará el impacto y resolverá el conflicto.

Si una entidad recibe una orden de una autoridad para revelar datos personales que no se ajusta a los requisitos del BCR, se debe informar al DPO. El DPO informará a la autoridad de control en Alemania.

Los BCR son vinculantes para la organización y nuestros empleados.

El BCR debe ser obligatorio y vinculante para:

  • Todas las entidades: firman un contrato
  • Todos los empleados: tienen el deber de seguir las políticas corporativas en base a su contrato de trabajo.

Las organizaciones y las personas pueden derivar derechos en virtud de estas obligaciones.
La aplicación de las BCR y las posibles sanciones por violaciones son las mismas que cualquier otra violación de la política.

Fresenius Group estableció una organización interna de protección de datos y le asignó las siguientes funciones y responsabilidades:

  • El Oficial de Protección de Datos (DPO) monitorea, es decir, verifica y supervisa si se cumplen las BCR, las leyes, reglas y procesos locales. El DPD puede realizar auditorías, revisiones e investigaciones. El DPO es también el punto de contacto para las autoridades de protección de datos en Europa. Los datos de contacto son:
    Responsable de protección de datos:
    Else-Kröner-Str.161352
    Bad Homburg v.d.H.
    Germany
    O por correo:Para Fresenius SE y Netcare: dataprotectionofficer@fresenius.com
    Para las entidades de Fresenius Kabi: dataprotectionofficer@fresenius-kabi.com
    México: Fernando.aguilar@fresenius-kabi.com 

  • El Asesor Local de Protección de Datos (LDPA) ayuda y asesora a los empleados locales, así como a los propietarios de procesos, siempre que tengan alguna pregunta o inquietud relacionada con la protección de datos. Cuando es necesario, la LDPA apoya a la DPA y al DPO, por ejemplo, a petición de ella en su función de supervisión y en contacto con las autoridades de supervisión, por ejemplo, debido a cuestiones lingüísticas.
  •  El Asesor de Protección de Datos (DPA) proporciona tareas de apoyo y consultoría para las LDPA y es responsable del sistema de gestión de la protección de datos. Cuando sea necesario, la APD apoya al DPD cuando lo solicite en su función de supervisión y en contacto con las Autoridades de Supervisión, por ejemplo, debido a cuestiones lingüísticas.

Al procesar datos personales, seguiremos varios principios para proteger los derechos y libertades fundamentales de las personas de conformidad con las BCR. Cada entidad deberá cumplir con los siguientes principios en el tratamiento de datos personales:

Principio 1: Legalidad

Disponer de una base jurídica documentada a la hora de recoger, utilizar y tratar datos personales. Estas bases legales tienen carácter limitativo. Ejemplos son:

  • El procesamiento es necesario para la ejecución de un contrato con el individuo, como contratos de empleados y contratos de venta.
  • El individuo ha dado su consentimiento.
  • Los intereses legítimos de Fresenius son mayores que las consecuencias negativas para los individuos
  • La necesidad de cumplir otras obligaciones legales, como leyes fiscales, requisitos de vigilancia o requisitos GxP.

Las categorías especiales de datos, como los datos sanitarios, necesitan fundamentos jurídicos adicionales.
Si las leyes locales exigen disposiciones adicionales o divergentes, también se deben seguir (esto podría ser relevante, por ejemplo, para los datos de los empleados).

Principio 2: Transparencia y Justicia

Manejar los datos personales de manera justa y transparente. Informar a las personas antes o en el momento de recopilar y utilizar los datos personales sobre:

  • Quién es responsable y cómo podemos contactarnos
  • ¿Qué datos se recopilan?
  • Cómo se recopilan los datos
  • Por qué necesitamos los datos (propósito)
  • ¿Con qué organizaciones se comparten los datos?
  • Si se comparte con otros países
  • ¿Cuánto tiempo se almacenarán los datos?
  • La base legal para la recopilación y el uso de datos y una explicación de ello (principio 1)
  • Si los individuos están perfilados
  • Si tomamos alguna decisión por medios automatizados
  • Si hay que facilitar los datos y qué pasa si no se hace
  • Los datos de contacto del DPO y de la autoridad.
  • Los derechos que tienen los individuos.

Toda esta información deberá facilitarse de forma exhaustiva y fácilmente accesible, utilizando un lenguaje claro y sencillo.

