Privacidad

1 - OBJETIVO
Esta Política establece directrices generales para la protección de datos personales dentro del entorno corporativo de West Cargo y todos sus Socios en Brasil y en el extranjero (“West Cargo” o “Socios”), ya que en la ejecución de sus operaciones recolecta, maneja y almacena información que puede estar relacionada con personas identificadas y/o identificables (“Datos Personales”), con el objetivo de:
• Cumplir con las leyes y regulaciones aplicables de protección de datos personales y seguir las mejores prácticas;
• Proteger los derechos de los Miembros, clientes, proveedores y socios contra los riesgos de violaciones de datos personales;
• Ser transparente respecto a los procedimientos de Tratamiento de Datos Personales de West Cargo; y
• Concienciar a todos los miembros de West Cargo sobre la protección de datos personales y la privacidad.
En particular, esta política requiere que el equipo se asegure de que el DPO (Responsable de Protección de Datos) sea consultado antes de que se inicie cualquier actividad significativa de tratamiento de datos para garantizar que se aborden los pasos de cumplimiento relevantes.
West Cargo está completamente comprometido a garantizar la implementación continua y efectiva de esta política y espera que todos los empleados de West Cargo compartan este compromiso.
Cualquier violación de esta política será tomada en serio y puede resultar en acciones disciplinarias.
Estos TÉRMINOS DE USO fueron aprobados por el Director Financiero y Administrativo.


2 - ALCANCE
Esta Política aplica a West Cargo y todos sus Socios, tanto en Brasil como en el extranjero, y a todos los Miembros que tengan acceso a cualquier Dato Personal en poder de West Cargo o en su nombre.
Se podrán crear procedimientos adicionales de acuerdo con los requisitos de la legislación local.
Cualquier legislación aplicable en las regiones donde West Cargo opera prevalecerá en caso de conflicto con esta Política.


3 - REFERENCIAS
• Código de Conducta de West Cargo
• Política de Seguridad de la Información
• Ley General de Protección de Datos (“LGPD”) en Brasil


