Política de privacidad

1. INTRODUCCIÓN

worX Software Limited («worX») se compromete a preservar la confidencialidad e integridad de toda la información que posee y procesa. También nos comprometemos a desarrollar nuestra actividad comercial de conformidad con los requisitos de la legislación aplicable en materia de protección de datos, es decir, la Ley de Protección de Datos del Reino Unido de 1998 y el Reglamento General de Protección de Datos («RGPD») (en conjunto, la «Legislación»).

Reconocemos la importancia de los datos personales y de respetar los derechos de privacidad de las personas. La presente Política de protección y seguridad de datos («Política») establece los principios que aplicamos al tratamiento de datos personales y al uso de información confidencial, con el fin de proteger no solo uno de nuestros activos más valiosos, sino también los que pertenecen a nuestros clientes y empleados. En su mayor parte, tratamos esta información en una de dos capacidades: (i) como responsable del tratamiento de datos para nuestras propias operaciones comerciales internas, tales como recursos humanos, administración, marketing, ventas, etc., o (ii) como encargado del tratamiento de datos cuando llevamos a cabo nuestras operaciones de software como servicio (o «SaaS») para nuestros clientes.

La legislación impone obligaciones al responsable del tratamiento y a los encargados del tratamiento, por lo que es responsabilidad de todos los empleados de worX aplicar las disposiciones de la presente Política en relación con todo tratamiento de datos personales y manejo de información confidencial, independientemente de que worX actúe como responsable del tratamiento, como encargado del tratamiento (o ambos). worX proporciona a sus empleados instrucciones al respecto.

2. DEFINICIONES

En la presente Política se utilizan las siguientes palabras y frases clave:

«Información confidencial»

significa toda la información (independientemente de cómo se haya registrado, conservado o divulgado) revelada a worX o a sus representantes, independientemente de que esté marcada como «confidencial», incluyendo, entre otros:

(a) Datos personales, cualquier información designada como confidencial o comercialmente sensible o que, por su naturaleza, sea claramente confidencial,
(b) los negocios, asuntos, clientes, proveedores, planes, desarrollos, intenciones u oportunidades de mercado de la parte reveladora o del grupo de la parte reveladora;
(c) Las operaciones, procesos, información sobre productos, conocimientos técnicos, diseños, secretos comerciales o software de la parte reveladora o del grupo de la parte reveladora; y
(d) Cualquier información o análisis derivado de la Información Confidencial;
pero sin incluir ninguna información que:
(a) Sea o pase a ser de dominio público por motivos distintos al incumplimiento de la presente Política por parte de worX;
(b) estuviera disponible para worX de forma no confidencial antes de su divulgación por parte de la parte divulgadora;
(c) sea recibida por worX de un tercero que la haya adquirido o desarrollado legalmente y que no tenga ninguna obligación de confidencialidad en relación con su divulgación;
(d) las partes acuerden por escrito que no es confidencial o que puede ser divulgada; o
(e) sea desarrollada de forma independiente por worX sin el uso de la Información Confidencial de la parte divulgadora.

«Datos»

significa información que se procesa electrónicamente (por ejemplo, mediante ordenador); se registra manualmente (por ejemplo, en papel) con la intención de procesarla electrónicamente; o se registra como parte de cualquier sistema de archivo estructurado por referencia a personas o criterios relacionados con ellas, de tal manera que se pueda acceder fácilmente a información específica relacionada con una persona en particular;

«Responsable del tratamiento»

significa la organización que determina los fines para los que se tratan los datos personales y la forma en que se tratan.

«Procesador de datos»

significa la organización que procesa los Datos Personales en nombre del Responsable del Tratamiento;

«Interesado»

significa una persona física viva e identificable sobre la que se tratan datos personales;

«Datos personales»

significa datos relacionados con una persona viva que puede identificarse a partir de dichos datos o de dichos datos y otra información que esté en nuestro poder o que pueda llegar a estarlo en calidad de responsables del tratamiento o encargados del tratamiento, según sea el caso. Los datos personales incluyen opiniones y cualquier indicación de nuestras intenciones con respecto a una persona.

«Procesamiento»

incluye la obtención, registro, conservación, modificación, recuperación, consulta, uso, divulgación, bloqueo, borrado o destrucción de Datos Personales;

«Datos personales sensibles»

significa información sobre el interesado relacionada con (a) el origen racial o étnico, (b) opiniones políticas, (c) creencias religiosas u otras creencias de naturaleza similar, (d) afiliación sindical, (e) salud o condición física o mental, (f) vida sexual, (g) comisión o presunta comisión de cualquier delito, y (h) cualquier procedimiento por cualquier delito cometido o presuntamente cometido, la resolución de dicho procedimiento o la sentencia de cualquier tribunal en dicho procedimiento.

