La Política de Privacidad de Datos (PPD) pretende demostrar todos los controles vigentes en el METALÚRGICA IMAM, con el objetivo de proteger la privacidad de los datos personales y sensibles recolectados, por medios digitales o no, para el cumplimiento de los fines corporativos en pleno cumplimiento de la Ley 13709/18 – Ley General de Protección de Datos (LGPD) y las Normas Técnicas publicadas por la Agencia Nacional de Protección de Datos (ANPD).

• Datos personales: información relativa a una persona física identificada o identificable;
• Datos sensibles: datos personales sobre origen racial o étnico, convicción religiosa, opinión política, afiliación u organización sindical de carácter religioso, filosófico o político, datos referentes a la salud o vida sexual, datos genéticos o biométricos, cuando se vinculen a una persona natural;
• Datos anonimizados: datos relativos a un titular que no puede ser identificado, considerando el uso de medios técnicos razonables disponibles en el momento del tratamiento;
• Datos bloqueados: datos relativos al titular con suspensión temporal de cualquier operación de tratamiento, mediante custodia de datos personales o de la base de datos.
• Titular: persona física a quien se refieren los datos personales que son objeto de tratamiento;
• Responsable del tratamiento: persona natural o jurídica, pública o privada, que es responsable de las decisiones relativas al tratamiento de datos personales;
• Operador: persona física o jurídica, pública o privada, que trata datos personales por cuenta del responsable del tratamiento;
• Responsable del tratamiento: persona física, indicada por el responsable, que actúa como canal de comunicación entre el responsable y los titulares y la autoridad nacional;
• Tratamiento: toda operación realizada con datos personales, tales como las relacionadas con la recogida, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, tratamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción;

El Comité de Privacidad de Datos (CPD) es una entidad corporativa, constituida con la finalidad de mantener actualizados y acordes con la realidad empresarial y la legislación vigente los mecanismos de control de la privacidad.

El CPD está integrado por los siguientes miembros:

1 – Delegado de Protección de Datos (DPO): preside el comité y tiene como objetivo realizar revisiones, evaluaciones, auditorías internas o externas y ser el punto focal de contacto de la organización con las autoridades nacionales de privacidad de datos, así como rendir cuentas de sus actuaciones ante el órgano de gobierno corporativo de METALÚRGICA IMAM. El controlador de datos se nombra a continuación:

DPD

[email protected]

2 – Representantes Permanentes: el Data Officer debe designar a los integrantes del CPD en función del número de procesos que involucren la recolección de datos personales o sensibles. Actualmente, los miembros del comité son:

ADMINISTRACIÓN FINANCIERA
[email protected]

CALIDAD
[email protected]

3 – Representantes de soporte: el Oficial de datos puede designar miembros de soporte de CPD en función de la necesidad de complementar conocimientos o promover acciones técnicas específicas, destinadas a cumplir con la Política de privacidad de datos. La participación en las reuniones del CPD no es obligatoria para ellos. Los miembros de apoyo del comité son actualmente:

TI

[email protected]

RH
[email protected]

El CPD debe reunirse trimestralmente para discutir el cumplimiento de las políticas de protección de la privacidad de datos, evaluar las acciones actuales, dirigir las mejoras y actualizaciones de los planes de protección de la privacidad y monitorear los planes en curso.

El CPD también se reunirá en situaciones consideradas extraordinarias por convocatoria del Responsable, como por ejemplo por posibles “Incidentes de Seguridad”, en los términos previstos en la Política de Seguridad de la Información (PSI).

La recolección de datos personales y sensibles por parte de METALÚRGICA IMAM sólo será permitida en cumplimiento de los siguientes principios:

• Finalidad: realizar el tratamiento con fines legítimos, determinados, explícitos e informados, sin que sea posible un tratamiento posterior incompatible con dichos fines;
• Adecuación: compatibilidad del tratamiento con las finalidades informadas al titular, según el contexto del tratamiento;
• Necesidad: limitación del tratamiento al mínimo necesario para el cumplimiento de sus finalidades, con el alcance de datos pertinentes, proporcionados y no excesivos en relación con los fines del tratamiento de datos;

En el acto de recabar datos personales o sensibles, el titular deberá ser informado de manera inequívoca del proceso de tratamiento que se realizará a través de los mismos. Antes de enviar su información, ya sea a través de un formulario impreso o a través de un formulario digital, se debe redactar un Término de Uso, con aceptación electrónica o impresa, que contenga la siguiente información:

• Finalidad específica del tratamiento;
• Forma y duración del tratamiento, observando secretos comerciales e industriales;
• Datos de identificación legal del METALÚRGICA IMAM;
• Información sobre el uso compartido de los datos por parte del responsable del tratamiento y la finalidad0;
• Responsabilidades de los agentes que realizarán el tratamiento;
• Los derechos del titular, con mención expresa de los derechos contenidos en el art. 18 de la Ley General de Protección de Datos.
• Medio de comunicación sobre el contenido de posibles cambios, pudiendo el titular, en los casos en que se requiera su consentimiento, revocarlo si no está de acuerdo con el cambio.