4 - DEFINICIONES
A continuación se presentan las definiciones de los términos utilizados en esta Política que comienzan con mayúscula.
“Anonimización”: Proceso y técnica mediante la cual los datos pierden la posibilidad de ser asociados, directa o indirectamente, con un individuo. Los datos anonimizados no se consideran Datos Personales.
“West Cargo” o “Socios”: West Cargo y todos sus Socios Controlados en Brasil y en el extranjero.
“CTA” o “Consejo” o “Consejo Técnico y Administrativo”: El Consejo de Administración Técnica de West Cargo.
“Comité de Cumplimiento”: Comité que apoya al Consejo Técnico y Administrativo de West Cargo.
“Comité de Privacidad”: Comité global multidisciplinario formado por Líderes de las áreas de Legal, Cumplimiento, Gestión de Riesgos, Seguridad de la Información y P&O, así como representantes de cada área regional relevante, para discutir temas importantes y críticos sobre Seguridad de la Información y Privacidad de los Datos.
“Cumplimiento” o “Área de Cumplimiento”: La persona local responsable del Cumplimiento y sus miembros.
“Consentimiento”: Expresión libre, informada y inequívoca mediante la cual el Sujeto de Datos acepta el tratamiento de sus Datos Personales para un propósito específico.
“Controlador”: Entidad jurídica, pública o privada, responsable de las decisiones relacionadas con el Tratamiento de Datos Personales.
“Datos Personales”: Cualquier información relativa a una persona natural identificada o identificable, que pueda ser identificada directa o indirectamente, por referencia a un identificador como un nombre, número de identificación, datos de ubicación, identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social.
“Datos Personales Sensibles”: Cualquier Dato Personal que pueda dar lugar a discriminación, como datos sobre origen racial o étnico, creencias religiosas, opinión política, afiliación sindical, pertenencia a una organización religiosa, filosófica o política, datos sobre salud o vida sexual, datos genéticos o biométricos.
“Experto en Protección de Datos (DPE)”: Especialista local/regional en protección de datos, con responsabilidades de un DPO, pero con poca o ninguna capacidad de toma de decisiones.
“Responsable de Protección de Datos (DPO)”: Profesional responsable de la protección de datos a nivel local o regional, actuando de acuerdo con las directrices organizacionales y las regulaciones aplicables. Tiene responsabilidades formales relacionadas con la privacidad y la seguridad de la información, incluyendo actuar como enlace entre la empresa, los sujetos de los datos y las autoridades reguladoras. Sin embargo, su poder de decisión puede estar limitado dependiendo de la estructura corporativa.
“Política de Seguridad de la Información”: Directrices corporativas globales de West Cargo sobre Seguridad de la Información, que pueden actualizarse periódicamente.
“Documentación Guía”: Documento(s) formal(es) de West Cargo que proporcionan contenido sobre decisiones, reglas y directrices corporativas que son esenciales para dirigir el trabajo de West Cargo con legitimidad, trazabilidad y aplicabilidad, y que deben ser observadas y practicadas por un grupo definido de Miembros.
“Oficial de Protección de Datos” o “DPO”: El individuo formalmente designado como responsable de la protección de datos, según lo previsto en las leyes de protección de datos como el GDPR y la LGPD, para un territorio específico. El DPO puede ser un empleado o un tercero.
“GDPR”: Reglamento (UE) 2016/679 del Parlamento Europeo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de esos datos, que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
“Influenciador(es) de Privacidad”: Puntos clave de contacto en áreas de Negocios o Soporte o áreas que requieren atención específica para facilitar la comunicación con el Líder Corporativo de Privacidad y/o DPE, actuando también como facilitadores para la capacitación y comunicación sobre privacidad en áreas con mayor acceso a Datos Personales, sin poder de decisión.
“Miembro(s)”: Empleados que trabajan en West Cargo en todos los niveles, incluidos ejecutivos, miembros de la junta, directores, pasantes y aprendices (según corresponda por región).
“Legal”: Área responsable de gestionar contratos entre West Cargo y terceros.
“LFPDPPP”: Ley mexicana aprobada en 2010. Ley Federal de Protección de Datos Personales en Posesión de los Particulares, aplicable a todas las personas o entidades que procesan Datos Personales en el curso de sus actividades.
“LGPD”: Legislación brasileña No. 13.709/2018, conocida como la Ley General de Protección de Datos, que regula el tratamiento de datos personales y modifica los Artículos 7 y 16 del Marco Civil de Internet.
“Líder(es)”: Cualquier Miembro que lidere un equipo.
“Líder Corporativo de Privacidad”: Un Líder independiente de la Junta de West Cargo para garantizar la protección imparcial de los derechos de los Sujetos de Datos relacionados con el tratamiento de sus Datos Personales.
“LT West Cargo”: Líder técnico global de West Cargo, conocido en Brasil como LT West Cargo y en el extranjero como Director de Seguridad de la Información ("CISO") de West Cargo.
“Política”: Esta Política de Protección de Datos de West Cargo.
“Política Global del Sistema de Cumplimiento”: Política Global de Cumplimiento Corporativo de West Cargo, que puede actualizarse periódicamente.
“Procesador” o “Operador”: Persona natural o jurídica, pública o privada, que trata Datos Personales en nombre del Controlador.
“Plan de Acción (PA)”: Acuerdo entre Líder y Miembro del Equipo que define las responsabilidades del Miembro y el compromiso del Líder para monitorear, evaluar y tomar decisiones basadas en el desempeño del Miembro.
“Pseudonimización”: Proceso y técnicas mediante las cuales la asociación de los datos es difícil. Los datos pseudonimizados se consideran Datos Personales debido a la posibilidad de asociación con una persona natural.
“R-Cumplimiento”: El ejecutivo principal que lidera la función de Cumplimiento de West Cargo, conocido en Brasil como R-Cumplimiento y en el extranjero como Director de Cumplimiento ("CCO") de West Cargo.
“Seguridad de la Información” o “SI”: Área responsable de proteger la integridad, disponibilidad y confidencialidad de los sistemas de TI y de implementar las medidas adecuadas para lograr este objetivo. Proporciona soporte técnico al Líder Corporativo de Privacidad y es responsable de las medidas técnicas y administrativas.
“Compañía(s) Controlada(s)”: Empresas en las que West Cargo, directamente o a través de otras Empresas Controladas, posee derechos que aseguran que tiene el poder de decisión predominante y la capacidad de elegir a la mayoría de los administradores o miembros de la junta.
“Tercero(s)” o “Socio(s)”: Cualquier persona, natural o jurídica, que actúe en nombre, interés o beneficio de West Cargo, proporcionando servicios u otros bienes, incluidos los socios comerciales que brindan servicios directamente relacionados con la adquisición, retención o facilitación del negocio, o con la conducción de los asuntos de West Cargo, incluidos, pero no limitados a, distribuidores, agentes, corredores, transitarios, intermediarios, socios de la cadena de suministro, consultores, revendedores, contratistas y otros proveedores de servicios profesionales.
“Sujeto(s) de los Datos”: Persona natural identificada o identificable a quien se refiere un Dato Personal específico.
“Tratamiento de Datos Personales” o “Tratamiento”: Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automáticos o no, como la recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, eliminación o destrucción.


