Política de protección de datos globales
Su privacidad es muy importante para nosotros. Desarrollamos esta Política global de protección de datos para que comprenda cómo recopilamos, usamos, almacenamos, compartimos, transmitimos, transferimos, eliminamos o procesamos (colectivamente, "procesamos") sus datos personales. Esta Política global de protección de datos describe las medidas que tomamos para garantizar la protección de sus datos personales. También le informamos cómo puede comunicarse con nosotros para responder cualquier pregunta que tenga sobre la protección de datos.
Alcance territorial
La Política global de protección de datos se aplica a la organización global dónde operamos bajo la marca “Sodexo” (en lo sucesivo denominada "Sodexo") en lo que respecta a las leyes europeas de protección de datos, entre las que se aplica el Reglamento General de Protección de Datos (o “GDPR”).
Alcance material
Esta política se aplica al tratamiento de datos personales recopilados por Sodexo, actuando como Responsable del Tratamiento. Los datos personales se recopilan directa o indirectamente a través de sus entidades de Sodexo, de todas las personas, incluidos, entre otros, los solicitantes de empleo, empleados, clientes, consumidores, proveedores / proveedores, contratistas / subcontratistas. , accionistas o cualquier tercero, definiendo "Datos personales" como cualquier información que se relacione con una persona identificada o identificable o una persona que pueda ser identificada por medios con probabilidades razonables de ser utilizados.
Este documento tiene alcance general y puede complementarse con políticas o avisos de privacidad más específicos, dependiendo, por ejemplo, del tipo de actividades de tratamiento, la ubicación de las actividades de tratamiento o la entidad de Sodexo que controla sus Datos personales.
Responsable: Es la entidad que determina las finalidades y medios del tratamiento de los Datos Personales.
UE/EEE: La Unión Europea/Espacio Económico Europeo.
Ley europea de protección de datos o Reglamento general de protección de datos o GDPR: Significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE. Datos personales: Se entenderá toda información relativa a una persona física identificada o identificable; se entenderá por "persona física identificable" aquella que pueda ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
Tratamiento o Tratamiento de Datos Personales: Significa cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
Encargado: Persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del Responsable.
Datos Personales Sensibles designados como "Categorías Especiales de Datos" en el GDPR:
Son todos los Datos Personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la pertenencia a sindicatos y el tratamiento de datos genéticos, los datos biométricos con el fin de identificar de forma exclusiva a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual de una persona física. Esta definición incluye también los datos personales relativos a condenas y delitos penales.
Entidad de Sodexo o entidades de Sodexo:
Significa cualquier corporación, sociedad u otra entidad u organización que sea admitida de vez en cuando como miembro del Grupo Sodexo.
Autoridad de Supervisión:
Significa una autoridad pública independiente establecida por un Estado miembro según lo especificado en el RGPD.
“nosotros” o “nuestro”:
Sodexo actuando como Responsable.
"vosotros" Cualquier usuario/visitante del sitio o beneficiario de los servicios de Sodexo.
Cumplimiento de la ley europea de protección de datos y cualquier derecho local aplicable adicional de protección de datos
Nos comprometemos a cumplir con la legislación aplicable relacionada con los datos personales y nos aseguraremos de que los datos personales se recopilen y procesen de acuerdo con las disposiciones de la ley europea de protección de datos y otras leyes locales aplicables, si las hubiere.
Latitud, imparcialidad y transparencia
No recopilamos ni procesamos datos personales sin tener una razón legal para hacerlo. Es posible que tengamos que recopilar y tratar sus datos personales cuando sea necesario para la ejecución de un contrato del que sea parte, o cuando sea necesario para el cumplimiento de una obligación legal a la que estamos sujetos o cuando sea necesario, con su consentimiento previo. También podemos recopilar y tratar sus datos personales para los intereses legítimos de Sodexo, excepto cuando dichos intereses sean anulados por sus intereses o derechos y libertades fundamentales.
