Política de Privacidade
1. Objetivo
La Política de Privacidad y Protección de Datos (en adelante, “Política”) de RD Station (en adelante, “RD”) tiene como finalidad resaltar el compromiso de RD con la transparencia en el tratamiento de los Datos Personales de los Titulares. Además, refleja su dedicación a la seguridad en los servicios ofrecidos relacionados con el tratamiento de datos de sus clientes.
Esta política forma parte integral del Programa de Privacidad y Protección de Datos de RD Station, el cual incluye también otros documentos, directrices, normas y procedimientos.
2. Alcance
Esta Política se aplica a todas las áreas de RD y a todos los Terceros que, de alguna manera, procesan Datos Personales en nombre de RD o a solicitud de RD. Asimismo, refleja la gobernanza implementada en cuestiones de protección de Datos Personales por parte de RD. El cumplimiento de esta Política es obligatorio y demuestra la legislación y los reglamentos aplicables relacionados con las Leyes de Protección de Datos.
3. Referencias
- Ley brasileña 13.709/2018 – Ley General de Protección de Datos Personales.
- Ley brasileña 12.965/2014 – Marco Civil de Internet.
4. Definiciones
Adquiridas: se refiere a las empresas cuyo control societario ha sido adquirido por RD.
Agente de Tratamiento: término que abarca tanto al Controlador como al Operador.
ANPD – Autoridad Nacional de Protección de Datos: entidad gubernamental encargada de supervisar y garantizar el cumplimiento de la Ley General de Protección de Datos (LGPD).
Recopilación Internacional de Datos: Proceso mediante el cual se recopilan Datos Personales del Titular por un Agente de Tratamiento que se encuentra fuera del país.
Controlador: persona física o jurídica, ya sea de derecho público o privado, responsable de las decisiones relativas al tratamiento de Datos Personales. El Controlador determina tanto los propósitos como los medios para llevar a cabo dicho tratamiento.
Datos Personales: cualquier información que se relacione con una persona natural identificada o identificable.
Datos Personales Sensibles: información que revele el origen racial o étnico, creencias religiosas, opiniones políticas, afiliación a sindicatos u organizaciones de carácter religioso, filosófico o político, así como datos relacionados con la salud, la vida sexual, información genética o biométrica vinculada a una persona natural.
DPA – Data Processing Agreement (Acuerdo de Tratamiento de Datos): documento que regula la relación contractual entre agentes de tratamiento cuando el contrato principal implica el tratamiento de Datos Personales. Este acuerdo establece límites, medios, propósitos y obligaciones que deberán cumplir los agentes de tratamiento.
DPO – Oficial de Protección de Datos (o “Encargado de Datos”): colaborador(a) de RD que actúa como responsable de la comunicación entre RD y Adquiridas, los Titulares de Datos Personales y la ANPD.
EIPD – Evaluación de Impacto en la Protección de Datos Personales o DPIA – Data Protection Impact Assessment: Documentación que describe los procesos de tratamiento de Datos Personales que pueden implicar riesgos para las libertades civiles y los derechos fundamentales, así como las medidas, salvaguardias y mecanismos establecidos para mitigar dichos riesgos.
LGPD – Ley General de Protección de Datos: Ley brasileña N.º 13.709/2018 que regula el tratamiento de Datos Personales realizado dentro del territorio brasileño, así como aquellos cuyo propósito sea ofrecer bienes o servicios a individuos ubicados en Brasil. Además, se aplica cuando los Datos Personales objeto del tratamiento hayan sido recolectados en Brasil, sin importar su ubicación posterior.
Marco Civil de Internet: Ley brasileña N.º 12.965/2014 que establece derechos y deberes para usuarios, proveedores de servicios y otras personas involucradas en el uso de Internet en Brasil.
Operador: persona física o jurídica, de derecho público o privado, que realiza el tratamiento de Datos Personales en nombre del Controlador.
Partners: empresas con las que RD mantiene relaciones contractuales para llevar a cabo actividades comerciales.