5 - ATRIBUCIONES Y RESPONSABILIDADES

Consejo Técnico Administrativo (“CTA” o “Consejo”)

  • Aprobar esta Política y sus futuras modificaciones;
  • Asegurarse de que se haga un uso adecuado de los Datos Personales en sus actividades.

Líderes

  • Ser responsables del uso adecuado de los Datos Personales en las actividades de sus respectivas áreas;
  • Asegurarse de que se cumplan las leyes y regulaciones aplicables en el país de operación, así como garantizar que sus subordinados actúen de acuerdo con esta Política;
  • Revisar y mantener un mapeo actualizado de los Datos Personales al menos una vez al año (o cada vez que haya cambios significativos), en conjunto con el área responsable de Cumplimiento;
  • Asegurarse de que cuando se utilice el Consentimiento para el Tratamiento de Datos Personales, este se recoja y gestione de manera que respete la elección hecha por el Sujeto de Datos y genere las evidencias necesarias para ser presentadas a las autoridades o al Sujeto de Datos cuando se requiera.

Responsable de Protección de Datos (DPO)

  • Actuar como canal de comunicación entre la empresa, los sujetos de los datos y la Autoridad Nacional de Protección de Datos (ANPD);
  • Responder a las solicitudes de los sujetos de datos respecto al acceso, corrección y eliminación de sus datos;
  • Supervisar la aplicación de los estándares de la LGPD dentro de la organización;
  • Ayudar en la implementación de políticas de protección de datos;
  • Capacitar a empleados y socios sobre la importancia de la protección de datos;
  • Promover una cultura de seguridad de la información y privacidad dentro de la empresa;
  • Monitorear y minimizar los riesgos relacionados con el tratamiento de los datos personales;
  • Evaluar contratos con proveedores y terceros para garantizar el cumplimiento de las obligaciones de protección de datos.


6 - POLÍTICA DE PROTECCIÓN DE DATOS Y PRIVACIDAD

6.1 Principios de Protección de Datos Personales:

Esta sección describe los principios que deben seguirse al recolectar, manejar, almacenar, divulgar y procesar "Datos Personales" por parte de West Cargo para cumplir con los estándares de protección de datos en el entorno corporativo y cumplir con las leyes y regulaciones aplicables en los países respectivos en los que opera o realiza actividades comerciales.