3. PRINCIPIOS DE PROTECCIÓN DE DATOS

worX se compromete a cumplir los principios de protección de datos establecidos en la legislación. En virtud de la Ley de Protección de Datos del Reino Unido, estos se establecen como ocho principios de protección de datos, en virtud de los cuales los datos personales deben:

1. ser tratados de manera justa y lícita;
2. obtenerse y tratarse únicamente para uno o varios fines específicos y legítimos;
3. ser adecuados, pertinentes y no excesivos en relación con la finalidad;
4. ser precisos y, cuando sea necesario, actualizados;
5. no se conservarán durante más tiempo del necesario para el fin previsto;
6. ser procesados de conformidad con los derechos de los interesados en virtud de la legislación;
7. deben conservarse de forma segura y deben adoptarse las medidas técnicas y organizativas adecuadas contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales;
8. no se transferirán a un país o territorio fuera del Espacio Económico Europeo, a menos que se disponga de una protección adecuada.

worX ha notificado a la Oficina del Comisionado de Información los tipos de información personal que procesa y los fines para los que lo hace.

A continuación se detallan más aspectos sobre cómo worX cumple con estos principios.

PRINCIPIO 1: TRATAMIENTO JUSTO Y LÍCITO

Tratamiento justo

La legislación exige que los datos personales se traten de forma leal. Esto significa que el responsable del tratamiento debe garantizar la transparencia del tratamiento, de modo que los interesados sepan quién trata sus datos personales y por qué. Se trata principalmente de una obligación del responsable del tratamiento, que determina qué se trata, y es mucho menos relevante para el encargado del tratamiento, que no determina qué se trata.

Esta obligación afecta a worX principalmente cuando actúa como responsable del tratamiento de datos en relación con el funcionamiento de nuestro propio negocio interno. Por ejemplo, las condiciones de empleo de todos los empleados contienen un aviso sobre protección de datos que incluye la siguiente información:

• la identidad del responsable del tratamiento (es decir, worX);
• los fines del tratamiento;
• cualquier otra información necesaria para que el Tratamiento sea justo (como los destinatarios de los Datos y sus fines, un recordatorio del derecho de acceso del Interesado (véase más abajo) y de rectificación, y si la información que solicitamos es obligatoria o voluntaria);

En el caso de las actividades de marketing de worX, por ejemplo, la publicidad de los productos y servicios de worX en nuestro sitio web, incluimos una descripción de los canales de comunicación que pretendemos utilizar. Si alguno de esos canales implica marketing por correo electrónico, SMS, fax o sistemas de llamadas automatizadas, obtendremos el consentimiento del interesado mediante una cláusula de aceptación (reversible) adecuada. Cuando obtenemos datos personales directamente del interesado (por ejemplo, como resultado de una llamada telefónica o de una captura en línea), le informamos en el momento en que obtenemos sus datos. Cuando obtenemos datos personales sobre un interesado de una fuente tercera (por ejemplo, un agente), le proporcionamos el aviso de protección de datos tan pronto como sea razonablemente posible después de haber comenzado a tratar sus datos (a menos que ello suponga un esfuerzo desproporcionado).

Por consiguiente, cuando actuamos como procesadores de datos para nuestros clientes SaaS, la obligación de emitir los avisos necesarios en materia de protección de datos recae en nuestros clientes.

Tratamiento lícito

Se trata principalmente de una obligación para los responsables del tratamiento de datos y, en su mayor parte, solo afecta a worX en el funcionamiento de nuestro propio negocio interno. worX solo tratará datos personales cuando esté justificado por alguna de las siguientes condiciones:

• el interesado ha dado su consentimiento para el tratamiento; o
• El tratamiento es necesario:
  • con el fin de celebrar o ejecutar un contrato con el interesado;
  • para cumplir con una obligación legal que se aplica a worX (distinta de una obligación contractual);
  • con el fin de proteger los intereses vitales del interesado (es decir, una situación de vida o muerte);
  • para los fines de los intereses legítimos perseguidos por el responsable del tratamiento o por el tercero al que se comunican los datos, salvo cuando el tratamiento resulte injustificado en un caso concreto por razón del perjuicio que pueda causar a los derechos y libertades o a los intereses legítimos del interesado.

