abutton
Close menu
Accessibility Menu
Bigger text
bigger text icon
Highlight Links
Links off icon
Text Spacing
Spacing icon
Saturation
saturation icon
Cursor
big cursor icon
Dyslexia Friendly
dyslexia icon
Reset
  

Política Corporativa de Protección de Datos Personales

  1. Introducción.

    SOFTTEK respeta los derechos y las libertades fundamentales de las personas, entre los que se encuentra el derecho a la protección de sus datos personales y se compromete a proteger la privacidad de sus clientes, empleados y socios comerciales, y el tratamiento de sus datos personales. Con este fin y como parte de su responsabilidad corporativa, SOFTTEK llevará a cabo todas sus actividades de acuerdo con las normativas de protección de datos de carácter personal en todos los puntos en los que opera.

    Como organización global que opera en numerosos países, SOFTTEK necesita garantizar que la información, incluidos los datos personales, son tratados de forma segura en todas las sociedades, grupos, filiales y/o subsidiarias de SOFTTEK, con un nivel de protección adecuado y uniforme, para lo cual establece pautas comunes de comportamiento que se definen en esta política.

    La finalidad de esta Política Corporativa de Protección de Datos Personales es establecer los principios y pautas comunes y generales de actuación que deben regir en todas las entidades relacionadas con SOFTTEK en materia de protección de datos personales, garantizando, en todo caso, el cumplimiento de la legislación aplicable.

  2. Alcance.

    Esta Política es de aplicación, en todas las sociedades que integran SOFTTEK, en las sociedades participadas no integradas en el grupo sobre las que SOFTTEK tiene un control efectivo, dentro de los límites legalmente establecidos, así como a todas las personas que se relacionen con las entidades pertenecientes al grupo. En aquellas sociedades participadas en las que esta Política no sea de aplicación, SOFTTEK promoverá, el alineamiento de esta política con las de dichas sociedades. Además, esta Política es también aplicable, en lo que proceda, a las “joint ventures”, uniones temporales de empresas y otras asociaciones equivalentes, cuando SOFTTEK asuma su gestión.

    Sin perjuicio de lo dispuesto en el párrafo anterior, las sociedades de SOFTTEK, al amparo de su propio marco de autonomía, podrán establecer una política equivalente, que deberá ser conforme con los principios recopilados en esta Política.

    La Política de Protección de Datos Personales aplica a todos los departamentos, áreas operacionales, así como a sus administradores, directivos, empleados, y a todas las personas que se relacionen con las entidades pertenecientes a SOFTTEK, y debe ser conocida y cumplida por todos los miembros del grupo.

    Esta política de protección de datos personales se aplica a todos los tratamientos de datos realizados por SOFTTEK en sus relaciones con sus empleados, exempleados, contactos, solicitantes de empleo, clientes, potenciales clientes, proveedores, así como en las prestaciones de los servicios que SOFTTEK facilita a terceras empresas y organizaciones y que suponen un acceso y tratamiento de datos por cuenta de terceros.

    Todas las personas vinculadas con SOFTTEK promoverán que los principios recopilados en esta política sean tenidos en cuenta (i) en el diseño e implementación de todos los procedimientos que impliquen el tratamiento de datos personales, (ii) en los productos y servicios ofrecidos por estas, (iii) en todos los contratos y obligaciones que formalicen con personas físicas y (iv) en la implantación de cuantos sistemas y plataformas permitan el acceso por parte de los profesionales de SOFTTEK o de terceros a datos personales y a su recopilación o tratamiento.

    Esta política abarca todo el ciclo de vida de los datos personales: Generación o captura, recolección de datos, mantenimiento y procesamiento de datos, uso de los datos, intercambio de datos, archivo de datos y destrucción de los datos. Esta Política no se aplica al procesamiento de datos anónimos (por ejemplo, información que incluye nombres aleatorios sin identificar directa o indirectamente a una persona real).

  3. Referencias.

    • GDPR: El Reglamento General de Protección de Datos es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos en la UE y el Espacio Económico Europeo.
    • LFPDPPP: La 'Ley Federal de Protección de Datos Personales en Posesión de Particulares', es un cuerpo normativo de México, aprobado por el Congreso de la Unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la autodeterminación informativa.
    • CCPA: Es la primera ley integral de protección de datos moderna en los Estados Unidos. Ley de Privacidad del Consumidor de California, es una ley de privacidad con alcance estatal que regula cómo las organizaciones pueden gestionar la información personal de los residentes de California.
    • LPDP: Ley de Protección de Datos Personales o Ley 1581 de 2012, reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.
    • LGPD: La Ley General de Protección de Datos Personales (Ley Nº 13.709/2018), conocida también como LGPD, creó normas para la protección de los datos personales de todos los brasileños, con el objetivo de garantizar los derechos de libertad, de privacidad y el libre desarrollo de la personalidad.
    • Política de Seguridad de la Información: Es el documento aprobado por la dirección, en la que se recoge el compromiso de esta con garantizar la seguridad de la información y se establecen las medidas y controles que adoptará la empresa para asegurar la confidencialidad, integridad, disponibilidad y privacidad de la información.