6.1.1 Legalidad, Transparencia y No Discriminación

West Cargo procesa los Datos Personales de manera justa, transparente y de acuerdo con las leyes y regulaciones aplicables. West Cargo solo procesa Datos Personales cuando el propósito del procesamiento se encuentra bajo uno de los siguientes fundamentos legales:

  • Necesidad para la ejecución de un contrato en el que el Titular de los Datos sea parte;
  • Requisito bajo la ley o regulación a la que West Cargo está sujeto;
  • Interés legítimo para el procesamiento, cuando dicho interés legítimo se comunique previamente;
  • Necesidad para permitir que el Titular de los Datos ejerza un derecho regular en procedimientos judiciales, administrativos o arbitrales.

Si el procesamiento no se ajusta a ninguna de las condiciones anteriores, West Cargo debe obtener el Consentimiento del Titular de los Datos para procesar sus Datos Personales y garantizar que este Consentimiento se obtenga de manera específica, libre, inequívoca e informada.

West Cargo debe recopilar, almacenar y gestionar todas las respuestas de Consentimiento de manera organizada y accesible, para que se pueda proporcionar prueba del Consentimiento cuando sea necesario. De manera similar, el Titular de los Datos debe tener la capacidad de retirar su Consentimiento en cualquier momento con la misma facilidad con que fue otorgado.

6.1.2 Limitación y Adecuación del Propósito

El procesamiento de los Datos Personales debe hacerse de manera consistente con el propósito original para el cual se recopilaron los datos. No pueden ser recopilados para un propósito y utilizados para otro.

Cualquier otro propósito debe ser compatible con la razón original por la cual se recopilaron los Datos Personales.

6.1.3 Principio de Necesidad (Minimización de Datos)

West Cargo solo puede procesar los Datos Personales en la medida necesaria para lograr un propósito específico. Este es el principio de minimización de datos.

El compartir Datos Personales con otra área o empresa debe considerar este principio, y los datos solo pueden ser compartidos si hay un soporte legal adecuado.

6.1.4 Exactitud (Calidad de los Datos)

West Cargo debe tomar medidas razonables para garantizar que los Datos Personales que posee se mantengan precisos y actualizados para los fines para los cuales fueron recopilados. El Titular de los Datos debe tener la opción de solicitar la eliminación o corrección de datos inexactos o desactualizados.

6.1.5 Retención y Limitación del Almacenamiento de Datos

West Cargo debe ser consciente de sus actividades de procesamiento, períodos de retención y procesos de revisión periódica. No puede mantener los Datos Personales más tiempo del necesario para cumplir con los fines previstos.

6.1.6 Integridad y Confidencialidad (Acceso Libre, Prevención y Seguridad)

West Cargo debe garantizar que se apliquen medidas técnicas y administrativas apropiadas a los Datos Personales para protegerlos contra el procesamiento no autorizado o ilegal, así como contra la pérdida accidental, destrucción o daño.

El procesamiento de Datos Personales también debe garantizar la confidencialidad. Algunas medidas técnicas comunes incluyen: Anonimización, lo que significa que los Datos Personales se hacen anónimos de manera que ya no se relacionen con una persona identificable. La anonimización debe ser irreversible. La seudonimización es un proceso en el que los Datos Personales ya no se relacionan directamente con una persona identificable, pero aún pueden ser vinculados a un individuo si se mantiene información adicional por separado.

