Política de Privacidad para Empleados

POLÍTICA DE PRIVACIDAD PARA EMPLEADOS

1. Alcance

La máxima prioridad de SYNNEX Westcon-Comstor es proteger, preservar y respetar los datos, la privacidad y los derechos de sus clientes, empleados, proveedores, prestadores de servicios, socios y accionistas.
Con este fin, la presente política está diseñada para delinear las directrices del programa de privacidad de SYNNEX Westcon-Comstor y las reglas necesarias para que los empleados manejen los datos personales de manera correcta y segura.
Por favor, lea esta Política de Privacidad para Empleados («Política») para entender nuestras prácticas con respecto a su Información Personal, así como el cuidado que esperamos que nuestros empleados tengan al manejar su Información Personal.

 

2. Objetivo

Durante la ejecución de sus operaciones, SYNNEX Westcon-Comstor recopila, maneja y almacena información que puede estar relacionada con personas identificadas y/o identificables («Datos Personales»), lo que debe hacerse de acuerdo con las normas establecidas en las leyes de protección de Datos Personales (“Ley de Protección de Datos”) aplicables en el país en el cual se dé la recolección, tratamiento o utilización comercial de dichos Datos Personales, las cuales se enlistan en el Anexo II de la presente Política. Por lo tanto, la Empresa se compromete, a través de esta Política y de otros documentos que conforman su programa de Manejo de Datos Personales a:

  • Cumplir con las leyes y reglamentos de protección de datos personales aplicables y seguir las mejores prácticas;
  • Proteger los derechos de los empleados, clientes, proveedores, prestadores de servicios, socios y accionistas contra los riesgos de violación de los datos personales;
  • Ser transparente sobre los procedimientos de SYNNEX Westcon-Comstor para el manejo de datos personales;
  • Promover la conciencia sobre la importancia de la protección de los datos personales y de la privacidad;

 

3. Obligaciones y responsabilidades
3.1. Comité de Privacidad 1

Comité formado por representantes de las áreas jurídica, de recursos humanos, de tecnologías de la información y de estrategia de solución, sin perjuicio de que se incluyan otros miembros, encargado de aprobar, coordinar y/o validar la aplicación de las buenas prácticas y normas de gobernanza, así como políticas, que establezcan las condiciones de organización, el régimen de funcionamiento, los procedimientos, las normas de seguridad, las normas técnicas, las obligaciones específicas para las diversas partes que intervienen en el tratamiento de la protección de Datos Personales y la seguridad tecnológica, las acciones educativas, los mecanismos internos de supervisión y mitigación de riesgos y otros aspectos relacionados con el tratamiento de Datos Personales y la seguridad tecnológica.

Entre sus deberes y responsabilidades están:

  • Dar seguimiento al trabajo del DPO, incluyendo reuniónes mensuales de monitoreo; • Apoyar el seguimiento y la aplicación de planes de acción para corregir las deficiencias de las iniciativas de protección de la vida privada;
  • Referir y otorgar validez ejecutiva a las decisiones del DPO;
  • Brindar apoyo en la preparación de los informes del análisis de impacto de la protección de Datos Personales y en la toma de decisiones de los proyectos para asegurar la alineación con los requisitos de esta Política.

1 La creación del Comité de Privacidad está sujeta a la necesidad de implementación, que establezca la Ley Aplicable. Actualmente, este comité ha sido creado unicamente en Brasil.

 

3.2. Data Protection Officer (DPO) 2

  • Asumir la responsabilidad del tratamiento adecuado de los Datos Personales en sus actividades;
  • Llevar a cabo una capacitación para los empleados que promueva acciones educativas para aumentar la conciencia de la privacidad;
  • Evaluar, desde la perspectiva de la privacidad, los proyectos de manejo de Datos Personales a fin de validar la adhesión a los requisitos de la legislación y los reglamentos aplicables, además de garantizar la privacidad como norma y la incorporación de las medidas de seguridad necesarias;
  • Brindar apoyo en la vigilancia y la aplicación de planes de acción para corregir las deficiencias de las iniciativas de protección de la vida privada;
  • Proporcionar orientación y asegurar que se atiendan las solicitudes de los titulares de Datos Personales, siempre que se les solicite, para garantizar que se les responda a tiempo;
  • Asegurar el mantenimiento de las pruebas de ejecución y la aplicación de las iniciativas de privacidad (principio de responsabilidad);
  • Llevar a cabo la capacitación y la difusión de los principios de privacidad a los empleados, promoviendo acciones educativas para aumentar la conciencia sobre la privacidad;
  • Otras tareas asignadas por el Comité de Privacidad.