Para el efectivo cumplimiento de los mecanismos de protección y privacidad de los datos personales y sensibles, METALÚRGICA IMAM cuenta con normas específicas de almacenamiento de información y reglas de protección específicas para cada uno de estos elementos. Todos los procesos corporativos deben respetar estos estándares.

Archivo físico:

Retención: Retención máxima de 2 (dos) años en casilleros y posterior bloqueo de la información mediante su envío al archivo;

Protección: Todos los archivos se almacenarán en una habitación con una puerta que se mantendrá cerrada, las llaves de las puertas deben estar bajo la responsabilidad de un miembro de CPD, preferiblemente el personal de recursos humanos y/o el gerente del departamento.

Datos en Sistemas Internos (ubicados en Centros de Datos Corporativos):

Retención: Todos los sistemas de METALÚRGICA IMAM que almacenen información personal o sensible, utilizarán la siguiente regla:

• Los datos de los titulares que sean empleados internos o subcontratados serán utilizados hasta por dos (2) años después de finalizada la relación laboral y posteriormente serán bloqueados, siguiendo el Procedimiento Informático vigente.
• Los datos de titulares sin relación laboral serán utilizados hasta por dos (2) años después de su recolección o del contrato de prestación de servicios (según corresponda) y posteriormente serán bloqueados, siguiendo el Procedimiento Informático vigente.

Protección: METALÚRGICA IMAM cuenta con una estricta política de copias de seguridad para la continuidad de los datos, además de una Política Corporativa de Seguridad de la Información con mecanismos propios destinados a evitar la fuga, daño o pérdida de los datos recopilados.

Datos en sistemas externos (ubicados en centros de datos de terceros):

Retención: Las mismas reglas de período de retención de datos en Sistemas Internos se aplican a los Datos en Sistemas Externos, donde el Operador de Datos (responsable del Centro de Datos que retiene la información) debe cumplir con las reglas contractuales para el bloqueo de información, tan pronto como vence el período previsto para colaboradores o no colaboradores.

Protección: METALÚRGICA IMAM elegirá preferentemente proveedores de sistemas o servicios que se apeguen a la Ley General de Protección de Datos, así como celebrar contratos que incluyan normas de protección de datos y derechos de retención y uso de la información para todos los proveedores que almacenen o traten datos personales o sensibles.

Hojas de cálculo y Documentos fuera del sistema:

Conservación: Las hojas de cálculo y documentos diversos que contengan datos personales o sean sensibles deben almacenarse en directorios específicos indicados y auditados por el CPD. Después de 2 (dos) años sin ningún acceso al archivo almacenado en un Servidor de archivos con acceso común, será bloqueado en un directorio de almacenamiento con acceso restringido;

Protección: La Política de Seguridad de la Información Corporativa cubre la protección de la información contenida en hojas de cálculo o documentos diversos.

Correo electrónico:

Retención: Todo correo electrónico enviado/recibido que contenga datos personales o sensibles deberá ser eliminado dentro de los sesenta (60) días, después de finalizar el alcance definido en el mensaje, mediante la acción del usuario, ya sea remitente o destinatario, utilizando la opción «eliminar mensaje».

Protección: La Política Corporativa de Seguridad de la Información contempla el uso adecuado del servicio de correo electrónico.

El Interesado tiene derecho a solicitar, a través de los medios publicados en el portal de METALÚRGICA IMAM, información sobre los datos almacenados, las formas de tratamiento y qué entidades tienen acceso.

Una vez reconocida la solicitud de acceso, el Titular del tratamiento o, en su ausencia, la persona designada para tal actividad, deberá responder de la siguiente manera:

• Para las solicitudes en las que el resultado sea un informe simplificado, la respuesta deberá ser inmediata, privilegiando la respuesta más breve posible;
• Para solicitudes en las que el resultado sea a través de una declaración clara y completa, indicando el origen de los datos, la falta de registro, los criterios utilizados y la finalidad del tratamiento, observando secretos comerciales e industriales, la respuesta deberá ser brindada en un plazo de hasta 15 (quince) días, contados a partir de la fecha de la solicitud del titular;

METALÚRGICA IMAM podrá desbloquear los datos personales previamente bloqueados, de acuerdo con las reglas antes consideradas. De conformidad con el artículo 7 de la Ley General de Protección de Datos, las hipótesis de desbloqueo de datos personales se limitan a las siguientes hipótesis:

• Mediante o fornecimento de consentimento pelo titular;
• Para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;
• Por la administración pública, para el tratamiento y uso compartido de los datos necesarios para la ejecución de las políticas públicas previstas en leyes y reglamentos o sustentadas en contratos, convenios o instrumentos análogos, con sujeción a lo dispuesto en el Capítulo IV de la LGPD;
• Para la realización de estudios por organismo de investigación, asegurando, siempre que sea posible, la anonimización de los datos personales;
• Cuando sea necesario para la ejecución de un contrato o trámites preliminares relacionados con un contrato en el que el interesado sea parte, a solicitud del interesado;
• Para el ejercicio regular de los derechos en procedimientos judiciales, administrativos o arbitrales, según lo previsto en la ley específica;
• Para la protección de la vida o integridad física del titular o de un tercero;
• Para la protección de la salud, en un procedimiento realizado por profesionales de la salud o entidades de salud;
• Para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridad sanitaria;
• Cuando sea necesario para atender intereses legítimos del responsable del tratamiento o de un tercero, salvo que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales;
• Para la protección del crédito, con inclusión de lo dispuesto en la legislación correspondiente.

Cuando los datos son considerados datos personales sensibles, las posibilidades de desbloqueo son más restringidas y siguen las recomendaciones del artículo 11 de la LGPD, las cuales siguen a continuación:

• A la prestación del consentimiento por parte del titular;
  Cumplimiento de obligaciones legales o reglamentarias;
• Tratamiento compartido de datos necesarios para la ejecución, por parte de la administración pública, de Políticas Públicas previstas en leyes o reglamentos;
• Realización de estudios por parte de un organismo de investigación, asegurando, siempre que sea posible, la anonimización de los datos personales sensibles;
• Ejercicio regular de derechos, incluso en contratos y en procedimientos judiciales, administrativos y arbitrales
  Protección de la vida o integridad física del titular o de terceros
  Tutela de la salud, en un procedimiento realizado por profesionales de la salud o entidades de salud;
• La tutela de la salud, exclusivamente, en procedimientos realizados por profesionales de la salud, servicios de salud o autoridades sanitarias;
• Velar por la prevención del fraude y la seguridad del titular, en los procesos de identificación y autenticación de registro en sistemas electrónicos;

El consentimiento otorgado por el Titular podrá ser revocado en cualquier momento mediante manifestación expresa del mismo, a través de los contactos publicados en el Portal METALÚRGICA IMAM o a través de un contacto revelado por el empleado que efectivamente recopiló los datos.

Ante la solicitud expresa de cese en la actividad de tratamiento, METALÚRGICA IMAM priorizará el bloqueo de la información, utilizando los medios previstos en la Política de Conservación de Datos. Toda revocación de los derechos de tratamiento de datos deberá efectuarse en un plazo máximo de 15 (quince) días contados a partir de la fecha de recepción de la solicitud.

Si el Titular manifiesta de manera inequívoca la voluntad de suprimir o anonimizar los datos (rechazando la posibilidad de bloqueo), la solicitud deberá ser remitida al CPD, quien determinará un plan que atienda la solicitud. A tal efecto, si la fecha prevista para la reunión ordinaria trimestral comprometiera el tiempo de respuesta establecido para la solicitud, deberá convocarse a la mayor brevedad posible una reunión extraordinaria con la presencia obligatoria del Responsable del Tratamiento. Se recomienda una agenda que permita la presencia del mayor número posible de miembros permanentes, quienes tienen presencia facultativa para esta hipótesis.

Todos los Operadores de Datos de METALÚRGICA IMAM deben considerar las buenas prácticas de protección de la privacidad de datos previstas en la LGPD y en las normas que la desarrollen. Los contratos de prestación de servicios deberán contemplar las normas de retención, acceso, bloqueo y tratamiento de datos y el freno de las posturas contrarias a la Política de Privacidad de Datos.

Cuando se compartan datos personales o sensibles en los que sea posible identificar al Titular individual, y considerando, por medios razonables, la no exigencia de suscripción de un contrato, será necesario que se remita a conocimiento del Operador de Datos, información estándar previamente aprobada por el CPD, informando las prácticas que deberá seguir el destinatario.

El Informe de Impacto en la Protección de Datos Personales (RIPD) es una documentación del IMAM de METALÚRGICA que contiene una descripción de los procesos de tratamiento de datos personales que pueden suponer riesgos para las libertades públicas y los derechos fundamentales, así como las medidas, salvaguardas y mecanismos de mitigación de riesgos.

Por ser un requerimiento legal, la RIPD debe ser producida en las primeras etapas de implementación de nuevos procesos de negocio que utilicen datos personales o sensibles, o bien ser actualizada en procesos de negocio existentes que estén pasando por algún proceso de mejora.

El RIPD debe ser producido por un miembro o grupo de trabajo de CPD y los consultores externos pueden ayudar en su producción. Luego de su presentación en reunión ordinaria trimestral, el comité deberá otorgar o rechazar el documento o proyecto, con el consentimiento del Responsable del Tratamiento. La decisión del comité deberá ser ratificada por el Directorio de METALÚRGICA IMAM. En ningún caso se permitirá la omisión de este análisis.