Política de protección de datos — Yours Clothing Limited


Introducción

Yours Clothing Limited necesita recopilar y utilizar cierta información acerca de personas físicas. Esto incluye información personal y datos de clientes, proveedores, contactos comerciales, empleados y otras personas con las que la organización pueda tener una relación y necesite ponerse en contacto.

Esta política de protección de datos describe el modo en que los datos personales deben ser recopilados, gestionados y almacenados para cumplir con la ley y satisfacer las normas actuales en materia de protección de datos.

Por qué existe esta política

Esta política de protección de datos garantiza que Yours Clothing Limited:

  • Cumple con la ley de protección de datos y mantiene buenas prácticas
  • Protege los derechos del personal, clientes y socios empresariales
  • Sigue un principio de transparencia con respecto a cómo conserva y trata los datos de personas
  • Se protege contra los riesgos de una violación de la seguridad de los datos

Ley de protección de datos

La Ley de Protección de Datos de 1998 (Data Protection Act 1998), describe cómo las organizaciones —incluyendo Yours Clothing Limited— deben recopilar, gestionar y conservar información personal.

Estas normas se aplican independientemente de si los datos se almacenan electrónicamente, en papel impreso o en otros materiales.

Para cumplir con la ley, la información personal debe ser recopilada y utilizada de manera justa, conservada de manera segura y no ser divulgada indebidamente.

Personas físicas, riesgos y responsabilidades

Alcance de la política

Esta política se aplica a la oficina central, todas las tiendas físicas, todo el personal y voluntarios y todos los contratistas, proveedores y demás personas que trabajan en nombre de Yours Clothing Limited.

Se aplica a todos los datos que la compañía posee en relación con personas físicas identificables, incluso si esa información está técnicamente fuera de la Ley de Protección de Datos de 1998, incluyendo pero no limitado a:

  • Nombres
  • Dirección postal
  • Dirección de correo electrónico
  • Teléfonos
  • Información de pago
  • Fotografías
  • Ubicación
  • Dirección IP
  • Actividades en línea
  • Datos de cualquier categoría especial como religión e información relativa a la salud

Riesgos de la protección de datos

Esta política ayuda a proteger contra algunos riesgos muy reales de seguridad de datos, incluyendo:

  • Pérdida de confidencialidad. Por ejemplo, información cedida de manera inadecuada.
  • No ofrecer elección. Por ejemplo, todas las personas físicas deben tener la libertad de elegir la forma en que la compañía utiliza los datos que les conciernen.
  • Daño para la reputación. Por ejemplo, la empresa podría verse perjudicada si algún hacker obtuviera acceso a categorías especiales de datos personales («datos sensibles»).

Responsabilidades

Todo el que trabaja para o con la empresa tiene ciertas responsabilidades para asegurar que los datos se recopilan, conservan y gestionan adecuadamente.

Todos los equipos que manejan datos de carácter personal, deben asegurarse de que estos sean gestionados y tratados conforme a esta política y a los principios de protección de datos.

No obstante, estas personas tienen áreas clave de responsabilidad:

  • La Junta Directiva es la responsable en última instancia de garantizar que se cumplen las obligaciones legales.
  • El Responsable del cumplimiento es responsable de:
    • Mantener a la Junta al corriente de responsabilidades, riesgos y problemas relacionados con la protección de datos.
    • Revisar todos los procedimientos y políticas relacionadas con la protección de datos, conforme a un calendario acordado.
    • Gestionar la formación en protección de datos y el asesoramiento para las personas físicas al amparo de esta política.
    • Manejar cuestiones relacionadas con la protección de datos del personal y de cualquier otra persona al amparo de esta política.
  • El Secretario de la compañía es responsable de:
    • Tramitar las solicitudes de las personas físicas que desean ver los datos que se conservan relacionados con ellos (conocido también como «solicitudes de acceso del interesado»).
    • Comprobar y aprobar cualquier contrato o acuerdo con terceros que puedan manejar datos confidenciales de la empresa.
  • El Supervisor de TI es responsable de:
    • Garantizar que todos los sistemas, servicios y equipos utilizados para almacenar datos cumplen las normas de seguridad aceptables.
    • Realizar controles y análisis regulares para asegurar que la seguridad del software y hardware está funcionando correctamente.
    • Evaluar los servicios de terceros que la compañía esté considerando utilizar para almacenar o tratar datos. Por ejemplo, servicios de informática en la nube.
  • El Director ejecutivo es responsable de:
    • La aprobación de las declaraciones de protección de datos adjuntas a comunicaciones tales como correos electrónicos y cartas.
    • Atender cualquier consulta de protección de datos de periodistas o medios de comunicación como periódicos.
    • En caso necesario, trabajar con otros miembros del personal para asegurar que las iniciativas de marketing cumplen con los principios de protección de datos.

Reglas generales de los empleados

  • Las únicas personas que podrán tener acceso a los datos comprendidos en esta política serán aquellos que lo necesiten para el desempeño de sus funciones.
  • Los datos no deberán compartirse de manera extraoficial. Cuando se requiera acceso a información confidencial, los empleados podrán solicitarlo a sus supervisores directos.
  • Todos los empleados recibirán formación para ayudarles a comprender sus responsabilidades en el manejo de datos.
  • Los empleados deben mantener la seguridad de los datos, tomando precauciones sensatas y siguiendo las pautas que se describen a continuación.
  • En particular, se requiere el uso de contraseñas seguras que no deben compartirse nunca.
  • Los datos personales no deben ser divulgados a personas no autorizadas, ya sea dentro o fuera de la compañía.
  • Los datos se revisarán con regularidad y se actualizarán cuando sea necesario. Si ya no son necesarios, se borrarán y eliminarán.
  • Los empleados deben solicitar ayuda de sus supervisores o del responsable del cumplimiento si tienen dudas acerca de cualquier aspecto relacionado con la protección de datos.

Almacenamiento de datos

Estas reglas describen cómo y dónde deben almacenarse los datos de manera segura. Las preguntas relacionadas con el almacenamiento y conservación da datos pueden dirigirse al supervisor de TI o el responsable del tratamiento.

Cuando los datos se conservan en forma impresa, se mantendrán en un lugar seguro sin acceso a personas no autorizadas.

Estas directrices también se aplican a datos que se almacenan normalmente en formato electrónico pero que se han impreso por alguna razón:

  • Cuando no se necesite, el papel o archivo debe permanecer en un cajón o archivador cerrado.
  • Los empleados deben asegurarse de que los papeles e impresos no queden al alcance de personas no autorizadas, como por ejemplo en una impresora.
  • Los datos impresos deben ser destruidos y eliminados de forma segura cuando ya no se necesiten.

Cuando los datos se conservan en formato electrónico, estarán protegidos contra el acceso no autorizado, pérdidas accidentales y ataques cibernéticos malintencionados:

  • Los datos deben estar protegidos por contraseñas que se cambien con regularidad, las cuales no serán nunca compartidas entre empleados.
  • Si los datos se conservan en medios extraíbles, estos deberán guardarse en un lugar seguro cuando no estén siendo utilizados.
  • Los datos deben conservarse únicamente en los servidores y discos designados, y deben importarse únicamente a servicios aprobados de computación en la nube.
  • Los servidores que contienen datos personales deben emplazarse en lugares seguros, lejos del espacio de oficina general.
  • Deben realizarse copias de seguridad de los datos frecuentemente. Estas copias de seguridad deben comprobarse con regularidad, en línea con los procedimientos habituales de la compañía.
  • Los datos no deben almacenarse nunca directamente en ordenadores portátiles u otros dispositivos móviles como tabletas o teléfonos inteligentes.
  • Todos los servidores y equipos que contengan datos deben estar protegidos por un programa de seguridad aprobado y un cortafuegos.