1 La designación del DPO está sujeta a la necesidad y obrigatoriedad que establezca la Ley Aplicable. Actualmente, el DPO ha sido designado únicamente en Brasil.

 

3.3. Gerentes

  • Asumir la responsabilidad del uso adecuado de los Datos Personales en las actividades de sus empleados y sus respectivas áreas;
  • Asumir la responsabilidad de la aplicación de los controles y recomendaciones apropiados para el tratamiento de los Datos Personales;
  • Asegurarse de que se cumplan los requisitos de la Ley Aplicable, así como de que sus dirigentes actúen de acuerdo con esta Política;
  • Asegurarse de que el tratamiento de los Datos Personales se adhiera a las bases legales previstas en la Ley Aplicable;
  • Informar al DPO, área Jurídica y de TI sobre cualquier incidente de Datos Personales o de seguridad de los Datos Personales en su área respectiva, así como de cualquier deficiencia identificada relacionada con o posibles riesgos para la privacidad.

 

3.4. Área de Tecnología de la Información o TI

  • Asumir la responsabilidad del uso adecuado de los Datos Personales en sus actividades;
  • Asumir la responsabilidad de la eficacia y la funcionalidad del hardware y el software que garantizan la seguridad y la inviolabilidad de los Datos Personales;
  • Analizar los incidentes, las violaciones y las fugas de Datos Personales, así como realizar la recopilación de pruebas técnicas;
  • Supervisar y aplicar medidas de seguridad para garantizar el cumplimiento de las leyes y reglamentos aplicables;
  • Revisar y mantener actualizada la Política de Seguridad de la Información dentro de su jurisdicción;
  • Ayudar en la aplicación de mecanismos técnicos, cuando sea necesario, para garantizar el ejercicio por parte de los titulares de los derechos previstos en la Ley Aplicable;
  • Proporcionar apoyo técnico y analizar nuevas herramientas y sistemas centrándose en la exposición de Datos Personales; y
  • Garantizar la aplicación de medidas de seguridad proporcionales al riesgo generado por el tratamiento de los Datos Personales y acordes con las expectativas de protección del titular de los Datos Personales, asegurando la integridad, disponibilidad y confidencialidad de esta información.

 

3.5. Área Jurídica

  • Asumir la responsabilidad del uso adecuado de los Datos Personales en sus actividades;
  • Asegurarse de que los contratos que prevean la transferencia o el tratamiento de Datos Personales contengan cláusulas de privacidad adecuadas a Ley Aplicable;
  • Proporcionar asistencia jurídica en caso de fugas de Datos Personales;
  • Proporcionar apoyo jurídico en la interpretación de la legislación y los reglamentos relativos a la protección de los Datos Personales;
  • Ayudar a renegociar los contratos/anexos con los proveedores y clientes que realizan el procesamiento de Datos Personales; y
  • Ser el nexo con la autoridad competente de protección de datos en la jurisdicción aplicable, conjuntamente con el DPO.

 

3.6. Todos los empleados de Synnex Westcon-Comstor, incluyendo los Gerentes:

  • Asumir la responsabilidad del uso adecuado de los Datos Personales en sus actividades;
  • Cumplir con la Ley Aplicable, las leyes y reglamentos aplicables, así como con esta Política, los procedimientos de SYNNEX Westcon-Comstor en materia de protección de Datos Personales (Política de Seguridad de la Información, Política de Respuesta a Incidentes, entre otras) y la aplicación de las medidas de seguridad informática apropiadas;
  • Informar al responsable de la protección de Datos Personales y el área de TI de cualquier incidente relacionado con los Datos Personales o su seguridad y las deficiencias identificadas relacionadas con los posibles riesgos para la privacidad; y
  • Participar en las actividades de capacitación en materia de protección de Datos Personales, según lo indicado.

 

3.7. Equipo de Compliance 3

  • Vigilar el cumplimiento de las normas internas y mantener indicadores relacionados con la protección de Datos Personales y la privacidad;
  • Realizar evaluaciones periódicas de la madurez de las iniciativas de privacidad, identificando los progresos del programa y las lagunas restantes y/o nuevas;
  • Supervisar la aplicación de los planes de acción para corregir las lagunas de las iniciativas de privacidad;
  • Vigilar las solicitudes de los titulares de Datos Personales para asegurarse que se responden a tiempo;
  • Asegurar que se mantengan las pruebas de la aplicación y el cumplimiento de las iniciativas de protección de la vida privada (principio de rendición de cuentas);
  • Otras tareas asignadas por el Comité de Protección de Datos y Seguridad de la Tecnología.

