Protección de datos

I. INTRODUCCIÓN

Esta Política define los estándares adoptados por 4KST para el tratamiento y la protección de los datospersonales1 que están o estarán bajo su tutela.

Todo el repertorio legal que involucre la cuestión de la protección de datos personales y los derechos inherentes a sus titulares es una preocupación primordial de 4KST, que exige el mismo compromiso de todos sus colaboradores en el desarrollo de sus actividades.

 

II. PREMISAS

4KST adopta premisas que rigen esta Política y que deben tenerse en cuenta en todos sus procesos (internos o externos) y en todas sus decisiones:

  1. protección de todos los datos personales que estén bajo su tutela, actuando continuamente para evitar cualquier filtración o acceso indebido;
  2. solo será proveedora de datos personales (por ejemplo, agencias de crédito) o de servicios relacionados con datos personales para 4KST, empresa debidamente constituida, sobre la que no exista ningún indicio de ilicitud, ilegalidad o falta de legitimidad para dicho suministro;
  3. el tratamiento de datos personales solo se llevará a cabo con fines lícitos, no discriminatorios y no abusivos;
  4. respeto estricto de la privacidad de cualquier titular dedatos2;
  5. Cumplimiento integral de la legislación y la normativa relativas a la protección de datos personales, tanto nacionales como internacionales, en especial la Ley brasileña de protección de datos personales (Ley 13.708/2018, «LGPD»).
  6. el tratamiento de datos personales solo se llevará a cabo cuando se ajuste a la base legal de acuerdo con los requisitos de la LGPD;
  7. el no tratamiento de datos personalessensibles3;
  8. eliminación de todos y cada uno de los datos personales que no sea necesario conservar bajo su tutela, es decir, que no deban conservarse para cumplir con algún requisito legal, para el funcionamiento del producto o servicio suministrado, o para mantener contactos comerciales y/o técnicos;
  9. todas sus relaciones, tanto internas como con terceros, se rigen por la total transparencia en lo que respecta a la conservación, el tratamiento y el uso de datos personales; y
  10. En caso de incidente deseguridad4, se informará de inmediato y con total transparencia a los titulares de los datos afectados y a las autoridades públicas pertinentes.

4KST solo prestará servicios de tratamiento de datos personales a terceros si se formaliza previamente el instrumento contractual correspondiente, en el que se indique expresamente la conformidad de la otra parte con las premisas relacionadas con la protección de datos personales aquí definidas.

 

III. DATOS PERSONALES

Debido a su estructura organizativa, actividades y mercado de actuación, 4KST clasifica los datos personales bajo su tutela en dos categorías para estructurar sus procesos internos de recopilación, almacenamiento, protección y eliminación de datos personales:

1. Datos personales internos

Son datos personales de empleados, becarios, socios, inversores, profesionales autónomos y prestadores de servicios que componen el grupo de colaboradores 4KST.

También se incluyen en esta categoría los datos de personas que representan a clientes o clientes potenciales, proveedores y socios de 4KST.

2. Datos personales Business 4KST

Esta categoría está compuesta por:

  • datos personales controlados por los clientes de los productos o servicios 4KST entregados para su tratamiento; y
  • datos personales adquiridos de agencias proveedoras de

 

IV. GOBERNANZA DE LA PROTECCIÓN DE DATOS PERSONALES

4KST adopta una estructura de gobernanza interna dedicada a la seguridad de los datos personales y al cumplimiento de las cuestiones legales y éticas relacionadas con este tema.

Además del Comité de Seguridad y Protección de Datos Personales (el «Comité») y su dirección, el Delegado de Protección de Datos (DPO), 4KST cuenta con Representantes de Protección de Datos Personales (los «RPDP») en todas las áreas/actividades sensibles de la empresa.

Estos RPDP son responsables de apoyar al DPO en la identificación y supervisión de los riesgos de la LGPD 5, así como de garantizar el cumplimiento de los procesos y procedimientos definidos en sus áreas de actuación.