6.1.7 Responsabilidad y Cumplimiento

West Cargo es responsable de demostrar el cumplimiento de esta Política y debe implementar diversas medidas, incluyendo, pero no limitándose a:

  • Asegurar que los Titulares de los Datos puedan ejercer sus derechos según se describe en la Sección 5.5 de este Documento;
  • Registrar las actividades de los Datos Personales, incluyendo: ◦ Registros de las actividades de procesamiento de Datos Personales, describiendo los fines de dicho procesamiento, los destinatarios de los Datos Personales compartidos y los períodos de retención;
  • Registrar incidentes y violaciones de Datos Personales;
  • Asegurar que los Terceros que actúan como Procesadores de Datos también actúan de acuerdo con esta Política y las leyes y regulaciones aplicables;
  • Asegurar que West Cargo registre un Oficial de Protección de Datos (DPO) con la Autoridad Supervisora correspondiente cuando sea necesario;
  • Asegurar el cumplimiento de todas las demandas y solicitudes de cualquier Autoridad Supervisora a la que West Cargo esté sujeto.

6.2 Estándares de Seguridad

6.2.1 Importancia de la Protección de Datos Personales

West Cargo se compromete a implementar estándares de Seguridad de la Información y proteger los Datos Personales para garantizar el derecho fundamental del individuo a la autodeterminación informativa.

6.2.2 Asegurar la Seguridad de los Datos Personales

La confidencialidad, integridad, disponibilidad, así como la autenticidad, responsabilidad y no repudio son objetivos a ser perseguidos para la seguridad de los Datos Personales.

6.2.3 Obligación de Confidencialidad de los Datos

Todos los empleados con acceso a Datos Personales están sujetos a obligaciones de confidencialidad respecto a los Datos Personales, según se acuerda en el Código de Conducta de West Cargo y los Términos de Uso al unirse a la empresa, y periódicamente cuando sea necesario.

6.2.4 Privacidad de los Datos desde el Diseño y por Defecto

Al implementar nuevos procesos, procedimientos o sistemas que involucren el procesamiento de Datos Personales, West Cargo debe adoptar medidas para garantizar que las reglas de Privacidad y Protección de Datos sean adoptadas desde la fase de diseño hasta el lanzamiento/implementación de estos proyectos.

6.3 Relación Controlador-Processor de Datos

Cada Socio de West Cargo es el Controlador de Datos en su respectiva región o empresa, y es necesario nombrar a una parte responsable para garantizar que los Datos Personales se procesen correctamente y de acuerdo con las leyes y regulaciones aplicables en esa región. En ciertas circunstancias, un Socio Controlador de Datos puede actuar como Procesador para otro.

6.4 Política de Transferencia Internacional de Datos Personales

Cuando los Datos Personales se procesen en países distintos de donde fueron recolectados, deben observarse las leyes y regulaciones aplicables sobre transferencia internacional de datos de cada país.

West Cargo debe garantizar la existencia y actualización de contratos para la transferencia internacional de Datos Personales.

6.5 Derechos de los Titulares de los Datos

West Cargo está comprometido con los derechos de los Titulares de los Datos, los cuales incluyen:

  • Información, cuando se proporcionen los Datos Personales, sobre cómo serán procesados;
  • Información sobre el procesamiento de sus Datos Personales y acceso a los Datos Personales que West Cargo posee sobre ellos;
  • Corrección de sus Datos Personales si son inexactos, incorrectos o incompletos;
  • Eliminación, bloqueo y/o anonimización de sus Datos Personales en ciertas circunstancias ("derecho al olvido"). Esto puede incluir, pero no se limita a, circunstancias en las que ya no sea necesario que West Cargo retenga sus Datos Personales para los fines por los cuales fueron recolectados;
  • Restricción del procesamiento de sus Datos Personales en ciertas circunstancias;
  • Oposición al procesamiento si se basa en un interés legítimo;
  • La retirada del consentimiento en cualquier momento, si el procesamiento de los Datos Personales se basa en el consentimiento del individuo para un propósito específico;
  • Portabilidad de los Datos Personales a otro proveedor de servicios o productos a solicitud expresa en ciertas circunstancias;
  • Revisión de decisiones tomadas únicamente sobre la base de procesamiento automatizado de Datos Personales;
  • Presentar una queja ante West Cargo o la Autoridad de Protección de Datos aplicable si el Titular de los Datos cree que se ha violado alguno de sus derechos de protección de Datos Personales.

