Binding Corporate Rules

Un nivel uniforme y adecuado de protección de datos

Fresenius debe seguir diversas leyes de protección de datos en todo el mundo. Las Binding Corporate Rules (BCR) establecen un marco uniforme y adecuado para la protección de datos. De este modo, se permite el intercambio interno de datos personales entre las entidades de Fresenius

Aplicable en todo el mundo

Las BCR son aplicables a las siguientes entidades:

• Fresenius Kabi AG, inclusive todas las empresas subsidirarias/ asociadas 
• Fresenius Digital Technology GmbH (FDT)
• Fresenius SE & Co. KGaA

Aplicable para ciertas actividades

Las BCR son aplicables a las siguientes actividades de procesamiento de datos:

• Todas las actividades de entidades europeas
• Actividades de entidades no europeas:
• Cuando recogen datos personales por encargo de una entidad europea de Fresenius
  
• Cuando colaboran con una entidad europea de Fresenius
  
• Cuando reciben datos personales de entidades europeas
  
• Cuando recogen datos personales de personas situadas en Europa para ofrecer productos y servicios, o monitorear su comportamiento.

Las BCR son aplicables tanto a procesos en papel, como informáticos.

Las BCR son aplicables a todos los procesos que permiten una búsqueda estructurada de datos personales.

Las BCR establecen el nivel mínimo

Si existen leyes locales en materia de protección de datos que requieran normas adicionales o más severas para el tratamiento de datos personales, estas también deberán observarse.

Si una ley local es contraria a las BCR, se debe informar al delegado de Protección de Datos (DPO). El DPO evaluará las repercusiones y resolverá el conflicto.

Si una autoridad ordena a una entidad comunicar datos personales y esto infringe las disposiciones de las BCR, se debe informar al DPO. El DPO informará a la autoridad de control en Alemania.

Las BCR son vinculantes para la organización y nuestros empleados

The BCR need to be obliged and are binding for:

• Todas las entidades: firman un contrato
• Todo el personal: tienen el deber de cumplir con las políticas de la empresa en función de su contrato de trabajo.

Estas obligaciones generan derechos para organizaciones y personas.

La aplicación de las BCR y las posibles sanciones por infracción son las mismas que las de cualquier otra política.

El grupo Fresenius creó una organización interna de protección de datos con las siguientes funciones y responsabilidades:

• El  delegado de protección de datos (DPO) realiza monitoreos, por ejemplo, verifica y supervisa que se cumplan las BCR, así como leyes, reglamentos y procesos locales. El DPO puede llevar a cabo auditorías, inspecciones e investigaciones. Asimismo, el DPO es el punto de contacto de las autoridades de protección de datos de Europa. A continuación, se detallan los datos de contacto:
  Delegado de Protección de Datos:
  Else-Kröner-Str. 1
  61352 Bad Homburg v.d.H.
  Alemania
  O por correo electrónico:
  For Fresenius SE and Netcare: dataprotectionofficer@fresenius.com
  For Fresenius Kabi entities: dataprotectionofficer@fresenius-kabi.com
  
• El consultor local en materia de protección de datos (DPA) ayuda y asesora al personal de forma local, así como a los responsables de procesos si tienen alguna consulta o preocupación relacionada con la protección de datos. Si es necesario, el LDPA asiste al DPA y al DPO, por ejemplo, si solicitan que ejerza su función de supervisión o necesitan que contacte con autoridades de control, por ejemplo, por cuestiones de idioma.
• El consultor en materia de protección de datos (DPA) realiza tareas de asistencia y consultoría para los LDPA y es responsable del sistema de gestión de protección de datos. Si es necesario, el DPA asiste al DPO, si se solicita que ejerza su función de supervisión o se necesita que contacte con autoridades de control, por ejemplo, por cuestiones de idioma.El grupo Fresenius creó una organización interna de protección de datos con las siguientes funciones y responsabilidades:
• El  delegado de protección de datos (DPO) realiza monitoreos, por ejemplo, verifica y supervisa que se cumplan las BCR, así como leyes, reglamentos y procesos locales. El DPO puede llevar a cabo auditorías, inspecciones e investigaciones. Asimismo, el DPO es el punto de contacto de las autoridades de protección de datos de Europa. A continuación, se detallan los datos de contacto:
  Delegado de Protección de Datos:
  Else-Kröner-Str. 1
  61352 Bad Homburg v.d.H.
  Alemania
  O por correo electrónico:
  For Fresenius SE and Netcare: dataprotectionofficer@fresenius.com
  For Fresenius Kabi entities: dataprotectionofficer@fresenius-kabi.com
  
