Saventic Health (“Saventic”), propietaria de Saventic Care, busca optimizar sus procesos internos, y buscando ofrecer extrema protección de datos sensibles a los colaboradores y apegandose a los lineamientos de la Ley General de Protección de Datos Personales – LGPD (Ley N° 13.709/2018), propone esta Política de Privacidad.
1.1 Esta política de protección de datos personales es un documento que traza los criterios de procesamiento de datos personales y las obligaciones de Saventic, actuando como regulador de datos personales procesados en relación con sus actividades normativas.
1.2 Esta política se actualiza continuamente, al menos una vez al año.
1.3 Glosario - Para una precisa comprensión e interpretación de la información contenida en esta política, se adoptarán las siguientes definiciones, de conformidad con la LGPD:
2.1 De conformidad con el art. Art. 6 de la LGPD, Saventic, como responsable del tratamiento de los datos personales, los manejará de conformidad con los siguientes principios: • Principios de Finalidad, Adecuación y Necesidad (Minimización): tus datos personales sólo serán tratados para finalidades específicas y legítimas. que sean compatibles con el contexto del Tratamiento. El Tratamiento se limitará al mínimo necesario para la finalidad específica;
A continuación detallamos los interesados involucrados en nuestras operaciones, qué datos recopilamos y las respectivas bases legales para el procesamiento de estos datos bajo la LGPD.
El Responsable procesa datos personales de:
A) Las personas físicas que utilicen la asistencia del Responsable para apoyarles en el proceso de diagnóstico de enfermedades raras y ultrararas;
B) Los trabajadores y personas empleadas bajo contrato de derecho civil;
C) Candidatos a puestos de trabajo (vacantes en el proceso de selección);
D) Contratistas (personas físicas) y representantes de contratistas (personas físicas, que actúan en nombre de contrapartes que sean entidades colectivas);
E) Las personas diagnosticadas con una enfermedad rara o ultrarara que acepten la publicación de su información de salud e historial médico, con el fin de sensibilizar sobre las enfermedades raras y ultrararas.
3.1 Los datos personales que no sean de naturaleza sensible, tal como se define en la LGPD, también podrán ser tratados por el responsable del tratamiento con fines de: marketing, promoción de servicios, contacto en relación con datos personales, incluso con el fin de ofrecer participación individual en proyectos. implementado por el Responsable. Tales finalidades se basan en el Interés Legítimo legalmente justificado del responsable del tratamiento, en los términos expresados por el art. 7.º, IX, de la LGPD, o el consentimiento voluntario del titular, de conformidad con el art. 7º, I, de la LGPD.
3.2 Todos los consentimientos para el procesamiento de los datos mencionados anteriormente se expresan de forma voluntaria. Sin embargo, su no otorgamiento impide el uso de los servicios ofrecidos por el Responsable.
3.3 Los consentimientos se otorgan, en principio, por escrito. En el caso de que los datos personales sean proporcionados por los titulares en línea, a través de nuestro sitio web [www.saventiccare.mx], el consentimiento se brinda mediante la cumplimentación de un formulario interactivo.
4.1 De conformidad con los arts. 46 y 47, de la LGPD, Saventic declara que aplica las medidas técnicas y organizativas necesarias para garantizar el nivel adecuado de seguridad de los datos personales tratados, considerando el estado de los conocimientos técnicos, coste de implementación, naturaleza, alcance, contexto y finalidad de tratamiento, así como potenciales riesgos y violaciones de los derechos o libertades de los titulares. En particular, el responsable del tratamiento utiliza para este fin:
A) Seudónimos y cifrado de datos;
B) Anonimización de datos personales confidenciales para trabajos relacionados con la creación y entrenamiento de su Algoritmo;
C) Medidas para garantizar la confidencialidad, integridad y disponibilidad de los datos en sus sistemas y servicios de procesamiento;
D) Medidas para garantizar el pronto restablecimiento de la disponibilidad de los datos personales en caso de incidentes de seguridad;
E) Pruebas periódicas para medir y evaluar la eficacia de las medidas enumeradas anteriormente.
4.2 El operador mantiene documentación que describe el método de procesamiento de datos personales y cómo protegerlos, principalmente en forma de políticas, procedimientos, pautas y formularios.
