Grupo Arion Declaración de cumplimiento del GDPR
Introducción
En 2016, la UE adoptó el Reglamento general de protección de datos (“GDPR”). El GDPR ahora se reconoce como ley en toda la UE. La aplicación del GDPR comenzó el 25 de mayo de 2018.
Nuestro compromiso
En Grupo Arion (‘Nosotros’ o ‘nuestro’) nos comprometemos a garantizar la seguridad y protección de la información personal que procesamos, y a proporcionar un enfoque coherente y conforme a la protección de datos. Siempre hemos tenido un programa de protección de datos robusto y eficaz que cumple con las leyes vigentes y cumple con los principios de protección de datos. Sin embargo, reconocemos nuestras obligaciones en la actualización y expansión continua de este programa para cumplir con las demandas del GDPR.
En Grupo Arion estamos dedicados a salvaguardar la información personal bajo nuestro mandato y a desarrollar un régimen de protección de datos que sea efectivo, adecuado para el propósito y que demuestre comprensión y aprecio por el nuevo Reglamento. Nuestra preparación y detalles del cumplimiento de GDPR se han resumido en esta declaración e incluyen el desarrollo y la implementación de funciones, políticas, procedimientos, controles y medidas de protección de datos para garantizar el cumplimiento máximo y continuo.
Cómo nos preparamos para el GDPR
Grupo Arion tiene un nivel consistente de protección de datos y seguridad en toda nuestra organización que cumple completamente con todas las disposiciones de DGPR.
Nuestra preparación incluye:
- Auditoría de información completa: hemos identificado que NO almacenamos datos personales confidenciales definidos por el GDPR. Solo almacenamos datos personales no sensibles que se requieren para realizar negocios. Hemos identificado qué información personal guardamos, de dónde proviene, cómo y por qué se procesa, si se divulga y a quién, y el cumplimiento del GDPR de los procesadores de datos descendentes.
- Políticas y procedimientos revisados: hemos revisado nuestras políticas y procedimientos de protección de datos para cumplir con los requisitos y estándares del GDPR y cualquier ley de protección de datos relevante, incluyendo:
- Protección de datos: nuestro principal documento de políticas y procedimientos para la protección de datos ha sido revisado para cumplir con los estándares y requisitos del GDPR. Se han implementado medidas de responsabilidad y gobernabilidad para garantizar que entendemos, divulgamos y evidenciamos adecuadamente nuestras obligaciones y responsabilidades; con un enfoque dedicado a la privacidad por diseño y los derechos de las personas.
- Retención y borrado de datos: hemos actualizado nuestra política y programa de retención para garantizar que cumplamos con los principios de “minimización de datos” y “limitación de almacenamiento” y que la información personal se almacene, archive y destruya de forma reglamentaria y ética. Disponemos de procedimientos para cumplir con la obligación de ‘Derecho de acceso’ (Artículo 15), ‘Derecho a la rectificación’ (Artículo 16), ‘Derecho a borrar’ (Artículo 17) y somos conscientes de cuándo se aplican estos y otros derechos de los interesados, junto con cualquier exención, plazos de respuesta y responsabilidades de notificación.
- Incumplimientos de datos: nuestros procedimientos de infracción garantizan que tengamos medidas de seguridad y medidas para identificar, evaluar, investigar e informar cualquier violación de datos personales lo antes posible. Nuestros procedimientos son sólidos y se han difundido a todos los empleados, haciéndolos conscientes de las líneas de informes y los pasos a seguir.
- Transferencias internacionales de datos y divulgaciones a terceros – donde Grupo Arion recolecta, transfiere y almacena en los servidores de EE. UU. SOLAMENTE la información personal necesaria para la ejecución del contrato entre el cliente y la Compañía. Contamos con procedimientos robustos y medidas de salvaguardia para proteger, encriptar y mantener la integridad de los datos. Nuestros procedimientos incluyen una revisión continua de los países con suficientes decisiones de adecuación, así como disposiciones para las normas corporativas vinculantes; cláusulas estándar de protección de datos o códigos de conducta aprobados para los países que no lo tienen. Llevamos a cabo verificaciones estrictas de debida diligencia con todos los destinatarios de datos personales para evaluar y verificar que cuentan con salvaguardas adecuadas para proteger la información, garantizar los derechos de los datos de las personas y tener remedios legales efectivos para las personas donde corresponda.
- Base legal para el procesamiento: nuestras actividades de procesamiento cumplen con el artículo 6.
