Reglas Corporativas Vinculantes

Para regular de manera consistente la forma en que se maneja o procesa la información personal entre las empresas del grupo de los segmentos de negocio Fresenius Kabi (Fresenius Kabi AG y sus empresas afiliadas) y Fresenius Corporate, adoptamos las Reglas Corporativas Vinculantes (BCR). Estas BCR están aprobadas por las autoridades de protección de datos europeas.

Las BCR son reglas internas para el procesamiento de datos dentro de organizaciones multinacionales y, junto con las políticas y procedimientos de seguridad asociados, tienen como objetivo crear un nivel de protección de datos globalmente uniforme y adecuado para las empresas participantes.

El compromiso con un estándar común para el procesamiento de datos personales y un enfoque efectivo para el cumplimiento de la protección de datos refuerza nuestro compromiso de proteger tu privacidad a nivel global y local.

Si estás interesado en nuestras Reglas Corporativas Vinculantes, consulta el documento o el resumen a continuación:

Documento de Reglas Corporativas Vinculantes de Fresenius Kabi

Nombre de archivo
20220715_Binding_Corporate_Rules_Fresenius-Kabi.pdf
Tamaño
415 KB
Formato
pdf
Fresenius Kabi Binding Corporate Rules Document

Resumen de las Reglas Corporativas Vinculantes

El resumen a continuación no reemplaza el documento de Reglas Corporativas Vinculantes (BCR). El documento de BCR será en todos los casos el único documento legalmente aplicable.

Un nivel adecuado y uniforme de protección de datos

Fresenius debe cumplir con diversas leyes de protección de datos en todo el mundo. Las Reglas Corporativas Vinculantes (BCR) establecen un nivel uniforme y adecuado de protección de datos, lo que permite el intercambio interno de datos personales entre las entidades de Fresenius involucradas.

Aplicación en todo el mundo

Las BCR se aplican a las siguientes entidades de Fresenius:

  • Fresenius Kabi AG, incluidas todas las filiales / afiliadas
  • Fresenius Digital Technology GmbH
  • Fresenius SE & Co. KGaA

Aplicable a ciertas actividades

Las BCR se aplican a las siguientes actividades de procesamiento de datos personales:

  • Todas las actividades realizadas por entidades europeas.
  • Actividades de entidades no europeas:
    • Cuando recopilan datos personales en nombre de una entidad europea de Fresenius, o
    • Cuando colaboran con una entidad europea de Fresenius
    • Cuando reciben datos personales de entidades europeas
    • Cuando recopilan datos personales de personas ubicadas en Europa para la oferta de bienes y servicios o relacionados con el monitoreo del comportamiento.

Las BCR se aplican tanto a procesos en papel como a procesos basados en TI. Las BCR se aplican a todos los procesos que permiten la búsqueda estructurada de datos personales.

Las BCR establecen el nivel mínimo

Si alguna ley local de protección de datos requiere reglas más estrictas o adicionales para el procesamiento de datos personales, estas deben observarse además.

Si una ley local contradice las BCR, se debe informar al Oficial de Protección de Datos (DPO). El DPO evaluará el impacto y resolverá el conflicto.

Si una entidad recibe una orden de una autoridad para divulgar datos personales que no se ajustan a los requisitos de las BCR, se debe informar al DPO. El DPO informará a la autoridad supervisora en Alemania.

Las BCR son vinculantes para la organización y nuestros empleados

Las BCR deben ser cumplidas y son vinculantes para:

  • Todas las entidades: firman un contrato.
  • Todos los empleados: tienen el deber de seguir las políticas corporativas según su contrato de trabajo.

Las organizaciones y personas pueden derivar derechos bajo estas obligaciones. La aplicación de las BCR y las sanciones potenciales por violaciones son las mismas que para cualquier otra violación de políticas.

El Grupo Fresenius ha establecido una organización interna de protección de datos con roles y responsabilidades claramente definidos para garantizar el cumplimiento de las Reglas Corporativas Vinculantes (BCR), las leyes locales, y los procesos relacionados con la protección de datos.