6.6 Proveedores de Servicios de Terceros

Los proveedores de servicios de terceros que procesan Datos Personales bajo las instrucciones de West Cargo están sujetos a las obligaciones impuestas a los Procesadores de Datos según las leyes y regulaciones de protección de datos aplicables.

West Cargo debe garantizar que el contrato de prestación de servicios incluya cláusulas de privacidad que requieran que el Procesador de Datos implemente medidas de seguridad, así como controles técnicos y administrativos apropiados para garantizar la confidencialidad y seguridad de los Datos Personales. El contrato también debe especificar que el Procesador de Datos solo está autorizado a procesar los Datos Personales cuando sea solicitado formalmente por West Cargo.

Si el proveedor de servicios se encuentra fuera del país donde se recolectaron los Datos Personales, se deben incluir cláusulas contractuales estándar en el contrato de protección de Datos Personales como anexo para garantizar que se implementen las garantías requeridas bajo las leyes y regulaciones de protección de datos aplicables.

6.7 Gestión de Brechas de Datos

Todos los incidentes y posibles brechas de datos deben ser reportados al DPO, y todos los empleados deben ser conscientes de su responsabilidad personal para reportar y escalar problemas potenciales, así como reportar cualquier brecha o sospecha de brechas de Datos Personales tan pronto como las identifiquen.

Cuando se descubra un incidente real o brecha, es esencial que los incidentes sean reportados y formalizados de manera oportuna. Las brechas de datos incluyen, pero no se limitan a, cualquier pérdida, eliminación, robo o acceso no autorizado a los Datos Personales controlados o procesados por West Cargo.

6.8 Auditorías de Protección de Datos

West Cargo debe garantizar que se realicen revisiones periódicas para confirmar que las iniciativas de Privacidad, sistemas, medidas, procesos, precauciones y otras actividades, incluida la gestión de la protección de Datos Personales, se implementen y mantengan de manera efectiva y cumplan con las leyes y regulaciones aplicables.

Además, y como se indica en las Directrices de Auditoría Interna, el tema debe ser evaluado periódicamente según los riesgos existentes.

Si los riesgos son significativos, la Auditoría Interna debe incluir una revisión independiente específica en el plan de auditoría interna anual.

7 - DISPOSICIONES GENERALES

Los empleados son responsables de conocer y entender todos los Documentos Guía que les sean aplicables. De igual manera, los Líderes son responsables de garantizar que todos los empleados de su equipo comprendan y sigan los Documentos Guía aplicables a West Cargo.

Los empleados que tengan preguntas o dudas sobre esta Política, incluidos su alcance, términos u obligaciones, deben solicitar aclaraciones a sus respectivos Líderes y, si es necesario, al área de Gestión de Riesgos/Compliance de West Cargo.

Las violaciones de cualquiera de los Documentos Guía de West Cargo pueden resultar en consecuencias graves tanto para West Cargo como para los empleados involucrados.

Por lo tanto, no cumplir con esta Política o no reportar el conocimiento de una violación de esta Política puede resultar en acciones disciplinarias para cualquier empleado involucrado.

Si algún empleado y/o tercero llega a tener conocimiento de conductas ilegales o poco éticas, incluidas violaciones potenciales de las Leyes Anticorrupción aplicables y/o los Documentos Guía de West Cargo, incluido este Documento, debe reportar inmediatamente la posible violación a la Línea Ética o al área de Compliance de West Cargo.

Todos los Líderes deben fomentar continuamente entre sus subordinados el reporte de violaciones a la Línea Ética. Ninguna regla establecida en los Documentos Guía de West Cargo, incluido este Documento, impedirá que los empleados o terceros reporten preocupaciones o actividades ilegales a las autoridades regulatorias correspondientes.