Política global de protección y privacidad de datosweb-files.crawco.com/Documents/Policies/es-la/DPPOL001_ES-XL.pdf · procesamiento de sus datos personales. Procesador de datos

Política global de protección y privacidad de datos

Página 1 de 16

Introducción Crawford & Company y sus subsidiarias de participación mayoritaria y controladas (colectivamente “Crawford” o “la Compañía”) adoptaron esta Política de protección global de datos y privacidad (“Política”). Crawford reconoce la importancia de la privacidad y la seguridad, y está comprometida con cumplir las leyes aplicables de protección de datos y los requisitos contractuales del cliente al manipular datos personales.

Propósito

Aunque las leyes de protección de datos varían por jurisdicción, todo el personal de Crawford debe saber que esas leyes existen para proteger la privacidad y seguridad de los datos personales, y que esas leyes impactan en la forma en que Crawford y su personal usan, acceden, divulgan o procesan esta información.

Esta Política global de protección y privacidad de datos (“Política”):

Establece los principios que se aplican al procesamiento de datos personales de Crawford y describe cómo Crawford cumple con estos principios.

Proporciona una reseña de la estructura de gobierno de Crawford y las funciones y responsabilidades de personas y grupos clave en el desarrollo de las obligaciones y tareas de cumplimiento de privacidad de Crawford.

Esta política se complementará con políticas, procedimientos y pautas adicionales para abordar áreas, jurisdicciones, leyes y requisitos específicos.

Alcance

Esta política se aplica a todos los datos personales que procesa Crawford como controlador de datos o procesador de datos, entre ellos, los relacionados con su personal, clientes, reclamantes, proveedores y otras partes. Todo el personal debe cumplir con esta política. El personal que viole esta Política puede estar sujeto a sanción disciplinaria, sujeto a leyes locales aplicables y terminación del empleo.

Todo el personal posee una función importante en la gestión y protección adecuadas de los datos personales, en la identificación de problemas en la protección de datos y manipulación de datos a medida que surgen y en su traspaso inmediato a la Oficina Global de Privacidad. Se espera que todo el personal coopere según corresponda en la implementación de los principios, requisitos y componentes clave de esta Política.

Principios 1. Procesamiento imparcial, transparente y legal. Los datos personales se recopilarán, almacenarán y procesarán de forma imparcial, legal y


Página 2 de 16

transparente. Esto significa:

1.1. Las personas serán informadas del procesamiento (por el Controlador de datos).

1.2. Los datos personales se procesan según el propósito establecido para su recopilación o propósitos compatibles similares, y estarán sujetos a una base legal como el consentimiento cuando corresponda en virtud de la ley.

1.3. Los datos personales no se procesarán de una forma en que el sujeto de los datos no espere razonablemente.

1.4. Cuando actúe como procesador de datos, los datos personales solo se procesarán según sea necesario para desarrollar los servicios según lo indicado por los clientes, o cuando lo requiera la ley aplicable.

2. Minimización de los datos. Los datos personales se recopilarán únicamente cuando sea razonable y necesario para el propósito establecido por el cual se procesan y serán adecuados, relevantes y limitados a lo que sea necesario en relación con esos propósitos.

3. Limitación del propósito. Los datos personales se procesarán para propósitos específicos, explícitos y legítimos, y de forma compatible con el propósito por el cual los datos personales se recopilaron inicialmente.

4. Precisión. Los datos personales serán precisos y actuales.

4.1. Se tomarán los pasos razonables para garantizar la precisión de los datos personales obtenidos.

4.2. Los datos personales que no sean precisos (en relación con el propósito de su procesamiento) se eliminarán o rectificarán.

5. Conservación limitada. Los datos personales se conservarán solamente por el plazo que sea necesario para alcanzar el propósito específico, sujeto a las leyes aplicables de protección de datos y requisitos contractuales del cliente.

6. Seguridad e integridad. Se establecerán medidas adecuadas de seguridad organizativas, administrativas y técnicas para proteger los datos personales, se estipulará el procesamiento seguro de datos personales e identificarán, evitarán, detectarán y mitigarán riesgos de datos personales y sistemas, herramientas y procesos usados para procesar datos personales.

