POLÍTICA SOBRE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
Ámbito de aplicación: AMC Networks International ("AMCNI"), unidades de negocios de AMCNI y todas las unidades de negocio y filiales de AMC Networks Inc. que recopilan, almacenan, analizan o procesan de cualquier otra forma Datos personales de la Unión Europea[1] (conjuntamente, a efectos de esta política, la "Compañía").[2]
Versión: v2 Fecha de Efecto: 15 de abril de 2024
Propietarios: Ezra Sternstein (AMCN Legal) Aprobador: Departamento Legal
Isabel Enciso (EU DPD)
La Compañía se compromete a respetar los derechos de privacidad y protección de la información de los consumidores, colaboradores y empleados, así como a recopilar, utilizar, almacenar y eliminar los Datos Personales que la Compañía recopila y mantiene de manera responsable y en cumplimiento de sus obligaciones legales. Este compromiso ayuda a la Compañía a reducir el riesgo y a mantener la confianza de consumidores, colaboradores y empleados. Esta política, junto con el Programa de Cumplimento relativo al Reglamento General de Protección de Datos de la Compañía (el "Programa RGPD") está diseñada para ayudar a la Compañía a cumplir este compromiso estableciendo políticas y procedimientos con respecto a la captación, uso, almacenamiento y eliminación de Datos Personales.
I. RESPONSABILIDADES AL TRATAR DATOS PERSONALES
Esta sección describe los pasos que deben seguir los empleados de la Compañía al captar, registrar, organizar, analizar, adaptar, modificar, revisar, divulgar, borrar, combinar, destruir o de otro modo gestionar (indistintamente, cada operación, "tratamiento") Datos Personales, o al desarrollar, implementar o mantener proyectos o iniciativas que conlleven el tratamiento de Datos Personales.
A. Antes de tratar Datos Personales, se debe confirmar que el tratamiento está autorizado
Los empleados deberán confirmar que están tratando Datos Personales solo para los fines comerciales específicos y legítimos que la Compañía haya autorizado. Por lo tanto, antes de tratar los Datos Personales, los empleados deberán considerar si es necesario tratar los Datos Personales para los fines especificados, y consultar con los Responsables Legales de Privacidad de su unidad de negocio si no están seguros de si el tratamiento está permitido. Evaluar si la Compañía ha autorizado el tratamiento de Datos Personales puede implicar revisar leyes, políticas de la Compañía, contratos, avisos de privacidad o mecanismos de consentimiento.
Cuando los Datos Personales se utilicen para fines de marketing directo o para desarrollar perfiles de consumidores, los empleados deben consultar siempre con su Responsables Legales de Privacidad al planificar dichas iniciativas, porque es posible que resulten aplicables determinados requisitos en cuanto a las opciones del usuario o la transparencia de la información específicos basados en leyes aplicables, normas de autorregulación u obligaciones contractuales. Los Responsables Legales de Privacidad deberán consultar al Delegado de Protección de Datos Europeo si tienen alguna duda.
B. Se debe realizar el proceso de análisis de riesgos antes de iniciar nuevos tratamientos
La Compañía debe completar el procedimiento corporativo para evaluar el riesgo de privacidad (por sus siglas en inglés, "RADAR") antes de realizar nuevos tratamientos de tratar Datos Personales. Por ejemplo, se completará cuando la Compañía tenga previsto captar Datos Personales usando nuevas tecnologías, o sirviéndose de nuevos proveedores, o usar o compartir los Datos Personales de nuevas maneras, o cuando la Compañía tenga previsto captar ciertas tipologías de Datos Personales que no ha recopilado previamente. Los empleados que tengan dudas sobre si están obligados a utilizar RADAR para un nuevo proyecto que implique el tratamiento de Datos Personales deben consultar con los Responsables Legales de Privacidad de sus respectivas unidades de negocio.