Proveedor(es): personas físicas o jurídicas que ofrecen bienes o servicios a RD dentro de un período determinado acordado entre las partes.
Proveedor(es) de servicios: personas físicas o jurídicas que prestan servicios contratados por RD y Adquiridas.
Privacy by Default (Privacidad por defecto): concepto derivado de Privacy by Design. Establece que los productos y servicios lanzados al mercado deben incluir configuraciones de privacidad predeterminadas en su desarrollo, y solo el usuario tiene la autoridad para activar o desactivar el acceso cuando lo considere necesario.
Privacy by Design (Privacidad desde el diseño): premisa para el desarrollo de servicios o productos, incluidos software, que exige la incorporación de buenas prácticas de privacidad desde su concepción. De esta manera, cualquier nueva actividad de tratamiento deberá ajustarse a los principios, normas y estándares establecidos por la legislación pertinente a lo largo de todo su ciclo de vida.
Programa de Privacidad y Protección de Datos: conjunto estructurado de políticas, procedimientos y prácticas organizacionales diseñadas para proteger la privacidad y seguridad de los datos personales que RD y las Adquiridas recopilan, procesan y almacenan.
RDoer: término que designa a todos los empleados que trabajan en RD.
RD o Empresa: RD Gestão e Sistemas S.A..
RoPa – Records of Processing Activities (Registros de Actividades de Tratamiento): documentación que mapea las actividades de procesamiento de Datos Personales.
Terceros: personas físicas o jurídicas contratadas para llevar a cabo actividades específicas dentro de un período previamente acordado.
Titulares: personas físicas a las que se refieren los Datos Personales.
Transferencia Internacional de Datos: proceso de transferencia de datos personales realizada por el Agente de Tratamiento desde Brasil hacia un país extranjero u organización internacional en la que Brasil participa.
5. Directrices
5.1. Clasificación como Agente de Tratamiento
Es prioridad de RD proteger, preservar y respetar la privacidad y los derechos de los Titulares de Datos Personales, de acuerdo con la LGPD.
RD se compromete a adoptar las mejores prácticas comerciales y conductas éticas, con el objetivo de mantener y mejorar el grado de cumplimiento en los procesos relacionados con la protección de Datos Personales, satisfaciendo así las necesidades de Clientes, Partners, Proveedores y RDoers.
5.2. Actuación como Agente de Tratamiento
RD puede tratar Datos Personales de manera independiente o compartirlos con otros Agentes de Tratamiento. Según la actividad de tratamiento realizada, RD puede clasificarse como Controladora u Operadora de Datos Personales:
– Como Controladora, RD implementa medidas técnicas de seguridad y privacidad para preservar la disponibilidad, integridad y confidencialidad de los Datos Personales que trata, ya sea de manera independiente o en colaboración con terceros. Para lograrlo, RD mantiene un Programa de Privacidad y Protección de Datos que involucra a todos los involucrados, sin excepción.
Los procesos corporativos que tratan datos personales en todas las áreas son registrados y evaluados en función de los riesgos y los impactos que generan tanto para los Titulares de Datos como para la Empresa. Las áreas responsables de estos procesos realizan evaluaciones periódicas bajo la supervisión del área de Gobernanza de Datos de TOTVS y del Departamento Jurídico, utilizando Registros de Actividades de Tratamiento de Datos Personales (RoPAs). En ciertos casos, de acuerdo con el riesgo asociado al proceso o para cumplir con requisitos legales, se elabora una Evaluación de Impacto en la Protección de Datos Personales (EIPD) que detalla los riesgos y las medidas de mitigación implementadas.
– Como Operadora, RD debe cumplir con todas las pautas contractuales establecidas por los Controladores (sus clientes) para llevar a cabo el tratamiento de Datos Personales, al garantizar buenas prácticas de seguridad a través de auditorías independientes. Además, RD incluye cláusulas de protección de Datos Personales (a través de DPA) en todos los contratos donde actúa como Operadora, definiendo claramente sus responsabilidades. El DPA especifica las actividades de tratamiento que RD realiza en nombre del Controlador.