Uso de datos

Los datos personales no tienen ningún valor para Yours Clothing a menos que la compañía pueda hacer uso de ellos. Sin embargo, el momento en el que se acceden y utilizan los datos personales es cuando están a un mayor riesgo de pérdida, corrupción o robo:

  • Cuando se trabaja con datos de carácter personal, los empleados deben asegurarse de bloquear las pantallas de sus ordenadores siempre que estos queden desatendidos.
  • Los datos personales no deberán compartirse de manera extraoficial. En particular, no deben enviarse nunca por correo electrónico, ya que esta forma de comunicación no es segura.
  • Los datos deben cifrarse antes de ser enviados electrónicamente. El supervisor de TI puede explicar cómo enviar datos a contactos externos autorizados.
  • Los empleados no deben conservar en sus ordenadores copias de datos personales. Deberán acceder a la versión más reciente del documento desde el archivo principal, y actualizar la versión.

Exactitud de los datos

La ley requiere que Yours Clothing tome medidas razonables para garantizar que los datos que se conservan sean exactos y, si fuera necesario, actualizados.

Cuanto más importante sea la exactitud de los datos, mayor deberá ser el esfuerzo realizado para garantizar su exactitud.

Es responsabilidad de todos los empleados que trabajan con datos, el tomar las medidas razonables para asegurar que estos se mantengan tan exactos y actualizados como sea posible.

  • Los datos no se conservarán en más lugares de los estrictamente necesarios. El personal no debe crear ningún conjunto adicional de datos.
  • El personal debe aprovechar todas las oportunidades posibles para actualizar los datos. Por ejemplo, confirmando los datos del cliente cuando llaman.
  • Facilitar a los interesados la actualización de la información recogida que les concierna. Por ejemplo, a través de su cuenta en línea.
  • Los datos deben actualizarse a medida que se descubren las inexactitudes. Por ejemplo, si ya no es posible contactar con un cliente a través del número de teléfono que se conserva, este debe eliminarse de la base de datos.

Solicitudes de acceso del interesado

Todas las personas cuyos datos han sido recogidos tienen derecho a:

  • Solicitar información acerca de qué datos personales conservan y por qué.
  • Solicitar el acceso a los datos.
  • Estar informado acerca de cómo mantenerlos al día.
  • Estar informado acerca de cómo la compañía está cumpliendo sus obligaciones de protección de datos.

Si un interesado entra en contacto con la empresa solicitando esta información, esto se llama «Solicitud de acceso». Las solicitudes de acceso de los interesados deben realizarse a través de correo electrónico.

No se aplicará ningún cargo a las solicitudes de acceso, pero podría aplicarse a discreción de la compañía si una solicitud se considerase excesiva. El responsable del tratamiento intentará proporcionar los datos pertinentes dentro de 14 días, pero no más tarde de 30 días después de la recepción de la solicitud.

Antes de entregar cualquier información, el responsable del tratamiento deberá siempre comprobar la identidad de cualquier persona que realice una solicitud de acceso.

Divulgación de datos por otros motivos

En ciertas circunstancias, la ley de protección de datos permite que los datos personales se hagan públicos a las autoridades policiales sin el consentimiento de la persona afectada.

Bajo estas circunstancias, Yours Clothing comunicará los datos solicitados. Sin embargo, el responsable del tratamiento se asegurará de que la solicitud sea legítima, obteniendo ayuda de la Junta y de los asesores legales de la compañía cuando fuera necesario.

Proporcionar información

Yours Clothing pretende garantizar que las personas sean conscientes del tratamiento de sus datos, y de que comprendan:

  • Cómo se utilizan los datos
  • Cómo ejercer sus derechos

Para estos fines, la compañía tiene una política de privacidad que establece cómo utiliza la compañía los datos relativos a las personas físicas. La versión más reciente de esta política está disponible en el sitio web de la compañía www.yoursclothing.co.uk

Sign Up for Exclusive News and Offers >Close