Para completar el proceso de RADAR, los empleados deben tener conocimiento de los tipos de Datos Personales que se recopilarán; las fuentes de los Datos Personales; los fines del tratamiento de los Datos Personales; las formas en que se procesarán los Datos Personales; y las jurisdicciones en las que se recopilarán y almacenarán los Datos Personales, y desde las que se accederá a los Datos Personales. El proceso RADAR será realizado por el responsable de negocio (por ejemplo, en tratamientos que requieran un nuevo contrato, el Contract Owner), asistido por el Responsable de Privacidad Legal de la unidad de negocio correspondiente. Los Responsables Legales de Privacidad deben consultar con el UE DPD si tienen preguntas.
RADAR está diseñado para realizar primero las preguntas necesarias para determinar el nivel de riesgo de privacidad y si, a la vista de las respuestas inicialmente dadas, resultara que el proyecto puede representar un riesgo significativo para la privacidad, RADAR continuará con un análisis adicional y más exhaustivo denominado evaluación de impacto de privacidad ("PIA", por sus siglas en inglés). Los factores de riesgo pueden incluir, entre otros: observación sistemática, evaluaciones o toma de decisiones basadas en procesos automatizados, creación de perfiles (por ejemplo, que puedan causar discriminación), tratamientos a gran escala o que afecten a origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, datos genéticos o biométricos o relativos a la salud u orientación social o antecedentes delictivos.
C. Investigación de proveedores y disposiciones contractuales
Si la Compañía va a llevar a cabo una operación o a otorgar un acuerdo que involucre a un nuevo proveedor, prestador de servicios u otro tercero, cuyo objeto consista, o necesariamente requiera, el tratamiento de Datos Personales de la Compañía (“Encargado de Tratamiento”), la Compañía no contratará con dicho tercero si no ha completado un cuestionario de seguridad informática que haya sido revisado y aprobado por Carlos Rethana (CISO) o por el personal designado. El Responsable del Contrato (según este concepto se define en la Política de Contratos) o deberá obtener el último formulario del Cuestionario de seguridad informática del Departamento de TI antes de negociar cualquier contrato.
Antes de renovar los acuerdos existentes con terceros que tratan Datos Personales, el Responsable del Contrato deberá consultar con el Departamento de TI para determinar si dicho Encargado de Tratamiento ha sido homologado previamente por el proceso de Cuestionario de seguridad informática y si dicha homologación está actualizada (si se ha producido durante los dos años anteriores).
Antes de formalizar nuevos acuerdos o de renovar acuerdos existentes con Encargados de Tratamiento, el Responsables Legales de Privacidad correspondiente deberá revisar el contrato para confirmar que contienen el clausulado apropiado y necesario.
D. Mantener la seguridad apropiada de los datos; Notificación de incidentes de datos
Al tratar Datos Personales, los empleados deben mantener la seguridad apropiada de los datos y cumplir con los requisitos establecidos en las Políticas de Seguridad Informática de la Compañía, los controles TI SOX y la Política de Uso Aceptable.
Los empleados que tengan conocimiento o sospechen que se ha accedido a los Datos Personales o que estos se han utilizado de manera no autorizada o ilegal, divulgados a personas no autorizadas o afectados por un incidente que haya comprometido su integridad, confidencialidad o disponibilidad de los datos deberán comunicar de inmediato el incidente de conformidad con lo dispuesto en la Política de Notificación de Incidentes de Datos de la Compañía.
E. Mantener la calidad de los datos
Los empleados deben adoptar todas las medidas razonables para mantener los Datos Personales precisos y actualizados. Esto incluye, aunque no exclusivamente, adoptar medidas razonables para evaluar la fiabilidad de las fuentes que suministran Datos Personales a la Compañía y ofrecer a las personas la oportunidad razonable de actualizar sus Datos Personales. Los empleados que tengan dudas sobre si están adoptando las medidas apropiadas para mantener la calidad de los datos deberán consultar con sus respectivos Responsables Legales de Privacidad, que podrán consultar con EU DPD en caso necesario.
