Protección de la Vida privada y los Datos personales
Michelin cree firmemente que la protección de los datos personales constituye un factor de confianza en sus relaciones con las partes interesadas. El Grupo se compromete a recopilar y tratar tan solo aquellos datos necesarios para sus actividades.
Definición y contexto
Un dato personal es una información que permite identificar directa o indirectamente a una persona física.
Esto incluye, por ejemplo:
- para la identificación directa de una persona: una foto o datos sobre su estado civil (nombre, apellidos…);
- para la identificación indirecta: un número único de identificación (matrícula, identificador de Michelin, número de teléfono móvil) o informaciones combinadas (sexo, edad, profesión, lugar de residencia, etc.).
Estos datos personales deben protegerse.
El número de reglamentos de protección de la vida privada y los datos personales ha aumentado notablemente en todo el mundo en los últimos años. En muchos países, el incumplimiento de los reglamentos está sujeto a sanciones económicas cuantiosas (que se suelen publicar en prensa), e incluso a sanciones penales.
Principios de actuación
Los datos personales de empleados, clientes, proveedores, accionistas, socios o subcontratistas deben tratarse de acuerdo con las leyes y reglamentos, así como con las directivas del Grupo aplicables en materia de protección de datos personales.
El Grupo se compromete a recopilar y tratar tan solo aquellos datos necesarios para sus actividades.
Los datos personales no pueden comunicarse a terceros, excepto cuando sea necesario y la ley lo permita.
Por otra parte, Michelin cree firmemente que la protección de los datos constituye una gran ventaja competitiva y un factor de confianza en sus relaciones con las partes interesadas.
La protección de datos personales solo puede garantizarse si todos colaboramos.
Qué debo hacer
- Recopilar y manejar únicamente los datos personales necesarios con la finalidad prevista. Asegurarme de que la finalidad sea legítima y esté claramente definida.
- Asegurarme de que la recogida y el uso de los datos personales sea conforme con la información transmitida a los interesados; si es necesario, me aseguro de obtener el consentimiento del interesado para la recogida y el uso de sus datos.
- Introducir en los campos de comentarios libres únicamente comentarios pertinentes, adecuados y no excesivos; preguntarme si no me incomodaría hacer ese comentario a la persona a quien va dirigido.
- Destruir o corregir los datos inexactos o incompletos y respetar los derechos que las personas tienen sobre sus datos.
- Transmitir los datos personales exclusivamente a los destinatarios internos habilitados y que tengan una necesidad legítima de conocerlos.
- Transmitir los datos personales al exterior solamente en caso de obligación legal o a empresas que hayan establecido un acuerdo con el Grupo.
- Leer y respetar todos los compromisos aplicables dentro del Grupo en caso de acceso autorizado a los datos procedentes de otros países o de transferencias internacionales; estos documentos están accesibles en la intranet (por ejemplo, las normas corporativas vinculantes, "BCR" por sus siglas en inglés).
- Garantizar la seguridad y confidencialidad de los datos personales, por ejemplo, respetando las reglas de seguridad del Grupo durante su transmisión (es decir, cifrando el archivo de los datos).
- Informar al CERT Michelin (Computer Emergency Response Team - equipo responsable de la gestión de incidentes de seguridad informática) de acuerdo con el procedimiento aplicable en caso de violación de los datos (pérdida de información, acceso no autorizado, publicación no autorizada, etc.).
- Seguir cursos de formación periódicamente si las funciones desempeñadas requieren el tratamiento de datos personales. Conocer el marco aplicable a mi actividad.
Qué no debo hacer
- Recopilar los datos personales sin el consentimiento del interesado.
- Recopilar informaciones consideradas "sensibles" (estado de salud, preferencia sexual, opiniones políticas, convicciones religiosas, origen racial o étnico) sin el consentimiento del interesado o solo si la ley obliga a ello.
- Permitir el acceso a los datos personales a una persona situada en otro país sin haber consultado a la función jurídica.
- Conservar los datos personales más tiempo del necesario para la finalidad que se persigue.
Caso práctico 1
Usted forma parte de un equipo de comerciales y le gustaría establecer relaciones de proximidad con los clientes. Querría introducir algunos detalles sobre su vida privada en la herramienta de gestión de clientes del Grupo. De esta forma, la persona que le sustituya tendrá acceso a estos datos en su ausencia. ¿Está autorizada esta práctica?
No. Solo se pueden recopilar datos fácticos relacionados con el ámbito profesional. Además, la recogida de ciertas informaciones sensibles (estado de salud, religión...) está estrictamente prohibida. Recuerde que el cliente puede solicitar el acceso a sus datos personales.
Caso práctico 2
Un compañero ha tenido un accidente de trabajo. A usted le gustaría hablar de esta experiencia en todos los centros de producción industrial. Transmite los datos siguientes: Ronan A, monitor, centro de producción de Vannes, así como los detalles de las heridas y el contexto del accidente. Solo dice el nombre propio del compañero, ¿es esto conforme al reglamento?
Debe plantearse las preguntas siguientes:
- 1. ¿El objetivo es legítimo?
- Sí. Se trata de mejorar la seguridad de los empleados hablando de esta experiencia.
- 2. ¿Son indispensables todos esos datos?
- No. El centro de producción, el puesto y el nombre propio no son útiles para hablar sobre el accidente.
- Por otra parte, para "anonimizar" los datos personales, hay que preguntarse siempre: ¿puedo identificar a esta persona a partir de los datos ofrecidos? Sin embargo, al decir el centro de producción, el puesto y el nombre, estaría dando suficientes datos para poder identificar a esa persona.