4.3 El responsable del tratamiento solo permite que personas debidamente autorizadas procesen datos personales en su nombre. Al momento de otorgar la autorización, se firma una declaración que asegura la conservación de los datos, así como el mantenimiento de su seguridad y confidencialidad. Adjunto a la presente política se incluye el modelo de autorización para el tratamiento de datos personales
4.4 El responsable del tratamiento mantendrá un registro de las personas autorizadas para procesar datos personales, el cual se llevará a cabo mediante un registro de documentos conforme al modelo adjunto.
4.5 El responsable del tratamiento implementa la protección de la privacidad desde la fase de diseño y planificación de nuevos proyectos, inversiones y cambios en los procesos que involucran datos personales, siguiendo el principio de Privacidad por Diseño.
4.6 El responsable del tratamiento deberá proporcionar capacitación periódica a los empleados que tengan acceso a los datos personales tratados. Esta formación tiene como objetivo comunicar procedimientos, mejorar el conocimiento y reforzar el factor humano en la seguridad de la información, con especial atención a los datos personales.
5.1 El responsable del tratamiento, al manejar datos sensibles a gran escala como lo define la LGPD, ha designado un Delegado de Protección de Datos (DPO) conforme al artículo 41 de la LGPD. El DPO asignado es Sebastián Dziedzic (sebastian.dziedzic@saventic.com).
5.2 El Responsable fue designado en base a sus calificaciones profesionales, así como a los conocimientos y experiencia que ha adquirido, los cuales están debidamente documentados.
5.3 El responsable del tratamiento deberá crear las condiciones adecuadas para que el responsable pueda desempeñar sus funciones, en particular: a) su implicación inmediata en todo lo relativo a la protección de datos personales; b) proporcionar los recursos necesarios para realizar sus tareas y mantener su experiencia; c) garantizar la autonomía en el desempeño de sus funciones, asegurando una estructura organizativa adecuada para que reporten únicamente a la alta dirección.
5.4 Las tareas del Supervisor incluyen:
A) Sensibilizar a los empleados que tratan datos personales y a las entidades que procesan datos bajo las órdenes del responsable del tratamiento, mediante formación periódica y comunicación informativa sobre las obligaciones que tienen en el tratamiento de datos.
B) Desarrollar y actualizar las políticas y regulaciones internas en materia de privacidad, protección de datos y seguridad de la información;
C) Vigilar que el responsable del tratamiento cumpla con las disposiciones de la LGPD y otras leyes o normativas aplicables en materia de protección de datos, así como con las políticas y normativas internas en la materia;
D) Realizar auditorías sobre temas relacionados con el tratamiento de datos personales;
E) Asistir al responsable del tratamiento en la evaluación del impacto en la protección de datos y en el seguimiento de la implementación de las medidas relativas a los efectos identificados;
F) Cooperación y comunicación con la Autoridad Nacional de Protección de Datos, que en México es el INAI (El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales)
G) Actuar como punto de contacto con los interesados en cuestiones relacionadas con el tratamiento de datos personales, especialmente para atender las solicitudes de ejercicio de los derechos expresados en el art. 18 de la LGPD, incluyendo facilitar aclaraciones y adoptar medidas.
6.1 El responsable del tratamiento podrá utilizar servicios de entidades externas para respaldar sus actividades, en particular para la entrega y/o mantenimiento de la infraestructura de tecnología de la información (TI), incluidas las herramientas de soporte necesarias para mantener registros médicos en un formato electrónico seguro.
6.2 El responsable del tratamiento utiliza únicamente los servicios de proveedores que ofrezcan garantías adecuadas de seguridad y cumplimiento en el tratamiento de datos personales, de acuerdo con lo establecido en la LGPD y otras normas o regulaciones aplicables en la materia.
6.3 El responsable del tratamiento deberá realizar un análisis (auditoría) previo a la selección de una entidad como operador de datos, así como llevar a cabo verificaciones posteriores de forma periódica, de acuerdo con el procedimiento adoptado por el responsable y siempre de manera documentada.
6.4 Toda actividad operativa debe estar respaldada por un contrato específico u otro instrumento legal que defina las obligaciones y responsabilidades de los agentes de procesamiento. El modelo de contrato para dicha relación constituye un anexo a esta Política.
6.5 El responsable del tratamiento no transferirá datos personales a países fuera de México. No realizará transferencias internacionales de datos a ubicaciones fuera de México.