 

Principio 3: Limitación del propósito

Utilice los datos personales únicamente para los fines especificados, explícitos y legítimos para los que se recopilan. No se permite un uso posterior, a menos que este uso adicional esté en línea con el propósito original y/o se tomen medidas adicionales.
Las finalidades del tratamiento posterior que generalmente se consideran acordes con la finalidad original son:

 

  • Archivar
  • Auditoría interna
  • Investigaciones.

 

La (L)DPA podrá brindar orientación si se permite un cambio de propósito. En caso de un cambio de propósito permitido, las personas deben ser informadas de dichos cambios.

Principio 4: Minimización de datos

Recopilar y utilizar únicamente los datos personales que sean necesarios para el propósito definido tal como se comunica al individuo. Eso significa garantizar que los datos personales sean relevantes y no excesivos a la luz del propósito.

Principio 5: Precisión 

Mantener los datos personales precisos y actualizados. Se deben implementar procedimientos para garantizar que los datos inexactos se eliminen, corrijan o actualicen sin demora.

Principio 6: Almacenamiento limitado

No conservar los datos personales durante el tiempo necesario para la finalidad para la que fueron recopilados, salvo que así lo exija la ley. En tal caso, deberá restringirse el acceso al mismo. Eliminar o anonimizar los datos personales si ya no existe una razón o propósito legal.

Principio 7: Seguridad, integridad y confiabilidad.

Tomar medidas técnicas y organizativas apropiadas para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso a los datos personales (por ejemplo, a través del concepto de roles y derechos apropiados, copia de seguridad y restauración o mediante el uso de cifrado).
Al implementar tales medidas, se deben considerar los riesgos para el individuo. La seguridad de los sistemas de TI debe evaluarse a la luz de estos riesgos al instalar y mantener sistemas de TI.
Documentar y comunicar a la organización de protección de datos cualquier violación de la seguridad que pueda suponer un riesgo para las personas afectadas. Dependiendo de la situación, dichas infracciones también deberán notificarse a la autoridad de control, a los particulares u otras organizaciones.

Principio 8: Responsabilidad

Ser capaz de demostrar el cumplimiento de las BCR. Esto se hace creando y manteniendo la documentación adecuada, como por ejemplo:

  • registros de actividades de procesamiento
  • medidas técnicas y organizativas adoptadas para cumplir con los principios de protección de datos y hacer frente a los riesgos.
  • Evaluaciones de riesgos y controles en materia de protección de datos.

Compromiso de los procesadores

Contrate únicamente procesadores que brinden garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos del BCR y las leyes locales de protección de datos. Esto debe garantizarse mediante un contrato de protección de datos entre la entidad respectiva y el procesador.

(En adelante) Transferencias de datos personales

Implementar medidas para salvaguardar adecuadamente las transferencias de datos personales a otras organizaciones situadas fuera del EEE de conformidad con estas BCR. Esto podría hacerse acordando cláusulas contractuales tipo adoptadas por la Comisión Europea con la otra organización.

Evaluación de riesgos de protección de datos

Para cada actividad de procesamiento de datos, es necesario realizar una evaluación de riesgos de protección de datos. Esta evaluación es un proceso formal para evaluar el impacto de la actividad en los derechos y libertades de los respectivos interesados.

Las brechas de control identificadas y los riesgos potenciales deben informarse y documentarse. Se deben implementar medidas técnicas y organizativas de mitigación antes de que se inicie la actividad de procesamiento de datos.

Evaluaciones de impacto de la protección de datos

Si el resultado de la evaluación de riesgos de protección de datos es alto, se debe realizar una Evaluación de Impacto de la Protección de Datos (DPIA). Se buscará el asesoramiento del DPO.

Cuando una EIPD identifique un alto riesgo de una actividad de procesamiento de datos específica, se deben implementar medidas adecuadas para mitigar dichos riesgos antes del inicio de la actividad de procesamiento. Si la EIPD aún indica un riesgo alto después de la implementación de las medidas, se debe consultar a la autoridad supervisora ​​en cuestión, antes de procesar los datos.