• El consultor local en materia de protección de datos (DPA) ayuda y asesora al personal de forma local, así como a los responsables de procesos si tienen alguna consulta o preocupación relacionada con la protección de datos. Si es necesario, el LDPA asiste al DPA y al DPO, por ejemplo, si solicitan que ejerza su función de supervisión o necesitan que contacte con autoridades de control, por ejemplo, por cuestiones de idioma.
• El consultor en materia de protección de datos (DPA) realiza tareas de asistencia y consultoría para los LDPA y es responsable del sistema de gestión de protección de datos. Si es necesario, el DPA asiste al DPO, si se solicita que ejerza su función de supervisión o se necesita que contacte con autoridades de control, por ejemplo, por cuestiones de idioma.

Al procesar datos personales, seguiremos varios principios para proteger los derechos y libertades fundamentales de las personas de acuerdo con las BCR. Cada entidad debe cumplir con los siguientes principios al tratar datos personales:

Principio 1: Licitud o Legalidad

Contar con una base legal documentada a la hora de recopilar, utilizar y procesar datos personales. Estas bases legales se enumeran de manera limitativa. Algunos ejemplos son:

• El tratamiento es necesario para la ejecución de un contrato con la persona física, como los contratos de empleados y los contratos de venta
• La persona ha dado su consentimiento
• Los intereses legítimos de Fresenius son más grandes que las consecuencias negativas para los individuos
• La necesidad de cumplir con otras obligaciones legales, como las leyes fiscales, los requisitos de vigilancia o los requisitos de GxP.

Las categorías especiales de datos, como los datos sanitarios, necesitan fundamentos jurídicos adicionales.
Si las leyes locales exigen disposiciones adicionales o divergentes, también deben seguirse (esto podría ser, por ejemplo, relevante para los datos de los empleados).

Principio 2: Transparencia y Equidad

Manejar los datos personales de manera justa y transparente. Informar a las personas físicas antes o en el momento de la recolección y uso de los datos personales sobre:

• ¿Quién es el responsable y cómo puede ponerse en contacto con nosotros?
• ¿Qué datos se recopilan?
• Cómo se recopilan los datos
• Por qué necesitamos los datos (finalidad)
• Con qué organizaciones se comparten los datos
• Si se comparte con otros países
• Cuánto tiempo se almacenarán los datos
• La base jurídica para la recopilación y el uso de datos y una explicación de ello (principio 1)
• Si se perfila a los individuos
• Si tomamos alguna decisión por medios automatizados
• Si se deben proporcionar los datos y qué sucede si no se hace
• Los datos de contacto del DPO y de la autoridad
• Los derechos que tienen los individuos.

Toda esta información debe facilitarse de forma exhaustiva y de fácil acceso, utilizando un lenguaje claro y sencillo.

Principio 3: Limitación de la finalidad

Utilizar los datos personales únicamente para los fines especificados, explícitos y legítimos para los que se recopilan. No se permite el uso posterior, a menos que este uso adicional esté en línea con el propósito original y/o se tomen medidas adicionales.
Las finalidades del tratamiento posterior que, por lo general, se consideran coherentes con la finalidad original son:

• Archivamiento
• Auditoría interna
• Investigaciones.

El (L)DPA podrá proporcionar orientación si se permite un cambio de propósito. En caso de que se permita un cambio de propósito, las personas deben ser informadas de dichos cambios.

Principio 4: Minimización de datos

Recopilar y utilizar únicamente los datos personales que sean necesarios para el fin definido tal y como se ha comunicado a la persona. Eso significa garantizar que los datos personales sean relevantes y no excesivos a la luz del propósito.

Principio 5: Precisión o Exactitud

Mantener los datos personales precisos y actualizados. Se deben implementar procedimientos para garantizar que los datos inexactos se eliminen, corrijan o actualicen sin demora.