La gobernanza de la protección de datos personales de 4KST está estructurada de la siguiente manera:

1. Comité de Seguridad y Protección de Datos Personales –
Miembros: socios cuotistas DPO
Periodicidad: Ordinaria, cada 30 días; Extraordinaria, previa convocatoria.
Acta: Si es necesario, documentar por relevancia la decisión tomada.

Los siguientes asuntos deberán ser obligatoriamente presentados al Comité para la identificación de los riesgos de la LGPD y su deliberación:

  • nuevo producto o servicio que implique el uso o tratamiento de datos personales, en fase de estudio de viabilidad para su comercialización por parte de 4KST;
  • contratación de proveedores de datos personales y/o servicios que impliquen datos personales, especialmente servicios prestados fuera del entorno de 4KST (por ejemplo, agencias, servicios de procesamiento en la nube, etc.);
  • definición de procesos de auditorías internas y presentación de sus resultados;
  • aprobación de normas internas de 4KST (Políticas y Procedimientos) relacionadas con la protección de datos personales, y sus actualizaciones;
  • denuncias sobre el incumplimiento de esta Política y otras normas internas de 4KST relacionadas con la protección de datos personales; y
  • demás asuntos relacionados con la protección de datos personales que el DPO o cualquiera de los RPDP decidan someter a deliberación del Comité.

También deberá ser objeto de estudio y deliberación por parte del Comité todo Informe de Impacto sobre la Protección de Datos Personales (RIDP) que sea elaborado por 4KST cuando esta pretenda realizar un tratamiento de datos personales, en el que se observen las siguientes condiciones:

  • 4KST seael responsable del tratamiento6 de los datos personales; y
  • el tratamiento de datos se basee en el interés legítimo de 4KST previsto en

El objetivo de todo RIDP es analizar y documentar el impacto futuro que el posible tratamiento de datos puede generar sobre sus titulares y la sociedad, teniendo en cuenta las posibles consecuencias indeseadas para ellos.

2. Responsable de protección de datos – 4KST DPO

Es la persona designada para actuar como canal de comunicación con los titulares de los datos personales, la Autoridad Nacional de Protección de Datos (ANPD) y otras autoridades públicas que puedan representar los intereses de los titulares de los datos. El DPO es responsable de la elaboración del RIPD, junto con el RPDP o los RPDP responsables del área o áreas a las que se refiere el informe.

El DPO también es responsable de liderar las acciones para atender cualquier incidente de seguridad que pueda ocurrir en 4KST.

Cualquier excepción al cumplimiento de la norma y/o proceso interno de 4KST que implique un riesgo para la LGPD deberá ser remitida al DPO, para su análisis y autorización previa.

3. Representantes de Protección de Datos Personales – RPDP (Representantes de Protección de Datos Personales)
a) Marketing y comunicación–

El RPDP de Marketing de 4KST es responsable de:

  • garantizar que todos los entornos y canales digitales utilizados por 4KST presenten términos de uso, políticas de privacidad, términos de consentimiento y demás documentos definidos para adecuarse a las normas de protección de datos personales de 4KST;
  • dar soporte para la comunicación interna y la formación sobre las normas internas de protección de datos y el riesgo LGPD; y
  • comunicar al DPO cualquier incumplimiento o vulnerabilidad detectada en su área de actuación que pueda suponer un riesgo para la LGPD.
b) Comercial –

El RPDP del Comercial de 4KST es responsable de:

  • garantizar que cualquier enfoque comercial hacia el cliente siga todas las premisas de 4KST en cuanto a sus normas de protección de datos personales;
  • evaluar previamente cualquier contratación si la intención de un cliente de utilizar un producto o servicio de 4KST se ajusta a las directrices de protección de datos personales adoptadas por 4KST, especialmente en lo que respecta a la no utilización de datos sensibles y a fines no discriminatorios y no abusivos; y
  • comunicar al DPO cualquier incumplimiento o vulnerabilidad detectada en su área de actuación que pueda suponer un riesgo para la LGPD.
c) Administrativo/Financiero –

