Política de gobernanza que rige la protección de la información personal

Preámbulo

Boulart inc. (también denominada “la empresa”) procesa a diario información personal sobre diversas personas (por ejemplo, empleados, clientes). La presente política está elaborada de acuerdo con los requisitos de la Ley de Protección de la Información Personal en el sector privado.

La política, cuyo resumen se publica en el sitio web de la empresa, está aprobada por la Persona Responsable de la protección de la información personal.

Objetivo de la política

La empresa está atenta a sus obligaciones hacia las personas cuya información personal recopila y garantiza la protección de su derecho a la privacidad. El objetivo de esta política consiste en establecer normas claras que regulen el procesamiento de esa información.

Alcance de la política

La política se aplica tanto a la empresa como a cualquier persona o empresa que preste servicios para esta, incluidos sus empleados, subcontratistas o proveedores.

Establece normas de gobernanza con respecto a toda la información personal, tal como está defina por la ley o por la presente.

Definiciones

En el marco de esta política entendemos por:

“Recopilación indirecta”: el hecho de recoger información personal de una persona que no sea la persona a la que se refiere esa información.

“Ciclo de vida”: las etapas de existencia de la información personal dentro de la empresa, que comienza con su recolección y termina con su destrucción, pasando por su almacenamiento, utilización y comunicación.

“Empleado”: toda persona que provea una prestación laboral, ya sea a tiempo completo o a tiempo parcial, de forma permanente o temporal, estacional o contractual, independientemente de que la persona sea un directivo o un empleado.

“Proveedor”: todo proveedor de servicios o productos vinculado a la empresa en virtud de un contrato, ya sea verbal o escrito.

“Incidente de Confidencialidad”: toda violación de información personal confidencial, ya sea por un acceso no autorizado a la misma, o por su uso, divulgación o pérdida indebida.

“Titular de la información personal”: toda persona física cuya información personal sea recopilada, almacenada, utilizada, comunicada o destruida por la empresa.

“Persona responsable”: función de la persona responsable de la protección de la información personal, ya sea que dicha función sea ejercida por la persona que tenga la más alta autoridad en la empresa u otra persona que ejerza un poder delegado oficialmente.

“Política”: la presente política relativa a la gobernanza de la información personal.

“Información personal”: toda información relativa a una persona física, que permita revelar o confirmar, directa o indirectamente, la identidad de esa persona física. Debido a su naturaleza (por ejemplo, médica, biométrica, financiera, etc.) y al contexto en el que se utiliza o comunica, cualquier información personal puede generar en una persona razonable un alto grado de exposición en cuanto a la vida privada. Así, el riesgo de sufrir un perjuicio grave aumenta cuando su protección se ve comprometida por un incidente de confidencialidad

“Subcontratista”: empresario o trabajador autónomo vinculado a la empresa en virtud de un contrato, ya sea verbal o escrito.

“Tercero”: toda persona u organización que no sea la empresa o sus empleados.

Recolección

Toda persona que proceda a recolectar información personal en nombre de la empresa determina, en primer lugar, el propósito de esa recolección y verifica que la información personal que se recopilará sea necesaria para lograr ese propósito. Además, la persona debe asegurarse de utilizar medios legales de recolección.

La información personal debe recolectarse directamente de la persona titular de esa información. Toda persona que se proponga realizar una recolección indirecta deberá obtener previamente la autorización del responsable.

A más tardar en el momento de la recolección de la información personal, toda persona que la lleve a cabo informará a las personas a las que apunta esa recolección de lo siguiente:

1. La finalidad de la recolección de la información personal;
2. Los medios de recolección utilizados;
3. Los derechos de acceso y rectificación previstos por la ley;
4. Su derecho a retirar su consentimiento para la comunicación o la utilización de la información personal recopilada;

Y, según el caso:

1. El nombre del tercero para quien se realiza la recolección de información;
2. El nombre del tercero o las categorías de terceros a quienes es necesario comunicar la información personal para los fines mencionados;
3. La posibilidad de que la información personal sea divulgada fuera de Québec.

Y si la información personal se recopila mediante una tecnología de identificación, de localización o elaboración de perfiles:

1. El uso de dicha tecnología;
2. Las funciones de la tecnología;
3. Los medios ofrecidos para activar las funciones de identificación, localización o elaboración de perfiles.

La persona que acepta confiar su información personal a la empresa después de haber sido debidamente informada consiente que sea utilizada o comunicada para los fines mencionados.

Además, a solicitud de la persona cuya información personal sea recopilada o se vaya a recopilar, la empresa también le informa:

1. Cuál es la Información personal recopilada de su persona;
2. Las categorías de personas que tienen acceso a su información personal dentro de la empresa;
3. La duración del almacenamiento de la información personal;
4. Los datos de contacto de la persona responsable de la protección de la información personal.

Utilización

Toda persona que utilice información personal en poder de la empresa deberá asegurarse de que la utilización se ajuste al consentimiento obtenido y a los fines mencionados al interesado.

Un miembro del personal que prevea utilizar información personal para un propósito distinto a aquel para el cual fue recopilada deberá obtener autorización previa de la persona responsable.

La persona responsable evalúa la situación y determina si está permitida la utilización sin consentimiento o si es necesario obtener el consentimiento.

