BetterPic Logo
Nuevo Acceso temprano a BetterMirror
Entrar

Política de Privacidad

Última Actualización: 16 de julio de 2024

Acerca de BetterPic

BetterPic es un servicio digital operado y gestionado por Betterpic OÜ ("BetterPic"). Para los propósitos de esta Política, las referencias a "BetterPic" se referirán al servicio digital proporcionado por Betterpic OÜ. Todos los asuntos relacionados con BetterPic, incluyendo esta Política de Afiliados, se rigen por las leyes de Estonia.

Alcance y Definiciones

Alcance. Esta Política de Protección de Datos Personales (la "Política") describe las normas internas de BetterPic para el procesamiento y protección de datos personales. La Política se aplica a BetterPic, incluyendo empleados y contratistas de BetterPic ("nosotros", "nos", "nuestro", "BetterPic"). La gerencia de cada entidad es responsable en última instancia de la implementación de esta política, así como de asegurar, a nivel de entidad, que existan procedimientos adecuados y efectivos para su implementación y monitoreo continuo de su cumplimiento. Para los propósitos de esta Política, empleados y contratistas se denominan conjuntamente como los "empleados".

Gerente de Privacidad. El Gerente de Privacidad es un empleado de BetterPic responsable del cumplimiento de la protección de datos personales dentro de BetterPic (el "Gerente de Privacidad"). El Gerente de Privacidad está a cargo de realizar las obligaciones impuestas por esta Política y supervisar a otros empleados, que están sujetos a esta Política, con respecto a su adhesión a esta Política. El Gerente de Privacidad debe estar involucrado en todos los proyectos en una etapa temprana para tomar en cuenta los aspectos de protección de datos personales desde la fase de planificación.

Autoridad Supervisora Competentesignifica una autoridad pública que es responsable de regular y supervisar la protección de datos personales con respecto a las actividades de BetterPic.
Violación de Datossignifica una violación de la seguridad y/o confidencialidad que lleva a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada de, o acceso a Datos Personales transmitidos, almacenados o procesados de otra manera. Esto incluye pero no se limita a correos electrónicos enviados a una lista incorrecta o divulgada de destinatarios, una publicación ilegal de los Datos Personales, pérdida o robo de registros físicos, y acceso no autorizado a información personal.
Controlador de Datossignifica la persona natural o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina (toma una decisión) los propósitos y medios del procesamiento de Datos Personales.
Procesador de Datossignifica una persona natural o jurídica, autoridad pública, agencia u otro organismo que procesa los Datos Personales en nombre del controlador de datos.
Leyes de Protección de Datossignifica cualquier ley y regla legal sobre el uso y protección de datos personales aplicable a las actividades de BetterPic, incluyendo, pero no limitado al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de personas naturales con respecto al procesamiento de datos personales y sobre el libre movimiento de dichos datos, y derogando la Directiva 95/46/EC (Reglamento General de Protección de Datos, RGPD).
Solicitud del Sujeto de Datos (DSR)significa cualquier solicitud del Sujeto de Datos y concerniente a sus datos personales y/o derechos del sujeto de datos.
Sujeto de Datossignifica una persona natural, cuyos Datos Personales procesamos. Los Sujetos de Datos incluyen pero no se limitan a usuarios, visitantes del sitio web, empleados, contratistas y socios de BetterPic.
Datos Personalessignifica cualquier información relacionada con un Sujeto de Datos identificado o identificable; un Sujeto de Datos puede ser identificado por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o la combinación de factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de ese Sujeto de Datos.
Procesamientosignifica cualquier operación o conjunto de operaciones que es realizada por BetterPic en Datos Personales, como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, diseminación o de otra manera hacer disponible, alineación o combinación, restricción, borrado o destrucción.
Cláusulas Contractuales Estándarsignifica la Decisión de la Comisión Europea del 5 de febrero de 2010 sobre cláusulas contractuales estándar para la transferencia de datos personales a procesadores establecidos en terceros países bajo la Directiva 95/46/EC del Parlamento Europeo y del Consejo (2010/87/UE).
Tercerosignifica una persona natural o jurídica, que accede a los Datos Personales para procesamiento adicional y no es un empleado, miembro o afiliado corporativo de BetterPic. Esta definición no se aplica a personas naturales, que proporcionan servicios a BetterPic como contratistas de manera regular.
Usuariosignifica un Sujeto de Datos que usa nuestros servicios proporcionados en el sitio web de BetterPic.

Principios de Procesamiento de Datos

2.1 Las actividades de procesamiento de BetterPic deben estar en línea con los principios especificados en esta Sección. El Gerente de Privacidad debe asegurarse de que la documentación de cumplimiento de BetterPic, así como las actividades de procesamiento de datos, cumplan con los principios de protección de datos.

2.2. Debemos procesar los Datos Personales de acuerdo con los siguientes principios:

2.2.1. Legalmente, justamente y de manera transparente (legalidad, equidad y transparencia). Siempre tendremos una base legal para el procesamiento (descrita en la Sección 3 de esta Política), recolectar la cantidad de datos adecuada al propósito y bases legales, y nos aseguramos de que los Sujetos de Datos estén conscientes del procesamiento;

2.2.2. Recolectados para propósitos específicos, explícitos y legítimos y no procesados posteriormente de manera incompatible con esos propósitos (limitación de propósito). No debemos procesar los Datos Personales para propósitos no especificados en nuestra documentación de cumplimiento sin obtener aprobación específica del Gerente de Privacidad.

2.2.3. Adecuados, relevantes y limitados a lo necesario para los propósitos para los cuales son procesados (minimización de datos). Siempre nos aseguramos de que los datos que recolectamos no sean excesivos y estén limitados por la estricta necesidad.

2.2.4. Precisos y, cuando sea necesario, mantenidos actualizados (exactitud). Nos esforzamos por eliminar datos inexactos o falsos sobre Sujetos de Datos y nos aseguramos de actualizar los datos. Los Sujetos de Datos pueden pedirnos una corrección de los Datos Personales.

2.2.5. Mantenidos en una forma que permite la identificación de Sujetos de Datos por no más tiempo del necesario para los propósitos para los cuales los Datos Personales son procesados (limitación del período de almacenamiento). Los períodos de almacenamiento deben ser limitados como se prescribe en las Leyes de Protección de Datos y esta Política.