  4. Aplicación de la Política.

    La Oficina de Seguridad de la Información, en conjunto con los Servicios Jurídicos, desarrollarán y mantendrán actualizada la Política Corporativa de Protección de Datos Personales, que se implementará por la citada Oficina.

    Igualmente, la Oficina de Seguridad de la Información y los Servicios Jurídicos de cada país establecerán procedimientos internos de carácter local que desarrollen los principios recopilados en esta Política y que concreten su contenido en función de la ley aplicable en sus respectivas jurisdicciones.

    La Dirección de Servicios Jurídicos de cada país será responsable de reportar a la Oficina de Seguridad de la Información los desarrollos y novedades normativas que se produzcan en el ámbito de la protección de datos personales.

    Los Comités de Seguridad Locales u órganos equivalentes junto con los responsables de Infraestructura Tecnológica (TI) serán los encargados de implementar en los sistemas de información de las sociedades del grupo, los controles y desarrollos informáticos que sean adecuados para garantizar el cumplimiento de la normativa interna de gestión global de la protección de datos y velará por que dichos desarrollos estén actualizados en cada momento.

    Adicionalmente, las sociedades de SOFTTEK deberán: (i) designar, a las personas responsables de los datos (Responsable Local de Privacidad de Datos Personales), que actuarán coordinadamente con de la Oficina de Seguridad de la Información; y (ii) coordinar con la Oficina de Seguridad de la Información cualquier actividad que implique o conlleve la gestión de datos personales, respetando en todo caso el marco de autonomía de las sociedades.

    Corresponde al área de Auditorías supervisar el cumplimiento y la eficacia de lo dispuesto en esta Política por parte de cada Sociedad del Grupo. Lo anterior se entenderá, en todo caso, sin perjuicio de las responsabilidades que correspondan a otros órganos y direcciones de la Sociedad y, en su caso, a los órganos de administración y de dirección de las sociedades de SOFTTEK. Para verificar el cumplimiento de esta Política se realizarán auditorías de seguridad de la información, con auditores internos y/o externos, y otros controles.

    La Oficina de Seguridad de la Información revisará y evaluará, al menos una vez al año, esta Política y mantendrá informados a los Comités de Seguridad Locales u órganos equivalentes acerca de riesgos eventos o incidentes que se puedan llegar a presentar relacionados con la privacidad de la información o algún incumplimiento relacionado a esta Política, asimismo impartirá contenidos de educación y conciencia en materia de Protección de Datos Personales.

  5. Responsables de Privacidad de Datos Personales

    El Responsable Corporativo de Privacidad de Datos Personales tiene la responsabilidad de garantizar que SOFTTEK cumpla con todas las normas de protección de datos locales e internacionales aplicables. Es además el responsable de definir y actualizar la Política Corporativa de Protección de Datos Personales y de velar por su cumplimiento.

    El Responsable Corporativo de Privacidad de Datos, según ha sido designado por el Comité Ejecutivo de Seguridad, es el director de la Oficina de Seguridad de la Información.

    Cada sociedad del grupo SOFTTEK deberá designar, a personas responsables de la seguridad de los datos de carácter personal en su sociedad o localización (Responsables Locales de Privacidad de Datos Personales), que actuarán coordinadamente con la Oficina de Seguridad de la Información y definirán los canales de comunicación con las sociedades a su cargo, según la normativa local, para que los titulares de los datos que lo requieran puedan contactar con ellos para ejercer sus derechos.

  6. Principios del tratamiento de Datos Personales.

    Cualquier actividad dentro del ciclo de vida de los datos de carácter personal que pueda ser realizada por SOFTTEK, tanto para actividades de tratamiento dentro de los diferentes procesos de negocio, para la administración y gestión de personal, la gestión económica, contable y fiscal, acciones comerciales y de marketing y comunicación, así como la gestión de clientes, proveedores y potenciales clientes que se realiza en SOFTTEK, serán realizadas conforme a los siguientes principios generales de tratamiento de los datos personales:

    • Principio de licitud, equidad y transparencia.Los datos personales recopilados serán tratados de manera lícita, justa y transparente. Solo se solicitará la información que se requiera, indicando claramente los usos y finalidades del tratamiento que se planea realizar, durante el tratamiento dichos datos personales solo se utilizarán para los fines para los que se han recopilado.
    • Principio de limitación de finalidad. Los datos personales recopilados serán únicamente para fines específicos, explícitos y legítimos, y no serán tratados posteriormente de forma incompatible con dichos fines.
    • Principio de minimización de datos.Los datos recopilados serán aquellos estrictamente necesarios en el cumplimiento de las finalidades para las que se requieran.
    • Principio de precisión.Los datos personales recopilados deben mantenerse completos, correctos y actualizados. Los datos serán actualizados cada vez que el titular lo solicite o por tener conocimiento directo de la desactualización de un dato específico.
    • Principio de limitación de almacenamiento Los datos personales se almacenarán durante los plazos legales aplicables a cada actividad de tratamiento realizada. Una vez que ya no se necesiten para los fines para los que se recopilaron, deben ser eliminados o destruidos, a menos que haya otros motivos para conservarlos en cuyo caso un plazo mínimo de conservación legal de acuerdo con las autorizaciones de tratamiento disponibles.
    • Principio de integridad y confidencialidad. Los datos personales recopilados deben estar sujetos a medidas técnicas, organizativas y de seguridad para garantizar que nuestras actividades comerciales, información, documentación y procesos en los que se utilicen estén protegidos contra el acceso no autorizado o ilegal, pérdida, destrucción o daño accidental.
    • Principio de legitimidad de la fuente. Los datos personales recopilados no deberán ser obtenidos de fuentes ilegítimas, de fuentes que no garanticen su procedencia o de fuentes cuyos datos hayan sido recabados o cedidos contraviniendo la ley.
    • Principio de responsabilidad proactiva. Se establecerán las medidas técnicas y organizativas de privacidad desde el diseño y por defecto, adecuadas para velar por el cumplimiento de la legislación de datos personales y se asegurará la trazabilidad de los procesos de toma de decisiones relativos a sus tratamientos.

  7. Derechos de los titulares de los datos.

    Las sociedades del Grupo deberán permitir que los interesados puedan ejercitar los derechos que se apliquen en cada localización, estableciendo, a tal efecto, los procedimientos internos que resulten necesarios para satisfacer, al menos, los requisitos legales aplicables en cada caso. SOFTTEK se compromete a respetar además al menos los siguientes derechos:

    • Derecho de acceso. Derecho del titular de los datos a obtener información sobre si se están procesando sus propios datos personales, las categorías de datos que se procesan, la finalidad del tratamiento, información disponible sobre el origen de los datos cuando los datos no hayan sido recibidos originalmente del interesado, plazo de conservación de los datos y cualesquiera comunicaciones realizadas o previstas
    • Derecho de Rectificación. Derecho del titular de los datos a corregir o modificar cualquier dato personal que se compruebe que es inexacto o incompleto. La solicitud del solicitante deberá indicar a qué datos se refiere y la corrección que debe realizarse. Deberá incluir, cuando sea necesario, la documentación que justifique la inexactitud o incompletitud de los datos objeto de tratamiento.
    • Derecho de supresión Derecho del titular a suprimir sus datos cuando concurran las siguientes circunstancias:
      • Los datos personales no son necesarios para el tratamiento que se realiza.
      • El titular de los datos retira el consentimiento para el tratamiento de los datos, si no procede otra finalidad legítima (relación o contrato jurídico, interés legítimo, obligación legal).
      • Cuando los datos personales de los titulares hayan sido tratados ilícitamente por SOFTTEK.
      • El titular de los datos se opone al tratamiento para la elaboración de perfiles, basándose en un interés legítimo.
    • Derecho a la limitación del tratamiento: Derecho del titular de los datos a limitar el tratamiento de los datos de SOFTTEK cuando:
      • El titular impugna la exactitud de sus datos personales, por un plazo que permita verificar la exactitud de los mismos, o
      • Cuando el tratamiento sea ilícito, pero el titular se oponga a la supresión de los datos personales, podrá solicitar que se limite el tratamiento, o
      • Cuando ya no sean necesarios para el tratamiento, el afectado podrá solicitar una supresión limitada para utilizar los datos para presentar una reclamación, o
      • Cuando el titular de los datos se oponga a un proceso de elaboración de perfiles basado en el interés legítimo.
    • Derecho a la portabilidad de los datos. Derecho del titular de los datos a recibir los datos facilitados (nombre, apellidos, dirección postal y electrónica, teléfono, Numero de Documento de Identificación), en un formato estructurado y de uso común, datos que se han obtenido con consentimiento expreso o en un contrato, y de los que se realiza el tratamiento por medios automatizados. Además, el titular podrá autorizar que los datos sean transmitidos directamente a otra parte, si ello fuera técnicamente posible.
    • Derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado. Derecho del titular de los datos a no ser objeto de una decisión, con efectos jurídicos, basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.
    • Derecho a oponerse al tratamiento de datos. Derecho del titular a evitar el tratamiento de sus datos personales o a cesar en el supuesto de que no será necesario el consentimiento para el tratamiento por ser la base legitimadora el interés legítimo, o cuando los datos se utilicen para marketing directo.
    • Derecho al olvido. Derecho del titular de los datos a solicitar la supresión de sus datos hechos públicos por SOFTTEK y a borrar cualquier enlace a los mismos. Este derecho supone que los datos han sido publicados en internet, redes sociales, blogs y/o comentarios.