Registro y autenticación: Para los clientes de RD Station CRM que elijan introducir los datos de contacto (como nombre, email, teléfono y cargo) de sus cuentas de Google, utilizamos una integración con Google que permite la importación (a través de Google API). Con esta herramienta es posible garantizar de forma segura la autenticación y lectura de los datos de contacto que se importarán de Gmail a RD Station. Los usuarios pueden eliminar los permisos de uso de aplicaciones en la configuración de sus cuentas de Google.
Para los usuarios que autorizan la importación de contactos desde su cuenta de Google con su cuenta de email, el uso de los datos implicados en este uso cumplirá los requisitos adicionales de los Ámbitos Restringidos de Google, enumerados en los Servicios API de Google: Política de Datos del Usuario.
5.3. Recopilación y Uso de Datos Personales
Como Controladora, RD procesa Datos Personales de las siguientes maneras:
- Recopilados directamente del Titular de los Datos Personales, proporcionados por él o bien recopilados automáticamente a través de sus interacciones.
- Recibidos a través del intercambio por parte de Terceros, Partners o empresas del grupo.
- Generados por RD a partir del procesamiento de otros Datos Personales.
RD puede tratar los Datos Personales para los siguientes fines:
- Ofrecer y comercializar productos y servicios de manera más personalizada, adaptándose a las necesidades del cliente.
- Prestar servicios.
- Cumplir con las solicitudes de los clientes.
- Administrar y operar sitios web.
- Cumplir con obligaciones legales y contractuales.
- Ejercer regularmente los derechos del controlador.
- Realizar actividades de comunicación y marketing.
- Defender los derechos de los Titulares.
- Analizar datos estadísticos para realizar estudios que mejoren el rendimiento de sus productos y servicios, garantizando la confidencialidad de la información sensible y personal.
Como operadora, RD utiliza los Datos Personales de acuerdo con las indicaciones del Controlador (cliente) y para el cumplimiento de los contratos.
RD puede tratar datos transaccionados por los clientes en relación con el uso de sus productos, los cuales pueden identificar a Titulares de Datos sin que exista una relación directa con RD. Las orientaciones proporcionadas por los clientes respecto a los procesos de tratamiento, así como las finalidades y medidas de protección adoptadas en los productos de RD, están detalladas en el Aviso de Privacidad y en los Términos de Uso de RD.
5.4. Intercambio de Datos Personales
RD trata de forma responsable los Datos Personales de sus clientes, RDoers y colaboradores de terceros que brindan servicios a RD.
Los Datos Personales de los RDoers pueden compartirse para cumplir con: (i) las obligaciones legales vigentes y la defensa de los derechos de los Titulares; (ii) las obligaciones contractuales establecidas con los propios RDoers; (iii) los beneficios ofrecidos a los RDoers.
En lo que respecta a los clientes, RD puede compartir Datos Personales para satisfacer:(i) las solicitudes realizadas por el cliente; (ii) las obligaciones legales derivadas de la relación comercial.
Además, en cumplimiento de la LGPD, RD puede compartir estos Datos Personales con Terceros, incluyendo: (i) Proveedores de servicios; (ii) Partners; (iii) Autoridades gubernamentales; (iv) Empresas del grupo.
Cuando es necesario compartir información, RD implementa las medidas adecuadas para asegurar que los datos compartidos se utilicen exclusivamente para fines específicos.
5.5. Protección de Datos Personales
RD implementa medidas rigurosas para asegurar la integridad y seguridad de los Datos Personales. Por ejemplo, el acceso a los datos se autoriza a las áreas responsables que lo necesiten para llevar a cabo sus actividades, así como para posibles comunicaciones relacionadas con soporte. Además, RD establece procedimientos para garantizar que las áreas internas y los Operadores de RD traten los Datos Personales de acuerdo con las pautas de protección y privacidad establecidas por la empresa.
