x
×

MENNTUN POLÍTICA DE PRIVACIDAD

  1. Propósito

Esta Política está encaminada a establecer requisitos mínimos para proteger la Información Personal (según se define abajo) procesada por los sistemas computarizados de MENNTUN.

1.3 Ámbito de aplicación

Esta Política aplica a los sistema computarizados de Menntun que contenga Información Personal, y a las organizaciones responsables por sistema de TI que procesen Información Personal. Esta Política no aplica a datos recolectados con anterioridad a su expedición. Los controles de TI recomendados deben evaluarse para sistemas de legado cuando se introduzca un nuevo uso de información personal. Esta Política no aplica a procesamiento de Información Anonimizada, según se define abajo.

  1. Definiciones

Menntun: Cuando en este documento se haga referencia a “Menntun”.

Personas Autorizadas: Cualquier Persona o Entidad (empleados de Menntun, agentes, contratistas o terceros) que tengan una necesidad legítima de procesar Información Personal según sea (i) consistente con sus funciones y responsabilidades; (ii) permitida por el Controlador de los Datos ; (iii) permitido por la ley aplicable. Titular de los Datos: Cualquier empleado de Menntun que tome decisiones con respecto al procesamiento de Información personal.

Aviso: Declaración informando al titular de los datos sobre el propósito para el cual los datos son recolectados y usados y como contactar a Menntun si tienen inquietudes sobre la recolección de Información Personal. Información respecto de un individuo que identifica o puede razonablemente usarse para identificar a ese individuo, independientemente del medio o formato en que se encuentre almacenada, transmitida o socializada. Para todos los efectos, no se entenderá como información personal, aquella que es pública o conocida a nivel general.

Proceso/Procesamiento: Incluye, pero no se limita a la recolección, acceso, almacenamiento, manipulación, uso, transferencia, revelación o destrucción de Información Personal.

Personas No Autorizadas: Cualquier persona o entidad (ej. empleados, agentes o contratistas de Menntun) que no tengan una necesidad legítima de acceso a Información personal para efectos del cumplimiento de sus funciones y responsabilidades.

  1. Requisitos

3.1 Generales

La Información Personal deberá ser procesada de acuerdo con esta Política, otras políticas aplicables y/o procedimientos operativos de Menntun, y las leyes locales y de cada país. No obstante, si las leyes aplicables de cualquier jurisdicción son más restrictivas que esta Política, dichas leyes deberán seguirse en aquella jurisdicción.

Los sistemas de TI que recolectan o procesan Información Personal Secreta o Confidencial, deberán ser clasificados para su uso pretendido. Si se identifica Información Personal Secreta o Confidencial en un sistema que no está clasificado de conformidad, contacte a Recursos Humanos. Si Menntun determina que hay razón para sospechar una vulneración de la información personal, el evento deberá reportarse a Recursos Humanos.

Adicionalmente, una de las siguientes acciones deberán tomarse: • Datos Secretos y/o Confidenciales deben eliminarse del sistema si el procesamiento de dichos Datos no es el uso que se pretende del sistema.

  • El Sistema debe reclasificarse para reflejar su correcto uso pretendido, y los controles del sistema deberán re-evaluarse de conformidad.

El Responsable del Tratamiento o Procesamiento de los Datos es responsable de limitar el procesamiento de la Información Personal, en la medida de lo posible, a lo que sea razonablemente necesario para su propósito pretendido. La información deberá ser anonimizada cuando sea posible y apropiado.

Únicamente las Personas Autorizadas pueden procesar la Información Personal. Si una Persona No Autorizada recibe Información Personal no solicitada, él o ella deberá:

  • Retornar la Información Personal al remitente, y
  • Destruir la Información Personal si permanecen copias en formato electrónico luego de retornarla al remitente.

3.2 Aviso a Titulares de Datos

El Departamento de IT de Menntun, conjuntamente con el Propietario del Sistema, se asegurarán de los sistemas que recolecten datos directamente, cumplirán con los requisitos de avisos a empleados, clínicos y de mercadeo de Menntun.

3.3 Recolección

Cualquier recolección de Información Personal por parte del Responsable del Tratamiento o Procesamiento de los Datos, se recolectará con el fin de perseguir los propósitos legítimos de negocio de Menntun, y solamente cuando haya una necesidad de negocio específica.

Cuando un sistema computarizado recolecte Información Personal, el Responsable del Tratamiento o Procesamiento de los Datos, el Responsable del Tratamiento o Procesamiento de los Datos se asegurará de que los datos recolectados a través de un sistema de Menntun se realice de conformidad con esta Política, otras políticas y procedimientos aplicables de Menntun, y las leyes aplicables. Adicionalmente, toda la Información Personal recolectada por un Sistema de TI debe procesarse de acuerdo con las leyes aplicables y la política de privacidad o aviso de privacidad aplicable a los medios electrónicos en los que fue recolectada. en el evento en que apliquen múltiples políticas o avisos de privacidad a la recolección en línea de cualquier Información Personal, la política/aviso más estricto, aplicará.

3.4 Uso

Previo al uso de la Información Personal, el Responsable del Tratamiento o Procesamiento de los Datos es responsable de asegurarse que el uso se haga de conformidad con esta Política y otras políticas y/o procedimientos operativos de Menntun, así como con todos los requerimientos legales aplicables.