6.1. Los datos personales se procesarán de forma tal que se estipule la seguridad adecuada de los datos personales.

6.2. Las medidas de seguridad deben diseñarse e implementarse para


Página 3 de 16

protegerlos contra procesamiento no autorizado e ilegal, y contra pérdida accidental, destrucción o daño de los datos personales y sistemas relacionados.

6.3. Se diseñarán e implementarán controles para detectar, mitigar y subsanar eventos e incidentes de seguridad.

6.4. Se establecerán políticas y procedimientos para que los eventos, incidentes de seguridad e incidentes de privacidad se informen de inmediato de manera interna y se investiguen, evalúen y manejen de acuerdo con las leyes establecidas de protección de datos cuando puedan impactar los datos personales o las actividades relacionadas con el procesamiento.

7. Privacidad diseñada. Se diseñarán, implementarán y desarrollarán actividades y procesos de forma tal que cumplan desde el inicio con los principios mencionados anteriormente y con la integración de las protecciones necesarias para los datos personales.

8. Responsabilidad.

Se evaluará el cumplimiento con estos principios y las actividades de procesamiento se desarrollarán de forma tal que demuestren cumplimiento y puedan auditarse y evaluarse.

8.1. Las consultas y reclamaciones relacionadas con el procesamiento de datos personales se evaluarán, responderán y resolverán (cuando sea posible) de manera imparcial y sin demora.

8.2. Se establecieron procesos razonables para recibir, manipular y responder a preguntas, solicitudes y reclamaciones de personas y clientes, a fin de ofrecer respuestas imparciales, oportunas, consistentes y legítimas.

8.3. Se mantendrán registros precisos de las actividades de procesamiento, incluidos registros de incidentes de seguridad, solicitudes de los sujetos de datos y otros registros obligatorios en virtud de las leyes aplicables de protección de datos.

Componentes clave del cumplimiento con la privacidad

A fin de cumplir con los principios establecidos anteriormente, Crawford debe tomar medidas para garantizar que estos principios se aborden dentro de todos los procesos y las actividades comerciales relevantes e implementar determinados procesos y procedimientos que incluyan los siguientes componentes clave, cada uno de los cuales se aborda más adelante en esta Política:

Aviso a las personas


Página 4 de 16

Base legal del procesamiento

Mantenimiento de registros (y registros de procesamiento)

Derechos del sujeto de los datos

Gestión de terceros y proveedores

Respuesta ante incidentes

Conocimiento y capacitación sobre privacidad

Evaluación del impacto en la privacidad

Evaluaciones y auditorias continuas

Gobierno

Aviso a las personas

Crawford notificará a los sujetos de los datos acerca de los datos personales de ellos que procesa según lo requerido por la Ley de protección de datos, incluidos los avisos sobre lo siguiente: los tipos de datos personales recopilados, los propósitos del procesamiento, los métodos de procesamiento, los derechos de los sujetos de los datos en relación con sus datos personales, el período de conservación, las transferencias potenciales internacionales de datos, si los datos se compartirán con terceros y las medidas de seguridad de la Compañía para proteger los datos personales.

Para los empleados, esta información se establecerá en un aviso de privacidad del empleado y avisos adicionales, según lo requerido en virtud de la Ley de Protección de Datos correspondiente. Cuando corresponda, los avisos de privacidad del empleado se proporcionarán a los nuevos empleados durante la incorporación y se publicará en línea una copia del aviso de privacidad cuando sea posible, y estará disponible a través de la comunicación con el departamento local de Recursos Humanos. Los empleados serán notificados y recibirán una copia de los avisos aplicables de privacidad del empleado cada vez que se realicen modificaciones en el material.

Para los clientes, proveedores y otras terceras partes relevantes, se proporcionará o pondrá a disposición el aviso de privacidad de manera que pueda recuperarse y accederse fácilmente, cuando sea práctico en el punto de recopilación de datos personales o tan pronto como sea posible.