  1. Oficial de Protección de Datos (DPO):

    • Responsabilidades: Supervisa y asegura que las BCR, las leyes locales, las normas y los procesos se cumplan. Realiza auditorías, revisiones e investigaciones. Actúa como punto de contacto para las autoridades de protección de datos en Europa.
    • Dirección: Else-Kröner-Str. 1, 61352 Bad Homburg v.d.H., Alemania
    • Correo Electrónico:

  2. Asesor Local de Protección de Datos (LDPA):

    • Responsabilidades: Asiste y asesora a los empleados locales y a los responsables de procesos en cuestiones relacionadas con la protección de datos. Apoya al DPO y al DPA en funciones de monitoreo y contacto con las autoridades de supervisión, especialmente en casos que requieran soporte en temas lingüísticos.

  3. Asesor de Protección de Datos (DPA):

    • Responsabilidades: Proporciona apoyo y consultoría a los LDPAs y es responsable del sistema de gestión de protección de datos. Apoya al DPO en sus funciones de monitoreo y contacto con las autoridades de supervisión, incluyendo el soporte en cuestiones lingüísticas si es necesario.

Al procesar datos personales, Fresenius sigue varios principios para proteger los derechos fundamentales y las libertades de las personas, de acuerdo con las BCR. Cada entidad debe cumplir con los siguientes principios:

  1. Principio 1: Legalidad

    • Base Legal: Tener una base legal documentada al recolectar, usar y procesar datos personales. Las bases legales incluyen:
      • La necesidad para el cumplimiento de un contrato, como contratos de empleo o ventas.
      • El consentimiento del individuo.
      • Los intereses legítimos de Fresenius que prevalecen sobre las consecuencias negativas para los individuos.
      • El cumplimiento de obligaciones legales, como leyes fiscales, requisitos de vigilancia o GxP.
      • Categorías especiales de datos, como datos de salud, requieren fundamentos legales adicionales.
    • Ley Local: Si las leyes locales requieren disposiciones adicionales o divergentes, estas también deben ser seguidas.

  2. Principio 2: Transparencia y equidad

    • Información al Individuo: Manejar los datos personales de manera justa y transparente. Informar a los individuos antes o en el momento de la recolección sobre:
      • Quién es responsable y cómo contactarnos.
      • Qué datos se recopilan.
      • Cómo se recopilan los datos.
      • El propósito de la recopilación de datos.
      • Con qué organizaciones se comparten los datos.
      • Si se comparten con otros países.
      • La duración del almacenamiento de datos.
      • La base legal para la recopilación y uso de datos.
      • Si se realiza perfilamiento.
      • Si se toman decisiones automatizadas.
      • La obligatoriedad de proporcionar los datos y las consecuencias de no hacerlo.
      • Detalles de contacto del DPO y la autoridad.
      • Los derechos de los individuos.
    • Forma de Información: La información debe proporcionarse de forma comprensible y accesible, utilizando un lenguaje claro.

  3. Principio 3: Limitación de propósito

    • Uso Específico: Usar los datos personales solo para los fines especificados, explícitos y legítimos para los cuales fueron recolectados. El uso adicional solo está permitido si está alineado con el propósito original o se toman medidas adicionales.
    • Procesos Permitidos: Archivado, auditoría interna, investigaciones.
    • Cambio de Propósito: En caso de cambio de propósito permitido, los individuos deben ser informados de cualquier cambio.

  4. Principio 4: Minimización de datos

    • Relevancia: Solo recolectar y usar datos personales necesarios para el propósito definido. Asegurar que los datos sean relevantes y no excesivos en relación con el propósito.

  5. Principio 5: Exactitud

    • Actualización: Mantener los datos personales precisos y actualizados. Implementar procedimientos para eliminar, corregir o actualizar datos inexactos sin demora.

  6. Principio 6: Limitación de almacenamiento

    • Duración: No conservar datos personales por más tiempo del necesario para el propósito para el que se recolectaron, a menos que sea requerido por la ley. En tal caso, el acceso debe estar restringido. Eliminar o anonimizar datos personales si ya no hay razón o propósito legal.