3 La creación del Equipo de Compliance está sujeta a la necesidad y obligatoriedad que se establezca en la Ley de Protección de Datos aplicable. Actualmente, el Equipo de Complaince fue creado únicamente en Brasil.

 

4. El procesamiento de Datos Personales por parte de nuestros empleados
4.1. Principios de la protección de los Datos Personales

En esta sección se describen los principios a observarse en el tratamiento de los Datos Personales por parte de la Empresa a fin de cumplir con las normas de protección de datos en el entorno empresarial y con la Ley Aplicable.

  • a) Propósito específico e informado y adecuación con el propósito. El tratamiento de los Datos Personales debe llevarse a cabo de manera compatible con la finalidad original para la que se recopilaron los Datos Personales y no puede recopilarse para un fin y utilizarse para otro. Cualquier otro propósito debe ser compatible con el propósito original para el que se recopilaron los Datos Personales.
  • b) Necesidad de procesamiento, limitada al uso de datos esenciales para lograr el propósito inicial (Minimización de datos). SYNNEX Westcon-Comstor puede procesar Datos Personales sólo en la medida necesaria para lograr un propósito específico, este es el principio de minimización de datos. El intercambio de Datos Personales con otra área o empresa debe tener en cuenta este principio y sólo podrá compartirse cuando esté respaldado por las salvaguardias legales apropiadas.
  • c) Calidad de los datos. SYNNEX Westcon-Comstor tomará las medidas razonables para asegurar que cualquier información personal en su posesión se mantenga exacta y actualizada con los fines para los que se recopiló. Dado que la base jurídica del tratamiento de los datos personales de SYNNEX Westcon-Comstor es el cumplimiento de sus obligaciones reglamentarias con las autoridades competentes, su custodia, mantenimiento y supresión se hará de conformidad con la legislación vigente, así como la reglamentación que en la materia publiquen las autoridades competentes.
  • d) Retención y limitación del almacenamiento de datos. SYNNEX Westcon Comstor debe conocer sus actividades de procesamiento, los períodos de retención establecidos y los procesos de revisión periódica y no puede retener Datos Personales por más tiempo del necesario para cumplir los fines previstos.
  • e) Integridad y Confidencialidad (Libre Acceso, Prevención y Seguridad). La Empresa se asegurará de que se apliquen las medidas técnicas y administrativas adecuadas a los Datos Personales para protegerlos contra el procesamiento no autorizado o ilegal, así como contra la pérdida, la destrucción o los daños accidentales. El tratamiento de los Datos Personales también debe garantizar una confidencialidad adecuada. Entre las medidas técnicas más comunes, se pueden describir las siguientes:
    • (i) Anonimización: significa que los Datos Personales se convierten en anónimos de manera que ya no se refieren a una persona identificable directa o indirectamente. El anonimato debe ser irreversible; y
    • (ii) Seudoanonimización: es un proceso por el cual los Datos Personales ya no se relacionan directamente con una persona identificable (por ejemplo, mencionando su nombre), pero no son anónimos, porque todavía es posible, con información adicional que se mantiene por separado, identificar a una persona.
  • f) Rendición de cuentas y presentación de informes. SYNNEX Westcon-Comstor es responsable y debe demostrar el cumplimiento de esta Política asegurando la aplicación de una serie de medidas que incluyen, pero no se limitan a:
    • Garantizar que los titulares de los Datos Personales puedan ejercer sus derechos;
    • Registros de incidentes de Datos Personales y violaciones de Datos Personales;
    • Asegurarse de que los terceros proveedores de servicios estén contractualmente obligados a actuar de acuerdo con la Ley Aplicable y de acuerdo con las recomendaciones de SYNNEX Westcon-Comstor; y
    • Asegurarse de que SYNEX Westcon-Comstor cumple con todos los requisitos y solicitudes de la Autoridad Nacional de Protección de Datos, en la jurisdicción aplicable.