Principio 6: Limitación del almacenamiento

No conservar los datos personales durante más tiempo que sea necesario para el propósito para el que han sido recopilados, a menos que lo exija la ley. En tal caso, el acceso a la misma debe restringirse. Eliminar o anonimizar los datos personales si ya no existe una razón o propósito legal.

Principio 7: Seguridad, integridad y confidencialidad

Tomar las medidas técnicas y organizativas apropiadas para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso a los datos personales (por ejemplo, a través del concepto de roles y derechos adecuados, copia de seguridad y restauración o mediante el uso de cifrado).
Al implementar tales medidas, se deben considerar los riesgos para el individuo. La seguridad de los sistemas informáticos debe evaluarse a la luz de estos riesgos a la hora de instalar y mantener los sistemas informáticos.
Documentar e informar a la organización de protección de datos de cualquier violación de la seguridad que pueda suponer un riesgo para las Personas afectadas. Dependiendo de la situación, tales infracciones también deben notificarse a la autoridad de control, a las personas u otras organizaciones.

Principio 8: Responsabilidad

Ser capaz de demostrar el cumplimiento de las BCR. Esto se hace mediante la creación y el mantenimiento de la documentación adecuada, como por ejemplo:

• Registros de actividades de tratamiento
• Medidas técnicas y organizativas adoptadas para cumplir con los principios de protección de datos y hacer frente a los riesgos.
• Evaluaciones de riesgos y controles de protección de datos

Contratación de los encargados del tratamiento

Solo contrate procesadores que brinden garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos de las BCR y las leyes locales de protección de datos. Esto debe garantizarse mediante un contrato de protección de datos entre la entidad respectiva y el encargado del tratamiento.

(En adelante) Transferencias de datos personales

Implementar medidas para salvaguardar adecuadamente las transferencias de datos personales a otras organizaciones situadas fuera del EEA de conformidad con estas BCR. Esto podría hacerse acordando con la otra organización cláusulas contractuales tipo adoptadas por la Comisión Europea.

Evaluación de riesgos de protección de datos

Para cada actividad de tratamiento de datos, es necesario llevar a cabo una evaluación de riesgos de protección de datos. Esta evaluación es un proceso formal para evaluar el impacto de la actividad en los derechos y libertades de los respectivos interesados interesados.

Las brechas de control identificadas y los riesgos potenciales deben ser reportados y documentados. Se deben implementar medidas técnicas y organizativas de mitigación antes de que se inicie la actividad de procesamiento de datos.

Evaluaciones de impacto de la protección de datos

Si el resultado de la evaluación de riesgos de protección de datos es de alto riesgo, es necesario llevar a cabo una evaluación de impacto de la protección de datos (DPIA). Se solicitará el asesoramiento del DPO.

Cuando una DPIA identifique un alto riesgo de una actividad específica de tratamiento de datos, deberán aplicarse medidas adecuadas para mitigar dichos riesgos antes del inicio de la actividad de tratamiento. Si la DPIA sigue indicando un riesgo elevado tras la aplicación de las medidas, debe consultarse a la autoridad de control competente antes de tratar los datos.

Las personas deben poder ejercer sus derechos (derechos de los interesados):

