Política de protección de datos


1. Introducción

El presente documento establece las obligaciones de Gordon Brothers, nombre comercial de Gordon Brothers International, LLC. (en lo sucesivo, la «Compañía»), en materia de protección de datos y los derechos de las personas con las que trabaja en lo referente a sus datos de carácter personal en virtud de la Ley de protección de datos (Data Protection Act) de 1998 (en lo sucesivo, la «Ley»).

Esta Política define los procedimientos que deberán observarse en el tratamiento de los datos personales y por los que deberán regirse la Compañía, sus empleados, contratistas, representantes, consultores, socios u otras partes que trabajen en nombre de la misma.

La Compañía considera clave para su propio éxito y las negociaciones con terceros dispensar un tratamiento correcto y lícito a dichos datos. Por ello, se cerciorará de que dicho tratamiento sea acorde.

2. Principios de protección de datos
La presente Política tiene por objeto garantizar el cumplimiento de la Ley, que recoge ocho principios que debe acatar toda parte responsable del tratamiento de datos personales. Todos los datos de carácter personal:

2.1 deben ser tratados de manera leal y lícita (y no serán tratados salvo que se cumplan determinadas condiciones);
2.2 deben ser recogidos sólo con fines determinados y legítimos, y no ser tratados posteriormente de manera incompatible con los mismos;
2.3 deben ser adecuados, pertinentes y no excesivos con relación a los fines para los que se traten posteriormente;
2.4 deben ser exactos y, cuando sea necesario, actualizados;
2.5 deben ser conservados durante un periodo no superior al necesario para los fines para los que se traten;
2.6 deben ser tratados de conformidad con los derechos que la Ley confiere a los interesados;
2.7 deben estar protegidos contra todo tratamiento no autorizado o ilícito, pérdida accidental, destrucción o daños con medidas técnicas y de organización adecuadas; y
2.8 no deben ser transferidos a ningún país o territorio fuera del Espacio Económico Europeo, salvo que garanticen un nivel de protección adecuado de los derechos y libertades de los titulares en relación con el tratamiento de sus datos personales.

3. Derechos de los interesados
La Ley confiere a los interesados los siguientes derechos:

derecho a ser informados del tratamiento de sus datos personales;
derecho a acceder a cualquiera de sus datos personales que la Compañía mantenga en los 40 días siguientes a la presentación de la solicitud;
derecho a oponerse a que sus datos personales sean objeto de tratamiento en las circunstancias previstas; y
derecho a rectificar, bloquear, suprimir o destruir aquellos datos personales que sean incorrectos.

4. Datos personales
En la Ley, por «datos personales» se entiende aquellos datos relativos a una persona física viva cuya identidad pueda determinarse a partir de dichos datos o a partir de ellos y otra información que obre en posesión del responsable del tratamiento, o sea probable que lo haga. Comprende, asimismo, la expresión de toda opinión sobre la persona física y toda manifestación de intenciones que formule el responsable del tratamiento u otra persona respecto de la persona física.

Además, la Ley define el término «datos personales sensibles» como todo dato personal relativo al origen racial o étnico del interesado, sus opiniones políticas, sus creencias religiosas (o análogas); su afiliación sindical, su salud física o mental, su condición sexual, la comisión o supuesta comisión de un delito o toda causa relativa a los delitos que haya cometido o supuestamente cometido, la resolución de dichas causas o la sentencia dictada por un tribunal en el marco de las mismas.

La Compañía mantendrá únicamente aquellos datos personales que afecten directamente a su relación con los interesados. Su conservación y tratamiento se realizará de conformidad con los principios de protección de datos y la presente Política. La Compañía podrá recoger, mantener y tramitar los siguientes datos oportunamente:

nombre y apellidos;
cargo;
empresa;
correo electrónico;
dirección de contacto; y
número de contacto.