    Las propiedades comunes a todos estos derechos son:

    1. Derechos personalísimos: Esto significa que sólo pueden ser ejercitados por el titular del dato, por su representante legal, en el caso de menores o personas con discapacidad, o por su representante voluntario específicamente designado para ejercer alguno de estos derechos. Por tanto, SOFTTEK denegará el ejercicio de estos derechos si son solicitados por persona que no sea el titular de los datos o que no certifique adecuadamente que actúa en nombre de él.
    2. Derechos independientes: esto significa que no es necesario ejercer ninguno de ellos previamente para ejercer otro, cada uno se ejerce por separado e independientemente.
    3. Obligaciones: : SOFTTEK se obliga a facilitar el ejercicio de estos derechos a los afectados y a atender su solicitud en los plazos legalmente previstos, con independencia del procedimiento utilizado por el interesado y aunque el responsable del archivo no disponga de datos personales de dicho titular de los datos, esta persona debe poder sustentar la respuesta al solicitante.
    4. Procedimiento: El ejercicio de estos derechos deberá realizarse mediante procedimientos sencillos y gratuitos que SOFTTEK deberá poner a disposición de los interesados.
    5. Reclamaciones ante la Autoridad de Control: En caso de que una solicitud de derecho no pueda ser atendida, SOFTTEK deberá comunicar los motivos de no actuar y la posibilidad de presentar un reclamo ante la Autoridad de Control. Esta notificación deberá realizarse dentro de los plazos establecidos por la legislación del país donde se presente la reclamación o, en los casos en donde no se establezcan plazos, como máximo en un mes desde la recepción de la solicitud.

  8. Finalidades del tratamiento de datos personales.

    La recopilación, procesamiento y uso de datos personales dentro de SOFTTEK sólo está permitido para las siguientes finalidades:

    1. Tratamiento de datos de clientes para una relación contractual. Los datos personales de nuestros potenciales clientes, clientes, socios y proveedores pueden ser tratados únicamente para establecer una relación comercial o contractual, gestionarla en el tiempo, ejecutar o cumplir obligaciones contractuales, fiscales y/o contables, así como resolver un contrato. Así, los datos personales podrán ser tratados para:
      1. Realizar un seguimiento de las actividades de preventa y venta. Con el fin de mejorar los procedimientos de atención de los usuarios y actualizar el catálogo de productos y servicios, entendiendo la forma en que el usuario interactúa con el grupo Repsol, así como detectando su grado de satisfacción.
      2. Para preparar ofertas o pedidos. Para remitir información comercial, sobre las actividades, productos y servicios, así como para tener una comunicación fluida con nuestros clientes y poder dar la mejor oferta o servicio.
      3. Para enviar información comercial. Identificar a las personas que representan al cliente o que intervienen como contacto a los efectos de la contratación. Este tratamiento solo es aplicable en el caso del que el cliente sea una persona jurídica.
      4. Para la ejecución de contratos con proveedores y clientes. Existen una serie de tratamientos que son necesarios para la ejecución y desarrollo de las relaciones contractuales. Sin estos tratamientos de datos personales para estas finalidades, no serían posibles la existencia de dichas relaciones contractual porque es inherente a la misma. Desarrollar, controlar y mantener la relación contractual, gestionar la firma incluso a través de plataformas de firma electrónica incluyendo la emisión de certificado de firma electrónica, realizar y gestionar las transacciones que se hayan contratado, contacto, facturación, gestión de cobros y deudas, servicios de atención al cliente (incluso con la posibilidad de grabar las llamadas telefónicas), enviar información no comercial relacionada con el contrato y gestionar las reclamaciones, solicitudes, sugerencias y atención ante posibles incidentes.
      5. Para el cumplimiento de obligaciones legales. Los datos de los clientes pueden ser tratados según la base legítima del tratamiento. En ocasiones, la base que legitima el tratamiento es el cumplimiento de obligaciones contractuales o el cumplimiento de una obligación legal, como es el caso del tratamiento de datos con fines contables y fiscales; en otros casos, el tratamiento estará legitimado únicamente en base al consentimiento. En tales casos antes de que el cliente o potencial cliente consienta, deberá ser informado según la política de privacidad y protección de datos. La declaración de consentimiento deberá obtenerse electrónicamente o por escrito a efectos de gestión, conservación y trazabilidad del consentimiento. En algunas circunstancias, como en las conversaciones telefónicas, el consentimiento se puede dar verbalmente. En estos casos SOFTTEK recomienda el uso de sistemas de grabación de llamadas.
      6. Tratamientos de interés general Estos Tratamientos son necesarios para cumplir con una misión realizada en interés público. En concreto, son Tratamientos dirigidos a garantizar condiciones de seguridad y evitar la comisión de actos ilícitos. Como pueden ser: Captar imágenes a través de cámaras de seguridad para fines de seguridad de las instalaciones y otras acciones de seguridad o Gestionar denuncias o investigaciones internas por vulneración por el Interesado de la normativa interna o el Código de Ética, lo que implica la gestión del expediente y la consulta a las áreas que sean precisas para ello.
      7. Para fines publicitarios y de marketing/comunicación. Con el fin de en mantener la relación con el cliente dando de alta nuevos productos, mejorando las condiciones de los productos y / o servicios que ha contratado y ofreciéndole información sobre productos y/o servicios análogos que pueden ser interesantes para el cliente. Casos como,
        1. Si el interesado contacta con SOFTTEK para solicitar Información (ejemplo, solicitud para recibir material publicitario sobre un producto) se permite el tratamiento de datos para cumplir con esta solicitud.