  7. Principio 7: Seguridad, integridad y confidencialidad

    • Medidas de seguridad: Tomar medidas técnicas y organizativas adecuadas para proteger los datos personales contra destrucción, pérdida, alteración, divulgación o acceso no autorizado (e.g., mediante conceptos de roles y derechos, copias de seguridad, o cifrado).
    • Evaluación de riesgos: Evaluar la seguridad de los sistemas de TI en función de los riesgos y documentar cualquier violación de seguridad que pueda resultar en riesgo para los individuos afectados. Notificar las violaciones a la organización de protección de datos y, si es necesario, a la autoridad de supervisión y a los individuos afectados.

  8. Principio 8: Responsabilidad

    • Demostración de cumplimiento: Demostrar el cumplimiento de las BCR mediante la creación y mantenimiento de documentación apropiada, como:
      • Registros de actividades de procesamiento.
      • Medidas técnicas y organizativas adoptadas.
      • Evaluaciones de riesgo y control de protección de datos.
    • Contratación de procesadores: Solo contratar procesadores que proporcionen garantías suficientes para implementar medidas técnicas y organizativas adecuadas. Esto debe garantizarse mediante un contrato de protección de datos entre la entidad respectiva y el procesador.
    • Transferencias de datos: Implementar medidas adecuadas para proteger las transferencias de datos personales a organizaciones fuera del EEE, en cumplimiento con las BCR, como acordar cláusulas contractuales estándar adoptadas por la Comisión Europea con la otra organización.

Evaluación de Riesgos de Protección de Datos

Para cada actividad de procesamiento de datos, se debe llevar a cabo una Evaluación de Riesgos de Protección de Datos. Este proceso formal tiene como objetivo evaluar el impacto de la actividad sobre los derechos y libertades de los sujetos de datos involucrados.

  1. Proceso de Evaluación:
    • Identificar y documentar las brechas de control y los riesgos potenciales.
    • Implementar medidas técnicas y organizativas para mitigar los riesgos antes de iniciar la actividad de procesamiento.

Evaluaciones de Impacto de Protección de Datos (DPIA)

Cuando el resultado de la Evaluación de Riesgos de Protección de Datos indica un riesgo alto, se debe realizar una Evaluación de Impacto de Protección de Datos (DPIA). La asesoría del Oficial de Protección de Datos (DPO) será solicitada para este proceso.

  1. Proceso de DPIA:
    • Identificación de Riesgos: Si la DPIA identifica un alto riesgo en una actividad específica de procesamiento de datos, se deben implementar medidas adecuadas para mitigar estos riesgos antes de comenzar la actividad de procesamiento.
    • Consulta con la Autoridad Supervisora: Si, después de implementar las medidas, la DPIA aún muestra un alto riesgo, se debe consultar con la autoridad supervisora correspondiente antes de proceder con el procesamiento de datos.

Estas prácticas aseguran que el procesamiento de datos personales se realice de manera segura, protegiendo los derechos y libertades de los individuos afectados.

Las personas deben poder ejercer sus derechos sobre sus datos personales. A continuación, se describen estos derechos y cómo pueden ser ejercidos:

  1. Derecho de Acceso a los Datos Personales:

    • Los individuos pueden solicitar acceso a la información sobre sus datos personales procesados por Fresenius. Esto incluye detalles como el propósito del procesamiento, las categorías de datos personales involucrados, los destinatarios, los períodos de almacenamiento y la existencia de decisiones automatizadas.

  2. Derecho a la Rectificación de los Datos Personales:

    • Los individuos pueden solicitar la corrección de datos personales inexactos o incompletos.

  3. Derecho a la Supresión de los Datos Personales:

    • Los individuos pueden solicitar la eliminación de sus datos personales, salvo que estos deban ser mantenidos debido a requisitos legales de retención.

  4. Derecho a la Limitación del Procesamiento de los Datos Personales:

    • Los individuos pueden solicitar la restricción del procesamiento de sus datos personales si se cuestiona la exactitud de los datos o si el procesamiento es ilegal (cuando ya no es necesario para los fines perseguidos).

  5. Derecho a la Portabilidad de los Datos Personales:

    • Los individuos pueden solicitar recibir sus datos personales en un formato comúnmente utilizado y legible por máquina, si se cumplen las siguientes condiciones:
      • Los datos personales han sido proporcionados por el individuo.
      • El procesamiento se basa en el consentimiento del individuo o en un contrato con el individuo.
      • El procesamiento se realiza por medios automatizados.

