Política de privacidad
Política de privacidad
Mayo 24, 2019
Declaración de política
Alcance de la política
Esta Política solo aplica a los Datos Personales que son procesados por, o a nombre de una Firma de KPMG y
1. Son o fueron procesados en algún momento por parte de o a nombre de las Firmas de KPMG dentro de la jurisdicción, ya sea: (a) de la Unión Europea o del Espacio Económico Europeo, o (b) que no pertenece a la Unión Europea o al Espacio Económico Europeo que sin embargo es una jurisdicción que impone restricciones similares en el uso o la transferencia extraterritorial de los Datos Personales, y
2. No corresponde a Datos Personales Locales.
Esta Política no aplica a los Datos Personales Locales. Las decisiones y el cumplimiento relacionado con los Datos Personales Locales son de responsabilidad de la Firma de KPMG pertinente.
Esta Política no debe entrar en conflicto con las leyes nacionales y/o regionales dentro de las jurisdicciones en las que operan las Firmas de KPMG y la Política se deberá interpretar de esta manera siempre que sea posible. Si surgiese un conflicto entre esta Política y cualquier ley nacional y/o regional aplicable, las disposiciones de la ley pertinente prevalecerán. En este caso, la Firma de KPMG pertinente deberá notificar inmediatamente al área de Administración Global de Calidad y Riesgo y a la oficina del Asesor Legal de KPMG International.
Diez principios de KPMG para el manejo de datos personales como controlador
Al manejar los Datos Personales como un controlador, las Firmas de KPMG y el Personal de KPMG cumplirán los siguientes diez principios clave:
Transparencia
Las Firmas de KPMG brindarán a los individuos la información sobre la manera en que procesamos su Información Personal en la medida que sea necesario para asegurar que dicho procesamiento sea claro.
Limitación de objetivo
Las Firmas de KPMG solo procesarán Información Personal con la finalidad (i) que se presente en cualquier notificación disponible para los individuos pertinentes a KPMG, (ii) que requiera la ley o (iii) que consintieron los individuos pertinentes.
Calidad de datos y proporcionalidad
Los Datos Personales se deben mantener exactos y, cuando sea necesario, actualizados. La Información Personal que mantienen las Firmas de KPMG debe ser adecuada, pertinente y no excesiva para la finalidad por la que se transfirió entre las Firmas de KPMG y se debe retener solamente mientras sea necesario para la finalidad del procesamiento pertinente.
Seguridad y confidencialidad
Se deben tomar precauciones razonables para asegurar los Datos Personales contra la pérdida o destrucción, la alteración, el acceso o la revelación no autorizada ilícita o accidental. Estas precauciones deben incluir medidas de seguridad técnica, física y organizacional, como las medidas para prevenir el acceso no autorizado, que sean proporcionales con la sensibilidad de la información y el nivel de riesgo asociado al procesamiento de Datos Personales. Periódicamente, las medidas aplicables se pueden documentar de manera más completa en las políticas de TI y de administración de riesgo que adopten las Firmas de KPMG.
En caso de ser necesario o adecuado, las Firmas de KPMG deben considerar la implementación de medidas adicionales para los tipos particulares de Datos Personales cuyo manejo pueda requerir cuidado adicional, según lo dispuesto por las costumbres, leyes o regulaciones locales. Esto puede incluir Datos Personales Sensibles.
Cuando una Firma de KPMG procese Información Personal en representación de otra Firma de KPMG, solo la procesará según las instrucciones de la primera.
Acceso, rectificación, eliminación y oposición
Los individuos deben tener acceso a sus Datos Personales que mantengan las Firmas de KPMG, en el caso que sus solicitudes sean razonables y estén permitidas por la ley o regulación vigentes. Las Firmas de KPMG acuerdan rectificar, modificar o eliminar la Información Personal de ser solicitado en el caso que ésta sea incorrecta o donde se use de manera contraria a estos principios.
Un individuo tendrá el derecho de oponerse al procesamiento de los Datos Personales relacionados con él si hubiese una base legal legítima asociada a su situación particular, en la medida que lo requieran las leyes pertinentes.
Datos sensibles
Cuando las Firmas de KPMG procesen Datos Personales Sensibles, éstas tomarán medidas adicionales (por ejemplo, relacionadas con la seguridad), según sea necesario, para proteger dichos Datos Personales Sensibles, de conformidad con la ley aplicable.
Datos usados para propósitos publicitarios
Cuando las Firmas de KPMG procesen Información Personal con la finalidad de publicidad directa, dichas Firmas de KPMG poseerán procedimientos eficaces que permitan a los individuos “renunciar” en cualquier momento a que su Información Personal se use para dichos propósitos.
Procesamiento automático
Cuando las Firmas de KPMG procesen Información Personal sobre una base completamente automática que tenga un efecto significativo sobre un individuo, esas Firmas de KPMG brindarán al individuo la oportunidad de discutir el resultado de dicho procesamiento antes de tomar esas decisiones (salvo en la medida que lo permita la ley aplicable).
Minimización de los datos
Cuando las Firmas de KPMG retengan la información personal de un individuo, esas Firmas de KPMG lo harán de manera que se identifique al individuo o que éste sea identificable en la medida que cumpla el o los propósitos para los que originalmente se recopiló o autorizó posteriormente dicha información, salvo en la medida que lo permita la ley aplicable; y
Transferencia y cumplimiento de la información
Dentro de la red global de Firmas de KPMG, los Datos Personales se pueden transferir fuera del país en los que se recopilaron, incluyendo los países fuera del Espacio Económico Europeo, en el caso de actividades comerciales legítimas de conformidad con la ley aplicable. Además, de acuerdo con la ley aplicable, las Firmas de KPMG pueden almacenar Datos Personales dentro de las instalaciones operadas por otras Firmas de KPMG y/o terceros en representación de las Firmas de KPMG, que se encuentran fuera del país donde se recopilaron esos datos.