Tratamiento de datos personales sensibles

Además, cuando worX procesa datos personales sensibles, debido a la naturaleza sensible y, en ocasiones, confidencial de esta categoría de datos personales, solo procesaremos datos personales sensibles cuando esté justificado por alguna de las siguientes condiciones adicionales:

• el interesado ha dado su consentimiento explícito al tratamiento; o
• El tratamiento es necesario para:
  • worX para cumplir con la legislación laboral;
  • la protección de los intereses vitales del interesado u otra persona, cuando el interesado no pueda dar su consentimiento o lo haya denegado injustificadamente, o cuando no sea razonable esperar que el responsable del tratamiento obtenga dicho consentimiento;
  • los fines de procedimientos legales o para obtener asesoramiento jurídico, o para establecer, ejercer o defender derechos legales;
  • con fines médicos y es realizada por un profesional sanitario o por alguien sujeto a un deber de confidencialidad equivalente;
  • supervisar la igualdad de oportunidades y se lleva a cabo con las garantías adecuadas para los derechos de los interesados.
  • la prevención o detección de cualquier acto ilícito, y debe llevarse a cabo necesariamente sin el consentimiento explícito del interesado, a fin de no perjudicar dichos fines;
  • con fines de investigación de interés público sustancial y no respalda medidas o decisiones con respecto a ningún interesado en particular y no causa, ni es probable que cause, daños o angustia sustanciales al interesado o a cualquier otra persona.

PRINCIPIO 2: RECOPILACIÓN Y TRATAMIENTO CON FINES ESPECÍFICOS Y LEGALES

La legislación exige que los responsables del tratamiento de datos personales solo puedan obtener dichos datos para uno o varios fines específicos y lícitos, y que no puedan ser tratados posteriormente de ninguna manera incompatible con dichos fines.
En consecuencia, los fines para los que worX tratará los datos personales en calidad de responsable del tratamiento se establecen a continuación:

• Administración del personal
• Publicidad, marketing y relaciones públicas
• Publicidad, marketing y relaciones públicas en nombre de los clientes.
• Cuentas y registros
• Servicios de consultoría y asesoramiento
• Administración de información y bases de datos.

worX no procesará Datos personales para ningún otro fin a menos que el Interesado dé su consentimiento. Cuando worX actúe como Procesador de datos para un cliente SaaS, la responsabilidad de obtener dicho consentimiento recaerá en el cliente SaaS correspondiente.

Proveedores de servicios de marketing digital

Periódicamente designamos agentes de marketing digital para que realicen actividades de marketing en nuestro nombre, lo que puede dar lugar al tratamiento conforme a la normativa de datos personales. La información sobre los encargados del tratamiento de datos que hemos designado se puede facilitar previa solicitud.

PRINCIPIO 3: ADECUADO, PERTINENTE Y NO EXCESIVO

La legislación exige que los datos personales sean adecuados, pertinentes y no excesivos en relación con la finalidad o finalidades para las que se tratan, y que se mantengan actualizados.

Para cumplir con el requisito de que los datos personales sean adecuados, pertinentes y no excesivos, worX garantiza que, cuando actúa como responsable del tratamiento de datos:

• identificamos los datos personales necesarios para un fin concreto y recopilamos la cantidad mínima necesaria para cumplir adecuadamente dicho fin;
• No conservamos datos personales «por si acaso» o porque pensemos que podrían ser útiles en el futuro, salvo cuando el interesado da su consentimiento, por ejemplo, cuando un posible empleado acepta que conservemos sus datos personales en caso de que surja una vacante adecuada.
• Mantenemos los datos actualizados; y
• No conservamos los datos durante demasiado tiempo.

PRINCIPIO 4: EXACTITUD Y ACTUALIDAD

Al introducir datos en nuestro sistema en nuestra calidad de responsable del tratamiento, worX toma medidas razonables para garantizar que los datos sean precisos y puede ponerse en contacto con los interesados para obtener aclaraciones si no estamos seguros de la exactitud de determinada información. worX no infringirá este principio, incluso si disponemos de datos inexactos, si:

• registramos con precisión esos datos cuando los recibimos del interesado o de un tercero;
• tomamos medidas razonables para garantizar la exactitud de esos Datos; y
• si el interesado nos ha notificado que los datos son inexactos, hemos tomado medidas para indicar este hecho.

worX toma las medidas razonables para mantener los datos actualizados en la medida necesaria.

