Protección de la Privacidad y los Datos personales
Michelin cree firmemente que la protección de los datos personales constituye un factor de confianza en sus relaciones con las partes interesadas. El Grupo se compromete a recopilar y tratar tan solo aquellos datos necesarios para el desarrollo de sus actividades.
Definición y contexto
Un dato personal es una información que permite identificar, directa o indirectamente, a una persona física.
Esto incluye, por ejemplo:
- para la identificación directa de una persona: una foto o datos sobre su estado civil (nombre, apellidos…);
- para la identificación indirecta: un número único de identificación (matrícula, identificador de Michelin, número de teléfono móvil) o informaciones combinadas (sexo, edad, profesión, lugar de residencia, etc.).
Estos datos personales deben protegerse.
El número de normativas destinadas a la protección de la privacidad y los datos personales ha aumentado considerablemente en todo el mundo en los últimos años. En muchos países, el incumplimiento de las normativas está sujeto a sanciones económicas significativas (a menudo divulgadas por los medios de comunicación), e incluso a sanciones penales.
Principios de actuación
Los datos personales de empleados, clientes, proveedores, accionistas, socios o subcontratistas deben tratarse de acuerdo con la legislación y la normativa vigente, así como con las directivas del Grupo aplicables en materia de protección de datos personales.
El Grupo se compromete a recopilar y tratar tan solo aquellos datos necesarios para el desarrollo de sus actividades. Los datos personales no pueden comunicarse a terceros, excepto cuando sea necesario y la legislación lo permita.
Por otra parte, Michelin cree firmemente que la protección de los datos constituye una gran ventaja competitiva y un factor de confianza en sus relaciones con las partes interesadas.
La protección de datos personales solo puede garantizarse si todos/as colaboramos.
Qué debo hacer
- Recopilar y manejar únicamente los datos personales necesarios con la finalidad prevista. Asegurarme de que la finalidad sea legítima y esté claramente definida.
- Asegurarme de que la recopilación y el uso de los datos personales sea conforme con la información transmitida a los interesados; si es necesario, me aseguro de obtener el consentimiento de la persona interesada para la recopilación y el uso de sus datos.
- Introducir en los campos de comentarios libres únicamente comentarios pertinentes, adecuados y no excesivos; preguntarme si no me incomodaría hacer ese comentario a la persona a quien va dirigido.
- Destruir o corregir los datos inexactos o incompletos y respetar los derechos que las personas tienen sobre sus datos.
- Transmitir los datos personales exclusivamente a los destinatarios internos habilitados y que tengan una necesidad legítima de conocerlos.
- Transmitir los datos personales al exterior solamente en caso de obligación legal o a empresas que hayan establecido un acuerdo con el Grupo.
- Leer y respetar todos los compromisos aplicables dentro del Grupo en caso de acceso autorizado a los datos procedentes de otros países o de transferencias internacionales; estos documentos están disponibles en el intranet (por ejemplo, las normas corporativas vinculantes, BCR por sus siglas en inglés).
- Garantizar la seguridad y confidencialidad de los datos personales, por ejemplo, respetando las normas de seguridad del Grupo durante su transmisión (es decir, cifrando el archivo de los datos).
- Informar al CERT Michelin (Computer Emergency Response Team - equipo responsable de la gestión de incidentes de seguridad informática) de acuerdo con el procedimiento aplicable en caso de violación de los datos (pérdida de datos, acceso no autorizado, publicación no autorizada, etc.).
- Seguir cursos de formación periódicamente si las funciones desempeñadas requieren el tratamiento de datos personales. Conocer el marco aplicable a mi actividad.
Qué no debo hacer
- Recopilar los datos personales sin el consentimiento de la persona interesada.
- Recopilar informaciones consideradas "sensibles" (estado de salud, preferencia sexual, opiniones políticas, convicciones religiosas, origen racial o étnico) sin el consentimiento de la persona interesada o solo si la legislación obliga a ello.
- Permitir el acceso a los datos personales a una persona situada en otro país sin haber consultado al Servicio Jurídico.
- Conservar los datos personales más tiempo del necesario para la finalidad que se persigue.
Caso práctico 1
Formas parte de un equipo de comerciales y te gustaría establecer relaciones de proximidad con los clientes. Quieres introducir algunos detalles sobre su privacidad en la herramienta de gestión de clientes del Grupo. De esta forma, la persona que te sustituya tendrá acceso a estos datos en tu ausencia. ¿Está autorizada esta práctica?
No. Solo se pueden recopilar datos fácticos relacionados con el ámbito profesional. Además, la recopilación de algunas informaciones sensibles (estado de salud, religión...) está estrictamente prohibida. Recuerda que el cliente puede solicitar el acceso a sus datos personales.
Caso práctico 2
Un compañero ha tenido un accidente de trabajo. Te gustaría hablar de esta experiencia en todos los centros de producción industrial. Transmites los datos siguientes: Ronan A, monitor, centro de producción de Vannes, así como los detalles de las heridas y el contexto del accidente. Solo mencionas el nombre propio del compañero, ¿esto se ajusta a la normativa?
Debes plantearte las preguntas siguientes:
- ¿El objetivo es legítimo?
Sí. Se trata de mejorar la seguridad de los/as empleados/as al hablar de esta experiencia. - ¿Son indispensables todos esos datos?
No. El centro de producción, el puesto y el nombre propio no son útiles para hablar sobre el accidente.
Por otra parte, para "anonimizar" los datos personales, hay que preguntarse siempre: ¿puedo identificar a esta persona a partir de los datos ofrecidos? En este caso, al decir el centro de producción, el puesto y el nombre, estarías dando suficientes datos para poder identificar a esa persona.