2.2.6. Procesar de manera que asegure la seguridad apropiada de los Datos Personales, incluyendo protección contra procesamiento no autorizado o ilegal y pérdida accidental, destrucción o daño, usando medidas técnicas u organizacionales apropiadas (confidencialidad, integridad y disponibilidad).

2.3. Responsabilidad.

2.3.1. Seremos capaces de demostrar nuestro cumplimiento con las Leyes de Protección de Datos (principio de responsabilidad). En particular, debemos asegurar y documentar todos los procedimientos relevantes, esfuerzos, consultas internas y externas sobre protección de datos personales incluyendo:

  • el hecho de nombrar a una persona responsable del cumplimiento de protección de datos de BetterPic;
  • cuando sea necesario, un registro de una Evaluación de Impacto de Procesamiento de Datos;
  • avisos, políticas y procedimientos desarrollados e implementados, como Aviso de Privacidad, esta política o procedimiento de respuesta a Violación de Datos;
  • el hecho de entrenamiento del personal sobre cumplimiento con las leyes de Protección de Datos; y
  • evaluación, implementación y prueba de medidas de protección de datos organizacionales y técnicas.

2.3.2. El Gerente de Privacidad debe mantener los Registros de actividades de procesamiento de BetterPic, que es un documento de responsabilidad que describe las actividades de procesamiento de datos personales de BetterPic, preparado de acuerdo con el Art. 30 del RGPD (los "Registros de actividades de procesamiento"). Los Registros de actividades de procesamiento deben mantener, al menos, la siguiente información sobre cada actividad de procesamiento:

  • detalles de contacto de BetterPic, el Representante de la UE, y, cuando sea aplicable, del Oficial de Protección de Datos;
  • nombre de la actividad, sus propósitos y base legal junto con, cuando sea aplicable, los intereses legítimos de BetterPic;
  • sujetos de datos y categorías de datos personales concernientes;
  • períodos de retención de datos;
  • descripción general de medidas de seguridad aplicables;
  • destinatarios, incluyendo controladores conjuntos, procesadores y contratistas involucrados, así como el hecho de la transferencia internacional de datos con las salvaguardas aplicadas a la transferencia;
  • cuando sea aplicable, una referencia a la Evaluación de Impacto de Procesamiento de Datos;
  • cuando sea aplicable, una referencia al registro de la violación de datos ocurrida involucrando los datos personales;
  • si BetterPic actúa como procesador de datos, la información a proporcionar incluye los nombres y detalles de contacto de controladores, nombre y detalles de contacto del representante del controlador (si es aplicable), categorías de procesamiento (actividades), nombres de terceros países u organizaciones internacionales a los que se transfieren datos personales (si es aplicable), salvaguardas para transferencias excepcionales de datos personales a terceros países u organizaciones internacionales (si es aplicable), y descripción general de medidas de seguridad técnicas y organizacionales.

Acceso a Datos Personales. Bases Legales y Propósitos

3.1. Bases legales.

3.1.1. Cada actividad de procesamiento debe tener una de las bases legales especificadas en esta Sección para procesar los Datos Personales. Si no tenemos ninguna de las descritas, no podemos recolectar o procesar posteriormente los Datos Personales.

3.1.2. Si BetterPic pretende usar datos personales para otros propósitos que los especificados en los Registros de actividades de procesamiento, el Gerente de Privacidad debe evaluar, determinar y, si es necesario, recolectar/registrar la base legal apropiada para ello.

3.1.3. Ejecución del contrato. Cuando BetterPic tiene un contrato con el Sujeto de Datos, ej. Términos de Uso del sitio web o el contrato de empleo, y el contrato requiere la provisión de datos personales del Sujeto de Datos, la base legal aplicable será la ejecución del contrato.

3.1.4. Consentimiento. Para procesar los datos personales basados en el consentimiento, debemos obtener el consentimiento antes del Procesamiento y mantener la evidencia del consentimiento con los registros de Datos Personales del Sujeto de Datos. El Gerente de Privacidad debe asegurarse de que el consentimiento recolectado de los Sujetos de Datos cumpla con los requisitos de las Leyes de Protección de Datos y esta Política. En particular, el Gerente de Privacidad debe asegurarse de que:

  • el Sujeto de Datos debe ser libre para dar o rechazar dar consentimiento.
  • el consentimiento está en forma de una indicación activa del Sujeto de Datos, es decir, la casilla de consentimiento no debe estar pre-marcada para el usuario.
  • la solicitud de consentimiento articula claramente los propósitos del procesamiento, y otra información especificada en la Subsección 6.2 está disponible para el Sujeto de Datos.
  • el Sujeto de Datos debe ser libre para dar su consentimiento o revocarlo.

3.1.5. Intereses legítimos. Tenemos el derecho de usar datos personales en nuestros 'intereses legítimos'. Los intereses pueden incluir los propósitos que están justificados por la naturaleza de nuestras actividades comerciales, como el análisis de marketing de datos personales. Para que BetterPic use intereses legítimos como base legal para el procesamiento, el Gerente de Privacidad debe asegurarse de que:

  • el interés legítimo en el procesamiento esté claramente definido y registrado en los Registros de actividades de procesamiento;
  • cualquier riesgo previsto a los derechos e intereses del Sujeto de Datos sea identificado. Los ejemplos de los riesgos se pueden encontrar en la Subsección 7.2.;
  • los Sujetos de Datos tengan expectativas razonables sobre el procesamiento, y se tomen medidas protectivas adicionales para abordar los riesgos;
  • sujeto a las condiciones de la Subsección 6.7 (Derecho a objetar contra el procesamiento), se proporcione al Sujeto de Datos la oportunidad de excluirse del procesamiento para los intereses legítimos descritos.

Si al menos una de las condiciones anteriores no es cumplida por BetterPic, el Gerente de Privacidad debe elegir y proponer una base legal diferente para el procesamiento, como el consentimiento.

