Procesamiento de los datos (personales) por parte de la entidad encargada del procedimiento de candidatura de empleo en línea
Plan International España trata datos personales en diversos contextos, incluso aquellos relacionados con el apadrinamiento de niños; marketing; programación y recursos humanos, administración de personal y procesos de selección. Esta Política de protección de datos (en adelante la “Política”) establece los estándares mínimos relacionados con la recogida y el uso de Datos Personales por parte de Plan International.
Alcance
Esta Política se aplica a todo el personal de Plan International España y el personal externo; voluntarios de Plan International; y proveedores de servicios externos que traten datos personales para Plan International; y candidatos/as que envían sus candidaturas para cualquier posición laboral vacante dentro de Plan International.
Propósito
El propósito de esta Política es garantizar que:
Plan International España respete los derechos de todas las personas (incluidos, entre otros, niños/as y personas adultas con las que Plan International trabaja, socios, padrinos, empleados/as, candidatos/as y contratistas externos) en relación con sus Datos Personales; cualquier dato personal al que se aplique la Política sea recogido, usado y conservado de manera apropiada; solo las personas autorizadas accedan a los datos personales; y se brinde atención especial a la recogida y uso de los datos personales relacionados con menores.
Términos y definiciones.
Legislación Aplicable: son las leyes, normas, regulaciones, declaraciones, decretos, directivas, estatutos u otros dictados, órdenes, mandatos o resoluciones emitidas o promulgadas por cualquier entidad gubernamental (incluidos gobiernos internos o extranjeros, supranacionales, nacionales, estatales, de condado, municipales, locales, territoriales u otros), o lineamientos o principios aplicables emitidos por cualquier entidad gubernamental.
Responsable del Tratamiento: es la persona/entidad que determina los fines y los medios del tratamiento de datos personales.
Encargado del Tratamiento: es la persona/entidad que trata los datos personales en representación del responsable del tratamiento.
Datos Personales: es toda información sobre una persona física identificada o identificable, incluidas las imágenes, direcciones IP y de ubicación que podrían usarse de manera independiente o junto con otros datos para identificar a una persona específica. Los datos personales se pueden recopilar tanto de forma física como electrónica, como a través del sitio web de Plan International o a través de solicitudes por correo directo, encuestas o proyectos de campo. Ciertos tipos de datos personales son considerados datos personales sensibles, tal como se define en este documento.
Plan International/Entidad de Plan International: son las entidades mundiales de Plan International, Inc., incluidas sus subsidiarias (incluso la Oficina Central internacional) y las oficinas nacionales, regionales y de enlace (cada una, “Entidad de Plan International” y, de manera colectiva: “Plan International”).
Personal de Plan International: son todas las personas con contrato laboral con Plan International, y los asesores, y personal externo.
Tratamiento: es la operación o el conjunto de operaciones realizadas sobre los datos personales, ya sea automatizado o no, como recoger, registrar, organizar, estructurar, usar, acceder, transmitir, almacenar, adaptar o alterar, recuperar, consultar, limitar, suprimir o destruir esos datos personales.
Limitación del tratamiento: es el límite marcado de los datos personales almacenados con el fin de limitar su tratamiento a posteriori.
Incidente de seguridad: es cualquier incidente que involucre o pueda involucrar el acceso, transmisión, alteración, conservación, o pérdida de datos personales de forma incidental o ilícita transmitidos, por usuarios no autorizados.
Datos personales sensibles: son los datos personales que entran en una categoría que, en general, es considerada de naturaleza confidencial o sensible, ya sea porque existen obligaciones legales asociadas con la información o porque Plan International ha otorgado una protección mayor. Dichos datos personales se enmarcan en estas categorías:
- información sobre niños/as (es decir, personas menores de 18 años);
- información financiera, como números de cuenta, números de tarjetas de crédito;
- información de seguridad, como firmas digitales, datos biométricos y contraseñas;
- información de salud, como información que identificaría los medicamentos de una persona, sus tratamientos médicos, diagnósticos o información relacionada con características genéticas;
- características personales protegidas: raza, etnia, religión y preferencias sexuales;
- información de ubicación geográfica que identifique la dirección o las coordenadas geográficas precisas (por ejemplo, latitud y longitud) de una persona; y
- información sobre estado sindical, opiniones políticas o procesos criminales.
Contenido de la política.
General
El tratamiento de datos personales por parte de Plan International debe cumplir en todo momento con esta Política, los procedimientos asociados y la legislación aplicable.
Cuando la legislación aplicable imponga una protección más estricta a los datos personales que la requerida por esta Política, Plan International adoptará políticas adicionales o actualizará los documentos internos vigentes. Además, otras políticas de Plan International imponen requisitos adicionales sobre la recogida, uso y protección de clases particulares de datos personales, incluidos los requisitos descritos en la Política Global de Salvaguardia de niños, niñas y jóvenes.