Las personas deben poder ejercer sus derechos (derechos del interesado):

  • Derecho de acceso a los datos personales: El interesado puede solicitar acceder/recibir información sobre los datos personales personales tratados por Fresenius (por ejemplo, la finalidad del tratamiento, las categorías de datos personales en cuestión, los destinatarios, los plazos de conservación, cualquier existencia de toma de decisiones automatizada).
  • Derecho de rectificación de los datos personales: La persona puede solicitar la corrección de los datos personales inexactos o incompletos.
  • Derecho a eliminar los datos personales: La persona puede solicitar la eliminación de sus datos personales a menos que deban mantenerse, por ejemplo, debido a los requisitos legales de retención.
  • Derecho a restringir el procesamiento de datos personales: El individuo puede solicitar que se restrinja el procesamiento de sus datos personales si se impugna la exactitud de los datos personales o si el procesamiento es ilegal (ya no es necesario para los fines perseguidos).
  • Derecho a recibir datos personales en un formato portátil: La persona puede solicitar recibir sus datos personales en un formato de uso común y legible por máquina, si se cumplen las siguientes condiciones:

1.            Los datos personales han sido proporcionados por la persona

2.            El tratamiento se basa en el consentimiento de la persona o en un contrato con la persona

3.            El tratamiento se lleva a cabo por medios automatizados.

  • Derecho a oponerse al tratamiento de datos personales: La persona puede oponerse, debido a su situación personal, al tratamiento de sus datos personales sobre la base de un interés legítimo o público. Dicha solicitud debe ser evaluada. Además, el individuo puede oponerse al marketing directo y a la elaboración de perfiles. En ese caso, el procesamiento debe detenerse.
  • Derecho a no ser objeto de una toma de decisiones automatizada: La persona tiene derecho a no ser objeto de una toma de decisiones automatizada (incluida la elaboración de perfiles) que pueda tener efectos legales o similares significativos en la persona, a menos que:

1.            Es necesario para la celebración o ejecución de un contrato entre el individuo y la entidad respectiva

2.            Se basa en el consentimiento explícito de la persona.

Acceso a las BCR

Las BCR deben estar disponibles para las personas de manera adecuada. Las BCR se publicarán en Internet e intranet.
Las personas también pueden acceder a las NCV poniéndose en contacto con el DPO respectivo o con cualquier miembro de la organización de protección de datos.

Manejo de quejas BCR

Cada individuo tiene derecho a::

  • Reclamar violación de las BCR, leyes locales de protección de datos, órdenes de autoridades supervisoras, políticas y lineamientos internos o autocompromisos voluntarios relacionados con la protección de datos.
  • Abordar sus derechos individuales
  • Hacer cumplir cualquier otro derecho del BCR.

Cualquier queja de este tipo puede presentarse, p. por teléfono, por correo electrónico o carta, u oralmente dirigiéndose al DPO respectivo, al (L)DPA respectivo o a la línea directa de cumplimiento.
En caso de que la queja se considere justificada, la entidad tomará las medidas adecuadas para atender la queja e informar al individuo respectivamente dentro de un mes.

Responsabilidad y cumplimiento

Las personas físicas que se vean afectadas o hayan sufrido daños como consecuencia del tratamiento de sus respectivos datos personales, tienen derecho a hacer cumplir estas partes de las BCR y, en su caso, a recibir una indemnización ante un tribunal competente.
En caso de violaciones comprobadas por parte de partes establecidas fuera de la UE/EFA, FSE acepta la responsabilidad por cualquier daño hacia las personas. La entidad que causó el daño deberá brindar asistencia razonable al FSE para responder a dichas quejas o solicitudes de manera oportuna.

Cooperación con las autoridades de control

Cada entidad debe cooperar con las autoridades de supervisión, cumplir con los consejos sobre la interpretación de estas BCR y aceptar ser auditada por las autoridades de supervisión correspondientes.

Capacitación

Each entity will enrol and oblige their employees to participate in a training on the BCR and data protection and to regularly repeat such training. General training must be provided at least bi-annually to all relevant employees. Furthermore, role specific training (e.g. for HR or procurement departments) is provided considering the specific needs of certain roles/persons.

Auditing

Cada entidad inscribirá y obligará a sus empleados a participar en una formación sobre las BCR y la protección de datos y a repetir periódicamente dicha formación. Se debe proporcionar capacitación general al menos dos veces al año a todos los empleados relevantes. Además, se proporciona formación específica para cada función (por ejemplo, para los departamentos de recursos humanos o de adquisiciones) teniendo en cuenta las necesidades específicas de determinadas funciones/personas.

Actualización del BCR

Las partes revisarán las leyes locales de protección de datos e indicarán si son necesarios cambios en las BCR. Fresenius puede modificar las BCR si es necesario. Cualquier cambio significativo en las BCR será informado oportunamente a cada entidad y a la autoridad de control. Cualquier otra modificación no sustancial de las BCR se informará a las partes tan pronto como sea posible.