3.1.6. Cumplimiento Legal e Interés Público. Además de las bases especificadas anteriormente, podríamos ser requeridos por las leyes de la Unión Europea o leyes del Estado Miembro de la UE para procesar Datos Personales de nuestros Usuarios. Por ejemplo, podemos ser requeridos a recolectar, analizar y monitorear la información de Usuarios para cumplir con leyes financieras o laborales. Siempre que tengamos tal obligación, debemos asegurarnos de que:

  • procesamos datos personales estrictamente de acuerdo con requisitos legales relevantes;
  • no usamos o almacenamos los Datos Personales recolectados para otros propósitos que el cumplimiento legal; y
  • los Sujetos de Datos son informados apropiada y oportunamente sobre nuestras obligaciones, alcance y condiciones de procesamiento de datos personales.

Importante: Cuando BetterPic tiene requisitos legales de otro país para procesar datos personales, el Gerente de Privacidad debe proponer usar otra base legal para el procesamiento bajo las Leyes de Protección de Datos, como intereses legítimos o consentimiento.

3.2. Acceso a Datos Personales.

3.2.1. Los empleados deben tener acceso a los datos personales sobre una base de "necesidad de saber". Los datos pueden ser accedidos solo si es estrictamente necesario para realizar una de las actividades especificadas en los Registros de actividades de procesamiento. Los empleados y contratistas tendrán acceso a los Datos Personales solo si tienen las credenciales necesarias para ello.

3.2.2. Los jefes de los departamentos dentro de BetterPic son responsables del acceso y procesamiento de datos personales de sus empleados. Los jefes deben mantener la lista de empleados que tienen derecho a acceder y procesar datos personales. El Gerente de Privacidad tendrá el derecho de revisar la lista y, cuando sea necesario, solicitar las enmiendas para cumplir con los requisitos de esta Política.

3.2.3. Los jefes de los departamentos dentro de BetterPic deben asegurar que los empleados bajo su supervisión estén conscientes de las Leyes de Protección de Datos y cumplan con las reglas establecidas en esta Política. Para asegurarnos de que nuestros empleados puedan cumplir con los requisitos de protección de datos, debemos proporcionarles entrenamiento adecuado de protección de datos.

3.2.4. Todos los empleados que accedan a datos personales mantendrán estricta confidencialidad respecto a los datos que accedan. Los empleados que accedan a datos personales deben usar solo aquellos medios (software, instalaciones, etc.) para el procesamiento que fueron prescritos por BetterPic. Los datos no deben ser divulgados o de otra manera hechos disponibles fuera de las instrucciones de gestión.

3.2.5. Los empleados dentro de su competencia deben asistir a los representantes de BetterPic, incluyendo el Gerente de Privacidad, en cualquier esfuerzo respecto al cumplimiento con las Leyes de Protección de Datos y/o esta Política.

3.2.6. Cuando un empleado detecte o crea que hay actividad sospechosa, violación de datos, incumplimiento con las Leyes de Protección de Datos y/o esta Política, o una DSR no fue dirigida al departamento competente dentro de BetterPic, el empleado debe reportar tal actividad al Gerente de Privacidad.

3.2.7. Los empleados que no estén seguros sobre si pueden legítimamente procesar o divulgar Datos Personales deben buscar consejo del Gerente de Privacidad antes de tomar cualquier acción.

3.2.8. Cualquier acceso ocasional a datos personales para actividades no especificadas en los Registros de actividades de procesamiento está prohibido. Si hay una estricta necesidad de acceso inmediato, el Gerente de Privacidad debe aprobar el acceso primero.

Terceros

4.1. Antes de compartir datos personales con cualquier persona fuera de BetterPic, el Gerente de Privacidad debe asegurar que este Tercero tenga un nivel adecuado de protección de datos y proporcione garantías suficientes de protección de datos de acuerdo con las Leyes de Protección de Datos, incluyendo, pero no limitado a los requisitos de procesamiento (Art. 28 del RGPD) y cumplimiento de transferencias internacionales (Sección 5 del RGPD). Cuando sea necesario, el Gerente de Privacidad debe asegurarse de que BetterPic entre en el contrato apropiado de protección de datos con el tercero.

4.2. Un empleado puede compartir datos personales con terceros solo si y en la medida que fue directamente prescrito por el gerente y especificado en los Registros de actividades de procesamiento.

4.3. Si se nos requiere eliminar, cambiar o detener el procesamiento de los Datos Personales, debemos asegurar que los Terceros, con quienes compartimos los Datos Personales, cumplirán estas obligaciones en consecuencia.

4.4. Siempre que BetterPic sea contratado como procesador de datos en nombre de otra entidad, el Gerente de Privacidad debe asegurarse de que BetterPic cumpla con la obligación de procesamiento. En particular, el acuerdo apropiado de procesamiento de datos de acuerdo con las Leyes de Protección de Datos debe estar en lugar. El Gerente de Privacidad debe supervisar el cumplimiento con las instrucciones de procesamiento de datos del controlador, incluyendo respecto al alcance de las actividades de procesamiento, involucramiento de sub-procesadores, transferencias internacionales, almacenamiento y disposición posterior de datos personales procesados. Los datos personales procesados bajo el rol de procesador no deben ser procesados para ningún otro propósito que los especificados en las instrucciones relevantes, acuerdo u otro acto legal que regule las relaciones con el controlador.

Transferencias Internacionales

5.1 Si tenemos empleados, contratistas, afiliados corporativos, o Procesadores de Datos fuera del EEE, y transferimos Datos Personales a ellos para el procesamiento, el Gerente de Privacidad debe asegurarse de que BetterPic tome todas las salvaguardas necesarias y apropiadas de acuerdo con las Leyes de Protección de Datos.

5.2 El Gerente de Privacidad debe evaluar las salvaguardas disponibles y proponer a la gerencia de BetterPic la salvaguarda apropiada para cada transferencia internacional. Los siguientes regímenes se aplican a las transferencias de Datos Personales fuera de la UE: cuando la Comisión Europea decide que el país tiene un nivel adecuado de protección de datos personales, la transferencia no requiere tomar salvaguardas adicionales. La lista completa de jurisdicciones adecuadas se puede encontrar en la página relevante del sitio web de la Comisión Europea. para transferir Datos Personales a nuestros contratistas o socios (Procesadores de Datos o Controladores) en otros terceros países, debemos concluir Cláusulas Contractuales Estándar con esa parte. La versión borrador junto con la guía se puede encontrar en la página relevante del sitio web de la Comisión Europea; si tenemos un afiliado corporativo o una entidad en otros países, podemos elegir adoptar Reglas Corporativas Vinculantes de acuerdo con el Artículo 47 del RGPD o un código de conducta aprobado conforme al Artículo 40 del RGPD; también podemos transferir Datos Personales a entidades que tienen una certificación aprobada de acuerdo con el Artículo 42 del RGPD, que certifica un nivel apropiado de protección de datos de la compañía.