Recogida de datos personales
Cuando los datos personales sean recogidos directamente por el/la usuario/a, Plan International brindará a dicho/a interesado/a, la identidad e información de contacto del Responsable del Tratamiento y, si corresponde, la información de contacto del Delegado de Protección de Datos.
Especificación de propósitos y minimización de datos
Plan International solo recogerá datos personales cuando sea necesario para poder gestionar los fines específicos y legítimos. Dichas finalidades incluyen, la recaudación de fondos, programación, administración del proceso de apadrinamiento, desempeño de funciones de recursos humanos para el personal de Plan International (incluyendo la geolocalización a través de la aplicación de fichaje) y llevar a cabo funciones de reclutamiento y selección o llevar a cabo un proceso de selección con el fin de establecer una relación laboral con los/las candidatos/as, incluyendo cualquier comunicación en este sentido, analizar las candidaturas, crear perfiles laborales, concertar entrevistas, realizar pruebas de aptitud y compartir los datos con el empleado de Plan International para el que, en su caso, trabajará el/la candidata/a. A estos datos podrá acceder únicamente el departamento de Recursos Humanos de Plan International, que podrá compartirlos, en su caso, con los responsables directos de los empleados.
Plan International recogerá la cantidad mínima de datos personales necesaria para lograr las finalidades para las que fueron recogidos dichos datos.
Transparencia y consentimiento
Plan International recopilará datos personales por medios justos, transparentes y legales. En la medida de lo posible, Plan International brindará información a las personas sobre los datos personales relacionados con ellos que Plan International recopile, los fines para los cuales Plan International usa esos datos personales y las bases legales para el tratamiento, los derechos de las personas con respecto a los datos personales, la divulgación de los datos personales a terceros, el período de tiempo en el cual los datos personales serán conservados y otra información relevante. Cuando se pretenda transferir los datos personales a otro país, se informará este hecho a la persona registrada y se activarán las salvaguardas relevantes para proteger dichos datos personales.
Plan International recopilará los datos de geolocalización de los empleados mediante el uso de la herramienta de fichaje (posicionamiento del dispositivo). Estos datos serán incluidos en inventarios de actividades de tratamiento de datos responsabilidad de Plan International y serán tratados con el fin de realizar un seguimiento del cumplimiento del Acuerdo de Teletrabajo firmado por cada uno de los empleados de Plan International y adoptar, en su caso, las medidas necesarias para garantizar dicho cumplimiento. En este sentido, se informa a los empleados de Plan International de que la herramienta de fichaje contiene un software de tracking GPS que permitirá obtener, en el momento en que se produzca el log-in y el log-out la posición GPS del dispositivo con el objetivo de determinar automáticamente la posición del empleado y el cumplimiento del Acuerdo de Teletrabajo, que fija que los días en que no se acuda a la oficina, deberá trabajarse desde el domicilio del empleado. Además, Plan International podrá utilizar estos datos de manera individualizada, anonimizada o seudonimizada, según el caso, con fines estadísticos.
Plan International obtendrá un consentimiento de forma expresa, informado voluntario e inequívoco para tratar aquellos datos necesarios. El consentimiento será específico para cada una de las finalidades para las que se pretendan tratar los datos en cuestión.
Plan International tratará los datos personales sensibles únicamente teniendo el consentimiento expreso, informado, voluntario e inequívoco del/de la interesado/a para el tratamiento específico, salvo que la legislación aplicable establezca lo contrario.
Por todo ello, Plan International se asegurará de que los/as interesados/as respondan de manera activa a través de los formularios físicos, telemáticos o incluso por vía telefónica.
Uso y conservación de Datos Personales
Uso de datos personales
Antes de tratar los datos personales, Plan International se asegurará de que el tratamiento sirve para llevar a cabo los fines específicos y legítimos, y de conformidad con esta política y otras políticas locales internas, así como los procedimientos asociados y la legislación aplicable.
Conservación de la integridad y la calidad
Plan International garantizará la integridad y la exactitud de los datos personales que trate y corregirá aquellos Datos en los que Plan International detecte errores.
Limitación del uso
Plan International no realizará tratamientos de datos adicionales para fines ulteriores incompatibles, salvo en la medida que esté permitido por la legislación aplicable.
Para más información puede consultar el Procedimiento de plazos de conservación y destrucción.