F. Solicitudes de ejercicio de derechos
La Compañía podrá recibir solicitudes de personas para ejercer ciertos derechos que puedan tener esas personas respecto a sus Datos Personales. Por ejemplo, se podrá solicitar a la Compañía que proporcione copias de los Datos Personales de una persona de los que disponga, que cese en el tratamiento de dicha información o que actualice o suprima información. Los derechos de los interesados dependerán de las leyes aplicables.
Los empleados que reciban una solicitud de una persona para acceder, actualizar o eliminar sus Datos Personales o para ejercer algún otro derecho relacionado con los Datos Personales del individuo, deberán enviar esa petición a los Responsables Legales de Privacidad de sus respectivas unidades de negocio en un plazo de cuarenta y ocho horas a partir de que reciban la solicitud. La Compañía podrá publicar políticas o procedimientos que requieran que los empleados atiendan las solicitudes individuales dentro de un plazo de tiempo más corto.
Los empleados que tengan dudas sobre si deben responder, y cómo, a las solicitudes de las personas para ejercer sus derechos respecto a los Datos Personales deben consultar con el Responsables Legales de Privacidad de sus respectivas unidades de negocio. Los Responsables Legales de Privacidad deberán consultar al UE DPD si tienen alguna duda.
G. Revelar Datos personales solo con autorización
Los empleados que reciban de un tercero (incluidos, entre otros, las fuerzas policiales, los reguladores o terceros privados) una solicitud para que la Compañía o el empleado divulgue Datos personales, deberán comunicarse con su Responsable Legal de Privacidad a fin de obtener autorización para divulgar los Datos Personales, salvo que la solicitud sea del tipo para el que el Responsable Legal de Privacidad haya emitido una autorización general. Además, el Responsable Legal de Privacidad deberá notificar y consultar inmediatamente al General Counsel de AMC Networks International con respecto a cualquier solicitud de datos de una autoridad de aplicación de la ley, un regulador u otra entidad gubernamental.
H. Procedimientos de retención y eliminación de datos
Es política de la Compañía retener los Datos Personales solo durante el tiempo que sea necesario para fines comerciales específicos. La Compañía podrá estar sujeta a obligaciones legales, regulatorias o contractuales para retener los Datos Personales por un período de tiempo específico. Y puede ser prudente para la Compañía retener Datos Personales durante un período determinado a fin de que la Compañía pueda proteger sus derechos o gestionar las relaciones comerciales en curso. Para mayor información, se deberá consultar el Esquema de Conservación Documental de la Compañía.
No obstante, como norma general, los documentos (incluidas las versiones impresas y electrónicas y los mensajes de correo electrónico) que contengan Datos Personales no deben conservarse indefinidamente. No se deberán conservar Datos Personales simplemente en base a que podrían ser útiles en el futuro sin una idea clara de cuándo o para qué. Los empleados deberán eliminar los Datos Personales de forma segura cuando ya no exista la necesidad comercial o legal de retenerlos. Para mayor información, consultarla Política de Conservación de Correos y Documentos.
Los empleados que tengan dudas sobre si deben eliminar los Datos Personales, y cómo, deben consultar con los Responsables legales de Privacidad de sus respectivas unidades de negocio. Los Responsables Legales de Privacidad deberán consultar al UE DPD si tienen alguna duda.
I. Completar la formación necesaria
Los empleados deberán completar todas las formaciones requeridas dentro de los plazos especificados y deberán revisar todas las comunicaciones de concienciación sobre la protección de la privacidad y la información inmediatamente después de haberlas recibido. Los empleados que tengan dudas acerca de qué capacitaciones son necesarias y si las han completado, deben ponerse en contacto con el Departamento de Recursos humanos o los Responsables Legales de Privacidad de su unidad de negocio
.
II. PRINCIPIOS DEL PROGRAMA RGPD
Esta sección contiene los principios que sirven de base para el Programa RGPD de la Compañía.