  6. Derecho a Oponerse al Procesamiento de los Datos Personales:

    • Los individuos pueden, debido a su situación personal, oponerse al procesamiento de sus datos personales basado en intereses legítimos o públicos. Esta solicitud debe ser evaluada. Además, el individuo puede oponerse al marketing directo y a la elaboración de perfiles. El procesamiento debe detenerse en estos casos.

  7. Derecho a No Ser Sujetos de Decisiones Automatizadas:

    • Los individuos tienen el derecho a no ser objeto de decisiones automatizadas (incluido el perfilado) que puedan tener efectos legales o similares significativos, a menos que:
      • Sea necesario para la entrada en o ejecución de un contrato entre el individuo y la entidad correspondiente.
      • Se base en el consentimiento explícito del individuo.

Estos derechos están diseñados para proteger la privacidad y el control que los individuos tienen sobre sus datos personales.

Acceso a las BCR

Las Reglas Corporativas Vinculantes (BCR) deben estar disponibles para las personas de manera adecuada. Las BCR se publicarán en el sitio web y en la intranet de la empresa. Además, los individuos pueden acceder a las BCR contactando al Responsable de Protección de Datos (DPO) o a cualquier miembro de la organización de protección de datos.

Manejo de Quejas sobre las BCR

Cada individuo tiene el derecho de:

  • Reclamar violaciones: Presentar quejas sobre violaciones de las BCR, leyes locales de protección de datos, órdenes de autoridades de supervisión, políticas internas, directrices o compromisos voluntarios relacionados con la protección de datos.
  • Ejercer sus derechos individuales: Abordar sus derechos individuales en relación con el procesamiento de datos personales.
  • Ejecutar otros derechos de las BCR: Hacer valer cualquier otro derecho relacionado con las BCR.

Las quejas pueden ser enviadas por teléfono, correo electrónico, carta o de manera verbal al DPO correspondiente, al (L)DPA o a la línea de denuncia de cumplimiento. Si la queja se considera justificada, la entidad tomará medidas adecuadas para resolverla e informará al individuo dentro de un mes.

Responsabilidad y ejecución

Los individuos afectados o que hayan sufrido daños como resultado del procesamiento de sus datos personales tienen derecho a hacer valer estas partes de las BCR y, si es aplicable, recibir compensación ante un tribunal competente. En caso de violaciones comprobadas por partes establecidas fuera de la UE/EEE, FSE acepta responsabilidad y responsabilidad por cualquier daño hacia los individuos. La entidad que causó el daño deberá proporcionar asistencia razonable a FSE para responder a tales quejas o solicitudes de manera oportuna.

Cooperación con las autoridades de supervisión

Cada entidad está obligada a cooperar con las autoridades de supervisión, cumplir con los consejos sobre la interpretación de las BCR y aceptar ser auditada por las autoridades de supervisión correspondientes.

Formación

Cada entidad debe inscribir y obligar a sus empleados a participar en una formación sobre las BCR y protección de datos, y repetir dicha formación regularmente. La formación general debe proporcionarse al menos dos veces al año a todos los empleados relevantes. Además, se debe ofrecer formación específica para roles determinados (por ejemplo, para los departamentos de RRHH o adquisiciones), considerando las necesidades específicas de ciertos roles/personas.

Auditoría

Todas las partes se comprometen a ser auditadas regularmente (a través de auditorías planificadas o ad hoc) para evaluar y probar el cumplimiento de las BCR y para implementar mecanismos adecuados y suficientes para remediar el incumplimiento de una entidad con las BCR. La organización de protección de datos hará un seguimiento de cualquier auditoría realizada para evaluar si las acciones correctivas propuestas se han implementado adecuadamente y documentará los resultados en el informe de auditoría. Cada entidad deberá poner los informes de auditoría a disposición de las autoridades de supervisión a solicitud.

Actualización de las BCR

Las partes revisarán las leyes locales de protección de datos e indicarán si son necesarias modificaciones a las BCR. Fresenius puede enmendar las BCR si es necesario. Cualquier cambio significativo en las BCR será comunicado de inmediato a cada entidad y a la autoridad de supervisión. Cualquier otra modificación no sustantiva a las BCR se comunicará a las partes tan pronto como sea posible.