Asimismo, RD invierte en programas de concientización dirigidos a RDoers, Terceros y Partners. El Programa de Privacidad y Protección de Datos tiene como objetivo presentar las mejores prácticas que deben adoptarse para el tratamiento de Datos Personales.
Para garantizar la privacidad y seguridad de los Datos Personales de sus clientes, RD aplica las mejores prácticas de seguridad de la información y desarrollo seguro disponibles en el mercado. La empresa diseña productos y servicios que permiten al cliente gestionar su información de manera directa y segura.
5.6. Retención de Datos Personales
Los Datos Personales necesarios para cumplir con el Marco Civil de Internet se almacenan en un entorno seguro y controlado durante un período mínimo de 6 (seis) meses, sujeto a modificaciones según el tipo de contrato establecido con los clientes.
Los Datos Personales se almacenan en servidores de Terceros contratados para tal fin, ya sean ubicados en Brasil o en el extranjero, conforme a la legislación aplicable. Además, se pueden utilizar otras tecnologías que surjan en el futuro, siempre con el objetivo de mejorar los servicios.
RD trata los Datos Personales únicamente durante el tiempo estrictamente necesario para cumplir con los fines predeterminados, incluyendo el cumplimiento de obligaciones legales o contractuales, así como las solicitudes de las autoridades competentes, o mientras el registro del Titular permanezca activo.
La información de la cuenta del cliente se conservará mientras la cuenta esté activa. Si el cliente solicita la cancelación, los datos de la cuenta se eliminarán dentro de un plazo de 60 días a partir de la solicitud. No obstante, después de la eliminación de la cuenta, RD mantendrá una copia de seguridad de la información durante 72 horas por razones de seguridad y compliance. En el caso de los Datos Personales de los contactos de RD (leads), la información sobre las interacciones del cliente con RD se conservará durante un período de 5 (cinco) años.
En relación con el tratamiento de datos fundamentado en el consentimiento del Titular, RD cesa el tratamiento de los Datos Personales, cuando corresponda, si el Titular se opone o revoca su consentimiento. Para consultas sobre el período de tratamiento de Datos Personales por parte de RD tras la finalización de la relación contractual, se puede contactar a nuestro DPO a través del correo electrónico [email protected], donde se brindará la información correspondiente al caso específico.
Al determinar el período de retención adecuado para los Datos Personales, se consideran aspectos como la cantidad, la naturaleza y la sensibilidad de los datos, el riesgo potencial de daño derivado del uso o divulgación no autorizados de estos datos, el propósito del procesamiento y si es posible alcanzar dichos fines por otros medios, así como los requisitos legales aplicables.
5.7. Derechos del Titular
El Titular de los Datos Personales cuenta con derechos y garantías respecto a sus Datos Personales. En RD, se han establecido los siguientes mecanismos para garantizar la claridad y transparencia al Titular en el ejercicio de sus derechos. En cualquier momento, el Titular puede ponerse en contacto con RD y solicitar información sobre sus derechos a través de nuestra Central de Ayuda, donde podrá obtener detalles y hacer solicitudes relacionadas:
– Confirmación de la existencia del tratamiento: RD trata Datos Personales de clientes, RDoers, visitantes, Proveedores, Partners y otros, asegurando que dichos datos se almacenen en entornos seguros y controlados. El Titular puede solicitar la confirmación sobre el tratamiento de sus Datos Personales.
– Acceso a los Datos: El Titular puede solicitar en cualquier momento información detallada sobre los Datos Personales que RD está tratando.
– Corrección de Datos Personales incompletos, inexactos o desactualizados: Si el Titular de los Datos considera que la información es incorrecta, desactualizada o incompleta, tiene la opción de solicitar la corrección o actualización de los Datos Personales que falten o sean inexactos, según sea el caso.