Al recopilar y tratar sus datos personales, le proporcionaremos un aviso de información justo y completo o una declaración de privacidad sobre quién es responsable del tratamiento de sus datos personales, con qué fines se procesan sus datos personales, quiénes son los destinatarios, cuáles son sus derechos y cómo ejercerlos, etc., a menos que sea imposible, o se requieren esfuerzos desproporcionados para hacerlo.
Cuando así lo exija la ley aplicable, buscaremos su consentimiento previo (por ejemplo, antes de recopilar datos personales confidenciales).
Finalidad legítima, limitación y minimización de datos
Sus datos personales se recopilan con fines específicos, explícitos y legítimos y no se procesan de manera incompatible con esos fines.
Cuando Sodexo actúa para sus propios fines, sus datos personales se procesan principalmente para los fines siguientes: gestión de reclutamiento, gestión de recursos humanos, gestión contable y financiera y controles e informes relacionados, finanzas, tesorería e impuestos, gestión de riesgos, gestión de seguridad de los empleados, provisión de directorios activos, provisión de herramientas informáticas o sitios web internos y otras soluciones digitales o plataformas colaborativas, gestión de soporte de TI, incluida la gestión de infraestructuras, gestión de sistemas, aplicaciones, gestión de seguridad y salud, gestión de seguridad de la información, gestión de relaciones con clientes, licitaciones, gestión de ventas y marketing, gestión de suministros, comunicación interna y externa y gestión de eventos y dar cumplimiento con la legislación y política de anticorrupción.
Precisión de los datos y limitación de almacenamiento
Sodexo mantendrá los Datos Personales procesados exactos y, en su caso, actualizados. Asimismo, sólo conservaremos los Datos Personales durante el tiempo necesario para los fines para los que fueron recogidos, incluyendo el cumplimiento de cualquier requisito legal, contable o de presentación de informes y, cuando sea necesario para que Sodexo haga valer o se defienda contra reclamaciones legales, hasta el final del período de retención correspondiente o hasta que se hayan resuelto las reclamaciones en cuestión. Si desea obtener más información sobre nuestros plazos específicos de retención de sus datos personales establecidos en nuestra política de retención, puede ponerse en contacto con nosotros en dpo.spain@sodexo.com.
Una vez transcurrido el período de retención aplicable, destruiremos de forma segura sus datos personales de acuerdo con las leyes y reglamentos aplicables.
Implementamos medidas técnicas y organizativas adecuadas para proteger los datos personales contra alteraciones o pérdidas accidentales o ilegales, o contra el uso, la divulgación o el acceso no autorizados, de conformidad con nuestra Política de seguridad de la información del grupo.
Tomamos, cuando corresponda, todas las medidas razonables basadas en la privacidad por diseño y la privacidad según los principios predeterminados para implementar las protecciones necesarias y proteger el tratamiento de los datos personales. También llevamos a cabo, dependiendo del nivel de riesgo planteado por el tratamiento, una evaluación de impacto de la privacidad ("PIA") para adoptar medidas de seguridad adecuadas y garantizar la protección de los datos personales. También proporcionamos protecciones de seguridad adicionales para los datos que se consideran datos personales confidenciales.
Compartimos sus Datos Personales en las siguientes circunstancias:
- con las entidades de Sodexo para los fines descritos en esta política;
- con terceros, incluidos ciertos proveedores de servicios que hemos contratado en relación con los fines descritos en esta política y los servicios que prestamos;
- con empresas que presten servicios de control de blanqueo de capitales y financiación del terrorismo y otros fines de prevención del fraude y la delincuencia, y con empresas que presten servicios similares, incluidas las instituciones financieras y los organismos reguladores con los que se compartan dichos datos personales;
- con los tribunales, las autoridades encargadas de hacer cumplir la ley, los reguladores, los funcionarios gubernamentales o los abogados u otras partes cuando sea razonablemente necesario para el establecimiento, el ejercicio o la defensa de una demanda legal o equitativa, o para los fines de un proceso confidencial alternativo de solución de controversias;
- con los proveedores de servicios que contratamos dentro o fuera de Sodexo, en el país o en el extranjero, por ejemplo, centros de servicios compartidos, para tratar datos personales para cualquiera de los fines mencionados anteriormente en nuestro nombre y de acuerdo con nuestras instrucciones únicamente;
- si vendemos o compramos cualquier negocio o activo, en cuyo caso podremos revelar sus Datos Personales al posible vendedor o comprador de dicho negocio o activo a quien cedamos o novemos cualquiera de nuestros derechos y obligaciones.