5.3 Como parte de las obligaciones de información, BetterPic debe informar a los Sujetos de Datos que sus Datos Personales están siendo transferidos a otros países, así como proporcionarles la información sobre las salvaguardas usadas para la transferencia. La obligación de información debe ser realizada de acuerdo con la Subsección 6.2.

5.4 En los casos excepcionales (la "Derogación"), donde no podemos aplicar las salvaguardas mencionadas anteriormente y necesitamos transferir Datos Personales, debemos tomar un consentimiento explícito (declaración activa) del Sujeto de Datos, o debe ser estrictamente necesario para la ejecución del contrato entre nosotros y el Sujeto de Datos, u otras condiciones de derogación se aplican de acuerdo con las Leyes de Protección de Datos. El Gerente de Privacidad debe pre-aprobar cualquier transferencia de Derogación y documentar las Derogaciones aprobadas, así como la justificación para ellas.

Derechos de los Sujetos de Datos

6.1 Nuestras Responsabilidades.

6.1.1 El Gerente de Privacidad es responsable en última instancia de manejar todas las DSR recibidas por BetterPic. En el caso de recibir cualquier DSR pendiente o inusual, el empleado debe buscar consejo del Gerente de Privacidad antes de tomar cualquier acción.

6.1.2 El Soporte al Cliente dentro de BetterPic es responsable de manejar DSRs de Usuarios de BetterPic diariamente. El departamento de Recursos Humanos es responsable de manejar las DSR de empleados de BetterPic.

6.1.3 Todas las DSRs de los Usuarios deben ser dirigidas a y respondidas desde la siguiente dirección de correo electrónico: gdpr@betterpic.io. DSR de los empleados pueden ser dirigidas directamente al gerente de RH o a gdpr@betterpic.io.

6.1.4 El empleado responsable debe responder a la DSR dentro de un (1) mes desde recibir la solicitud. Si cumplir con la DSR toma más de un mes en tiempo, el empleado responsable debe buscar consejo del Gerente de Privacidad y, cuando sea necesario, informar al Sujeto de Datos sobre la prolongación del término de respuesta hasta por dos (2) meses adicionales.

6.1.5 El empleado responsable debe analizar la DSR recibida para los siguientes criterios:

  • Identificación del Sujeto de Datos. Antes de considerar el contenido de la DSR, el empleado responsable debe asegurarse de que el Sujeto de Datos es la misma persona que afirma ser. Para este propósito, la conexión entre los registros de datos personales y el sujeto de datos debe ser establecida. Los siguientes métodos deben ser usados para esto: verificación de la dirección de correo electrónico del Sujeto de Datos – generalmente, la dirección de correo electrónico debe ser la misma que BetterPic tiene sobre el usuario en cuestión; si la dirección de correo electrónico es diferente del registro en la base de datos, el Gerente de Privacidad debe ser consultado, con cuya aprobación el empleado responsable puede solicitar detalles adicionales de la cuenta para la identificación, como fecha de nacimiento, la dirección y dirección de correo electrónico. Si el Sujeto de Datos falló en someterse a la verificación, el Gerente de Privacidad debe rechazar realizar la solicitud e informar al Sujeto de Datos sobre ello sin demora indebida, pero no más tarde de dentro de un (1) mes desde recibir la solicitud.
  • Datos personales. El empleado responsable debe verificar si BetterPic tiene acceso a los datos personales solicitados. Si BetterPic no tiene los datos personales bajo control, el empleado responsable debe informar al Sujeto de Datos, y, si es posible, instruir sobre los siguientes pasos sobre cómo acceder a los datos en cuestión;
  • Contenido de la solicitud. Dependiendo del contenido de la DSR, el empleado responsable debe definir el tipo de la solicitud y verificar si cumple con las condiciones prescritas por esta Política y las Leyes de Protección de Datos. Los tipos de solicitudes y las respectivas condiciones para cada una de ellas pueden ser consultadas en las Subsecciones 6.3-6.9. Si la solicitud no cumple con los criterios descritos, el empleado responsable debe rechazar cumplir con la DSR e informar al Sujeto de Datos sobre las razones para rechazar;
  • Gratuito. Generalmente, todas las solicitudes de Sujetos de Datos y ejercicios de sus derechos son gratuitos. Si el empleado responsable encuentra que el Sujeto de Datos ejerce los derechos de manera excesiva o infundada (ej., destinado a dañar o interrumpir las actividades comerciales de BetterPic), el empleado debe buscar el consejo del Gerente de Privacidad, y, al recibir este último, puede cargar al Sujeto de Datos una tarifa razonable o rechazar cumplir con la solicitud;
  • Documentación. Siempre que BetterPic reciba la DSR, el Gerente de Privacidad debe asegurarse de que la fecha y hora, Sujeto de Datos, tipo de la solicitud y la decisión tomada respecto a ella estén bien documentadas. En el caso de rechazar cumplir con la solicitud, las razones para rechazar deben ser documentadas también;
  • Destinatarios. Al abordar la DSR, el Gerente de Privacidad debe asegurarse de que todos los destinatarios concernientes fueron informados de que las acciones necesarias fueron tomadas.

6.2 El derecho a ser informado.

6.2.1 BetterPic debe notificar a cada Sujeto de Datos sobre la recolección y procesamiento posterior de los Datos Personales.

6.2.2 La información a proporcionar incluye: el nombre y detalles de contacto de BetterPic; propósitos genéricos de y la base legal para la recolección de datos y procesamiento posterior; categorías de Datos Personales recolectados; destinatarios/categorías de destinatarios; períodos de retención; información sobre derechos del sujeto de datos, incluyendo el derecho a quejarse a la Autoridad Supervisora competente; las consecuencias de los casos donde los datos son necesarios para la ejecución del contrato y el Sujeto de Datos no proporciona los datos requeridos; detalles de las salvaguardas donde los datos personales son transferidos fuera del EEE; y cualquier fuente de terceros de los datos personales, sin especificación para el caso particular (excepto si recibimos la solicitud directa del Sujeto de Datos).