4.2. Derechos de los titulares de datos personales
SYNNEX Westcon-Comstor está comprometida con los derechos de los titulares de Datos Personales, que incluyen:

  • Derecho a la información y al acceso, a saber cuáles y cómo se procesan sus datos y su finalidad;
  • La corrección de sus Datos Personales si son inexactos, incorrectos o incompletos;
  • La eliminación, el bloqueo y/o la anonimización de sus Datos Personales en determinadas circunstancias. Esto puede incluir, entre otras, circunstancias en las que ya no sea necesario que SYNEX Westcon-Comstor conserve los Datos Personales para los fines para los que fueron recopilados;
  • Restringir el tratamiento de sus Datos Personales en determinadas circunstancias;
  • Objetar el procesamiento de Datos Personales si se encuentra que es irregular;
  • Revisar las decisiones adoptadas únicamente sobre la base del tratamiento automatizado de Datos Personales.

4.3. Gestión de terceros

La Empresa se asegurará de que todo instrumento jurídico en el que se compartan Datos Personales contenga cláusulas de privacidad que requieran que el tercero aplique los controles técnicos y administrativos adecuados para garantizar la confidencialidad y seguridad de los Datos Personales.

 

5. Procesamiento de Datos Personales de empleados de SYNNEX Westcon Comstor

Vea a continuación qué Datos Personales usamos sobre nuestros Empleados, el propósito del Tratamiento de estos Datos Personales y las razones:

5.1. Los datos personales que recopilamos
Para que el Empleado pueda llevar a cabo sus actividades, debemos recopilar cierta información, misma que comprende:

  • Datos de registro como nombre, cédula de identidad nacional o identificación oficial vigente, número, registro o cédula de identidad fiscal, fecha de nacimiento, correo electrónico, dirección, teléfono, comprobante de domicilio;
  • Los datos necesarios para registro de los empleados en la autoridad laboral de la jurisdicción;
  • Certificado o acta de nacimiento o matrimonio y de defunción;
  • Documentos de los dependientes, si procede;
  • Datos del vehículo (placa), si procede;
  • Datos Biométricos: foto y biometría;
  • Datos bancarios;
  • Información sobre los antecedentes penales, según proceda;
  • Raza, género e identidad de género. 4

5.2. Cómo usamos los datos personales de nuestros Empleados
Utilizamos los Datos Personales de nuestros Empleados para los siguientes propósitos:

  • Ejecución del contrato de trabajo con el Empleado;
  • Cumplimiento de las obligaciones legales o reglamentarias, orden judicial de la autoridad competente u organismo de supervisión;
  • Ejercicio regular de los derechos, incluida la presentación de documentos en procedimientos judiciales y administrativos, de ser necesario;
  • Verificación de la identidad y de los requisitos para ser Empleado;
  • Prevención del fraude y garantía de la seguridad de los Empleados en los procesos de identificación (datos biométricos).

4 Estos datos son considerados datos sensibles en Argentina, y de acuerdo con Ley antidiscriminación no es autorizada la recopilación o almacenamiento de estos datos.

5.3. Intercambio de Datos Personales de los Empleados
Podemos compartir los Datos Personales de los Empleados con terceros socios de SYNNEX Westcon-Comstor como: proveedores de servicios, tecnologías de la información, comunicaciones, estadística, investigación, seguros, atención médica, servicios financieros, bancos, oficinas de socios, servicios legales, contabilidad, auditoría independiente.

Además, SYNNEX Westcon-Comstor también puede compartir Datos Personales con autoridades y organismos reguladores y/o supervisores para diversos fines, cuando sea necesario. Dicha revelación se hará siempre de acuerdo con los propósitos de los negocios de SYNNEX Westcon-Comstor y según lo autorizado por la Ley de Protección de Datos aplicable. 5

5 En Argentina se solicita el consentimento expreso del titular de datos y se informa la finalidade y la identificación del recebedor de los datos. La excepción se aplica en los casos de los contratos laborales.

5.5. Proceso disciplinario
Las violaciones de cualquier política de SYNNEX Westcon-Comstor pueden tener graves consecuencias para SYNNEX Westcon-Comstor y los Empleados involucrados. Por lo tanto, el incumplimiento de esta Política o la denuncia de una violación de la misma puede dar lugar a medidas disciplinarias para cualquier Empleado involucrado.

El incumplimiento por parte de cualquier Empleado de esta Política y sus normas, así como de otras definiciones reglamentarias y legales, internas o externas, puede dar lugar a responsabilidades administrativas, civiles o penales, procedimientos disciplinarios y sanciones previstas en las respectivas leyes laborales aplicables en los países descritos en el Anexo I.