7.1 El equipo del responsable del tratamiento está obligado a:
A) conocer y aplicar las disposiciones legales en materia de protección de datos personales, incluida la LGPD;
B) proteger los datos personales procesados contra el acceso no autorizado, modificación o destrucción injustificada;
C) destruir de forma segura todos los documentos (en papel y electrónicos) que contengan datos personales una vez finalizado su propósito y cualquier período de retención;
D) Utilizar los recursos y equipos de TI de manera consistente con sus propósitos y de forma segura; cambiar periódicamente las contraseñas, mantener la confidencialidad de los inicios de sesión y contraseñas, y no dejar el equipo desatendido.
E) informar inmediatamente a los superiores sobre las irregularidades identificadas que puedan afectar la seguridad de los datos personales tratados;
F) Almacenar la documentación que contenga datos personales únicamente en lugares (físicos o electrónicos) destinados para este fin, con acceso restringido a terceros, especialmente en el caso de documentos que incluyan datos sensibles (por ejemplo, registros médicos);
G) Los empleados serán responsables del correcto desempeño de sus funciones y deberán ser debidamente informados por el interventor sobre las posibles sanciones internas, civiles y penales que puedan derivarse de irregularidades en este ámbito.
8.1 El responsable del tratamiento procesa datos personales respetando los derechos de los interesados 8 expresados en el art. 18, de la LGPD.
8.2 El responsable del tratamiento deberá llevar un registro de las solicitudes de ejercicio de derechos realizadas por los interesados.
8.3 Antes de responder a las solicitudes de derechos de los interesados, el responsable del tratamiento verificará la identidad del solicitante o de su representante legal, con el fin de asegurar que la solicitud provenga de una persona autorizada (ver ítem 12).
8.4 El responsable del tratamiento proporcionará los recursos técnicos y humanos adecuados para permitir el ejercicio confiable de los derechos del interesado. Las solicitudes enviadas serán procesadas de inmediato por el responsable del tratamiento y respondidas en un plazo de 15 días. En caso de que no sea posible ejecutar la solicitud dentro del plazo mencionado, debido a la complejidad de la misma, el responsable del tratamiento se pondrá en contacto con el titular para informarle sobre cualquier ampliación de este plazo, los motivos de dicha ampliación y la fecha prevista para su ejecución, respondiendo así a la solicitud. Derecho a la información.
8.5 Los interesados tienen un amplio derecho a recibir información sobre los aspectos relacionados con el tratamiento de sus datos por parte del responsable, incluyendo detalles sobre las entidades públicas y privadas con las que el responsable ha compartido dichos datos, así como la posibilidad de no otorgar su consentimiento y las consecuencias de su negativa, en los casos en que este sea el fundamento jurídico del tratamiento (art. 18, VII y VIII, de la LGPD).
8.6 Los titulares son informados documentalmente sobre la forma en que se procesan sus datos personales y sus derechos, a través del Aviso de Privacidad y la Política de Privacidad, los cuales pueden consultar en su totalidad en cualquier momento.
8.7 El aviso de privacidad se emite antes de la aprobación del tratamiento de datos personales.
8.8 El Aviso y la Política de Privacidad se redactarán en un lenguaje claro y transparente, y contendrán toda la información relevante sobre las actividades de procesamiento de datos. Derecho de acceso a los datos.
8.9 A solicitud del interesado, el responsable del tratamiento deberá proporcionar la información necesaria sobre los datos personales que están siendo procesados por la organización. A partir de la novena solicitud, el responsable del tratamiento proporcionará una copia de los datos personales de forma gratuita.
8.10 El responsable del tratamiento proporcionará respuestas a las solicitudes, ya sea en formato electrónico o impreso, según la preferencia del titular, de conformidad con el artículo 19, §2. Derecho de rectificación.
8.11 El interesado podrá solicitar al responsable del tratamiento la corrección de sus datos personales cuando la información sea incompleta, incorrecta o esté desactualizada (art. 18, III, de la LGPD). Derecho a revocar el consentimiento.
8.12 Cuando el consentimiento sea la base legal para el tratamiento, este podrá ser revocado en cualquier momento mediante la manifestación expresa del titular. No obstante, se ratificarán los tratamientos realizados bajo el consentimiento previamente otorgado, siempre que no exista una solicitud de supresión por parte del titular (art. 8, § 5, de la LGPD). Derecho a supresión, bloqueo y portabilidad de los datos.