– Anonimización, bloqueo o eliminación de Datos Personales innecesarios, excesivos o tratados que no cumplan con la LGPD: El Titular puede solicitar la anonimización, bloqueo o eliminación de los Datos Personales tratados por RD cuando no haya base legal que justifique su tratamiento. Sin embargo, si RD cuenta con una justificación legal o reglamentaria para conservar los datos, estos se mantendrán durante el tiempo necesario para cumplir con la obligación legal o para ejercer el derecho de defensa en procedimientos judiciales, administrativos o arbitrales, así como en determinadas circunstancias, en aras del interés legítimo de RD (por ejemplo, para prevenir infracciones y fraudes).
– Portabilidad de los Datos Personales a otro proveedor de servicios o productos, previa solicitud expresa del Titular: El Titular puede solicitar a RD la portabilidad de sus Datos Personales a otro proveedor de servicios o productos. Si corresponde, la solicitud del Titular será atendida a la mayor brevedad posible.
– Obtención de información sobre las entidades públicas o privadas con las que RD comparte los Datos Personales del Titular: El Titular puede comunicarse con RD a través del canal de atención destinado a sus derechos para obtener información sobre las entidades con las que se han compartido sus Datos Personales.
– Información sobre la opción de no otorgar consentimiento para el tratamiento de Datos Personales y sus consecuencias en caso de negativa: Si el Titular decide no otorgar su consentimiento para el tratamiento específico que RD requiere, se le informará sobre la viabilidad de acceder a los servicios o software de interés sin que sea necesario el tratamiento de sus Datos Personales, así como las implicaciones de dicha negativa.
– Revocación del consentimiento: Si el tratamiento de los Datos Personales se fundamenta en el consentimiento del Titular, este puede revocar dicho consentimiento y solicitar la eliminación de sus Datos Personales en cualquier momento. La revocación del consentimiento puede imposibilitar que el Titular utilice los servicios proporcionados por RD. Sin embargo, la interrupción del tratamiento de los Datos Personales no será aplicable en los siguientes casos: (i) cuando los datos sean anonimizados; o (ii) cuando los datos sean necesarios para RD y/o para Terceros involucrados en la prestación de servicios, con el fin de garantizar la defensa judicial, arbitral o administrativa, así como para el cumplimiento de obligaciones legales y regulatorias.
– Eliminación de datos: En ciertos casos, el Titular puede solicitar la eliminación de sus Datos Personales.
RD, en su rol como Operadora, no es responsable de las decisiones relacionadas con el tratamiento de los datos. Esta actividad es responsabilidad del cliente, como Controlador, según lo establecido en el contrato, asegurando que todas las instrucciones dirigidas a RD cumplan con la Legislación de Protección de Datos y Privacidad de los Titulares de Datos Personales.
RD se compromete a responder a todas las solicitudes de los Titulares en el menor tiempo posible, cumpliendo con los plazos establecidos por la ANPD.
5.8. Transferencia y Recopilación Internacional de Datos
Las actividades de tratamiento de Datos Personales llevadas a cabo por RD pueden implicar la transferencia internacional de datos, especialmente a los Estados Unidos.
Para la prestación de servicios que impliquen la transferencia internacional de Datos Personales, RD prioriza el tratamiento en países que ofrecen una protección de datos equivalente a la de la LGPD. En caso de que esto no sea posible, se establecerán cláusulas contractuales estándar adecuadas para realizar la transferencia, exigiendo a los proveedores involucrados que garanticen la protección esperada para los Titulares de Datos. En circunstancias excepcionales, RD podrá realizar la Transferencia Internacional de Datos bajo otras modalidades permitidas por la LGPD.
La posible Transferencia Internacional de Datos Personales de los RDoers también está contemplada en sus contratos de trabajo.
Algunos productos de RD pueden ser comercializados y ofrecidos mediante empresas aliadas en el extranjero. En estos casos, se podrá clasificar como Recopilación Internacional de Datos. De esa forma, RD extiende la protección ofrecida a los Titulares por la Transferencia Internacional de Datos en tales situaciones.