La legislación europea sobre protección de datos no permite la transferencia de datos personales a terceros países fuera del EEE que no garanticen un nivel adecuado de protección de datos. Algunos de los terceros países en los que Sodexo opera fuera del EEE no ofrecen el mismo nivel de protección de datos que el país en el que usted reside y la Comisión Europea no reconoce que ofrecen un nivel adecuado de protección de los derechos de privacidad de los datos personales.
Para las transferencias de sus Datos personales a dichos países, a entidades fuera de Sodexo, Sodexo ha implementado una salvaguardia adecuada para proteger sus Datos personales. Se le proporcionará más información sobre cualquier transferencia de sus Datos personales fuera de Europa en el momento de la recopilación de sus Datos personales a través de las declaraciones de privacidad adecuadas.
Para las transferencias de sus Datos personales a dichos países, a entidades dentro de Sodexo, Sodexo ha implementado las Reglas Corporativas Vinculantes (BCR) dentro del Grupo Sodexo. Por lo tanto, incluso si los terceros países en los que operan las entidades de Sodexo están ubicados fuera del Espacio Económico Europeo, sus datos personales están protegidos de la misma manera que lo habrían estado cualquier entidad ubicada dentro del Espacio Económico Europeo.
Para obtener más información, incluida la obtención de una copia de los documentos utilizados para proteger su información, comuníquese con nosotros dpo.spain@sodexo.com.
Como regla general, no recopilamos datos personales sensibles a través de nuestros servicios.
En caso de que fuera estrictamente necesario recopilar dichos datos para lograr el propósito para el cual se realiza el tratamiento, lo haremos de acuerdo con los requisitos legales locales para la protección de datos personales y, en particular, con su previo consentimiento explícito.
Los servicios se proporcionan para adultos que tienen la capacidad de celebrar un contrato según la legislación aplicable del país en el que se encuentran. Para la prestación de los servicios, podremos tratar datos personales de menores, pero siempre lo hacemos con el consentimiento de su tutor legal.
Es importante que los Datos personales que tenemos sobre usted sean precisos y estén actualizados. Manténganos informados si sus datos personales cambian actualizando su cuenta.
Sodexo se compromete a garantizar la protección de sus derechos de privacidad según las leyes aplicables. A continuación, encontrará una tabla que resume sus derechos de privacidad según la ley de protección de datos aplicable, que se aplica a todos los datos personales procesados.
Derecho de acceso y rectificación Usted puede solicitar una copia de los Datos Personales que tenemos sobre usted. También puede solicitar la rectificación de Datos Personales inexactos, o que se completen los Datos Personales incompletos. Derecho a supresión Su derecho a supresión le autoriza a solicitar el borrado de sus datos personales en los casos en que:
- Los datos ya no son necesarios;
- Eliges retirar tu consentimiento
- Usted se opone al tratamiento de sus datos personales por medios automatizados usando especificaciones técnicas;
- Su información personal ha sido procesada ilegalmente;
- Existe la obligación legal de borrar su información personal;
- Se requiere el borrado para garantizar el cumplimiento de las leyes aplicables.