Comunicación y transferencia de Datos Personales
General
Plan International solo comunicará datos personales a terceros, incluidos prestadores de servicios externos, cuando haya obtenido un consentimiento informado y voluntario para dicha comunicación, o cuando la misma sea necesaria para llevar a cabo las finalidades concretas o esté permitida por la legislación aplicable. Los intereses y la protección de un/a menor siempre deberán anteponerse a cualquier comunicación autorizada.
Plan International puede comunicar datos personales a proveedores de servicios externos que actúen en representación de Plan International, siempre que (a) Plan International haya realizado la comunicación adecuada, y sea un tratamiento legítimo, regulando la relación contractual con un acuerdo de encargado de tratamiento, y que (b) Plan International haya obtenido de sus prestadores de servicios las garantías descritas en la cláusula 4.3.1.
Prestadores de servicios externos que tratan datos personales
Con carácter previo a la comunicación datos personales a prestadores de servicios externos, Plan International someterá a dichos proveedores a controles apropiados diseñados para garantizar que (a) el proveedor trata los datos personales únicamente para las finalidades autorizadas por Plan International y de conformidad con esta política y la legislación aplicable, (b) el proveedor afirma contar con las medidas administrativas, técnicas y físicas necesarias, diseñadas para garantizar la confidencialidad, integridad y seguridad de los datos personales objeto de tratamiento.
Transferencias internacionales de datos personales
Se considera transferencia internacional de datos cualquier tipo de movimiento, transferencia, acceso o, en definitiva, tratamiento de datos personales que sea realizado hacía un Estado no miembro del EEE, o en su caso, sea realizado desde un Estado no miembro del EEE. Las transferencias internacionales de datos se podrán realizar si el país al que se van a transferir los datos cuenta con un nivel de protección adecuado de seguridad.
A los efectos de determinar si el Estado al que se van a transferir los datos personales presenta un nivel de adecuado de protección, es necesario verificar previamente dos aspectos:
Si el Estado destino de los datos personales se encuentra entre el listado de países respecto de los que ha declarado la Comisión Europea que cuentan con un nivel adecuado de protección.
Si la entidad u organización destinataria se encuentra en Estados Unidos, y está adherida al programa de Privacy Shield [1]de la Cámara de Comercio de Estados Unidos.
Cuando se espere realizar transferencias internacionales al momento de la recogida de datos, Plan International incluirá como finalidad de tratamiento dicha transferencia, verificando la existencia de garantías contractuales adecuadas; y obtendrá el consentimiento expreso del interesado para poder realizar dicha transferencia; y/o informar al sobre las consecuencias de transferir los datos personales a un tercer país.
En caso de que el país de destino de los datos personales de Plan International no se encuentre en el listado de las entidades adheridas al Privacy Shield, la transferencia internacional de datos podrá tener lugar, siempre y cuando se ofrezcan garantías adecuadas, entendiéndose por tales las siguientes:
Instrumento jurídicamente vinculante y exigible entre autoridades y organismos públicos.
Existencia de unas normas corporativas vinculantes a las que se encuentren adheridas las entidades de Plan International y en su caso los proveedores de ésta.
Que tanto el importador, como el exportador hayan firmado las cláusulas estándar adoptadas por la Comisión Europea para la cesión de datos o en su caso la prestación de servicios por parte de terceros ubicados en Estados no miembros del EEE.
Que tanto el importador, como el exportador se encuentren adheridos a algún Código de conducta aprobado por parte de alguna autoridad nacional de protección de datos, junto con compromisos vinculantes y exigibles de importador y exportador, ya sea por vía contractual o mediante instrumento jurídicamente vinculante para aplicar las garantías, incluidas las de los derechos de los interesados.
Que tanto el importador, como el exportador se encuentren adheridos a mecanismos de certificación oficiales, junto con compromisos vinculantes y exigibles de importador y exportador, ya sea por vía contractual o mediante instrumento jurídicamente vinculante para aplicar las garantías, incluidas las de los derechos de los interesados.
Existencia de un contrato “ad hoc” firmado entre el exportador y el importador, siendo necesario en tal caso que la Autoridad de Control competente del país del exportador haya sometido dicho contrato al proceso de verificación de coherencia.
Acuerdos administrativos entre autoridades y organismos públicos que incluyan derechos efectivos y exigibles para los interesados. Requiere autorización de la Autoridad de Control competente, que las someterá al mecanismo de coherencia.
En relación con las transferencias internacionales de datos que hubieran sido autorizadas de forma previa al 25 de mayo de 2018, fecha de aplicación efectiva del RGPD, se entenderán que son conformes a Derecho y por tanto son válidas las autorizaciones obtenidas previamente por parte de las agencias nacionales. Sin perjuicio de ello, si se produjera alguna actualización o cambio en relación a las mismas, éstas deberían ser sometidas a alguno de los procedimientos de regularización anteriormente enunciados.