PRINCIPIO 5: CONSERVAR SOLO DURANTE EL TIEMPO NECESARIO

La legislación exige que los datos personales tratados para cualquier fin no se conserven durante más tiempo del necesario para dicho fin.

worX revisa periódicamente los datos personales que conserva y, cuando procede, elimina de forma segura cualquier dato que ya no sea necesario en relación con la finalidad para la que se obtuvo originalmente. Eliminar de forma segura significa que cualquier material impreso se tritura adecuadamente o que se elimina del soporte electrónico cualquier registro relacionado con el sujeto, de manera que el material no sea normalmente recuperable.

Cuando worX actúa como procesador de datos y almacena en sus servidores datos en nombre de sus clientes que estos han introducido directamente en el sistema de worX, el cliente será responsable de mantener dichos datos y eliminar cualquier dato que ya no sea necesario. worX devolverá o destruirá todos los datos almacenados en nombre de un cliente de SaaS de acuerdo con los términos del contrato pertinente con dicho cliente.

PRINCIPIO 6: TRATAMIENTO DE CONFORMIDAD CON LOS DERECHOS DE LOS INTERESADOS

Los interesados tienen ciertos derechos en virtud de la legislación para acceder a sus datos y evitar su tratamiento en determinadas circunstancias. La mayoría de las solicitudes procederán de nuestros empleados cuando worX sea el responsable del tratamiento, aunque worX también tendrá que responder a las solicitudes de acceso de los clientes de nuestros clientes SaaS.

Derecho de acceso del interesado

Si worX recibe una solicitud por escrito de un interesado para acceder a sus datos personales, responderemos en un plazo de 40 días a partir de la recepción de la solicitud y proporcionaremos una descripción de:

• los datos personales relativos a ese interesado;
• los fines para los que se tratan los Datos;
• los destinatarios de los Datos;
• la información que constituye los Datos Personales; y
• la fuente de esos datos (si está disponible).

worX se reserva el derecho de cobrar al interesado una tarifa por el suministro de esta información, tal y como se define en la legislación. Cuando los datos se conservan en nombre de un cliente SaaS, worX notificará a dicho cliente dicha solicitud de acceso y le dará la opción de gestionar la solicitud por sí mismo.

Derecho a impedir el tratamiento que pueda causar daños o angustia

Los interesados tienen derecho a solicitarnos que no procesemos sus datos personales si el procesamiento de los datos de una manera determinada o para un fin concreto está causando, o puede causar, daños o angustia al interesado o a otra persona, y dichos daños o angustia son, o serían, injustificados.

Si recibimos una solicitud por escrito de cualquier persona que ejerza este derecho, responderemos en un plazo de 21 días a partir de la recepción de la solicitud y confirmaremos que hemos cumplido o tenemos la intención de cumplir con la solicitud, o bien expondremos los motivos por los que no la hemos cumplido. Cuando esto ocurra en el caso de que worX actúe como procesador de datos para un cliente de SaaS, la solicitud deberá remitirse al cliente de SaaS correspondiente y se informará al interesado de si worX tiene la autoridad para dejar de procesar los datos personales.

Derecho a impedir el tratamiento con fines de marketing directo

Si recibimos una solicitud de un interesado para que dejemos de tratar sus datos personales con fines de marketing directo, tomaremos las medidas oportunas para garantizar que los datos de la persona se eliminen de nuestra base de datos de marketing y que ya no nos pongamos en contacto con ella con fines de marketing.

Derecho a oponerse a la toma de decisiones automatizada

Los interesados tienen derecho a oponerse a que se tomen decisiones automatizadas sobre ellos en relación con asuntos importantes que les afecten de manera significativa (como la evaluación del rendimiento en el trabajo, la solvencia crediticia, la fiabilidad o la conducta).

Si recibimos una solicitud por escrito de cualquier persona que ejerza este derecho, responderemos en un plazo de 21 días a partir de la recepción de la solicitud e informaremos a la persona de las medidas que tenemos intención de tomar para cumplir con la solicitud. Cuando esto afecte a los servicios prestados a un cliente de SaaS, worX lo notificará al cliente de SaaS correspondiente antes de responder al interesado.

PRINCIPIO 7: MEDIDAS DE SEGURIDAD, TÉCNICAS Y ORGANIZATIVAS

La legislación exige a worX que adopte las medidas técnicas y organizativas adecuadas para proteger los datos personales contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción o el daño.

worX ha implementado una serie de medidas y procedimientos técnicos y organizativos que aplicamos no solo a los datos personales, sino también a toda la información que poseemos, incluida la información confidencial y cualquier otro tipo de información que se utilice en el ámbito empresarial.

