Política de Avisos de Privacidad y Transparencia

La Política de Avisos de Privacidad y Transparencia define los requisitos de la organización para crear, aprobar, publicar, mantener, revisar y evidenciar avisos de privacidad e información de transparencia para el tratamiento de datos personales dentro del alcance del PIMS. Su propósito declarado es garantizar que los interesados reciban “avisos de privacidad claros, vigentes, accesibles y auditables antes o en el punto requerido del ciclo de vida del tratamiento de datos personales”. La política se aplica al tratamiento por el responsable del tratamiento, a la información de transparencia del corresponsable del tratamiento y al soporte de encargados del tratamiento o subencargados respecto de las obligaciones de aviso del responsable del tratamiento cuando la organización actúa conforme a instrucciones documentadas del cliente o del encargado del tratamiento. Su propietario es el Responsable de Privacidad / Responsable del PIMS, está aprobada por la Alta Dirección y utiliza REG02, REG06, REG07, REG11 y REG12 como objetos de evidencia. Una característica central de la política es su control del contenido de los avisos de privacidad mediante REG07. La política establece REG07 como el objeto de evidencia fehaciente para los registros de inventario de avisos, aprobación, publicación, revisión, idioma y control de versiones. Para el tratamiento por el responsable del tratamiento, los Propietarios de procesos / Responsables de negocio deben crear un registro de aviso de privacidad REG07 vinculado a la actividad de tratamiento REG02 correspondiente antes de lanzar cualquier nuevo canal de recogida de datos personales, servicio, formulario, campaña, producto o funcionalidad. Cuando los datos personales se obtengan de una fuente distinta del interesado, el registro debe crearse antes de la primera comunicación, antes de la primera divulgación a un tercero o dentro de los 20 días hábiles posteriores a la obtención de los datos personales, lo que ocurra primero. La política también exige que los avisos se vinculen a las finalidades del tratamiento REG02 vigentes, referencias de base jurídica, categorías de datos personales, categorías de interesados, categorías de fuentes, categorías de destinatarios, referencias de conservación y referencias de transferencia. La política define un ciclo de vida estructurado de aprobación y publicación. Los Propietarios de procesos / Responsables de negocio certifican la exactitud e integridad del contenido del aviso y presentan el registro REG07 para la aprobación del Responsable de Privacidad / Responsable del PIMS antes de la publicación o de la activación del canal de recogida. El Responsable de Privacidad / Responsable del PIMS verifica la coherencia con REG02 y aprueba o rechaza el aviso. Los Propietarios de sistemas / Propietarios de aplicaciones solo pueden publicar la versión aprobada del aviso REG07 antes de habilitar canales digitales de recogida, mientras que los Propietarios de procesos / Responsables de negocio deben poner los avisos aprobados a disposición mediante canales no digitales antes de recoger datos personales. Las evidencias de publicación, incluida la ubicación y la marca temporal o prueba equivalente, deben registrarse en REG07 dentro de los dos días hábiles posteriores a la publicación. Si faltan las evidencias requeridas de aviso aprobado, el nuevo canal de recogida del responsable del tratamiento no debe entrar en producción. La calidad de la transparencia se aborda mediante controles de idioma, accesibilidad, versión y cambios. La política exige identificar los públicos objetivo de interesados y las versiones lingüísticas requeridas antes de la aprobación. Exige evidencias de lenguaje claro y adecuación al público en REG07, versiones traducidas o localizadas antes de la publicación y paridad de versiones entre los avisos maestros y localizados dentro de los 10 días hábiles posteriores a una actualización material. Las versiones obsoletas de avisos deben eliminarse, redirigirse o etiquetarse dentro de los cinco días hábiles posteriores a la publicación de sustitución, mientras que las versiones sustituidas, fechas de entrada en vigor, evidencias de aprobación y evidencias de publicación deben conservarse en REG07. Los cambios materiales en la identidad del responsable del tratamiento, punto de contacto, finalidad del tratamiento, base jurídica, categorías de datos personales, categorías de destinatarios, referencias de conservación, referencias de transferencia, canales de solicitudes de derechos, canales de reclamación o contacto de privacidad, cobertura lingüística, canales de publicación o contexto del tratamiento activan controles de actualización de avisos. La política también incluye requisitos de gobernanza, medición, excepciones, aplicación y mantenimiento. Los avisos REG07 activos se revisan al menos una vez al año y dentro de los 30 días posteriores a cambios materiales legales, regulatorios, contractuales o del tratamiento. Los registros de avisos REG07 se concilian trimestralmente con las finalidades del tratamiento REG02, y las discrepancias no resueltas se registran en REG12. Las métricas incluyen el porcentaje de avisos activos vinculados a finalidades REG02 vigentes, avisos revisados en la fecha límite, actualizaciones vencidas, discrepancias no resueltas, canales de recogida bloqueados o retrasados, solicitudes de soporte de avisos de clientes completadas a tiempo y avisos con evidencias vigentes de idioma, versión, aprobación y publicación. Las excepciones deben registrarse en REG12 antes de que se produzcan desviaciones, con asesoramiento de privacidad requerido y aprobación de la Alta Dirección para excepciones específicas relacionadas con avisos. Las evidencias de avisos ausentes, inexactas, no publicadas, no aprobadas u obsoletas se registran como no conformidades, y los avisos materialmente inexactos o engañosos se escalan al Delegado de Protección de Datos (DPO) / Asesor de Privacidad y a la Alta Dirección dentro de los dos días hábiles posteriores a la confirmación.