Base legal del procesamiento

Los datos personales solo pueden recopilarse y procesarse por Crawford en cumplimiento con las leyes aplicables de protección de datos y cuando se requiera con el consentimiento del sujeto de los datos. Cuando actúe como


Página 5 de 16

procesador de datos, los datos personales solo se procesarán según sea necesario para desarrollar los servicios según lo indicado por los clientes, o cuando lo requiera la ley aplicable.

Cuando el procesamiento de datos personales esté basado en el consentimiento explícito del sujeto de los datos, se debe realizar y mantener un registro de dicho consentimiento.

Los datos personales que estén sujetos a leyes de protección de datos de la UE solo pueden procesarse en cumplimiento con una base legal específica en virtud de la ley. Cuando Crawford es el controlador de los datos, es responsable de garantizar que el procesamiento se desarrolle en cumplimiento con una o más bases legales específicas (p. ej., consentimiento, necesario para celebrar el contrato con la persona, propósito comercial legítimo, requerido por ley, necesario para defender los derechos) y que la base legal se haya divulgado a los sujetos de los datos en el aviso de privacidad relevante.

Mantenimiento de registros

Crawford mantendrá registros precisos de sus actividades de procesamiento, incluidos registros obligatorios según lo establecido en las leyes aplicables de protección de datos. La Oficina Global de Privacidad mantiene un inventario/registro de datos de procesamiento del procesamiento de datos personales de Crawford según lo requerido en virtud de las leyes de protección de datos de la UE. El director de protección de datos del grupo de la UE es responsable de garantizar que el registro de procesamiento se actualice según corresponda.

Derechos del sujeto de los datos

Los sujetos de los datos tienen derechos específicos relacionados con sus datos personales y cómo se procesan. Los sujetos de los datos tendrán a disposición un mecanismo razonable que les permite acceder a sus datos personales, ejercer cualquier otro derecho aplicable, como el derecho a actualizar, rectificar, eliminar o transmitir en formato portátil sus datos personales, si corresponde o es requerido por la ley (“Derechos del sujeto de los datos”) y consultar o presentar una reclamación relacionada con el procesamiento de sus datos personales.

Procesador de datos

Cuando Crawford actúe como procesador de datos, de acuerdo con las leyes aplicables y requisitos contractuales, notificará al controlador de datos acerca de cualquier solicitud del sujeto de los datos para ejercitar sus derechos de sujeto de los datos y ofrecer respaldo razonable cuando se solicite para permitir que el controlador de datos responda a la solicitud


Página 6 de 16

según lo requerido por las leyes de protección de datos.

Controlador de datos

Cuando Crawford actúe como controlador de datos, es responsable de respetar los derechos del sujeto de los datos y responder a las solicitudes relacionadas según lo requerido por las leyes de protección de datos. El director de privacidad o su delegado brindarán pautas para responder a tales solicitudes, todo el personal es responsable de respetar dichas pautas.

Transferencias de datos personales a otros países

Las leyes aplicables de protección de datos y los compromisos con clientes pueden requerir que Crawford tome medidas para proteger los datos personales antes de transferirlos fuera del país donde se recopilaron.

Protección equivalente.

Crawford debe tomar medidas para garantizar que las transferencias de datos personales a otros países están sujetas a protección adecuada. Los datos personales que se transfieren a otro país deben procesarse por Crawford, o en nombre de este, de acuerdo con las leyes aplicables de protección de datos y los compromisos con los clientes.

Transferencias restringidas

Las transferencias restringidas de datos personales deben llevarse a cabo de acuerdo con las leyes aplicables de datos personales y compromisos con los clientes.

A fin de procesar correctamente esos datos personales, Crawford adoptó varias medidas para garantizar que los datos personales estén correctamente protegidos cuando se transfieren fuera de la jurisdicción donde se recopilaron.

Cuando exista cualquier transferencia restringida de datos personales, deben usarse protecciones adecuadas, incluida la ejecución de cláusulas contractuales estándar cuando corresponda. Crawford evaluará si se necesita alguna autorización de autoridades de supervisión o clientes relevantes.