6.2.3 Los Usuarios deben ser informados por la Política de Privacidad accesible en el sitio web de BetterPic y proporcionada durante el registro del usuario. Los empleados y contratistas deben ser informados por una declaración de privacidad del empleado independiente, que explica los detalles descritos en p. 6.2.2 de manera basada en casos, describiendo los propósitos y actividades particulares. BetterPic debe informar a los Sujetos de Datos sobre el procesamiento de datos, incluyendo cualquier nueva actividad de procesamiento introducida en BetterPic dentro del siguiente término:

  • si los datos personales son recolectados del sujeto de datos directamente, el sujeto de datos debe ser informado en el momento que recolectamos Datos Personales de los Sujetos de Datos mostrando al Sujeto de Datos nuestra declaración de privacidad;
  • si los datos personales son recolectados de otras fuentes: (a) dentro de un mes desde recolectarlos; (b) si los datos personales van a ser usados para comunicación con el sujeto de datos, a más tardar en el momento de la primera comunicación a ese sujeto de datos; o (c) si se prevé una divulgación a otro destinatario, a más tardar cuando los datos personales son divulgados por primera vez.
  • a solicitud del Sujeto de Datos; y
  • dentro de un (1) mes después de cualquier cambio de nuestras prácticas de datos personales, cambio del controlador de Datos Personales o después de cambios significativos en nuestras declaraciones de privacidad.

6.3 El derecho a acceder a la información.

6.3.1 El Sujeto de Datos debe ser proporcionado solo con aquellos registros de datos personales especificados en la solicitud. Si el Sujeto de Datos solicita acceso a todos los datos personales concernientes a él o ella, el empleado debe buscar consejo del Gerente de Privacidad primero, para asegurarse de que todos los datos personales del Sujeto de Datos sean mapeados y proporcionados.

6.3.2 Un Sujeto de Datos tiene el derecho a:

  • aprender si procesamos los Datos Personales del Sujeto de Datos;
  • obtener divulgación respecto a aspectos del procesamiento, incluyendo información detallada y específica del caso sobre propósitos, categorías de Datos Personales, destinatarios/categorías de destinatarios, períodos de retención, información sobre los derechos de uno, detalles de las salvaguardas relevantes donde los datos personales son transferidos fuera del EEE, y cualquier fuente de terceros de los datos personales; y
  • obtener una copia de los Datos Personales siendo procesados a solicitud.

6.4 El derecho a verificar la información del Sujeto de Datos y buscar su rectificación. La información que recolectamos puede ser/volverse inexacta o desactualizada (ej., errores en nacionalidad, fecha de nacimiento, información sobre deudas, actividades económicas). Si revelamos que los Datos Personales son inexactos o el Sujeto de Datos nos solicita hacerlo, debemos asegurar que corregimos todos los errores y actualizamos la información relevante.

6.5 El derecho a restringir el procesamiento.

6.5.1 La restricción del procesamiento permite a los Sujetos de Datos detener temporalmente el uso de su información para prevenir el posible daño causado por tal uso.

6.5.2 Este derecho se aplica cuando el Sujeto de Datos:

  • contesta la exactitud de los Datos Personales;
  • cree que procesamos los Datos Personales ilegalmente; y objeta contra el procesamiento y quiere que no procesemos Datos Personales mientras estamos considerando la solicitud.

6.5.3 En el caso de recibir la solicitud de restricción, no debemos procesar Datos Personales en cuestión para ningún otro propósito que almacenarlos o para propósitos de cumplimiento legal hasta que las circunstancias de restricción cesen de existir.

6.6 El derecho a retirar el consentimiento.

Para las actividades que requieren consentimiento, el Sujeto de Datos puede revocar su consentimiento en cualquier momento. Si el Sujeto de Datos revoca el consentimiento, debemos registrar los cambios y no debemos procesar los Datos Personales para propósitos basados en consentimiento. La retirada del consentimiento no afecta la legalidad del procesamiento hecho antes de la retirada.

6.7 El derecho a objetar contra el procesamiento.

6.7.1 Si procesamos la información en nuestros intereses legítimos, ej., para correos electrónicos de marketing directo o para nuestros propósitos de investigación de marketing, el Sujeto de Datos puede objetar contra el procesamiento.

6.7.2 En el caso de recibir la solicitud de objeción, debemos considerar la solicitud del Sujeto de Datos y, donde no tengamos intereses convincentes, detener el procesamiento para los propósitos especificados. Si los datos personales van a ser procesados para otros propósitos, el Gerente de Privacidad debe asegurarse de que la base de datos tenga un registro de que los datos no pueden ser procesados posteriormente para las actividades objetadas.

6.7.3 La solicitud de objeción puede ser rechazada solo si los datos personales en cuestión son usados para investigación científica/histórica o propósitos estadísticos y fueron apropiadamente protegidos, es decir, por técnicas de anonimización o pseudonimización.

6.8 Derecho al borrado/a ser olvidado.

6.8.1 Los Sujetos de Datos tienen el derecho a solicitarnos que borremos sus Datos Personales si una de las siguientes condiciones se cumple:

  • Los Datos Personales ya no son necesarios para los propósitos de recolección. Por ejemplo, un usuario ha proporcionado datos personales para una actividad de una sola vez, como validación de datos o participación en un concurso, y el propósito ya está cumplido;
  • el Sujeto de Datos revoca su consentimiento u objeta al procesamiento (cuando sea aplicable) y no hay otra base legal para el procesamiento; o
  • procesamos los Datos Personales ilegalmente o su borrado es requerido por la legislación aplicable de la Unión Europea o uno de los países Miembros de la Unión Europea.

6.8.2 Condiciones, bajo las cuales tenemos el derecho a rechazar el borrado:

  • Los Datos Personales son procesados para investigación científica/histórica o propósitos estadísticos y están apropiadamente protegidos, es decir, pseudonimizados o anonimizados;
  • Los Datos Personales son aún necesarios para el cumplimiento legal (ej., cumplimiento de leyes financieras o laborales).