En los casos en que RD trate Datos Personales que no estén protegidos por la LGPD, ya sea por encontrarse fuera de los límites de territorialidad legal o por estar sujetos a alguna de las exclusiones definidas en la propia ley, RD se compromete a garantizar a los Titulares involucrados la seguridad y protección de sus Datos Personales y su privacidad de manera equivalente. Asimismo, RD se compromete a facilitar el ejercicio de los derechos establecidos por la LGPD, dentro de límites razonables y de acuerdo con sus capacidades, siempre que se solicite a través de los canales oficiales de atención disponibles para el Titular.
5.9. Partners
RD establece alianzas estratégicas con empresas para incorporar tecnologías y procesos que expandan su oferta de servicios. Estos Partners están obligados a cumplir rigurosamente con todas las directrices de seguridad contractuales estipuladas en esta Política, garantizando el tratamiento confidencial de todos los Datos Personales de clientes y empleados.
5.10. Empresas adquiridas por RD
Como parte de su estrategia de crecimiento inorgánico, RD puede adquirir empresas que se dediquen al tratamiento de Datos Personales. Es posible que dichas empresas cuenten con estructuras operativas, enfoques y garantías de protección de datos personales diferentes a las implementadas por RD. En estos casos, RD se compromete a asegurar que las directrices establecidas en esta Política se cumplan en su totalidad durante el proceso de integración, o incluso a implementar prácticas que brinden una mayor protección al Titular de los Datos, según lo requiera la situación específica.
5.11. Consultas
Para cualquier duda relacionada con la Política de Protección y Privacidad de RD, o cualquier otra consulta sobre seguridad y protección de Datos Personales, los interesados pueden contactarnos a través de las siguientes direcciones:
Dirección: Rodovia Virgílio Várzea, 587, 3er piso, sala 302.
Saco Grande, Florianópolis/Santa Catarina, código postal: 88032-001.
Correo electrónico: [email protected]
6. Responsabilidades
Corresponde a todos los empleados de RD y subcontratados:
- Cumplir rigurosamente con las directrices establecidas en esta Política Interna de Protección de Datos, así como con las Normas y Procedimientos de Privacidad y Seguridad de RD.
- Realizar las capacitaciones obligatorias sobre Privacidad y Seguridad impartidas por RD.
- Proteger la información contra el acceso, modificación, destrucción, divulgación no autorizada y uso indebido por parte de RD.
- Asegurarse de que los Datos Personales bajo su gestión se utilicen únicamente para los fines aprobados por RD.
- Notificar inmediatamente al equipo de Privacidad cualquier incumplimiento o violación de esta Política, a través del email: [email protected].
- Informar sobre posibles riesgos relacionados con la privacidad.
- Reportar incidentes de seguridad de la información que involucren Datos Personales.
- En caso de adquisición de una nueva herramienta o software, enviarlo para aprobación por parte de los equipos de Privacidad y Seguridad.
Corresponde al Encargado de Protección de Datos (DPO):
- Gestionar las actividades de Protección de Datos dentro de RD.
- Recibir quejas y comunicaciones de los Titulares, así como solicitudes de aclaración, y tomar las medidas correctivas y preventivas correspondientes.
- Recibir y gestionar las comunicaciones dirigidas a la ANPD.
- Asesorar a empleados y subcontratados de RD sobre prácticas de protección de Datos Personales.
- Responder consultas de áreas internas de RD relacionadas con el Tratamiento y Protección de Datos Personales.
- Cumplir con las tareas asignadas por RD o establecidas en la normativa complementaria de Protección de Datos.
- Informar sobre la gestión de actividades de Protección de Datos al DPO del Grupo TOTVS.
- Comunicar incidentes de seguridad al DPO del Grupo TOTVS.
Corresponde al equipo de Privacidad:
- Gestionar el Programa Corporativo de Privacidad y Protección de Datos de RD.
- Supervisar el cumplimiento de las normas, reglamentos y obligaciones establecidas por la LGPD.
- Asesorar a RD en la adopción de mejores prácticas en conformidad con las leyes de protección de datos.
- Definir indicadores y medidas para la gestión del programa de privacidad de RD.