El RPDP del departamento administrativo/financiero de 4KST es responsable de:

  • protección y confidencialidad de toda la información relacionada con los proveedores de servicios y otros profesionales autónomos;
  • protección y confidencialidad de la información relacionada con socios, inversores y accionistas de 4KST; y
  • Comunicación al DPO sobre cualquier incumplimiento o vulnerabilidad detectada en su área de actuación que pueda suponer una exposición al riesgo LGPD.
d) Técnica – Tecnología de la Información

El RPDP del área técnica de 4KST es responsable de:

  • garantizar la implementación de buenas prácticas de seguridad de la información en la transmisión y el almacenamiento de datos;
  • asegurarse de que todos los ordenadores de la empresa dispongan de registros de acceso a los archivos;
  • garantizar la realización del análisis de los registros periódicamente y de acuerdo con las solicitudes internas/externas;
  • confirmar el descarte de todos los datos tras la realización de pruebas de concepto o la prestación de servicios dentro del plazo estipulado en el contrato;
  • buscar continuamente nuevas soluciones de seguridad informática para identificar aquellas que puedan implementarse en los procesos de 4KST como forma de mejora continua;
  • formar a todo el equipo técnico de tecnología de la información de 4KST en conceptos de seguridad informática y protección de datos;
  • comunicar inmediatamente al DPO cualquier incidente de seguridad que detecte en la estructura de 4KST; y
  • comunicar al DPO cualquier incumplimiento o vulnerabilidad detectada en su área de actuación que pueda suponer un riesgo para la LGPD.
e) Recursos Humanos –

El RPDP de Recursos Humanos de 4KST es responsable de:

  • garantizar la custodia segura de toda la información relacionada con los empleados y becarios de la empresa y los profesionales técnicos autónomos, exigiendo, incluso contractualmente, que cualquier proveedor de servicios que necesite tener acceso a dicha información (por ejemplo, nóminas y e-social, medicina del trabajo, etc.) cumpla estrictamente con el compromiso de custodia y no divulgación;
  • crear todos los procesos internos de la actividad de gestión de recursos humanos teniendo en cuenta las directrices de protección de datos personales de 4KST previstas en esta Política y demás normas internas relacionadas;
  • conservar documentos con datos personales que identifiquen a los candidatos únicamente durante los procesos de selección llevados a cabo por 4KST;
  • dar preferencia al uso de herramientas públicas de registro de datos profesionales y académicos (por ejemplo, Curriculum Lattes, Linkedin, etc.) para la búsqueda de profesionales;
  • implantar procesos periódicos para confirmar el cumplimiento de las normas de protección de datos personales de 4KST por parte de sus proveedores y colaboradores de 4KST; y
  • comunicar al DPO cualquier incumplimiento o vulnerabilidad detectada en su área de actuación que pueda suponer un riesgo para la LGPD.
f) Jurídico –

El RPDP del Departamento Jurídico de 4KST es responsable de:

  • estar al tanto de los cambios legales y reglamentarios relacionados con el tema y mantener informados al DPO y a los miembros del Comité;
  • asegurar que todos los instrumentos contractuales que rigen las relaciones con terceros en materia de datos personales contengan cláusulas sólidas de seguridad y confidencialidad y cumplan plenamente con la legislación pertinente y las normas internas de 4KST; y
  • comunicar al DPO cualquier incumplimiento o vulnerabilidad detectada en su área de actuación que pueda suponer un riesgo para la LGPD.
g) Cumplimiento normativo –

El RPDP de Cumplimiento Normativo de 4KST es responsable de:

  • realizar procesos de diligencia debida de terceros sensibles al riesgo LGPD (por ejemplo, agencias de crédito);
  • formación/capacitación y reciclaje sobre el riesgo LGPD y las normas internas de 4KST relacionadas con todos los colaboradores de 4KST; y
  • comunicar al DPO cualquier incumplimiento o vulnerabilidad detectada en 4KST que pueda suponer una exposición al riesgo LGPD.