Protección de Datos Personales e informe de incidentes de seguridad
Medidas
Conforme a lo descrito en los Procedimientos de: i) Uso de Medios Tecnológicos, ii) de Control de Accesos a las Instalaciones, iii) de Usuarios y contraseñas, iv) de Alta y Baja de Usuario, copias de respaldo y utilización de datos en entornos de prueba Procedimiento, v) de Encriptación y cifrado, y vi) de borrado de terminales, Plan International implementará medidas (incluidas las medidas técnicas y de organización apropiadas) diseñadas para mitigar el riesgo de que ocurran incidentes de seguridad.
Las medidas particulares aplicadas a cualquier tipo de datos personales dependerán de diversos factores, incluidos la tecnología disponible, la naturaleza, alcance, contexto y finalidades de tratamiento, así como la sensibilidad de dichos datos personales.
Plan International se esforzará para garantizar que los datos personales sean tratados únicamente por personal de Plan International o por proveedores de servicios externos autorizados, y que dicho tratamiento sea conforme a los accesos y obligaciones asignadas a dicho personal autorizado.
Plan International conservará los datos personales solo por el tiempo que sea necesario para llevar a cabo las finalidades para las que fueron recogidos los datos o por un tiempo superior en caso de que normativa específica así lo recoja.
Plan International eliminará o destruirá los datos personales que ya no sean necesarios. Los períodos de conservación y los procesos de destrucción son descritos en un el Procedimiento de plazos de conservación y destrucción de datos.
Incidentes de seguridad
Todos los Incidentes de Seguridad deben reportarse al Delegado de Protección de Datos de conformidad con Procedimiento notificación y gestión de incidencias y violaciones de seguridad relacionada con la notificación y gestión de incidencias y violaciones de seguridad.
Cuando la legislación aplicable lo requiera, Plan International notificará a la autoridad de supervisión relevante y a la(s) personas cuyos Datos Personales hayan estado involucrados en el Incidente de Seguridad.
Derechos de los interesados
Derecho de acceso, rectificación, limitación del tratamiento y supresión
Plan International brindará a las personas acceso limitado o información sobre los Datos Personales relacionados con ellos, y contará con procedimientos para que las personas ejerciten sus derechos amparados por la normativa.
Derecho a revocar el consentimiento
Plan International facilitará a los interesados, información sobre su derechos a revocar el consentimiento para el tratamiento de sus Datos Personales. La revocación del consentimiento por parte de los interesados no afectará al tratamiento de datos realizado con carácter previo, no teniendo la revocación carácter retroactivo.
Reclamaciones
Plan International realizará esfuerzos para responder a cualquier solicitud o reclamación de manera rápida y razonable. Cada Entidad de Plan International designará a la(s) persona(s) ante quien(es) se presentará las quejas. Plan International cooperará con las autoridades de protección de datos, y otras agencias reguladoras y tribunales involucrados en la resolución de dichas reclamaciones.
Para más información relativa al ejercicio de derechos de los interesados, puedes consultar el Procedimiento de ejercicio de derechos.
Responsabilidades
La implementación y conservación de prácticas firmes para la protección de datos es una obligación de Plan International que aplica a toda la organización.
El personal de Plan International que trate datos personales en el cumplimiento de sus funciones laborales, será responsable de realizar un tratamiento de datos personales conforme a la normativa aplicable, cumpliendo en todo momento con las obligaciones establecidas en los procedimientos y policitas internas.
Aquellos voluntarios/as que, por las actividades propias de su colaboración, traten datos personales de los que Plan International deberán cumplir con las políticas internas, incluyendo esta Política.
La alta gerencia de Plan International será responsable de hacer cumplir esta Política y de asegurarse de que el Personal, los voluntarios y proveedores de servicios externos de Plan International tengan conocimiento y se rijan por esta Política.
El Delegado de Protección de los Datos colaborará con Plan International para cumplir con la legislación aplicable, especialmente en materia de protección de datos, y asesorará y formará a Plan International y al Personal de Plan International sobre de sus obligaciones, supervisará el cumplimiento y será el contacto directo para las autoridades de control competentes.
Todas las Entidades de Plan International deberán notificar de inmediato al Delegado de Protección de Datos sobre cualquier incumplimiento de esta Política o de la normativa a Data.Privacy@plan-international.org.
Implementación
Cuando sea necesario, Plan International implementará políticas, procedimientos o prácticas adicionales que se requieran para promover los principios y objetivos establecidos en esta Política, así como para cumplir con la legislación aplicable.
Cuando sea necesario, Plan International emitirá políticas y procedimientos que normen de manera directa el Tratamiento de Datos Personales realizado por la organización.