          Se deberán seguir las instrucciones y políticas específicas adoptadas por SOFTTEK para las diferentes acciones de publicidad y uso de medios de contacto con clientes potenciales, dado que las acciones publicitarias están sujetas a requisitos legales adicionales.
        2. Los datos pueden ser tratados con fines publicitarios, de mercado o de opinión, si los datos han sido recopilados con un consentimiento válido y para estos fines específicos. Cualquier potencial cliente o cliente deberá ser informado sobre el uso de sus datos con fines publicitarios.
        3. En el caso de planificar cualquier acción relacionada con campañas publicitarias o de comunicación a potenciales contactos profesionales (contactos profesionales en su calidad de representante o punto de contacto de un cliente o potencial cliente), se le solicitará el consentimiento para tratar los datos con fines publicitarios y publicitarios durante la primera comunicación. Si el interesado rechaza el uso o no autoriza el uso de sus datos con fines publicitarios, estos datos ya no podrán ser utilizados para dichos fines y su uso deberá ser bloqueado.

    2. Tratamiento de datos de clientes para la satisfacción de intereses legítimos de SOFTTEK. Los Datos Personales también pueden ser objeto de procesamiento si es necesario para:
      1. Satisfacer los intereses legítimos de SOFTTEK. Los intereses legítimos son generalmente de naturaleza jurídica (es decir, cobro o recuperación de cantidades adeudadas) o de encuestas de satisfacción para la mejora de productos y servicios.
        1. Los datos personales no pueden procesarse con base en un interés legítimo de SOFTTEK si existe evidencia de que los intereses y derechos de una persona individual prevalecen sobre los intereses legítimos de SOFTTEK
        2. Por tanto, no siempre procede la aplicación del interés legítimo de SOFTTEK como base legítima para los tratamientos. Para cada caso se debe hacer un análisis de prevalencia entre los intereses legítimos y los derechos de las personas.
      2. Archivo Histórico Conservar un archivo de las actividades de cara a posibles responsabilidades o cómo memoria histórica durante el tiempo que defina la ley.
      3. Decisiones individuales automatizadas Se trata del procesamiento de datos realizado de forma automatizada, utilizado para evaluar ciertos aspectos (por ejemplo, la solvencia), este tipo de procesamiento de datos debe ser comunicado al interesado.
      4. Tratamiento de datos derivados de los accesos y visitas a un Sitio Web. Si en sitios web o aplicaciones se recopilados, procesan y utilizan datos personales, los interesados deberán ser informados de estas finalidades en una declaración de privacidad y, en su caso, en una política de uso de cookies. Esta información debe ser fácilmente identificable, directamente accesible y constantemente disponible para los interesados. Si se crean perfiles de seguimiento para evaluar el uso de sitios web y aplicaciones, siempre se debe informar a los interesados. El seguimiento sólo podrá realizarse si lo permite la legislación del país o el consentimiento del interesado.