6.8.3 Solo aquellos registros de datos personales deben ser eliminados que fueron especificados en la solicitud. Si el Sujeto de Datos solicita la eliminación de todos los datos personales concernientes a él o ella, el empleado debe buscar consejo del Gerente de Privacidad primero, para asegurarse de que todos los datos sobre el Sujeto de Datos sean mapeados y puedan ser eliminados.

6.8.4 Si el Usuario aún tiene una cuenta con nosotros y solicita el borrado de información necesaria para mantener la cuenta, debemos informar al Usuario que el borrado afectará la experiencia del usuario o puede llevar al cierre de la cuenta.

6.9 Portabilidad de datos.

6.9.1 Los Sujetos de Datos pueden pedirnos transferir todos los Datos Personales y/o su parte en un formato legible por máquina a un tercero. Este derecho se aplica en dos casos:

  • los datos personales fueron recolectados para el propósito de provisión de nuestros servicios (ejecución del contrato); o
  • recolectados basados en consentimiento.

6.9.2 Para determinar si una de las condiciones de p.6.9.1 se cumple, el empleado debe buscar consejo del Gerente de Privacidad y verificar la base legal aplicable en los Registros de actividades de procesamiento. Si la respuesta es negativa, la solicitud puede ser rechazada por BetterPic, y el Gerente de Privacidad debe decidir si cumplir con la solicitud de manera voluntaria.

6.9.3 Para cumplir con la solicitud, el empleado responsable debe consolidar los Datos Personales solicitados y enviar los datos en el formato con el que usualmente trabajamos a la organización solicitada. El Sujeto de Datos debe proporcionar los detalles de contacto necesarios de la organización.

Nuevas Actividades de Procesamiento de Datos

7.1 Notificación al Gerente de Privacidad

7.1.1 Antes de introducir cualquier nueva actividad que involucre el procesamiento de datos personales, un empleado responsable de su implementación debe informar al Gerente de Privacidad.

7.1.2 Al recibir información sobre una nueva actividad, el Gerente de Privacidad debe:

  • determinar si la evaluación de impacto de procesamiento de datos (DPIA) y/o la consulta con la Autoridad Supervisora es necesaria. Si la respuesta es positiva, el Gerente de Privacidad debe asegurarse de que la DPIA sea conducida y/o la Autoridad Supervisora sea consultada de acuerdo con los requisitos de esta Sección y las Leyes de Protección de Datos;
  • determinar la base legal para el procesamiento y, cuando sea necesario, tomar acción adicional para su fijación;
  • asegurarse de que la actividad de procesamiento se haga de acuerdo con esta Política, otras políticas de BetterPic, así como las Leyes de Protección de Datos;
  • agregar la actividad de procesamiento a los Registros de actividades de procesamiento;
  • enmendar las declaraciones de información de privacidad y, cuando sea necesario, informar al Sujeto de Datos concerniente en consecuencia.

7.2 Evaluación de Impacto de Procesamiento de Datos

7.2.1 Para asegurarnos de que nuestras actividades de procesamiento actuales o prospectivas no violen/no violarán los derechos de los Sujetos de Datos, BetterPic debe, cuando sea requerido por las Leyes de Protección de Datos, conducir la Evaluación de Impacto de Procesamiento de Datos (DPIA), una evaluación basada en riesgo del procesamiento y búsqueda de las medidas para mitigar los riesgos. El Gerente de Privacidad debe asegurarse de que la DPIA sea conducida de acuerdo con esta Sección.

7.2.2 El Gerente de Privacidad, cuando sea necesario, involucrando a los empleados competentes y/o asesores externos, debe conducir una DPIA si al menos una de las siguientes condiciones se cumple:

  • el procesamiento involucra el uso de nuevas tecnologías, como la Inteligencia Artificial, uso de dispositivos conectados y autónomos, etc. que crea ciertos efectos legales, económicos o similares al Sujeto de Datos;
  • evaluamos y examinamos sistemáticamente aspectos personales de los Sujetos de Datos basados en perfilado automatizado, asignando el puntaje/calificación personal, y creamos efectos legales o similares para el Sujeto de Datos por esta actividad;
  • procesamos a gran escala datos sensibles, que incluye Datos Personales relacionados con condenas criminales y ofensas, los datos sobre sujetos de datos vulnerables, los datos personales que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o membresía sindical, y el procesamiento de datos genéticos, datos biométricos para el propósito de identificar únicamente a una persona natural, datos concernientes a salud o datos concernientes a la vida sexual o orientación sexual de una persona natural;
  • recolectamos o procesamos Datos Personales de un área públicamente accesible o fuentes públicas a gran escala, o combinamos o emparejamos dos conjuntos de datos diferentes; y
  • la Autoridad Supervisora en su lista pública requiere conducir una DPIA para cierto tipo de actividad en la que estamos involucrados. La lista de actividades de procesamiento que requieren conducir DPIA se puede encontrar en el sitio web de cada Autoridad Supervisora.

7.2.3 La evaluación debe contener al menos los siguientes detalles:

  • una descripción sistemática de las operaciones de procesamiento y los propósitos del procesamiento, incluyendo, cuando sea aplicable, el interés legítimo perseguido por nosotros. La descripción debe incluir las categorías de datos y sujetos de datos previstos concernientes, la escala de actividades de procesamiento, como su frecuencia, volumen, número previsto de registros, etc.; destinatarios de los datos, períodos de retención y, cuando sea aplicable, transferencias internacionales;
  • una evaluación de la necesidad y proporcionalidad de las operaciones de procesamiento en relación a los propósitos. La DPIA debe explicar si la actividad es necesaria para el propósito y si el propósito puede ser logrado por métodos menos intrusivos;
  • una evaluación de los riesgos a los derechos y libertades de los sujetos de datos, incluyendo los derechos de los Sujetos de Datos respecto a sus Datos Personales.
  • Los ejemplos de riesgos son el procesamiento que podría llevar a daño físico, material o no material, en particular: donde el procesamiento puede dar lugar a discriminación, robo de identidad o fraude, pérdida financiera, daño a la reputación, pérdida de confidencialidad de datos personales protegidos por secreto profesional, reversión no autorizada de pseudonimización, o cualquier otra desventaja económica o social significativa; donde los sujetos de datos podrían ser privados de sus derechos y libertades o prevenidos de ejercer control sobre sus datos personales; donde se procesan datos personales que revelan origen racial o étnico, opiniones políticas, religión o creencias filosóficas, membresía sindical, y el procesamiento de datos genéticos, datos concernientes a salud o datos concernientes a vida sexual o condenas criminales y ofensas o medidas de seguridad relacionadas; donde se evalúan aspectos personales, en particular analizando o prediciendo aspectos concernientes al desempeño en el trabajo, situación económica, salud, preferencias personales o intereses, confiabilidad o comportamiento, ubicación o movimientos, para crear o usar perfiles personales; donde se procesan datos personales de personas naturales vulnerables, en particular de niños; o donde el procesamiento involucra una gran cantidad de datos personales y afecta a un gran número de sujetos de datos; y
  • las medidas para abordar los riesgos, incluyendo salvaguardas, medidas de seguridad, y mecanismos para asegurar la protección de datos personales y demostrar cumplimiento con este Reglamento.