5. Tratamiento de los datos personales
En todos los casos, con la recogida de datos personales (incluidos los descritos en el apartado 4 de la presente Política), la Compañía pretende garantizar su capacidad para facilitar operaciones eficaces con terceros, incluidos, sin que la enumeración sea exhaustiva, clientes, socios, y empresas asociadas y participadas, así cómo gestionar de manera eficiente a sus empleados, contratistas, representantes y consultores. Asimismo, utilizará estos datos para cumplir con todas las obligaciones pertinentes que la ley le imponga.

Los datos personales podrán comunicarse dentro de la Compañía y transmitirse de un departamento a otro de conformidad con los principios de protección de datos y la presente Política. No se facilitarán bajo ninguna circunstancia a departamentos o personas físicas dentro de la Compañía que no requieran razonablemente acceso a ellos en relación con los fines para los que han sido recogidos o están siendo objeto de tratamiento.

La Compañía velará por que:

todos los datos personales que una parte recoja o trate en nombre de la Compañía sean objeto de una recogida y un tratamiento leal y lícito;
los interesados conozcan plenamente los motivos de la recogida de datos y se les comuniquen los pormenores de los fines con los que se utilizarán;
los datos personales sólo se recojan en la medida necesaria para cumplir con el fin o fines indicados;
todos los datos personales sean exactos en el momento de la recogida, y sigan siéndolo y se mantengan actualizados mientras se conserven o tramiten;
no se mantengan datos personales durante un periodo superior al necesario para los fines indicados; 
todos los datos personales se almacenen de manera segura, con adopción de todas las medidas técnicas y de organización adecuadas para su protección;
todos los datos personales sean transmitidos por medios seguros, ya sean electrónicos o de otro tipo;
no se transmitan datos personales fuera del Reino Unido o del Espacio Económico Europeo (según proceda) sin comprobar primero la existencia de garantías adecuadas en el país o el territorio destinatario; y
todos los interesados puedan ejercer los derechos recogidos en el apartado 3 y en la Ley, con mayor grado de detalle.

6. Procedimientos de protección de los datos

La Compañía garantizará que todos sus empleados, contratistas, representantes, consultores, socios y otras partes que trabajen en su nombre cumplan lo siguiente cuando traten y/o transmitan datos personales:

deberán cifrarse todos los correos electrónicos que contengan datos personales;
únicamente podrán transmitirse los datos personales a través de redes seguras. No está permitido en ninguna circunstancia su transmisión por redes no seguras;
no podrán transmitirse los datos personales a través de redes inalámbricas cuando exista un sistema alternativo de cable que sea razonablemente viable;
los datos personales que figuren en el cuerpo de un correo electrónico, con independencia de si ha sido enviado o recibido, deberán copiarse de dicho cuerpo y almacenarse de forma segura. El correo electrónico deberá eliminarse, al igual que todos los archivos temporales generados;
cuando los datos personales vayan a enviarse por fax, deberá informarse de la transmisión al destinatario de antemano, quien deberá aguardar su recepción junto a la máquina de fax;
cuando los datos personales vayan a ser transmitidos en soporte impreso, deberán entregarse directamente al destinatario. No está autorizado el uso de intermediarios;
todas las copias impresas de los datos personales deberán almacenarse de forma segura en un cajón, caja, armario o similar;
todas las copias electrónicas de los datos personales deberán almacenarse de manera segura con contraseñas y una técnica de encriptación de datos adecuada, y, siempre que sea posible, en una unidad o servidor inaccesible a través de Internet; y
todas las contraseñas que se utilicen para proteger los datos personales deberán modificarse periódicamente, evitándose las frases o palabras que puedan adivinarse con facilidad o verse comprometidas de cualquier otro modo.