Transferencias entre grupos de Crawford

Crawford celebró un acuerdo de procesamiento de datos entre grupos, que incorpora las cláusulas contractuales estándar, a fin de proporcionar la protección adecuada para las transferencias restringidas entre entidades del grupo Crawford, además de otros procesamientos de datos personales por una o más entidades del grupo Crawford en nombre de una o más entidades del grupo Crawford.

Cada entidad del grupo Crawford celebrará un acuerdo de transferencia de datos entre grupos y cumplirá con el acuerdo de transferencia de datos


Página 7 de 16

entre grupos en relación con cualquier transferencia o procesamiento entre entidades del grupo Crawford. A medida que las nuevas entidades se incorporan a Crawford, cada nueva entidad deberá celebrar el acuerdo de transferencia de datos entre grupos.

Transferencias a proveedores

Antes de que se produzca cualquier transferencia restringida a un proveedor, Crawford tomará medidas para incorporar las cláusulas contractuales estándar en el acuerdo contractual aplicable entre Crawford y el proveedor.

Gestión de terceros y proveedores

Las relaciones comerciales con terceros, y participación de estos, deben desarrollarse de manera tal que cumplan con esta Política, leyes aplicables de protección de datos y compromisos con los clientes.

Los proveedores y subprocesadores solo pueden participar si son capaces de cumplir con las normas correspondientes y proporcionar protección adecuada para los datos personales.

Como mínimo:

Debe desarrollarse la diligencia debida correspondiente de todos los proveedores y subprocesadores, antes de realizar el procesamiento de datos personales (incluidos el almacenamiento o acceso) y de forma continua y posteriormente según corresponda (sujeto al programa de gestión de riesgos de terceros de Crawford).

Se deben implementar obligaciones contractuales adecuadas con cada proveedor, que incluyan (cuando corresponda) obligaciones contractuales que sean equivalentes a las aplicadas a Crawford en virtud de los contratos de clientes relevantes.

Crawford debe tomar medidas para incorporar las cláusulas contractuales estándar en el acuerdo contractual aplicable entre Crawford y el proveedor, si existiese alguna transferencia restringida.

Se completarán todas las medidas necesarias en virtud de las leyes de protección de datos y compromisos contractuales del cliente.

Los proveedores y terceros deben ser evaluados, comprometidos y gestionados de acuerdo con el programa de gestión de riesgos de terceros de Crawford.

Respuesta ante incidentes

Son necesarios controles adecuados a fin de que los incidentes de seguridad que puedan impactar los datos personales se detecten, informen y gestionen de acuerdo con las políticas y los procedimientos establecidos, incluidas la


Página 8 de 16

Política global de respuesta ante incidentes y leyes aplicables de protección de datos.

Cuando un evento de seguridad o incidente de seguridad puede impactar los datos personales o indicar una violación de esta Política, leyes de protección de datos o compromisos con el cliente, la Oficina Global de Privacidad debe ser notificada de inmediato.

La Oficina Global de Privacidad es responsable de evaluar, investigar y determinar la respuesta y obligaciones de notificación que surjan de un evento de privacidad o incidente de privacidad y todo el personal debe cooperar con la Oficina de privacidad según corresponda para evaluar, investigar, mitigar, informar y resolver eventos e incidentes de privacidad. La Oficina Global de Privacidad es la única con autoridad para determinar si un evento o incidente de privacidad es una violación de datos; el personal no debe especular o identificar incidentes como violaciones de datos, a menos que así lo indique la Oficina Global de Privacidad.

Cuando se determina una violación de datos, Crawford debe actuar de inmediato para proporcionar cualquier aviso requerido a clientes, autoridades de supervisión y sujetos de los datos relevantes.

Conocimiento y capacitación sobre privacidad

La gestión de privacidad y protección de datos son crucialmente importantes para Crawford y su capacidad para:

Cumplir con leyes y compromisos contractuales con el cliente.

Controlar riesgos.

Mantener la confianza.

Funcionar efectivamente.

Respaldar metas estratégicas y el modelo de gestión de datos.

Capacitación anual

Se requerirá capacitación obligatoria sobre privacidad y seguridad para todo el personal al menos de forma anual en relación con privacidad, protección de datos y seguridad de la información.