7.2.4 Donde la DPIA no proporcionó cómo abordar efectivamente los riesgos, el Gerente de Privacidad debe iniciar la consulta con la Autoridad Supervisora competente para recibir ayuda con la búsqueda de la solución. En este caso, BetterPic no debe conducir la actividad antes de que la Autoridad Supervisora apruebe la actividad de procesamiento en cuestión.

Retención de Datos

8.1 Regla General.

8.1.1 El Gerente de Privacidad debe asegurarse de que BetterPic defina claramente los períodos de almacenamiento de datos y/o criterios para determinar los períodos de almacenamiento para cada actividad de procesamiento que tenga. Los períodos para cada actividad de procesamiento deben ser especificados en los Registros de actividades de procesamiento.

8.1.2 Cada departamento dentro de BetterPic debe cumplir con los períodos de almacenamiento de datos de acuerdo con el cronograma de retención proporcionado en los Registros de actividades de procesamiento. El Gerente de Privacidad debe supervisar cada departamento y asegurarse de que cumplan con este requisito.

8.1.3 Después de que el período de almacenamiento termine, los datos personales deben ser removidos de la disposición del departamento responsable del procesamiento o, en casos donde los datos no son necesarios para ningún otro propósito, destruidos completamente, incluyendo de copias de respaldo y otros medios.

8.1.4 Siempre que el período de almacenamiento para una actividad de procesamiento haya terminado, pero los datos personales procesados sean necesarios para otros propósitos de procesamiento, el gerente del departamento debe asegurarse de que los datos personales no sean usados para la actividad de procesamiento cesada, y los empleados responsables no tengan acceso a ellos a menos que sea requerido para cualquier otra actividad.

8.2 Exenciones. Las reglas especificadas en la Subsección 8.1 tienen las siguientes excepciones:

8.2.1 Necesidades comerciales. Los períodos de retención de datos pueden ser prolongados, pero no más de 60 días, en el caso de que la eliminación de datos interrumpa o dañe nuestro negocio en curso. El Gerente de Privacidad debe aprobar cualquier prolongación imprevista;

8.2.2 Imposibilidad técnica. Alguna información es técnicamente imposible o desproporcionalmente difícil de eliminar. Por ejemplo, la eliminación de la información puede llevar a una violación de la integridad del sistema, o es imposible eliminar la información de las copias de respaldo. En tal caso, la información puede ser almacenada posteriormente, sujeta a la aprobación por el Gerente de Privacidad y haciendo las respectivas enmiendas a los Registros de actividades de procesamiento; y

8.2.3 Anonimización. Los Datos Personales pueden ser procesados posteriormente para cualquier propósito (ej., marketing) si anonimizamos completamente estos datos después de que el período de retención expire. Esto significa que todos los identificadores personales y conexiones a ellos serán eliminados de los datos. Para considerar los Datos Personales anónimos, debe ser imposible reidentificar al Sujeto de Datos del conjunto de datos.

Seguridad

9.1 Cada departamento dentro de BetterPic tomará todas las medidas técnicas y organizacionales apropiadas que protejan contra acceso no autorizado, ilegal, y/o accidental, destrucción, modificación, bloqueo, copia, distribución, así como de otras acciones ilegales de personas no autorizadas respecto a los datos personales bajo su responsabilidad.

9.2 El empleado responsable de la supervisión después de la seguridad de datos personales dentro de BetterPic será el Director de Recursos Humanos. Esta persona implementa las pautas y otras especificaciones sobre protección de datos y seguridad de información en su área de responsabilidad. Él/ella asesora a la gerencia de BetterPic sobre la planificación e implementación de seguridad de información en BetterPic, y debe estar involucrado en todos los proyectos en una etapa temprana para tomar en cuenta aspectos relacionados con la seguridad desde la fase de planificación.

Procedimiento de Respuesta a Violación de Datos

10.1 Equipo de Respuesta.

10.1.1 En caso de revelar la Violación de Datos, el CEO de BetterPic formará urgentemente el Equipo de Respuesta a Violación de Datos (el "Equipo de Respuesta"), que manejará la Violación de Datos, notificará a las personas apropiadas, y mitigará sus riesgos.

10.1.2 El Equipo de Respuesta debe ser un grupo multidisciplinario encabezado por el CEO de BetterPic y compuesto por el Gerente de Privacidad, especialista en leyes de privacidad (ya sea interno o externo), y especialistas en seguridad de información conocedores y hábiles dentro de BetterPic o profesionales de outsourcing, si es necesario. El equipo debe asegurar que todos los empleados y contratistas/procesadores contratados se adhieran a esta Política y proporcionen una respuesta inmediata, efectiva y hábil a cualquier Violación de Datos sospechosa/alegada o real que afecte a BetterPic.

10.1.3 Los miembros potenciales del Equipo de Respuesta deben estar preparados para responder a una Violación de Datos. El Equipo de Respuesta realizará todas las responsabilidades de BetterPic mencionadas en esta Política. Los deberes del Equipo de Respuesta son:

  • comunicar la Violación de Datos a la(s) Autoridad(es) Supervisora(s) competente(s);
  • en caso de alto riesgo a los derechos y libertades de los Sujetos de Datos, comunicar la Violación de Datos al Sujeto de Datos;
  • si BetterPic obtiene datos de cualquier tercero como procesador, y una Violación de Datos involucra datos obtenidos, informar a los terceros sobre la Violación de Datos;
  • comunicar a los contratistas de BetterPic o cualquier otro tercero que procese los Datos Personales involucrados en la Violación de Datos; y
  • tomar todas las medidas técnicas y organizacionales apropiadas para cesar la Violación de Datos y mitigar sus consecuencias;
  • registrar el hecho de la Violación de Datos en los Registros de actividades de procesamiento y archivar un reporte interno de violación de datos que describa el evento.