    3. Procesamiento de datos de empleados, exempleados y candidatos. En SOFTTEK realizamos diversos tratamientos de datos derivados de la relación con nuestros empleados, así, utilizamos datos personales para:
      1. Gestión de contratación y “onboarding”.
      2. Identificación dentro de la organización y otorgamiento de acceso a instalaciones y sistemas de información
      3. La asignación de recursos de trabajo, tales como equipos de cómputo, correo electrónico, aplicaciones, teléfonos, otros recursos.
      4. Gestión y seguimiento de relaciones laborales por parte del departamento de recursos humanos, tales como vacaciones y permisos.
      5. Pago de sueldos y compensaciones, anticipos de nómina, gastos, retenciones, subvenciones, prestaciones y otras retribuciones en especie.
      6. Programas de prevención de riesgos laborales
      7. Gestión de servicios de salud, seguridad y salud en el trabajo; contratación y desvinculación, ausentismo.
      8. Para participar en la formación.
      9. Otros beneficios sociales para el interesado (Cheques restaurante, gestión de viajes …)
      10. Gestión del proceso de “offboarding”.
      11. Gestión de obligaciones con exempleados.
      Para determinadas necesidades de tratamiento de datos, se necesitarán datos especialmente sensibles, como los de salud, para la gestión de tratamientos de salud y la prevención de riesgos laborales.

      También podemos procesar datos de empleados dentro de la dirección corporativa de SOFTTEK, de acuerdo con las autorizaciones otorgadas por las autoridades nacionales en materia de transferencias internacionales y protección de datos personales.

  9. Tratamiento de datos por cuenta del cliente en la prestación de servicios de SOFTTEK.

    El tratamiento de datos en nombre y por cuenta del CLIENTE significa que SOFTTEK ha sido contratado para la prestación de un servicio que puede implicar el acceso y tratamiento de datos personales. En estos casos, el acceso a los datos deberá limitarse al servicio prestado al CLIENTE, siguiendo las instrucciones proporcionadas por el mismo CLIENTE y suscribiendo previamente al inicio del servicio el modelo de contrato de acceso a datos para terceros, definido por los Servicios Jurídicos de cada país y validado por el Responsable Local de Privacidad de Datos.

    Durante la prestación de los servicios que impliquen o puedan implicar acceso a datos que son responsabilidad del cliente, todo el personal de SOFTTEK encargado de esta prestación de servicios y los recursos de SOFTTEK que sean utilizados para la misma mencionada prestación de servicios, estarán sujetos a los siguientes principios:

    • Los datos no se sacarán del entorno del CLIENTE salvo que esté estipulado en el contrato o se notifique por escrito por parte del CLIENTE, en cuyo caso prevalecerá lo definido por el mismo.
    • Los datos únicamente serán tratados según las instrucciones dadas por el CLIENTE y para la correcta prestación de los servicios contratados por el CLIENTE a SOFTTEK.
    • Los datos personales no serán utilizados para ninguna otra finalidad que la de prestar el servicio.
    • Los datos personales serán devueltos al CLIENTE una vez finalizados los servicios contratados, siguiendo las instrucciones recibidas del CLIENTE.
    • En el caso de subcontratación de servicios, la subcontratación se regulará de conformidad con las autorizaciones otorgadas por el CLIENTE.
    • Se implementarán medidas de seguridad en los dispositivos y recursos para garantizar la seguridad de los datos personales para evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos de exposición, ya sean de origen humano. acción o de riesgos ambientales.

  10. Tratamiento de datos personales responsabilidad de SOFTTEK por parte de proveedores de servicios.

    En caso de contratar proveedores externos para el tratamiento de datos personales responsabilidad de SOFTTEK, se deberán seguir los lineamientos establecidos en la presente Política, así como cualesquiera instrucciones o directivas que para tal efecto proporcione los Servicios Jurídicos de cada país o por el Responsable Local de Privacidad de Datos