A. Tratamiento lícito y razonable de los Datos Personales
La Compañía deberá recopilar y utilizar Datos Personales solo para fines comerciales legítimos y razonables. La Compañía solo deberá recopilar y utilizar la cantidad mínima de Datos Personales necesarios para alcanzar esos fines comerciales lícitos y legítimos.
B. Transparencia
Como norma general, la Compañía deberá proporcionar a los empleados, consumidores y otras personas información sobre cómo la Compañía trata los Datos Personales de esas personas, así como información sobre los fines para los que utiliza la Compañía los Datos Personales. La transparencia es un requisito fundamental en muchas de las leyes de privacidad aplicables a la Compañía y ayuda a demostrar las buenas prácticas de privacidad de datos.
C. Privacidad por diseño
La Compañía se compromete a identificar, evaluar y adoptar medidas razonables para abordar los asuntos de privacidad y protección de la información relacionados con el tratamiento de datos personales durante todo el ciclo de vida de los programas e iniciativas relacionados con dicho tratamiento. La Compañía tendrá en cuenta las circunstancias particulares de la recopilación y el uso de datos, el coste de implementar medidas de protección de la privacidad y los riesgos potenciales para las personas al diseñar e implementar sistemas, bases de datos, aplicaciones, funcionalidades y otros servicios o tecnologías que impliquen el proceso de tratamiento de los datos personales.
Los procesos de Análisis de Riesgos y Evaluación de Impacto de la Compañía están diseñados para ayudar a la Compañía a cumplir con el principio de privacidad desde el diseño.
D. Seguridad de los datos
La Compañía deberá implementar las medidas de seguridad técnicas, organizativas, administrativas y físicas apropiadas para proteger los Datos Personales contra el tratamiento no autorizado o ilegal y la pérdida, destrucción o daño accidental.
Al considerar qué nivel de seguridad es razonable en cada caso en particular, deben tenerse en cuenta una serie de factores como:
· el estado de desarrollo tecnológico;
· el coste de aplicación de las medidas;
· los daños que pudieran resultar de una violación de la seguridad, y
· la naturaleza de la información que se debe proteger.
La Compañía dispone de una descripción general de las medidas técnicas y organizativas de seguridad (el “Esquema de Medidas de Seguridad”) que considera apropiadas para preservar la seguridad de los datos Personales. El Esquema de Medidas de Seguridad se revisa periódicamente en atención a los cambios tecnológicos. Lo empleados deberán contactar con el Responsable Legal de Privacidad para obtener la versión más actualizada.
E. Calidad de los datos
La Compañía se compromete a mantener los Datos personales precisos y actualizados de forma razonable y según lo exija la ley.
F. Retención y eliminación de los datos
La Compañía deberá retener los Datos Personales solo durante el tiempo que sea necesario para los fines comerciales legítimos y legales para los que se tratan dichos datos. Dichos fines pueden ser, entre otros, mantener relaciones permanentes con los clientes o proveedores, cumplir las obligaciones contractuales o las normas legales o regulatorias o apoyar los intereses legítimos de la Compañía en formas que no sean compensadas por el impacto en las personas. La Compañía deberá eliminar los Datos Personales de forma segura cuando ya no sean necesarios para tales fines.
G. Respetar los derechos de los interesados
La Compañía se compromete a cumplir todos los requisitos legales en cuanto a las consultas, solicitudes o quejas presentadas por las personas respecto a sus Datos Personales.
H. Supervisión de los proveedores para proteger la privacidad y la información
La Compañía se compromete a confirmar que los terceros que prestan servicios o información a la Compañía están sujetos a y cumplen las medidas razonables de seguridad y privacidad de los datos. Las leyes aplicables podrán exigir que los Encargados de Tratamiento (esto es, proveedores que procesan Datos personales en nombre de la Compañía, por ejemplo, gestores de nómina o servicios de alojamiento web) estén sujetos a obligaciones contractuales con respecto a la privacidad y seguridad de los datos.