Los detalles de nuestras medidas técnicas y organizativas están disponibles previa solicitud.

Cuando worX utilice a terceros para procesar datos personales en nuestro nombre, estos actuarán como nuestros procesadores de datos y nos aseguraremos de que:

• establecer un contrato por escrito con cada uno de nuestros encargados del tratamiento de datos, en virtud del cual se comprometen a actuar únicamente siguiendo nuestras instrucciones;
• tenemos cláusulas con nuestros procesadores de datos que hacen referencia al cumplimiento de los requisitos de protección de datos en su contrato; y
• asegurarse de que el encargado del tratamiento de datos se compromete a cumplir obligaciones equivalentes a las establecidas en la presente Política.

PRINCIPIO 8: TRANSFERENCIAS AL EXTRANJERO

La legislación exige que los datos personales no se transfieran a un país o territorio fuera del Espacio Económico Europeo (es decir, los Estados miembros de la UE más Islandia, Liechtenstein y Noruega), a menos que dicho país o territorio garantice un nivel adecuado de protección de los derechos y libertades de los interesados en relación con el tratamiento de datos personales.

worX garantizará que cualquier dato personal transferido fuera del EEE esté debidamente protegido y que se respeten las leyes locales en materia de privacidad.

4. INFORMACIÓN CONFIDENCIAL

worX mantendrá la confidencialidad de la Información Confidencial (que, por supuesto, va más allá de los Datos Personales) que reciba y, salvo con el consentimiento previo por escrito de la parte reveladora, hará lo siguiente:

• no utilizar ni explotar la Información Confidencial de ninguna manera, salvo para los fines para los que ha sido revelada;
• no revelar ni poner a disposición de terceros la Información Confidencial, ya sea en su totalidad o en parte, salvo en los casos expresamente autorizados por la parte reveladora;
• no copiar, confirmar por escrito ni registrar de ninguna otra forma la Información Confidencial, salvo en la medida en que sea estrictamente necesario para los fines para los que se haya revelado, y cualquier copia, confirmación o registro de este tipo seguirá siendo propiedad de la parte reveladora; y
• Aplicar las medidas técnicas y organizativas que figuran en el anexo de la presente Política a la información confidencial.

worX solo podrá divulgar la Información Confidencial a aquellos de nuestros empleados que necesiten conocerla para los fines para los que ha sido divulgada, siempre que:

• informamos a dichos empleados de la naturaleza confidencial de la Información Confidencial antes de su divulgación;
• En todo momento, somos responsables del cumplimiento por parte de dichos empleados de las obligaciones establecidas en la presente Política y de las medidas técnicas y organizativas.
• los empleados reciben la formación necesaria en virtud de las medidas técnicas y organizativas antes de dicha divulgación.

worX podrá divulgar Información Confidencial en la medida en que dicha Información Confidencial deba ser divulgada por ley, por cualquier autoridad gubernamental u otra autoridad reguladora, o por un tribunal u otra autoridad de jurisdicción competente, siempre que, en la medida en que se nos permita legalmente hacerlo, notifiquemos a la otra parte dicha divulgación con la mayor antelación posible.

worX podrá, siempre que tengamos motivos razonables para creer que la parte reveladora está involucrada en actividades que puedan constituir un delito penal en virtud de la Ley contra el soborno de 2010, revelar información confidencial a la Oficina de Fraudes Graves sin notificar previamente a la parte reveladora dicha revelación.

A petición de la parte reveladora, worX deberá:

• destruir o, a discreción de worX, devolver a la parte reveladora todos los documentos y materiales (y cualquier copia) que contengan, reflejen, incorporen o se basen en la Información Confidencial de la parte reveladora;
• borrar toda la Información Confidencial de la parte reveladora de sus sistemas informáticos o que esté almacenada en formato electrónico (en la medida de lo posible); y certificar por escrito a la parte reveladora que ha cumplido con los requisitos de esta cláusula, siempre que worX pueda conservar los documentos y materiales que contengan, reflejen, incorporen o se basen en la Información Confidencial en la medida en que lo exija la ley o cualquier autoridad gubernamental o reguladora aplicable y en la medida en que sea razonable para permitir que worX conserve pruebas de que ha cumplido con sus obligaciones en virtud de cualquier acuerdo con la parte reveladora.

Fecha de emisión: junio de 2020