Derecho a la limitación de tratamiento Puede solicitar que se limite el tratamiento de sus datos personales en los casos en que:
- Usted cuestiona la exactitud de los datos personales;
- Sodexo ya no necesita los datos personales para los fines del tratamiento;
- Usted se ha opuesto al tratamiento por razones legítimas;
- el Tratamiento de sus datos personales es ilícito y usted prefiere la limitación de su uso en lugar de su supresión.
Derecho a la portabilidad de datos Puede solicitar, donde corresponda, la portabilidad de sus datos personales que haya proporcionado a Sodexo, en un formato estructurado, de uso común y legible por máquina, usted tiene el derecho de transmitir estos datos a otro Responsable del tratamiento sin impedimentos por parte de Sodexo cuando:
- el tratamiento de sus datos personales se basa en el consentimiento o en un contrato; y
- el tratamiento se lleva a cabo por medios automatizados.
También puede solicitar que sus datos personales se transmitan a un tercero de su elección (cuando sea técnicamente posible).
Derecho a oponerse al tratamiento con fines de comercialización directa Puede oponerse (es decir, ejercer su derecho de "exclusión voluntaria") al tratamiento de sus datos personales, particularmente en relación con el perfil o las comunicaciones de marketing. Cuando tratemos su información personal sobre la base jurídica de su consentimiento, puede retirar su consentimiento en cualquier momento.
Derecho a no estar sujeto a decisiones automatizadas
Tiene derecho a no estar sujeto a una decisión basada exclusivamente en el tratamiento automatizado, incluida la creación de perfiles, que tiene un efecto legal sobre usted o le afecte significativamente.
Derecho a presentar una reclamación
Puede optar por presentar una reclamación ante la Autoridad de Supervisión de Protección de Datos en el país de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, independientemente de si ha sufrido o no daños y perjuicios.
También tiene derecho a presentar su reclamación ante los tribunales en los que la entidad de Sodexo tenga un establecimiento o en los que usted tenga su residencia habitual.
Derecho a retirar el consentimiento
Si hemos recopilado y tratado sus datos personales con su consentimiento, puede retirar su consentimiento en cualquier momento. Retirar su consentimiento no afectará la legalidad de ningún tratamiento que realizamos antes de su retirada, ni afectará el tratamiento de sus datos personales que se produjo basándose en una base jurídica distinta del consentimiento.
Para ejercer estos derechos, puede presentar su solicitud a través de dpo.spain@sodexo.com y/o con el Responsable de Protección de Datos del Grupo en dpo.group@sodexo.com Para más detalles, consulte la Política de Peticiones de Protección de Datos.
Puede optar por presentar una reclamación ante el Servicio de Control de Protección de Datos del país de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, independientemente de que haya sufrido o no daños y perjuicios.
También tiene derecho a presentar su reclamación ante los tribunales en los que la entidad de Sodexo tenga un establecimiento o en los que usted tenga su residencia habitual.
Es posible que necesitemos solicitarle información específica para ayudarnos a confirmar su identidad y garantizar su derecho a acceder a la información (o a ejercer cualquiera de sus otros derechos). Esta es otra medida de seguridad adecuada para garantizar que los Datos personales no se divulguen a ninguna persona que no tenga derecho a recibirlos.
Si corresponde en su país, puede hacer cumplir los derechos de beneficiario tercero que le otorgan las BCR de Sodexo.
Podemos actualizar esta Política de Protección de Datos ocasionalmente a medida que cambia nuestro negocio o cambian los requisitos legales. Si realizamos cambios significativos en esta política, publicaremos un aviso en nuestro sitio web cuando los cambios entren en vigencia y, cuando corresponda, le enviaremos una comunicación directa sobre el cambio.
Si tiene preguntas, comentarios y solicitudes en relación con esta política, puede enviarlas a su contacto local de protección de datos a dpo.spain@sodexo.com y/o al responsable de la protección de datos del grupo a dpo.group@sodexo.com o enviar una carta a Sodexo Iberia, S.A.U. Calle Federico Mompou, 5 Edificio 1, Planta 1. 28050 – Madrid.