- Establecer y administrar un marco de políticas, normas, directrices y procedimientos en materia de privacidad y protección de datos personales.
- Desarrollar y mantener una política de concientización que promueva la cultura y eduque a los colaboradores sobre las mejores prácticas de privacidad y protección de datos personales.
- Asegurar la implementación de medidas y prácticas de gestión efectivas en relación con la privacidad y la protección de Datos Personales.
- Supervisar el cumplimiento de las disposiciones oficiales de RD con respecto al tratamiento de Datos Personales, al Privacy by Design, a la Revisión de Privacidad y a las buenas prácticas.
- Supervisar y proponer soluciones para mitigar riesgos relacionados con la privacidad.
- Administrar la respuesta a incidentes de seguridad que involucren Datos Personales.
- Informar sobre cambios legislativos que requieran ajustes en las Políticas de Privacidad y Seguridad.
- Elaborar informes trimestrales para el equipo ejecutivo de RD sobre las actividades mencionadas anteriormente.
- Actuar como punto de comunicación entre RD, los Titulares de Datos y las autoridades gubernamentales.
- Mantener actualizada esta Política.
Corresponde al área de Seguridad de la Información:
- Difundir y revisar la Política, Normas y Procedimientos de Seguridad de la Información para todos los empleados y colaboradores externos.
- Promover acciones de concientización sobre Seguridad de la Información para todos los empleados.
- Proponer y administrar proyectos relacionados con la gestión de la seguridad de la información en RD.
- Administrar y monitorear los sistemas y controles aplicados por el área de Seguridad de la Información de RD y de sus clientes.
- Proponer y administrar proyectos e iniciativas relacionados con la gestión de la seguridad de la información para los clientes de RD.
- Colaborar activamente con el equipo de Privacidad en la gestión de incidentes de seguridad relacionados con Datos Personales.
Corresponde al área de TI:
- Administrar y monitorear los sistemas y controles gestionados por el área de TI de RD.
- Proponer y administrar proyectos e iniciativas relacionadas con la gestión de la seguridad de TI en el software stack de RD.
Corresponde al equipo de Ética:
- Analizar los casos reportados de incumplimiento de las Políticas y Directrices de Privacidad y Seguridad, evaluando sus consecuencias cuando corresponda, y cumpliendo con las obligaciones del Comité de Auditoría respecto a los indicadores de Riesgo de Seguridad de la Información.
- Recomendar la adopción de medidas legales u otras acciones en caso de violaciones de la legislación vigente.
- Solicitar inspecciones de equipos y sistemas al área de Seguridad de la Información.
- Escalar incidentes a los Gerentes/Líderes responsables para que tomen las medidas correctivas necesarias.
Corresponde al equipo Jurídico:
- Revisar y validar las Políticas, asegurando su conformidad con la legislación vigente, con el respaldo del equipo de Privacidad en cuestiones específicas de Privacidad y Protección de Datos.
- Apoyar al equipo de Ética y otros equipos en la gestión de casos de incumplimiento de las Políticas y Normas de Privacidad y Seguridad, proponiendo medidas legales cuando aplicables.
- Asistir en la implementación de medidas de contención en caso de incidentes relacionados con el mal uso de datos.
7. Gestión de Consecuencias
En caso de incumplimiento de esta Política, se adoptarán medidas correctivas que pueden incluir sanciones laborales, civiles, penales o administrativas. Las sanciones pueden incluir el despido por justa causa o la rescisión de contratos con Terceros en caso de violación grave.
8. Cambios en la Política de Privacidad
Con el objetivo de mejorar continuamente nuestros servicios, esta Política de Privacidad puede ser actualizada periódicamente. Por ello, le recomendamos que consulte esta página de manera regular para mantenerse informado sobre posibles modificaciones. En caso de que se realicen cambios significativos que requieran un nuevo consentimiento, publicaremos la actualización y solicitaremos su aceptación nuevamente.
Updated on 2024-10-14
Version: 01.02 - 2024-10-14