Capacitación adicional basa en la función

El personal con funciones que impliquen manipulación regular de datos personales y las personas con responsabilidades clave específicas dentro de la estructura de gestión de privacidad recibirán capacitación sobre recursos adicionales basada en la función, según corresponda.


Página 9 de 16

Recursos integrados de privacidad

Se identificarán enlaces de privacidad en toda la compañía para respaldar las iniciativas de privacidad, concientizar a los colegas y vincularse con la Oficina Global de Privacidad.


Es crucialmente importante que las actividades y los procesos se diseñen, implementen y desarrollen de forma tal que estipulen el cumplimiento con las leyes de protección de datos y políticas de Crawford y la integración de la protección necesaria de los datos personales. Este es un componente clave del principio de privacidad diseñada (consulte el Principio 7 más arriba).

Crawford desarrolló una política y procedimientos para desarrollar evaluaciones del impacto en la privacidad y, cuando corresponda, evaluaciones del impacto en la protección de datos.


Deben desarrollarse Evaluaciones del impacto en la privacidad (PIA) para evaluar el impacto en la privacidad e identificar riesgos relacionados con los proyectos, las actividades y los proveedores que pueden impactar en la privacidad y seguridad de los datos personales. Antes de participar con un nuevo proveedor, comenzar un nuevo proyecto, diseñar o actualizar materialmente un nuevo sistema, combinar datos de dos sistemas o conjuntos de registros, o participar en una actividad o proceso nuevos o sustancialmente modificados que impacten en los datos personales o cómo se procesan, debe desarrollarse una PIA.

Evaluaciones del impacto en la protección de datos

Cuando una PIA indique que el procesamiento de datos personales probablemente resulte en un alto riesgo para los derechos y las libertades individuales, se desarrollará una evaluación del impacto en la protección de datos (DPIA) antes del procesamiento, a fin de determinar la naturaleza de esos riesgos y mitigar estos riesgos en la medida de lo posible. Este procesamiento no puede comenzar hasta que el Comité de Asesoramiento sobre Privacidad determine que los riesgos del procesamiento se han mitigado adecuadamente.

Evaluación y actualizaciones continuas

Se desarrollarán evaluaciones de riesgos continuas de los procesos y sistemas comerciales relevantes para:

Verificar que los controles, las políticas y los procedimientos internos están vigentes y se respetan.

Identificar cualquier brecha en el cumplimiento.


Página 10 de 16

Los procesos y procedimientos de cumplimiento con la privacidad se actualizarán para justificar lo siguiente:

Nuevas amenazas o riesgos al negocio que se han identificado.

Cambios en las operaciones y actividades.

Cambios en las leyes de privacidad.

Áreas de mejora basadas en los resultados de las evaluaciones de riesgos, PIA, auditorías, reclamaciones, lecciones aprendidas de esfuerzos de respuesta ante incidentes y otros medios.

Gobierno Oficina Global de Privacidad

Crawford estableció una Oficina Global de Privacidad, que está diseñada para desarrollar, gestionar e impulsar iniciativas de privacidad en toda la empresa. En un nivel superior, la Oficina Global de Privacidad:

Inicia y fomenta una cultura de privacidad dentro de Crawford.

Garantiza que la privacidad se incluya en los objetivos y metas comerciales.

Gestiona el cumplimiento en un entorno reglamentario complejo.

La Oficina Global de Privacidad desarrolla lo anterior con comentarios y colaboración de varias funciones dentro de Crawford, como el Departamento Legal, la Oficina de Ética y Cumplimiento, Tecnología de la Información y Seguridad de la Información.

Director de privacidad

El director de privacidad lidera la Oficina Global de Privacidad y está a cargo de la responsabilidad y rendición de cuentas generales de la privacidad dentro de Crawford. Esto incluye lo siguiente:

Desarrollar y mantener esta Política y políticas y procedimientos de respaldo.

Establecer la dirección y prioridades del programa de cumplimiento con la privacidad de Crawford, incluida la implementación de objetivos de privacidad en toda la empresa.

Gestionar el presupuesto y los recursos (incluidos los ejecutivos de protección de datos).