7. Medidas de organización
La Compañía garantizará la adopción de las siguientes medidas en relación con la recogida, conservación y tratamiento de datos personales:
La Compañía nombrará a un responsable designado (en lo sucesivo, el «Responsable designado»), que se encargará específicamente de supervisar la protección de los datos y garantizar el cumplimiento de la Ley.
Todos los empleados, contratistas, representantes, consultores, socios u otras partes que trabajen en nombre de la Compañía tendrán pleno conocimiento de las responsabilidades que la Ley les confiere a ellos y a esta última, y recibirán una copia de la presente Política.
Todos los empleados, contratistas, representantes, consultores, socios u otras partes que trabajen en nombre de la Compañía y que tramiten datos personales recibirán formación adecuada para este cometido.
Todos los empleados, contratistas, representantes, consultores, socios u otras partes que trabajen en nombre de la Compañía y que tramiten datos personales serán objeto de la supervisión oportuna.
Los métodos de recogida, conservación y tratamiento de datos personales serán evaluados y revisados con carácter periódico.
El comportamiento de dichos empleados, contratistas, representantes, consultores, socios u otras partes que trabajen en nombre de la Compañía y que tramiten datos personales será objeto de la supervisión oportuna.
Todos los empleados, contratistas, representantes, consultores, socios u otras partes que trabajen en nombre de la Compañía y que tramiten datos personales se obligarán, por contrato, a hacerlo de conformidad con los principios de la Ley y la presente Política. El incumplimiento de unos u otra por parte de los empleados será constitutivo de falta disciplinaria. En el caso de los contratistas, representantes, consultores, socios u otras partes, supondrá un incumplimiento contractual. En todos los casos, también podrá ser constitutivo de delito penal en virtud de la Ley.
Todos los contratistas, representantes, consultores, socios u otras partes que trabajen en nombre de la Compañía y que tramiten datos personales deberán garantizar que todos y cada uno de aquellos de sus empleados que intervengan en dicho tratamiento se sometan a las mismas condiciones derivadas de la presente Política y de la Ley que los correspondientes empleados de la Compañía.
Si un contratista, representante, consultor, socio u otra parte que trabaje en nombre de la Compañía y que tramite datos personales incumple las obligaciones que le atribuye la presente Política, indemnizará y eximirá a la Compañía frente a todo coste, responsabilidad, daño, pérdida, reclamación o procedimiento que se derive de dicho incumplimiento.

8. Acceso de los interesados
Los interesados podrán cursar, en todo momento, solicitudes de acceso personal (en lo sucesivo, las «SAR», por sus siglas en inglés) para consultar la información que la Compañía tenga en su poder sobre ellos.

Las SAR deben presentarse por escrito y acompañarse del pago correspondiente.
En la actualidad, la Compañía aplica una tarifa de 10 libras esterlinas (máximo legal) a todas ellas. [La consulta de los expedientes de crédito conlleva el pago de 2 libras esterlinas.]

Cuando reciba una SAR, la Compañía dispondrá de un plazo máximo de 40 días para responder, comunicándose la siguiente información al interesado:

si la Compañía mantiene o no datos personales del interesado;
una descripción de los datos personales del interesado que conserva;
los pormenores del fin con el que se utilizarán los datos personales;
los pormenores de las organizaciones externas a las que se facilitan los datos personales; y
los pormenores de los códigos o la terminología técnica.

9. Notificación a la Agencia Británica de Protección de Datos
Como responsable de tratamiento, la Compañía está obligada a notificar a la Agencia Británica de Protección de Datos (Information Commissioner’s Office, ICO) el tratamiento de datos personales. La Compañía figura inscrita en el registro de control de datos.

Los responsables de tratamiento deben renovar dicha notificación con carácter anual. La omisión de esta obligación será constitutiva de delito penal.

Las modificaciones del registro deberán notificarse a la Agencia Británica de Protección de Datos en los 28 días siguientes a su introducción.

El Responsable designado será el encargado de notificar y mantener informada a la Agencia Británica de Protección de Datos.

10. Aplicación de la Política

La presente Política se considerará vigente desde el 15 de octubre de 2014. Ninguno de sus elementos tendrá carácter retroactivo y, por ende, únicamente será de aplicación a aquellas cuestiones que se produzcan a partir de dicha fecha.