 

V. RELACIONES EXTERNAS

1) Autoridades públicas

4KST y su DPO se comprometen a cumplir con todos los requisitos de las autoridades públicas respaldados por preceptos legales, así como a cumplir plenamente con todas las resoluciones judiciales relacionadas con la cuestión de los datos personales. No se permite que ningún colaborador de 4KST cree ningún obstáculo para impedir o perjudicar las inspecciones o investigaciones.

2) Titulares de los datos

La relación de 4KST con los titulares de datos personales se basará en la total transparencia y el pleno cumplimiento de la Ley 13.708/2018, en especial el principio de libre acceso previsto en la misma.

 

VI. MONITOREO

1) Auditoría de terceros

4KST permitirá a sus clientes y proveedores promover procesos de auditoría en sus entornos físicos e informáticos, con el fin de confirmar el cumplimiento de los compromisos contractuales relacionados con la custodia, protección, confidencialidad y eliminación de datos personales.

2) Monitoreo interno

4KST mantendrá rutinas de supervisión periódica, incluso mediante auditorías internas, para identificar posibles incumplimientos de sus normas internas que puedan generar una exposición al riesgo LGPD.

 

VII. RESPUESTA A INCIDENTES

4KST, a través de sus colaboradores, es consciente de la sensibilidad de sus actividades en lo que respecta al impacto sobre los titulares de los datos en caso de que se produzca un incidente de seguridad. Reconoce que, a pesar de todas las precauciones de seguridad que se puedan implementar, no hay forma de garantizar totalmente la inviolabilidad de su entorno de procesamiento y almacenamiento. También reconoce que los datos personales de Business 4KST se derivan de las relaciones que sus clientes mantienen con los titulares de los datos, relaciones que están protegidas por la legislación en materia de consumo.

De este modo, 4KST se compromete a adoptar procesos claros y predefinidos de respuesta ante cualquier incidente de seguridad, teniendo en cuenta los niveles de impacto y gravedad, con el fin de garantizar una actuación rápida para mitigar al máximo sus efectos perjudiciales, así como la total transparencia ante los titulares de los datos y las autoridades públicas.

 

VIII. INFRACCIONES Y SANCIONES

Todos los empleados de 4KST recibirán formación continua sobre los riesgos de la LGPD y las normas y procesos internos adoptados por la empresa para reducir la exposición a dichos riesgos.

Esta Política y otras normas internas relacionadas con la seguridad de la información publicadas por 4KST deben ser conocidas y observadas íntegramente por cada colaborador de 4KST, y cualquier infracción podrá ser sancionada con la rescisión de la relación contractual. 4KST no se abstendrá de remitir las posibles infracciones legales a las autoridades competentes.

 

 

1 dato personal: dato que, de forma individualizada o mediante un conjunto de datos, identifica o puede identificar a una persona física.
2Titular de los datos: persona física a la que se refieren los datos personales.
3datos personales sensibles: son aquellos datos de una persona física que se refieren al origen racial o étnico, las convicciones religiosas, las opiniones políticas, la afiliación a sindicatos u organizaciones de carácter religioso, filosófico o político, los datos relativos a la salud o la vida sexual, los datos genéticos o biométricos.
4incidente de seguridad: violación de la seguridad que provoque, de forma accidental o ilícita, la destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales bajo la tutela de 4KST.
5Riesgo LGPD: riesgo de que los datos personales bajo la tutela de 4KST sean divulgados indebidamente o sean objeto de uso, almacenamiento y/o tratamiento en incumplimiento de las leyes relacionadas con la protección de datos personales de las jurisdicciones en las que 4KST desarrolla sus actividades comerciales.
6Controlador: responsable de las decisiones relativas al tratamiento de datos personales.
Política de protección de datos personales 4KST – versión 01 Publicada el 18/09/2020
compliance@4kst.com

Adelántese a la competencia c
.

Optimice sus decisiones estratégicas con las previsiones más precisas del mercado
.


Contáctenos
  • Cumplimiento con la LGPD
  • Resolución BCB n.º 85/2021
  • Certificación ISO/ISE 27001:2022