10.1.4 El Equipo de Respuesta realizará sus deberes hasta que todas las medidas necesarias requeridas por esta Política sean tomadas.

10.2 Notificación a la Autoridad Supervisora.

10.2.1 BetterPic informará a la Autoridad Supervisora Competente sobre la Violación de Datos sin demora indebida y, donde sea posible, no más tarde de 72 horas después de haber tomado conocimiento de la Violación de Datos.

10.2.2 La Autoridad Supervisora Competente será determinada por la residencia de los Sujetos de Datos, cuya información fue involucrada en la Violación de Datos. Si la Violación de Datos concierne a los Datos Personales de Sujetos de Datos de más de un país, BetterPic informará a todas las Autoridades Supervisoras Competentes.

10.2.3 Para dirigir la notificación a la autoridad, el Equipo de Respuesta debe usar el Anexo 1 de esta Política. El Anexo 1 contiene toda la información de contacto necesaria de las autoridades supervisoras de la UE. Si la Violación de Datos concierne a Sujetos de Datos de otros países que no sean de la UE, el Equipo de Respuesta buscará consejo de un especialista en privacidad competente.

10.2.4 La notificación a la Autoridad Supervisora Competente contendrá, al menos, la siguiente información:

  • la naturaleza de la Violación de Datos incluyendo donde sea posible, las categorías y un número aproximado de Sujetos de Datos y registros de Datos Personales concernientes;
  • el nombre y detalles de contacto del Equipo de Respuesta, Gerente de Privacidad o, si no es aplicable, del CEO;
  • las consecuencias probables de la Violación de Datos. Explicar el punto de vista de BetterPic sobre los propósitos y posibles riesgos adicionales de la Violación de Datos. Ej., los Datos Personales pueden ser robados para la venta posterior, actividades fraudulentas o chantaje a los Sujetos de Datos concernientes; y
  • las medidas tomadas o propuestas a ser tomadas por BetterPic para abordar la Violación de Datos, incluyendo, cuando sea apropiado, medidas para mitigar sus posibles efectos adversos.

10.2.5 Para archivar una notificación, el Equipo de Respuesta debe usar el Formulario de Notificación de Violación de Datos de BetterPic a la Autoridad Supervisora.

10.3 Notificaciones a los Sujetos de Datos.

10.3.1 Cuando la Violación de Datos es probable que resulte en un alto riesgo a los derechos y libertades de los Sujetos de Datos (ej., robo de fondos, activos, información propietaria), también debemos comunicar la Violación de Datos a los Sujetos de Datos concernientes sin demora indebida. El Gerente de Privacidad debe determinar si hay un alto riesgo basado en los factores de riesgo especificados en la Subsección 7.2.3 de esta Política.

10.3.2 La notificación contendrá la siguiente información:

  • descripción de la Violación de Datos – qué pasó y qué llevó a la Violación de Datos, como una violación de seguridad, negligencia del empleado, error en el trabajo del sistema. Si el Equipo de Respuesta decidió no divulgar las causas de la Violación de Datos, entonces esta cláusula no debe ser mencionada;
  • las medidas tomadas por BetterPic respecto a la Violación de Datos, incluyendo medidas de seguridad, investigaciones internas, y aviso a la autoridad supervisora;
  • recomendaciones para los Sujetos de Datos concernientes sobre cómo mitigar riesgos y posibles consecuencias, como pautas sobre cómo restaurar el acceso a una cuenta, medidas preventivas (cambio de contraseña); y
  • la información de contacto del Equipo de Respuesta o uno de sus miembros.

10.3.3 La notificación a los Sujetos de Datos debe ser llevada a cabo por carta de correo electrónico o, donde sea imposible usar el correo electrónico, por otros medios disponibles de comunicación.

10.3.4 Exenciones. No tenemos que enviar la notificación a los Sujetos de Datos si cualquiera de las siguientes condiciones se cumple:

  • BetterPic ha implementado medidas de protección técnicas y organizacionales apropiadas, y esas medidas fueron aplicadas a los Datos Personales afectados por la Violación de Datos, en particular, aquellas que dejan los Datos Personales inaccesibles a cualquier persona que no esté autorizada a acceder a ellos, como encriptación;
  • BetterPic ha tomado medidas subsecuentes que aseguran que el alto riesgo a los derechos y libertades de los Sujetos de Datos referido en esta sección ya no es probable que se materialice; o
  • involucraría un esfuerzo desproporcionado comunicarse con cada Sujeto de Datos concerniente. En tal caso, habrá en su lugar una comunicación pública o medida similar por la cual los Sujetos de Datos sean informados de manera igualmente efectiva.

En el caso de que apliquemos una de las exenciones, debemos documentar las circunstancias, razón para no informar, y acciones tomadas para cumplir con una de las exenciones.

10.4 Comunicación con Terceros.

10.4.1 En el caso de que una Violación de Datos concierna a los Datos Personales compartidos con nosotros o procesados por nosotros en nombre de un Tercero, también debemos notificar al Tercero sobre ello dentro de 24 horas. Si procesamos los Datos Personales como Procesador de Datos, la notificación del Tercero no nos exime del deber de mitigar las consecuencias de la Violación de Datos, pero no debemos informar a la Autoridad Supervisora Competente y a los Sujetos de Datos.

10.4.2 En caso de recibir la notificación sobre la Violación de Datos del Procesador de Datos u otros Terceros que tienen acceso a los Datos Personales, el CEO de BetterPic, de acuerdo con esta Sección:

  • formará el Equipo de Respuesta;
  • solicitará al Tercero enviar la información mencionada en las Subsecciones 10.2-3 de esta Política;
  • cuando sea necesario, informar a la(s) Autoridad(es) Supervisora(s) Competente(s) y a los Sujetos de Datos; y
  • realizar otros pasos del procedimiento de respuesta a Violación de Datos.