I. Divulgaciones a terceros
La Compañía cumplirá con las leyes aplicables cuando transfiera Datos Personales a entidades no afiliadas. La Compañía solo revelará Datos Personales si dicha divulgación está permitida o requerida por las leyes aplicables. En ausencia de un requisito legal para divulgar Datos Personales, la Compañía solo divulgará Datos Personales a terceros si la divulgación es consistente con los avisos de privacidad aplicables o con el consentimiento de las personas a quienes se refieren los Datos Personales.
J. Transferencias internacionales
La Compañía se compromete a cumplir los requisitos legales aplicables relativos a la transferencia de Datos Personales fuera de la Unión Europea.
K. Marketing directo
La Compañía se compromete a cumplir los requisitos legales aplicables y las normas de autorregulación a las que pueda estar sujeta en relación con las iniciativas de marketing directo. La Compañía se compromete a respetar las solicitudes de las personas para ejercer los derechos que puedan tener con respecto a las comunicaciones y preferencias de marketing.
L. Formación
La Compañía se compromete a proporcionar a los empleados formación y avisos diseñados para informarles de sus responsabilidades relacionadas con mantener la privacidad, confidencialidad y seguridad de los Datos Personales.
III. MARCO DE GOBERNANZA
Esta sección describe el marco de gobernanza de la Compañía para el Programa RGPD.
A. Funciones y responsabilidades de la supervisión
La Compañía ha designado a los siguientes empleados con la responsabilidad de desarrollar, implementar, mantener y evaluar el Programa RGPD:
Delegado Europeo de Protección de Datos ("UE DPD")
El UE DPD todas las actividades en curso relacionadas con el desarrollo, implementación, mantenimiento y cumplimiento de las políticas y procedimientos abarcadas por y relacionadas con el Programa RGPD. Al supervisar estas actividades, el UE DPD pretende alinear las prácticas de la Compañía con las obligaciones legales, el compromiso de la Compañía con las prácticas de datos responsables y, cuando corresponda, con las prácticas relevantes del sector y las normas de autorregulación. El UE DPD colabora estrechamente con representantes de los departamentos Legal, Tecnología de la información, Recursos humanos, Cumplimiento, Auditoría, Operaciones y Unidades de negocio para desarrollar, implementar, mantener y aumentar la efectividad del Programa RGPD.
Las responsabilidades específicas del UE DPD incluyen:
· Llevar a cabo evaluaciones periódicas del riesgo de privacidad de la información y las actividades de supervisión del cumplimiento en curso en coordinación con otras funciones de cumplimiento y evaluación operativa de la Compañía;
· Colaborar con asesores legales, gerentes, departamentos clave y comités para desarrollar, mantener y actualizar políticas, procedimientos, mecanismos, formularios, acuerdos, avisos de información y otros elementos relacionados con la recopilación, el uso o la divulgación de Datos Personales;
· Dirigir el desarrollo y la oferta de formaciones sobre privacidad y programas de concienciación, según corresponda, a empleados, contratistas y otros terceros con acceso a Datos Personales;
· Establecer y administrar procesos apropiados para recibir, documentar, seguir, investigar y resolver denuncias relacionadas con las prácticas de privacidad de la Compañía;
· Establecer y administrar procesos apropiados para recibir, documentar, seguir y responder a las solicitudes de individuos para ejercer sus derechos con respecto a los Datos Personales bajo las leyes aplicables;
· Trabajar con Auditoría interna, Recursos Humanos, Seguridad Informática y Legal para confirmar que los empleados cumplen las políticas y los procedimientos relacionados con la recopilación, uso y divulgación de los Datos Personales. Cuando se verifique algún incumplimiento, el UE DPD colaborará con Recursos Humanos y otras áreas, según corresponda, para tomar las medidas apropiadas;
· Coordinar con Tecnología de la información para alinear adecuadamente los planes, programas e iniciativas de seguridad de la información con el Programa RGPD;
· Mantener el conocimiento de las leyes aplicables de privacidad y protección de la información, las normas de acreditación y las prácticas del sector y supervisar los avances en las tecnologías de privacidad y protección de la información para promover la adaptación y el cumplimiento organizativo.