• Derecho de acceso a los datos personales: La persona puede solicitar acceder/recibir información sobre los datos personales individuales tratados por Fresenius (por ejemplo, la finalidad del tratamiento, las categorías de datos personales en cuestión, los destinatarios, los plazos de conservación, cualquier existencia de toma de decisiones automatizada).
• Derecho a rectificar los datos personales: La persona puede solicitar la corrección de los datos personales inexactos o incompletos.
• Derecho a la supresión de los datos personales: La persona puede solicitar la supresión de sus datos personales, a menos que deban mantenerse, por ejemplo, debido a los requisitos legales de conservación.
• Derecho a restringir el procesamiento de datos personales: La persona puede solicitar que se restrinja el procesamiento de sus datos personales si se impugna la exactitud de los datos personales o si el procesamiento es ilegal (ya no es necesario para los fines perseguidos).
• Derecho a recibir datos personales en un formato portátil: La persona puede solicitar recibir sus datos personales en un formato de uso común y legible por máquina, si se cumplen las siguientes condiciones:
  • Los datos personales han sido proporcionados por la persona
  • El tratamiento se basa en el consentimiento de la persona o en un contrato con la persona
  • El tratamiento se lleva a cabo por medios automatizados.
• Derecho a oponerse al tratamiento de datos personales: La persona puede, debido a su situación personal, oponerse al tratamiento de sus datos personales basado en un interés legítimo o público. Dicha solicitud debe ser evaluada. Además, el individuo puede oponerse al marketing directo y a la elaboración de perfiles. A continuación, el procesamiento debe detenerse.
• Derecho a no estar sujeto a la toma de decisiones automatizada: La persona tiene derecho a no estar sujeta a la toma de decisiones automatizada (incluida la elaboración de perfiles) que pueda tener efectos legales o similares significativos en la persona, a menos que:
  • Es necesario para la celebración o ejecución de un contrato entre la persona y la entidad respectiva
  • Se basa en el consentimiento explícito de la persona.

Las BCR deben estar disponibles para las personas de manera adecuada. Las BCR se publicarán en internet e intranet.
Las personas también pueden acceder a las BCR poniéndose en contacto con el DPO respectivo o con cualquier miembro de la organización de protección de datos.

Manejo de quejas de BCR

Toda persona tiene derecho a:

• Reclamar la violación de las BCR, las leyes locales de protección de datos, las órdenes de las autoridades de supervisión, las políticas y directrices internas, o los autocompromisos voluntarios relacionados con la protección de datos.
• Abordar sus derechos individuales
• Hacer valer cualquier otro derecho del BCR.

Dichas reclamaciones pueden presentarse, por ejemplo, por teléfono, por correo electrónico o por carta, oralmente dirigiéndose al DPO respectivo, al (L)DPA respectivo o a la línea directa de cumplimiento.
En caso de que la queja se considere justificada, la entidad tomará las medidas adecuadas para abordar la queja e informar a la persona respectivamente dentro de un mes.

Responsabilidad y ejecución

Las personas que se vean afectadas o hayan sufrido daños como resultado del tratamiento de sus respectivos datos personales, tienen derecho a hacer cumplir estas partes de las BCR y, en su caso, a recibir una indemnización ante un tribunal competente.
En caso de violaciones comprobadas por parte de partes establecidas fuera de la EU/EFA, FSE acepta la responsabilidad por cualquier daño hacia las personas. La entidad que causó el daño deberá proporcionar asistencia razonable a FSE para responder a dichas quejas o solicitudes de manera oportuna.

Cooperación con las Autoridades de Supervisión

Cada entidad está obligada a cooperar con las autoridades supervisoras, a cumplir con los consejos relativos a la interpretación de estas BCR y a aceptar ser auditada por las autoridades supervisoras competentes.

Entrenamiento

Cada entidad inscribirá y obligará a sus empleados a participar en una capacitación sobre las BCR y protección de datos y a repetir regularmente dicha capacitación. La capacitación general debe proporcionarse al menos dos veces al año a todos los empleados relevantes. Además, se imparte formación específica para cada función (por ejemplo, para los departamentos de RRHH o de compras) teniendo en cuenta las necesidades específicas de determinadas funciones/personas.

Auditoría

Todas las partes se comprometerán a ser auditadas periódicamente (a través de auditorías planificadas o ad hoc) para evaluar y probar el cumplimiento de las BCR e implementar mecanismos adecuados y suficientes para remediar el incumplimiento de una entidad con las BCR. La organización de protección de datos hará un seguimiento de cualquier auditoría realizada para evaluar si las acciones correctivas propuestas se han implementado adecuadamente y documentará los resultados en el informe de auditoría. Cada entidad pondrá los informes de auditoría a disposición de las autoridades supervisoras que lo soliciten.

Actualización de las BCR

Las Partes revisarán las leyes locales de protección de datos e indicarán si es necesario realizar cambios en las BCR. Fresenius puede enmendar el BCR si es necesario. Cualquier cambio significativo en las BCR será reportado de inmediato a cada entidad y a la autoridad supervisora. Cualquier otra modificación no sustantiva del BCR será informada a las partes tan pronto como sea posible.