- Registros de actividades de procesamiento – Grupo Arion está excluido de la obligación de mantener registros de nuestras actividades de procesamiento, según el Artículo 30 debido al tamaño y la naturaleza de las condiciones de los datos.
- Aviso / política de privacidad: nuestras políticas de privacidad (por separado para cada familia de productos) cumplen con el GDPR.
- Evaluaciones de impacto de protección de datos (DPIA): no procesamos información personal confidencial ni procesamos a gran escala información personal no confidencial. Hemos desarrollado procedimientos rigurosos y plantillas de evaluación para llevar a cabo evaluaciones de impacto que cumplan con los requisitos del Artículo 35 de GDPR. Hemos implementado procesos de documentación que registran cada evaluación, nos permiten evaluar el riesgo que representa la actividad de procesamiento e implementar medidas de mitigación para reducir el riesgo que se presenta para el (los) sujeto (s) de datos.
- Contratos del procesador: cuando utilizamos un tercero para procesar información personal en nuestro nombre (es decir, Procesamiento de pago), nos aseguramos de que los Contratos del procesador y los procedimientos de diligencia debida estén vigentes para garantizar que ellos (así como nosotros) se reúnan y entiendan sus / nuestras obligaciones con el GDPR. Estas medidas incluyen revisiones iniciales y continuas del servicio prestado, la necesidad de la actividad de procesamiento, las medidas técnicas y organizativas establecidas y el cumplimiento del GDPR.
- Datos de categorías especiales: hemos identificado que no procesamos ninguna de las categorías especiales de los datos personales.
Derechos de los sujetos de datos
Además de las políticas y procedimientos mencionados anteriormente que garantizan que las personas puedan hacer cumplir sus derechos de protección de datos, proporcionamos información de fácil acceso a través del correo electrónico consultoria@grupoarion.com.mx para el derecho de una persona a acceder a cualquier información personal que Grupo Arion procese a partir de los mismos y para solicitar información sobre:
- Qué datos personales tenemos sobre ellos
- Los fines del procesamiento
- Las categorías de datos personales afectadas
- Los destinatarios a quienes se han divulgado los datos personales
- Por cuánto tiempo tenemos la intención de almacenar sus datos personales
- Si no recopilamos los datos directamente de ellos, información sobre la fuente
- El derecho a tener datos incompletos o inexactos sobre ellos corregidos o completados y el proceso para solicitar esto
- El derecho a solicitar el borrado de datos personales (cuando corresponda) o restringir el procesamiento de acuerdo con las leyes de protección de datos, así como a oponerse a cualquier mercadeo directo de nosotros y a estar informado sobre cualquier toma de decisiones automatizada que usemos
- El derecho a presentar una queja o buscar un recurso judicial y a quién contactar en tales casos
Medidas de Seguridad de la Información y Técnicas y Organizacionales
Grupo Arion toma muy en serio la privacidad y seguridad de las personas y su información personal y toma todas las medidas y precauciones razonables para proteger y asegurar los datos personales que procesamos. Contamos con políticas y procedimientos de seguridad de la información robustos para proteger la información personal del acceso no autorizado, alteración, divulgación o destrucción y tenemos varias capas de medidas de seguridad, incluida la capacitación de los empleados, el cifrado de datos en tránsito, el cifrado de datos en almacenamiento, la política de contraseñas, la contraseña para una sola vez y los mecanismos de autenticación de dos factores, así como otros controles técnicos y organizativos de prevención, detección y corrección.
Roles de GDPR y empleados
Grupo Arion ha designado un equipo de privacidad de datos para monitorear constantemente el cumplimiento de la legislación GDPR. El equipo es responsable de promover el conocimiento del GDPR en toda la organización, evaluar nuestra preparación para GDPR, identificar cualquier posible brecha y aplicar las nuevas políticas, procedimientos y medidas correctivas.
Grupo Arion entiende que la conciencia y comprensión continua de los empleados es vital para el cumplimiento continuo del GDPR y ha involucrado a nuestros empleados en nuestros planes de capacitación. Hemos implementado un programa específico de capacitación de empleados que se ha proporcionado a todos ellos, y forma parte de nuestro programa de capacitación anual y de inducción.
Si tiene alguna pregunta o solicitud relacionada con el GDPR, comuníquese con nuestro equipo de cumplimiento del GDPR a través del correo electrónico consultoria@grupoarion.com.mx.