Comité RGPD (“Comité RGPD”)
Comisión Ejecutiva de Cumplimiento de Datos (“Comisión ECD”)
El UE DPD, con la asistencia del Comité RGPD, reporta a la Comisión ECD que se compone de los Directores Financiero, de Recursos Humanos, el General Counsel, el CISO y otros miembros del senior management de la Compañía.
B. Principios del Programa RGPD
Los Principios del Programa RGPD de la Compañía descritos en la Sección II anterior, establecen las expectativas de referencia de la Compañía para la recopilación, almacenamiento, tratamiento, intercambio y eliminación de los Datos personales y otro tipo de información de la Compañía. La Compañía espera que todos sus empleados y proveedores de servicios de estén familiarizados con los principios del Programa RGPD, tal como se establecen en la Sección II anterior, y los aspectos del Programa RGPD, incluidas las políticas y procedimientos relevantes para sus funciones y responsabilidades laborales.
C. Auditoría
De forma regular, la Compañía realizará una auditoría sobre Privacidad y Seguridad de la Información. Esta auditoría se centrará en las principales áreas de riesgo con carácter general, o dependiendo de las actividades de la Compañía y/o las distintas unidades de negocio en función prioridades establecidas por cada unidad de negocios, el conocimiento del UE DPD sobre los desarrollos legislativos, reglamentarios y del sector, y las aportaciones de las partes interesadas pertinentes.
Los resultados de la Auditoría se elevarán a la Comisión ECD y servirán para establecer los presupuestos y prioridades del Programa RGPD para el próximo ejercicio. La Compañía priorizará la mitigación de os riesgos detectados en el Auditoría en atención a su clasificación como Alto Riesgo, Medio Riesgo y Bajo Riesgo.
Las acciones de remediación se propondrán e implementarán en el seno del Comité RGPD con la asistencia de los departamentos implicados en las distintas unidades de negocio y bajo la supervisión del UE DPD.
D. Aportación de las diferentes partes interesadas
El Programa RGPD recibe aportaciones de las partes interesadas clave dentro de la Compañía, incluido el Comité RGPD.
E. Informes periódicos y revisiones
El UE DPD, con el apoyo del Comité RGPD, presentará informes periódicos sobre el estado del Programa RGPD a la Comisión ECD.
F. Políticas y procedimientos del Programa RGPD
Las políticas del Programa RGPD son documentos de alto nivel que representan la intención y orientación general de la Compañía con respecto a la implementación del Programa RGPD. Este documento incluye algunas de las políticas del Programa RGPD.
Los procedimientos del Programa RGPD son descripciones paso a paso de cómo implementar las políticas del Programa RGPD. Los procedimientos del Programa RGPD pueden adaptarse para que las diferentes unidades de negocio o jurisdicciones reflejen las diferencias en circunstancias operativas o requisitos legales.
Para obtener información acerca de cómo acceder a las políticas o procedimientos relevantes del Programa RGPD, contactar con el Responsable Legal de Privacidad de cada unidad de negocio.
[1] "Datos Personales" es cualquier información relacionada con una persona física que se pueda utilizar, sola o junto con otros datos, para identificar a la persona.
[2] Una unidad de negocios o filial trata Datos personales de la Unión Europea si (1) está establecida en la Unión Europea y trata Datos personales de personas físicas (2) ofrece productos o servicios a individuos de la Unión Europea y trata Datos personales relacionados con esos individuos o (3) controla el comportamiento, incluidas las actividades en línea, de individuos ubicados en la Unión Europea y, al hacerlo, procesa los Datos personales relacionados con esos individuos.