El Responsable del Tratamiento o Procesamiento de los Datos se asegurará de que los datos sean recolectados para Negocios de Menntun legítimos. Los empleados o agentes de Menntun nunca podrán usar la Información Personal (diferente a la suya) para uso personal sin el consentimiento previo del Titular de los datos, y únicamente cuando sea permitido por las leyes locales aplicables.

Si un Titular de datos decide revocar su consentimiento al uso de su Información Personal para propósitos de mercadeo de una Línea de Producto particular, o en jurisdicciones en donde se requiere el consentimiento expreso, y no lo otorga, el Responsable del Tratamiento o Procesamiento de los Datos se asegurará de que el Titular de los Datos no sea contactado para propósitos de mercadeo.

3.5 Revelación

Previo a la revelación de la Información Personal, el Responsable del Tratamiento o Procesamiento de los Datos es responsable de asegurarse que la revelación se realice de acuerdo con esta Política y otras políticas y/o procedimientos operativos de Menntun, así como con todos los requerimientos legales aplicables, incluyendo el aviso suministrado al Titular de los datos.

La Información Personal únicamente puede ser revelada a Personas Autorizadas.

3.6 Acceso y Corrección

La Información Personal únicamente será corregida de acuerdo con los derechos legales del Titular de los datos. Siempre que sea posible o cuando se requiera por ley, Menntun permitirá que los Titulares de los datos revisen y, cuando haya imprecisiones, solicitar la corrección de la Información Personal del Titular de los datos que Menntun tiene de ellos.

Según lo determine el Responsable del Tratamiento o Procesamiento de los Datos, se tomarán todas las medidas razonables para cumplir con dichos requerimientos.

3.7 Seguridad

Los propietarios de sistemas y el personal de TI que desarrollen Sistemas de TI que procesen Información Personal deben asegurarse de que se tomen salvaguardias físicas y técnicas para asegurar la Información Personal, de acuerdo con los requerimientos de Menntun.

El Personal de TI de Menntun que acceda o use la Información Personal también deberá asegurarse de que cualesquiera políticas y procedimientos operativos aplicables respecto al acceso o uso de la Información Personal, también sean seguidos. Se deben observar las precauciones técnicas aplicables cuando dispositivos móviles, feeds o transferencias de archivos que contengan Información Personal (i.e. por ejemplo, no se debe almacenar Información Personal en un dispositivo o medio móvil salvo que los datos estén encriptados) . La Información Personal no se debe ubicar en ambientes para compartir datos salvo que el acceso al ambiente esté restringido a aquellos con necesidad de negocio aprobada para acceder a los datos. No se debe enviar información secreta a través de tecnologías de mensajes de usuario final (correo electrónico, mensajería instantánea, etc.) salvo que los datos o el mensaje estén encriptados.

3.8 Retención y Destrucción

La Información Personal puede retenerse solamente por aquel periodo de tiempo que sea necesario para cumplir con los propósitos para los cuales sea recolectada, o según lo requiera o lo permitan acuerdos contractuales, requerimientos legales, o en virtud de políticas o procedimientos operativos de Menntun. La Información Personal debe ser almacenada, mantenida, o destruida de acuerdo con las políticas y procedimientos Corporativos y de afiliados sobre retención y de acuerdo con las Políticas y Procedimientos establecidos por la división de Seguridad Informática Empresarial, así como de conformidad con los requerimientos legales aplicables.

3.9 Contratación de Entidades Distintas a Menntun para el Tratamiento de Información Personal

Previo a la contratación de entidades no Menntun para procesar Información Personal, el Responsable del Tratamiento o Procesamiento de los Datos deberá determinar, consultado las políticas y procedimientos aplicables y/o los modelos de contratos aprobados por la División Legal, sobre si es apropiado un acuerdo por escrito o cualquier otra documentación que incluya la siguiente información:

 

  • Las entidades no Menntun deben ser aprobadas para su uso pretendido vía evaluación de proveedor, si ellas van a procesar Información Personal en nombre de Menntun;
  • Existen restricciones apropiadas en el procesamiento de Información Personal por parte de dichas entidades no Menntun; y
  • Hay otros requerimientos o restricciones requeridas por la ley local o los requerimientos contratados.
  • La entidad no Menntun acepta los otro-sí (addendums) contractuales que se requieran según las Políticas de Menntun
  • Transferencia de Información Personal (No se realizará ninguna transferencia de datos)

En caso de existir cualquier transferencia de Información Personal, las partes que transfieran y reciban la Información Personal deben (1) cumplir con todas las políticas y procedimientos aplicables, y (2) asegurarse de cumplir con los requerimiento legales aplicables de cualesquiera y todos los países involucrados, y (3) consultar con la División Legal , según se requiera (4) asegurarse que las medidas adecuadas físicas y técnicas de seguridad estén implementadas para proteger los datos.

3.10 Resolución de Cumplimiento

Menntun está comprometido en asistir a los Titulares de los Datos en proteger su privacidad y cooperará con las autoridades locales de protección de datos en las resolución de cualesquiera inquietudes, controversias o quejas.