Las líneas globales de servicio, departamentos y entidades locales son responsables del inicio e implementación de objetivos de privacidad en toda la empresa en consulta con el director de privacidad.

Ejecutivos de protección de datos y ejecutivos de privacidad de datos


Página 11 de 16

Crawford creó funciones adicionales con responsabilidad formal en el cumplimiento con las leyes de protección de datos en regiones y jurisdicciones específicas, según lo establecido a continuación. Crawford nombrará a las personas que ocuparán estas funciones. Estas personas son responsables frente al director de privacidad en relación con sus deberes relevantes para supervisar el cumplimiento con esta Política, políticas y procedimientos de protección de datos relacionados y leyes aplicables de protección de datos.

Unión Europea

El ejecutivo de protección de datos es una función reglamentaria requerida por las leyes de protección de datos de UE en virtud de determinadas condiciones. Crawford establecerá una o más funciones de ejecutivo de protección de datos dentro de la UE, con responsabilidad por las leyes de protección de datos de la UE en una jurisdicción particular o en nombre del grupo Crawford.

Director del grupo de protección de datos. El director del grupo de protección de datos de la UE tiene la responsabilidad de monitorear y asesorar sobre el cumplimiento de Crawford con las leyes de protección de datos de la UE, además de asistir con la actualización regular de los registros obligatorios de procesamiento y ofrecer comentarios sobre DPIA obligatoria. Un director del grupo de protección de datos de la UE será miembro de la Oficina Global de Privacidad e informará al director de privacidad, pero debe ser capaz de desarrollar sus tareas con independencia. El director del grupo de protección de datos de la UE será respaldado por los líderes de privacidad locales en las jurisdicciones relevantes de la UE.

Director de protección de datos del país. Un director de protección de datos de la UE específico del país puede ser nombrado de forma interna o interna, y tendrá la responsabilidad del cumplimiento con la protección de datos en una jurisdicción particular e informar al gerente del país de esa jurisdicción.

Cada director de protección de datos de la UE que se nombra estará sujeto a los términos que garantizan su independencia e imparcialidad. La función del director de protección de datos no es comercial y el director de protección de datos no debe colocarse en una situación (p. ej., a través de la asignación de responsabilidades adicionales) donde pueda crearse un conflicto de intereses. Cada director de protección de datos de la UE tendrá independencia para desarrollar sus tareas reglamentarias e informar los asuntos relacionados con el cumplimiento de las leyes de protección de datos de la UE en el nivel más alto de gestión como se indica a continuación:

El director del grupo de protección de datos de la UE es capaz de


Página 12 de 16

comunicar asuntos relacionados con el cumplimiento de las leyes de protección de datos de la UE al equipo de gestión global ejecutivo.

Un director de protección de datos de la UE específico del país es capaz de comunicar asuntos relacionados con el cumplimiento de las leyes de protección de datos en una jurisdicción particular al gerente de país de esa jurisdicción.

La Oficina de privacidad mantendrá un registro actualizado de los nominados como director de protección de datos de la UE y debe ser divulgado en avisos de privacidad relevantes de los sujetos de los datos y notificarse a las autoridades relevantes de supervisión según lo requerido por las leyes aplicables de protección de datos de la UE.

Las Filipinas

Se requiere un director de protección de datos de Filipinas para cada entidad de Crawford en las Filipinas. Un director de protección de datos de Filipinas puede nombrarse para una o más entidades en Filipinas, y tendrá la responsabilidad de supervisar el cumplimiento con las leyes de protección de datos de Filipinas y presentar cualquier registro requerido en virtud de las leyes aplicables de protección de datos ante la Comisión nacional de privacidad de Filipinas. Podrá nombrarse un director de cumplimiento para cada entidad de Filipinas a fin de respaldar al director de protección de datos de Filipinas. El director actual de protección de datos para cada entidad de Filipinas será notificado a la Comisión nacional de privacidad de Filipinas.

Canadá

Se nombrará un director canadiense de privacidad de datos para una o más entidades canadienses según lo requerido en virtud de las leyes canadienses de protección de datos y tendrá la responsabilidad de supervisar el cumplimiento con las leyes canadienses de protección de datos.

