Declaración del Reglamento General de Protección de Datos (GDPR)

Los esfuerzos que realiza TMF Group para asegurar el cumplimiento permanente de GDPR 

Con el fin de garantizar un procesamiento de datos personales justo y transparente, teniendo en cuenta las circunstancias específicas y el contexto en el cual se procesan los datos personales, hemos presentado nuevas medidas técnicas y organizacionales, y mejorado aquellas que ya están disponibles, para garantizar que los factores que generen riesgos potenciales para los datos personales sean minimizados en la mayor medida posible.

Para garantizar el cumplimiento de GDPR, hemos redactado nuevos manuales y políticas internas y actualizado aquellas vigentes, e implementado medidas que cumplan, en particular, los principios de privacidad por diseño y privacidad por defecto. Tales medidas, entre otras, impactan en los siguientes aspectos: (i) procesamiento minimizado de datos personales, (ii) mayor seguridad de procesamiento, (iii) transparencia con respecto a los datos procesados (iv) organización adecuada y oportuna de respuestas a solicitudes de sujetos de datos, (v) asistencia en procedimientos de respuesta oportuna a incidentes, y (vi) supervisión de actividades de procesamiento de datos personales en cumplimiento para asegurar un procesamiento adecuado y legítimo.

Al desarrollar, diseñar, seleccionar o utilizar aplicaciones de negocios, o prestar servicios y ofrecer productos a nuestros clientes que incluyan el procesamiento de datos personales, nos aseguramos de cumplir con nuestras obligaciones legales en relación con GDPR. Durante el proceso, se respetan los principios de privacidad por diseño y privacidad por defecto, y se evalúan y mejoran continuamente las medidas organizacionales y técnicas, principalmente llevadas a cabo por TMF Group y detalladas a continuación.

Medidas organizacionales relativas a GDPR

• Se establece el esquema de gobernanza de la privacidad, presentando el rol del Chief Privacy Officer y del Equipo de Privacidad Global, que garantizan el cumplimiento de GDPR y el cumplimiento con las leyes de privacidad locales en las jurisdicciones en las cuales operamos;
• Políticas de privacidad internas y externas y declaraciones que han sido actualizadas para reflejar los requerimientos de GDPR;
• Hemos implementado procesos, procedimientos y lineamientos para atender las solicitudes de nuestros clientes, prospectos y empleados con relación a sus denominados derechos de GDPR Capítulo III: derecho a la portabilidad de datos, derecho a la supresión (“derecho al olvido”), derecho a la información y transparencia, derecho de acceso y rectificación, derecho a restringir el procesamiento y derecho a objetar el procesamiento (automatizado) de datos personales;
• El inventario de datos (registros de actividades de procesamiento, denominados “RoPA”, en inglés), fue establecido por prestigiosos expertos líderes de la industria de acuerdo con las mejores prácticas de la industria financiera. Se mantiene en cumplimiento con GDPR y brinda una visión de los flujos de datos a través de la organización. Las actualizaciones de RoPA requeridas se basan en los procesos organizacionales;
• Las Evaluaciones de Impacto en la Protección de los Datos (DPIA, por sus siglas en inglés) se pueden realizar según sea necesario y mediante una solicitud para respaldar el cumplimiento de los clientes. Para procesos internos, los escaneos rápidos de DPIA y las evaluaciones DPIA se realizan antes de comenzar cualquier actividad de procesamiento de alto riesgo;
• Los lineamientos, procedimientos y procesos están preparados para controlar incidentes relacionados con datos personales. Estos procedimientos y la resolución de incidentes están supervisados por nuestros Oficiales de Privacidad y Seguridad;
• Los acuerdos de servicios con nuestros clientes y proveedores (subprocesadores) reflejan los requerimientos de GDPR. Solo contratamos subprocesadores que brinden suficientes garantías, en particular, en términos de conocimiento especializado, confiabilidad y recursos, y requerimos de su parte la implementación de medidas técnicas y organizacionales que cumplan con los requerimientos de GDPR y de nuestros clientes, incluyendo la seguridad del procesamiento;
• La autoridad de supervisión holandesa (principal para TMF Group) aprobó las Reglas Corporativas Vinculantes (BCR, por sus siglas en inglés) de TMF Group para transferencias internas de datos personales del controlador y procesador hacia y desde países que ofrecen un nivel inadecuado de protección en comparación con el que se aplica en la Unión Europea; 
• El cumplimiento de GDPR de cada oficina local está sujeto a auditorías internas frecuentes bajo la supervisión del Chief Privacy Officer; 
• Se han realizado campañas de capacitación y concientización dirigidas a todos los empleados, y se requiere que todos los empleados completen la capacitación obligatoria sobre GDPR. Las capacitaciones son actualizadas anualmente;
• Las campañas directas de marketing de TMF Group están preparadas para GDPR, lo cual significa que son realizadas con una evaluación previa orientada a la privacidad y bajo la supervisión de profesionales de marketing capacitados en GDPR.

Medidas técnicas y de seguridad relativas a GDPR 

• Todo el personal firmó declaraciones de confidencialidad, y la adhesión a las políticas internas es obligatoria;
• Las tareas del personal y el acceso a los sistemas de TI y a las instalaciones físicas de almacenamiento de datos personales (“Almacenamiento”) está garantizado, alineado con (múltiples) requisitos de autenticación;
• Se implementa una división de roles y responsabilidades del personal que reduce la posibilidad de que un único individuo comprometa un proceso crítico;
• Cada miembro del personal realizará solamente tareas relacionadas a sus respectivas posiciones y trabajos;
• Los derechos de acceso del personal a los sistemas de TI y Almacenamiento están alineados con necesidades de negocios predefinidas y documentadas, y los requisitos de empleo se adhieren a las identidades de los usuarios;
• La administración de las cuentas del personal está restringida a personal autorizado y bajo revisión periódica.

Le recomendamos a los clientes, proveedores y socios que revisen nuestra Política de Protección de Datos Personales en cumplimiento con GDPR, y la Declaración de Continuidad que incluye una descripción de las medidas técnicas y de seguridad de TMF Group, junto con las Reglas Corporativas Vinculantes, que nos permiten transferir datos personales internamente sin ninguna restricción legal o técnica.

Si tiene alguna pregunta sobre contratación, por favor contacte a su oficina local o envíe un correo electrónico a nuestro equipo especializado a dataprotection@tmf-group.com.