Sin embargo, los Datos Personales no se deben transferir a otro país a menos que el que realiza la transferencia tenga la certeza de que se ha establecido un nivel adecuado de protección en relación con esos Datos Personales según lo requiera la ley aplicable. En el caso de cada Firma de KPMG, el Acuerdo Entre Firmas genera un nivel adecuado de protección, al que debe atenerse cada una estas firmas.
Las Firmas de KPMG asegurarán que en los casos donde se transfiera información personal para su procesamiento a terceros que se encuentren fuera de la red de KPMG (por ejemplo, a proveedores de servicios de KPMG para apoyar el negocio de KPMG), estos solo se realizarán cuando la información personal se proteja de manera adecuada. Las Firmas de KPMG conseguirán esto mediante la formalización de contratos escritos con terceros que impongan obligaciones que reflejen los requisitos de esta política.
Ejecución
Cualquier infracción a esta Política puede conducir a la suspensión y finalmente al término de la autoridad del infractor de tener acceso a esos Datos Personales. Cualquier uso de Datos Personales distinto del establecido en esta Política puede someter al infractor a medidas disciplinarias adicionales por parte de la Firma de KPMG pertinente, así como también a sanciones civiles y/o penale
Actuar como un procesador
Cuando las Firmas de KPMG actúan en calidad de procesador de Datos Personales en representación de los clientes, deben actuar de acuerdo con las instrucciones del controlador de esos Datos Personales. Si esto no es posible por motivo alguno (por ejemplo, debido a un conflicto con la legislación actual o futura), la Firma de KPMG pertinente informará al cliente de manera oportuna (directamente o por medio de otra Firma de KPMG) sobre su incapacidad de cumplir sus instrucciones. Cuando una Firma de KPMG deja de actuar en representación de un cliente, devolverá, destruirá o continuará protegiendo adecuadamente todos los datos personales que recibió de ese cliente, según la decisión de este último.
Además, cuando una Firma de KPMG actúa como un procesador, tiene el deber de ayudar a un cliente a cumplir la ley (sujeto a que el cliente pague los costos y gastos relacionados de la Firma de KPMG), por ejemplo (i) al informar al cliente sobre las actividades de procesamiento que KPMG realiza de tal manera que pueda informar a los individuos pertinentes; (ii) al establecer medidas razonables para que esos datos se mantengan actualizados, corregidos, anónimos o se eliminen (sujeto a ciertas excepciones limitadas), según la solicitud del cliente, e informar a otras firmas dentro de la red de KPMG cuando dichos cambios se realicen; y (iii) al enviar al cliente cualquier solicitud que la firma reciba por parte de individuos para tener acceso a sus datos personales que mantiene la Firma de KPMG, de tal manera que el cliente pueda responder a esos individuos.
Cuando actúan como un procesador de Datos Personales, las Firmas de KPMG tratarán, en todos los casos, dichos Datos Personales de acuerdo con los párrafos descritos anteriormente relacionados con la Seguridad y confidencialidad y el Cumplimiento y transferencia de información; transferirán solo la Información Personal que el cliente haya acordado transferir (que puede acordarse previamente bajo los términos del trabajo con la Firma de KPMG pertinente); e informarán al cliente si existe una infracción grave de seguridad en relación con la información personal, para que pueda informar a los clientes interesados, según sea necesario.
Una Firma de KPMG será el “controlador” cuando ésta determine la finalidad y los medios por los que se usan los Datos Personales. Es posible que las Firmas de KPMG sean los controladores en cuanto a todos los datos de los empleados. Las Firmas de KPMG serán los “procesadores” cuando procesan los Datos Personales en representación de un “controlador” que proporciona instrucciones sobre la manera en que pueden usar los datos. A menudo, las Firmas de KPMG serán “procesadores” en los trabajos con clientes en los que solo tienen el derecho a usar los Datos Personales que les son revelados para realizar el trabajo pertinente.
Bases de datos internacionales
Por razones legítimas profesionales y del negocio, KPMG ha desarrollado, y seguirá desarrollando, y mantendrá, sistemas y aplicaciones que contienen Datos Personales del Personal de KPMG (y, según aplique, de los miembros de su familia cercana) y clientes, proveedores, contratistas y asociados comerciales. Estos sistemas y aplicaciones son parte de los entornos compartidos de tecnología de la información, administración de conocimiento y de comunicaciones electrónicas de las Firmas de KPMG y se usan para compartir estos Datos Personales entre las Firmas de KPMG en la medida que lo permita la ley y las normas profesionales aplicables. KPMG International mantiene una lista de estos sistemas y estas aplicaciones, la que se encuentra disponible para las Firmas de KPM
Reclamos, consultas e información adicional
Para expresar una inquietud, realizar una pregunta, entablar un reclamo u obtener información adicional sobre el procesamiento de Datos Personales que realiza la red global de Firmas de KPMG, el individuo interesado debe contactar, en primera instancia, al Contacto de Privacidad de la Firma de KPMG pertinente al correo: cl-dlprivacidad@kpmg.com.
cumplimiento u obtener información adicional acerca del procesamiento de datos personales por la red global de Firmas de KPMG, póngase en contacto con nosotros: National IT Security Officer T E cl-dlnitso@kpmg.com www.kpmg.cl