Otras jurisdicciones

Cuando lo requieran las leyes aplicables de protección de datos, Crawford designará funciones adicionales con responsabilidad formal para privacidad y protección de datos en jurisdicciones particulares, que serán responsables frente al director de privacidad en relación con sus deberes relevantes de supervisar el cumplimiento con la privacidad.

Líderes de privacidad de la UE

Se nombrará a un líder de privacidad para cada entidad de Crawford en la UE, para respaldar al director del grupo de protección de datos de la UE al recibir, revisar y responder a consultas y reclamaciones de los clientes, sujetos de los datos y autoridades de supervisión y desarrollar cualquier DPIA necesaria.


Página 13 de 16

Coordinadores de privacidad

A menos que la Oficina Global de Privacidad otorgue una excepción, cada afiliada y cada departamento global asignará un coordinador de privacidad que será responsable de ser un punto compartido de contacto entre la Oficina Global de Privacidad y su entidad o departamento, y de identificar los problemas de cumplimiento en el terreno y trasladarlos a la Oficina Global de Privacidad y ayudar a la Oficina Global de Privacidad a implementar iniciativas de privacidad. Los coordinadores de privacidad son responsables frente al director de privacidad en relación con sus deberes relevantes.

Un líder de privacidad de la UE también puede desempeñarse como coordinador de privacidad.

Comité de Asesoramiento sobre Privacidad

El Comité de Asesoramiento sobre Privacidad es un grupo sénior interdisciplinario establecido para discutir el cumplimiento con la protección de datos y temas de gestión que justifican un examen o decisión interdisciplinarios. El Comité de Asesoramiento sobre Privacidad está dirigido por el director de privacidad y sus miembros incluyen a todos los directores internos de protección de datos y directores de privacidad de datos, además de representantes de departamentos clave, entre ellos, la Oficina de Ética y Cumplimiento, el Departamento Legal, Tecnología de la Información y Seguridad de la Información.

El Comité se reúne al menos cada trimestre e informa al equipo de gestión global ejecutivo. El Comité preparará un informe anual que se presentará ante la Junta Directiva de Crawford, o comité designado, y que resuma los eventos significativos durante el año calendario previo (p. ej., hitos logrados).

El Comité de Asesoramiento sobre Privacidad tiene expresamente permitido informar al equipo de gestión global ejecutivo, y cuando corresponda a la Junta Directiva de Crawford (o comité designado), ad-hoc, problemas o comentarios relacionados con proyectos potencialmente de alto riesgo o posibles instancias de material sin conformidad.

Definiciones “Cliente” significa un cliente actual, anterior o potencial de Crawford y cualquier otra parte en nombre de la cual Crawford actúa según la instrucción de tal cliente.

“Datos personales del cliente” significa datos personales que procesa Crawford (como procesador de datos) en nombre de sus clientes.

“Controlador de datos” o “Controlador” significa la persona/entidad física o jurídica que sola o juntamente con otras, determina los propósitos y medios


Página 14 de 16

del procesamiento de datos personales.

“Procesador de datos” o “Procesador” significa la persona/entidad física o jurídica que procesa datos personales en nombre del controlador.

“Leyes de protección de datos” significa, en la medida que sea aplicable a Crawford, las leyes, normas y reglamentaciones relacionadas con la privacidad y protección de datos o la gestión del procesamiento de datos personales (incluidas las leyes de protección de datos de la UE).

“Sujeto de los datos” significa la persona con la que se relacionan los datos personales.

“EEE” significa Espacio Económico Europeo.

“Leyes de protección de datos de la UE” significa la Directiva 95/46/EC de la UE, traspuesta en la legislación nacional de cada estado miembro y según se modifique, reemplace o sustituya periódicamente, incluida la Regulación General de Protección de Datos de la UE 2016/679 (GDPR) y las leyes que implementan o complementan la GDPR, además de cualquier legislación sucesora de protección de datos del Reino Unido de la GDPR adoptada si el Reino Unido abandona la Unión Europea.