    • El área o departamento responsable de cualquier dato que pueda incluir datos personales, enviados para su procesamiento a un proveedor externo, notificará a la Oficina se Seguridad de la Información (security@softtek.com) o al área que determine la Oficina de Seguridad de la Información, la identidad del proveedor del servicio, tipo de servicio, categorías de datos o información a las que el proveedor tener acceso, tecnología y cualquier otra consideración.
    • Se suscribirá un contrato/anexo/anexo que regula el acceso y tratamiento de datos para la prestación del servicio entre SOFTTEK y el prestador.
    • El prestador de Tratamiento de Datos únicamente podrá acceder y tratar los datos, siguiendo las instrucciones de SOFTTEK.
    • El proveedor del tratamiento de datos estará obligado a presentar información sobre su capacidad para cubrir las necesidades técnicas y organizativas requeridas por el servicio contratado. Se debe considerar la protección.
    • Antes de iniciar cualquier tratamiento de datos, el Proveedor de Servicios deberá compartir cualquier documentación que acredite la adopción de medidas de seguridad, técnicas y organizativas, sobre los procesos, procedimientos, aplicaciones y personas que accederán y procesarán la información de SOFTTEK.
    • En el caso de que el tratamiento de datos sea realizado por subcontratistas, el prestador está obligado a suscribir contratos de tratamiento de datos con dichos subcontratistas basados en cláusulas contractuales estándar definidas por el área legal de SOFTTEK en el país para el tratamiento de datos personales.
    • Al finalizar los servicios contratados, el Proveedor deberá seguir las instrucciones de SOFTTEK para la devolución de los datos que aún se encuentren en las instalaciones del proveedor, certificando por escrito la devolución total de los datos.
    • Se establecerán obligaciones contractuales y responsabilidades por violaciones de datos por parte del Prestador, asumiendo expresamente toda responsabilidad ante los titulares de los datos y ante las Autoridades de Control.
    • SOFTTEK podrá solicitar evidencias al proveedor de cumplimiento de las políticas de protección de datos personales.

  11. Obligaciones generales de los empleados en relación con el tratamiento de datos personales.

    Los datos personales se clasifican como restringidos. Queda prohibida cualquier recopilación, tratamiento o uso no autorizado de los datos por parte de los empleados.

    Queda prohibido cualquier tratamiento de datos realizado por un empleado, que no haya sido autorizado a ejercer como parte de sus deberes y funciones laborales.

    Los empleados autorizados podrán tener acceso a la información, datos y documentación necesarios para el cumplimiento y desarrollo de sus funciones laborales dentro de SOFTTEK. Por ello, nuestra organización ha implementado medidas y recursos para la implementación de roles y responsabilidades de los usuarios.

    Los empleados tienen prohibido utilizar datos personales para fines particulares o comerciales, revelarlos a personas no autorizadas o ponerlos a disposición de cualquier otra manera.

    La política de privacidad y protección de datos de SOFTTEK debe estar publicada y disponible para todos los empleados y debe informar a todos los empleados de la obligación de proteger el secreto de los datos, obligación que permanecerá vigente incluso después de que el empleado haya terminado su relación con SOFTTEK si las leyes locales lo permiten.

  12. Transmisión de Datos Personales.

    Con carácter general, SOFTTEK no cederá los datos de los Interesados, salvo en los siguientes supuestos:

    • A autoridades y organismos competentes, juzgados, tribunales o cualesquiera otros terceros legitimados conforme a la normativa aplicable. Si la transmisión de datos es necesaria para el cumplimiento de una obligación legal o contractual, la unidad organizativa que realiza el tratamiento real de los datos solicitará asistencia al Responsable Local de Privacidad de Datos Personales para apoyo para llevar a cabo las acciones y adoptar los procedimientos adecuados.
    • A terceros titulares de documentos comunes para el cumplimiento de obligaciones dinerarias, cuando el cliente incurra en un impago, y concurran intereses legítimos.
    • A terceros titulares de servicios o productos que el usuario voluntariamente solicite (por ejemplo, cuando el usuario quiera beneficiarse una oferta de otra empresa del grupo o de un partner).
    • A determinadas empresas de SOFTTEK para cumplir con las finalidades contratadas. En todos los casos, la transferencia internacional se realizará con las garantías adecuadas y a condición de que las personas cuenten con derechos exigibles y acciones legales efectivas. Con todas ellas existen Cláusulas Contractuales Tipo (también llamadas “SCC” o “Standard Corporate Rules”) firmadas entre los miembros del grupo para garantizar el cumplimiento de las regulaciones de cada país en cuanto a Protección de Datos de Carácter personal.
    • Asimismo, también es posible que terceros, proveedores de SOFFTEK, tengan acceso a los datos personales de los interesados para prestar servicios a SOFTTEK, (empresas que operan en los siguientes sectores: tecnológico, asesoramiento jurídico, agencias de marketing, servicios informáticos, realización de pagos, gestores administrativos para control de solvencia, etc.). Estos proveedores sólo accederán a los Datos personales para llevar a cabo sus servicios en nombre y por cuenta de Softtek, bajo obligación de confidencialidad y siguiendo siempre sus instrucciones y sin que en ningún momento puedan utilizar dichos datos para fines propios y/o finalidades no autorizadas.

