Protección de privacidad e información personal
Michelin está convencido que la protección de información personal es esencial para inspirar confianza en las relaciones con todas las partes interesadas. El Grupo se compromete a recolectar y procesar sólo la información necesaria para sus actividades.
Definición y Contexto
Información personal es información que directa o indirectamente identifica a una persona natural.
Esto incluye por ejemplo:
- para la identificación directa de una persona, una foto o información del estado civil de una persona (apellido, nombre, etc.).
- para la identificación indirecta: un número único de identificación (número de placas, número de identificación Michelin, número de teléfono celular, etc.) o una combinación de información (sexo, edad, profesión, ciudad de residencia, etc.).
Toda esta información personal debe ser protegida.
La cantidad de regulaciones para proteger la privacidad e información personal ha incrementado dramáticamente alrededor de mundo en los últimos años. En muchos países, el incumplimiento de estas regulaciones hoy en día puede ser castigado mediante sanciones financieras significativas (a menudo reportadas a la prensa) e incluso sanciones penales.
Principios Rectores
La información personal de los empleados, clientes, proveedores, accionistas, socios o subcontratistas debe ser procesada de acuerdo a las leyes y regulaciones, así como las directrices aplicables del Grupo en cuanto a la protección de información personal.
El grupo se compromete a recolectar y procesar sólo la información necesaria para sus actividades.
No se le comunicará a terceros ninguna información personal, a menos que sea necesario y permitido por la ley.
Michelin también está convencido que la protección de información es uno de los activos más competitivos y un vehículo de confianza en las relaciones con las partes interesadas.
La protección de la información personal sólo se puede asegurar con la ayuda de todos.
Qué hacer
- Recolectar y manejar sólo la información personal que sea necesaria para el objetivo buscado, y asegurar que este objetivo sea legítimo y definido de manera clara.
- Garantizar que la recolección y uso de la información personal respeta la información proporcionada por la persona implicada; si se requiere se debe de garantizar que se tiene el consentimiento de la persona para recolectar y usar la información.
- En los espacios de comentarios libres, sólo anotar los comentarios que sean relevantes, adecuados y no excesivos; cuestione antes si estaría cómodo compartiendo el comentario con la persona que es implicada en el mismo.
- Desecha o corrige información inexacta o incompleta, y respete el derecho de los individuos sobre su información.
- Comparta información personal sólo con los destinatarios internos autorizados, que tengan una necesidad legítima de conocerla.
- Comparta información personal a externos sólo en el evento de tener una obligación legal o a empresas que han firmado un acuerdo con el Grupo.
- Haber leído y estar de acuerdo con el cumplimiento de todos los compromisos aplicables dentro del Grupo en caso de tener acceso autorizado a la información de parte de otros países o transferencias internacionales, estos documentos son puestos a disposición en internet (por ejemplo, las normas vinculantes de la empresa (BCR)).
- Garantizar la seguridad y confidencialidad de información personal (por ejemplo, transferencias de documentos, a través del cumplimiento de las reglas de seguridad grupales sobre codificación de archivos);
- Reportarle al CERT (Equipo de Respuesta de Emergencias Computacionales - equipo a cargo de gestionar los incidentes de seguridad de las TI) de acuerdo con el procedimiento apropiado en caso de una filtración de datos (pérdida de información, acceso no autorizado, publicación no autorizado, etc.).
- Participar en capacitaciones regulares si las funciones que se desempeñan requieren el manejo de información personal. Conocer el marco de referencia aplicable a la actividad.
Qué no hacer
- Recolectar información personal sin el conocimiento de la persona implicada.
- Recolectar información considerada "sensible" (estado de salud, preferencia sexual, opiniones políticas, convicciones religiosas, origen racial o étnico) sin el consentimiento de la persona o sólo en caso de que la ley lo requiera.
- Brindar acceso a información personal a la persona ubicada en otro país, sin consultarlo previamente con el Departamento Legal.
- Conservar información personal más tiempo del necesario para el propósito perseguido.
Caso práctico 1
Eres parte de un equipo de ventas y quisieras crear relaciones más cercanas con tus clientes. Te gustaría ingresar detalles relacionados con sus vidas privadas en la herramienta de gestión de relaciones de clientes del Grupo. Tu reemplazo podría, por lo tanto, tener acceso a esta información en tu ausencia. ¿Está permitida esta práctica?
No. Solamente puedes recolectar información fáctica relacionada a la esfera profesional. Además , la recolección de cierta información sensible (estado de salud, religión, etc.) está estrictamente prohibida. Recuerda que tu empleado puede solicitar acceso a su información personal.
Caso práctico 2
Un compañero tuvo un incidente en el trabajo. Deseas proporcionarle retroalimentación a todos los sitios industriales. Proporcionas la siguiente información: Ronan A., Supervisor, Sitio Vannes, así como detalles de sus heridas y el contexto de su accidente. Tú solo mencionas el nombre de tu compañero, ¿estás siguiendo las regulaciones?
Debes hacerte las siguientes preguntas.
- 1. ¿Estás buscando un objetivo legítimo?
- Sí. Se tiene la intención de mejorar las condiciones de seguridad de los empleados a través de esta retroalimentación.
- 2. ¿Es esencial transmitir toda esta información?
- No. El sitio, puesto, y nombre no son necesarios ni útiles para reportar sobre el accidente.
- Para "anonimizar" la información personal, siempre debes preguntarte a ti mismo: ¿puedo identificar a esta persona utilizando la información proporcionada? En este caso, al dar el primer nombre, la función y el sitio industrial, proporcionas suficiente información para que la persona sea identificada.