“Datos personales” significa cualquier información relacionada con una persona física identificada o identificable, incluye información en cualquier formato o medio, independientemente de si la información está cifrada. Una persona puede ser directamente identificable mediante su nombre, dirección, identificación de empleado, número de reclamo, dirección de correo electrónico, número de teléfono o identificador de gobierno, por ejemplo. Una persona puede ser indirectamente identificable mediante la vinculación o combinación de información adicional que puede o no estar en custodia o control de Crawford con información en custodia o control de Crawford, como una dirección IP, dirección MAC, identificador de dispositivo, identificador biométrico u otro identificador único, información de geolocalización, información genética o ADN, por ejemplo.

“Violación de datos” significa cualquier uso, divulgación u otro procesamiento de datos personales no autorizados conocidos o con sospechas razonables, o acceso a estos, además de cualquier pérdida, robo o adquisición de datos personales o cualquier incidente que comprometa la seguridad de los datos personales.

“Personal” significa todos los empleados a tiempo completo, tiempo parcial, regulares y contratados, consultores y trabajadores que no sean empleados.

“Proceso” significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o conjuntos de datos personales, ya sea de forma automática o no, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación,


Página 15 de 16

consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición, alineación o combinación, restricción, eliminación o destrucción de los datos.

“Transferencia restringida” significa una transferencia de datos personales desde, entre o hacia Crawford (incluida cualquier entidad del grupo Crawford) a través de fronteras nacionales que está prohibida por leyes aplicables de protección de datos o acuerdos con el cliente, en ausencia de cláusulas contractuales estándar.

“Datos confidenciales” significa datos personales que se consideran confidenciales o que están sujetos a normas reglamentarias intensificadas en virtud de las leyes de protección de datos (incluidas las “categorías especiales de datos personales” en virtud de las leyes de protección de datos de la UE), y los datos personales que, si se acceden o divulgan sin autorización, pueden generar robo de identidad o perjuicio financiero material, físico o de la reputación, además de: raza o etnia, creencias religiosas o filosóficas, membresía a sindicatos, afiliación política, orientación sexual o vida privada, información de salud, tratamiento médico, información sobre discapacidad, información de salud protegida, salud mental, genética, datos biométricos, número de tarjeta de crédito o cuenta financiera, datos de tarjeta de pago, número de Seguro Social o identificadores de gobierno, informe de crédito o verificaciones de antecedentes y antecedentes o procesos penales.

“Cláusulas contractuales estándar” significa:

(a) para datos personales sujetos a leyes de protección de datos de la UE, cláusulas contractuales estándar de la UE para la transferencia de datos personales a procesadores ubicados en otros países o cualquier sucesor o mecanismo alternativo de transferencia de datos, reconocido por la Comisión Europea según la GDPR (Artículos 44-46); o bien,

(b) para datos personales sujetos a leyes de protección de datos diferentes a las leyes de protección de datos de la UE, otros equivalentes nacionales establecidos para garantizar la protección adecuada de transferencias entre países de datos personales.

“Subprocesador” significa un proveedor nombrado por una entidad de Crawford o en nombre de esta (en su capacidad de procesador de datos) que procesará datos personales de los clientes.

“Autoridad de supervisión” significa la autoridad reglamentaria relevante relacionada con las leyes de protección de datos, incluida la autoridad supervisora según lo definido en virtud de las leyes de protección de datos de la UE.

“Proveedor” significa un tercero procesador de datos (incluido un


Página 16 de 16

subprocesador) que proporciona bienes o servicios a una entidad de Crawford o a otra entidad o persona en nombre de una entidad de Crawford.

Contacto El propietario de esta Política es el director de privacidad. Para obtener más información, comuníquese con la Oficina Global de Privacidad ([email protected]).

Información del documento

Nombre del documento

Política global de clasificación de la información

Categoría Política global

Políticas relacionadas

[INSERTAR, p. ej., Política de manejo y etiquetado de datos]

Aprobada por Gretchen Hiley, vicepresidente sénior de Seguridad Global de la Información (CISO)

N.º de versión

Fecha de entrada en vigencia

1.0 - Abril de 2018

mailto:[email protected]