 

6. Disposiciones finales

Los Empleados son responsables de conocer y aplicar todas las directrices de esta Política. De igual modo, los directores son responsables de garantizar que todos los miembros de su equipo entiendan y acaten las directrices de la presente Política.

Los Empleados que tengan preguntas o dudas sobre la presente Política, incluyendo su alcance, términos u obligaciones, deberán buscar a sus respectivos Gerentes y, si es necesario, el DPO de la Empresa.

 

7. Sanciones
El cumplimiento de esta Norma es obligatorio para todos los Empleados e inclusive para el órgano corporativo de la Empresa, quienes quedan sujetos a las medidas disciplinarias aplicables.

 

8. Registro del historial de enmiendas

Concepto Descripción del cambio Aprobación Fecha

 

ANEXO I – Definiciones
La presente Política habrá de interpretarse en los términos que se exponen a continuación:

«Autoridad Nacional de Protección de Datos»: consiste en el órgano de la administración pública, ya sea federal, estatal o local, encargado de supervisar, aplicar y vigilar el cumplimiento de la Ley Aplicable en el país de su jurisdicción. «Anonimización»: proceso y técnica mediante la cual un dato pierde la posibilidad de asociación, directa o indirecta, con un individuo. Los datos anónimos no se consideran Datos Personales.
«Empresa» o «SYNNEX Westcon-Comstor»: SYNNEX Westcon-Comstor y todas las empresas del grupo Synnex.
«Consentimiento»: manifestación libre, informada e inequívoca por la que el Titular consiente el Tratamiento de sus Datos Personales para un fin determinado.
«Datos Personales»: Toda información relativa a una persona física identificada o identificable que pueda ser identificada, directa o indirectamente, por referencia a un identificador, como el nombre, el número de identificación, los datos de localización, el identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
«Data Protection Officer (DPO)»: es la persona indicada para actuar como responsable por la protección de Datos Personales.
«Empleado(s)»: funcionarios/empleados que trabajan en SYNNEX Westcon-Comstor en todos los niveles, incluyendo ejecutivos, directores, aprendices y pasantes.
«Gerente(s)»: todo miembro que lidera un equipo.
«Ley Aplicable»: significa las siguientes leyes aplicables incluyendo sus modificaciones posteriores y reglamento aplicables, relativos a la protección de Datos Personales en los siguientes países, de acuerdo a la siguiente tabla:

Ley Aplicable País
Ley 25.326 de 30 de octubre de 2000 – Ley de Protección de los Datos Personales Argentina
Ley 13.709 de 14 de agosto de 2018 – Ley General de Protección de Datos (LGPD) Brasil
Ley 19.628 de 18 de agosto de 1999 – Ley Sobre Protección de la Vida Privada Chile
Ley 1581 de 17 de octubre de 2012 – Régimen General de Protección de Datos Personales Colombia
Ley 8968 de 5 de noviembre de 2011 – Protección de la Persona frente al Tratamiento de sus Datos Personales Costa Rica
Ley Federal de Protección de Datos Personales en Posesión de los Particulares México
Ley 81 de 26 de marzo de 2019 – Protección de Datos Personales Panamá
Ley 29733 de 03 de julio de 2011 – Ley de Protección de Datos Personales Perú
Ley 18.331 – Protección de Datos Personales y Acción de Habeas Data Uruguay

«Área de Tecnologías de la Información» o «TI»: área encargada de proteger la integridad, disponibilidad y confidencialidad de los sistemas de TI y que debe aplicar las medidas adecuadas para lograr dicho objetivo.
«Titular(es) de los Datos»: persona física identificada o identificable a la que se refieren los Datos Personales específicos. A los efectos de la presente Política, los Titulares son los clientes, empleados, clientes, proveedores, prestadores de servicios, socios y accionistas de SYNNEX Westcon-Comstor.
«Tratamiento de Datos Personales» o «Tratamiento»: toda operación o conjunto de operaciones realizadas con los Datos Personales o con conjuntos de Datos Personales, ya sea por medios automatizados o no automatizados, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, comparación o interconexión, limitación, supresión o destrucción.
«Violación de Datos Personales»: significa una violación de la seguridad de la información que resulta en la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación o el acceso no autorizado a los Datos Personales transmitidos, almacenados o manejados de otra manera por SYNNEX Westcon-Comstor o un subcontratista autorizado.

Versión 1.2

Español