8.13 El responsable del tratamiento deberá suprimir, sin demora indebida, los datos personales del interesado cuando éste lo solicite, siempre y cuando haya transcurrido el plazo mínimo legal de conservación de la información.
8.14 Supresión de los datos personales tratados con el consentimiento del titular, excepto en aquellos casos en que otra base jurídica justifique su mantenimiento en la base de datos de la organización (art. 18, VI, de la LGPD).
8.15 La negativa a ejercer el derecho de supresión de datos deberá ser comunicada por el Responsable, junto con la justificación del motivo de la negativa, incluidas las bases legales.
8.16 El titular podrá solicitar el bloqueo o supresión de datos innecesarios, excesivos o tratados que no cumplan con lo dispuesto en la LGPD (art.18, IV, de la LGPD);
8.17 El interesado podrá solicitar la portabilidad de sus datos a otro proveedor de servicios, mediante solicitud expresa y de conformidad con la normativa de la autoridad nacional, respetando los secretos comerciales e industriales (art. 18, V, de la LGPD). Derecho de oposición.
8.18 El titular podrá oponerse al tratamiento realizado sobre la base de alguno de los supuestos de dispensa de consentimiento (art. 11, II, de la LGPD), en caso de incumplimiento de las disposiciones establecidas en la legislación de protección de datos (art. 18, §2, de la LGPD).
9.1 El Responsable (DPO) realizará un análisis formal de la solicitud del titular. Si la solicitud no cumple con los requisitos formales, se rechazará y se solicitará al titular que complete la información y reenvíe la solicitud.
9.2 El análisis formal por parte del Responsable del Tratamiento de Datos Personales incluirá los siguientes requisitos:
10.1 El responsable del tratamiento aplica procedimientos para hacer frente a violaciones o sospechas de violaciones de la protección de datos personales.
10.2 De acuerdo con los lineamientos de la Autoridad Nacional de Protección de Datos (ANPD), el responsable del tratamiento mantendrá un registro de violaciones y documentación de protección de datos personales que cubra todas las circunstancias relacionadas con posibles infracciones. El modelo de expediente de infracción se adjunta a esta política.
10.3 En caso de violaciones de datos personales que puedan comprometer los derechos o libertades del titular, el responsable del tratamiento deberá informar dicha violación a la ANPD en un plazo razonable, dentro de los 2 días hábiles siguientes a tener conocimiento de la misma.
10.4 Para cumplir con el plazo de 2 días hábiles mencionado, el responsable del tratamiento establecerá con los operadores un Acuerdo de Procesamiento de Datos (DPA, por sus siglas en inglés) u otro instrumento que regule esta materia y contenga disposiciones pertinentes, incluyendo la obligación de informar cualquier incumplimiento en la protección de datos personales dentro de las 24 horas siguientes a haber tenido conocimiento de la violación, proporcionando además, en ese momento, información sobre el contexto en el que se produjo dicha violación.
10.5 En los casos en que la violación represente un alto riesgo para los derechos y libertades de los interesados, el incidente también deberá notificarse a los mismos en un plazo razonable, en un lenguaje claro y sencillo, describiendo las circunstancias de la violación, los datos afectados y las medidas adoptadas para mitigar sus efectos negativos.
11.1 El responsable del tratamiento pondrá los datos personales a disposición de terceros con los que ha celebrado Acuerdos de Cooperación/Asociación y que son, según los términos del instrumento jurídico, responsables independientes del tratamiento de datos personales, que procesarán los datos de forma conjunta, con fines diferentes y específicos. determinado con autonomía e independencia.
12.1 Saventic se reserva el derecho de cambiar esta política de privacidad en cualquier momento, sin previo aviso. Cuando realizamos cambios materiales a esta Política, podemos proporcionar una notificación adecuada según las circunstancias, presentando una comunicación visible en nuestras plataformas o enviando un correo electrónico, si está registrado. Por ello, es fundamental que se asegure de leer atentamente cualquier comunicación, así como acceder periódicamente a este documento.
13.1 Si tiene alguna pregunta, comentario, sugerencia o solicitud con respecto a esta Política de Privacidad o al uso y divulgación de información personal, comuníquese con nosotros por correo electrónico: info@saventiccare.com, para que podamos responderle oportunamente.