  13. Seguridad.

    Los datos personales deben protegerse contra todo acceso no autorizado, tratamiento ilícito o divulgación no autorizada, así como contra pérdida, modificación o destrucción accidental. Esto se aplica independientemente de si los datos se procesan electrónicamente o en medios físicos.

    Ante la introducción de nuevos métodos de procesamiento de datos en SOFTTEK, el Responsable Local de Privacidad de Datos, junto con la Oficina de Seguridad de la Información y el área de Tecnologías de la Información, definirán y documentarán el proceso a realizar, sus características y medidas de seguridad para proteger los datos personales. Estas medidas deben basarse en la tecnología actual, los posibles riesgos de procesamiento y los requisitos de protección de datos (según lo definido por el estándar de clasificación de datos de SOFTTEK).

    Las medidas técnicas y organizativas para proteger los datos personales forman parte de la Oficina de Seguridad de la Información de SOFTTEK y deben ajustarse continuamente a los desarrollos tecnológicos y cambios organizativos.

  14. Control de protección de datos.

    El cumplimiento de SOFTTEK con la política de protección de datos y las leyes de protección de datos se verifica continuamente a través de auditorías de seguridad de la información y otros controles.

    Estas actuaciones son responsabilidad del Responsable Corporativo de Privacidad de Datos, de los Responsables Locales de Privacidad de Datos, de los auditores internos o de los auditores externos contratados al efecto. Los resultados de la evaluación de estos controles deben ser compartidos con la Comités de Seguridad Locales u órganos equivalentes.

    Previa solicitud, los resultados de los controles de protección de datos deberán ponerse a disposición de la autoridad competente en materia de protección de datos. La autoridad de protección de datos podrá realizar su propia inspección sobre el cumplimiento de las normas de esta Política, según lo permita la ley local.

  15. Incidencias en materia de protección de datos.

    Todos los empleados deben informar inmediatamente a su líder y al Responsable Local de Privacidad de Datos sobre los casos de violación de la presente política, así como dar de alta el incidente o evento, dependiendo del caso, en HELP.

    Los siguientes son, entre otros, incidentes de seguridad de datos:

    • Transmisión accidental de datos personales a terceros,
    • El acceso inadecuado por parte de terceros a datos personales, o
    • Pérdida de datos personales.

    Los siguientes son, entre otros, eventos de seguridad de datos:

    • En general, de cualquier tratamiento riesgoso o indebido de datos personales

    El Responsable Local de Privacidad de Datos deberá realizar un informe junto con la Oficina de Seguridad de la Información, el departamento de Infraestructuras tecnológicas y otras áreas y departamentos involucrados en el incidente de seguridad, para determinar las acciones a tomar.

    En el caso de Incidentes relacionados con Privacidad de Datos deben ser comunicados y documentados inmediatamente, siguiendo la Gestión de Incidentes de Seguridad de la Información de SOFTTEK, para que se puedan cumplir las obligaciones de reporte bajo la legislación local a la Autoridad de Control en el plazo estipulado por las leyes aplicables desde la fecha de conocimiento del incidente.

  16. Sanciones y Responsabilidades.

    La Dirección de SOFTTEK es responsable de los tratamientos de datos realizados en su área de responsabilidad, por lo que está obligada a garantizar que se cumplen los requisitos legales y los contenidos definidos en la Política Corporativa de Protección de Datos (o documento local equiparable). 

    El equipo directivo es responsable de garantizar que la organización, los recursos humanos y técnicos, disponen de los controles adecuados para garantizar que el tratamiento de los datos se realiza de conformidad con esta política de protección de datos.

    Cualquier departamento o área responsable del desarrollo de procesos y proyectos que involucren la recolección de datos personales, deberá compartir este proceso con el Responsable Local de Privacidad de Datos para su revisión y aprobación. Para que se procese cualquier dato personal, se debe considerar la privacidad y cualquier otra obligación para con SOFTTEK desde el diseño inicial, incluida una evaluación inicial de los riesgos para los derechos de los propietarios de datos individuales antes de que se procese cualquier dato.

    Si las operaciones de tratamiento de la información conllevan la recopilación y tratamiento de datos especialmente sensibles, se realizará una evaluación de riesgos adicional por parte del Responsable Local de Privacidad de Datos, donde se analizarán: los riesgos derivados del tratamiento y cumplimiento de los datos y las medidas de seguridad que deben adoptarse para minimizar los riesgos que puedan derivarse del tratamiento de estas categorías de datos.

    El tratamiento inadecuado de datos personales u otras violaciones de las leyes de protección de datos puede ser perseguido penalmente, incluidas sanciones administrativas o multas por infracciones, al tiempo que permite al titular de los datos reclamar una indemnización por daños y perjuicios.


Última modificación: Octubre 2024.