Comunicación

Toda persona que utilice información personal en poder de la empresa solo debe revelar la información personal a las personas u organizaciones designadas en el momento de la recolección de la información.

Un miembro del personal que planee comunicar información personal a otra persona u organización debe obtener el consentimiento de la persona en cuestión, a menos que la ley le autorice a proceder sin consentimiento.

Si un miembro del personal comunica información personal sin consentimiento, deberá cumplir con los requisitos y condiciones establecidos por la ley y registrar la comunicación en el lugar previsto para tal efecto.

Almacenamiento y destrucción

La empresa conserva y almacena documentos que contienen información personal de tal manera que se garantice la seguridad de la información.

Los documentos se pueden conservar en papel o en forma digital. La empresa puede encargar a un proveedor de servicios tecnológicos la salvaguarda de la información personal que recopila.

Además, la empresa toma las medidas necesarias para restringir el acceso a los datos a los miembros del personal que deban acceder a ellos para el desempeño de sus funciones.

La empresa destruye estos documentos cuando expiran los plazos de almacenamiento prescritos por las
distintas leyes. La destrucción se lleva a cabo de forma segura.

Denegación o retiro del consentimiento

La información personal solicitada es la necesaria para celebrar o ejecutar el contrato o la exigida por una ley o una norma.

Llegado el caso, a una persona que se niegue a proporcionar su información personal, ya sea en el marco del trabajo o de la prestación de servicios, se le podrá denegar una solicitud relacionada con el trabajo o la prestación de servicios.

Además, hay plazos mínimos de conservación en relación con diferentes documentos que pueden contener información personal, previstos por diferentes leyes. Así, pese al retiro del consentimiento para la utilización o la comunicación, la empresa debe respetar los plazos de conservación de los documentos previstos por la ley antes de destruirlos.

Funciones y responsabilidades

Persona responsable

La persona responsable vela por que la empresa y todos sus empleados cumplan con las normas que regulan la gobernanza de la información personal, así como con la presente política.

La persona responsable planifica, organiza, dirige y controla las actividades relacionadas con la gestión de la información personal dentro de la empresa.

La persona responsable también se ocupa del tratamiento de los incidentes de confidencialidad y verifica que se siga el procedimiento establecido por la ley.

La persona responsable se ocupa de formar, informar y generar consciencia en los miembros del personal sobre las normas que rigen la gestión de la información personal, para que tengan los conocimientos necesarios para saber si se ha producido un incidente de confidencialidad y cuándo.

La Persona responsable es:
Caroline Saillant
Directora de Recursos Humanos
csaillant@boulart.com

Empleados

Como los empleados procesan diariamente información personal, deben conocer y respetar las prácticas establecidas por la empresa en materia de protección de la información personal, ya sea bajo la forma de una política, un procedimiento, una directiva o una guía.

Incidentes de confidencialidad

En caso de que se produzca un incidente de confidencialidad, la empresa se asegura de que se lo trate de acuerdo con el procedimiento establecido.

Toda persona que sea testigo de un incidente de confidencialidad deberá notificarlo, sin demora, a la persona responsable.

La empresa lleva un registro de los incidentes.

Si la empresa tiene conocimiento de un incidente de confidencialidad o tiene motivos para creer que ha ocurrido, toma de inmediato las medidas necesarias para mitigar el daño causado a las personas alcanzadas por la información personal afectada.

Se informa por escrito a las personas afectadas y a la Comisión de Acceso a la Información de la ocurrencia de tal incidente si representa un riesgo de perjuicio grave.

Derechos del titular de la información personal

Las personas titulares de la información en poder de la empresa podrán solicitar el acceso, rectificación o desindexación, presentando una solicitud escrita a tal efecto a la persona responsable, quien deberá responder dentro de los treinta (30) días siguientes a su recepción.

La persona responsable presta asistencia a la persona que presenta una solicitud, en particular para permitirle comprender los motivos del rechazo de la solicitud, si ese fuera el caso.

Solicitud de acceso

A pedido de la persona interesada, la empresa deberá confirmar que dispone de su información personal y comunicársela, permitiéndole obtener una copia.

La copia de la información personal informatizada deberá entregarse a la persona interesada en una transcripción escrita e inteligible y en un formato estructurado y de uso común.

Solicitud de rectificación

Toda persona podrá, si observa que su información personal es inexacta, está incompleta o es ambigua, o si no ha dado su consentimiento para la recopilación, comunicación o conservación de la misma, exigir su rectificación.

Si la empresa aprueba una solicitud de rectificación, entrega gratuitamente a la persona que presentó la solicitud una copia de la información personal modificada o agregada, o, en su caso, un certificado de eliminación de dicha información personal.

Solicitud de desindexación

Si la difusión de la información personal contraviene la ley, la persona titular de la misma podrá exigir a la empresa:

• Que cese la difusión de su información personal;
• Que se desindexe el hiperlink asociado a su nombre que permite acceder a su información personal por medios tecnológicos.

La persona interesada también podrá solicitar la desindexación o reindexación de cualquier hiperlink que permita acceder a información personal en caso de que se comprometa su reputación o su privacidad, bajo reserva de determinadas condiciones.

Tratamiento de las quejas

Toda persona que considere que la empresa está incumpliendo con sus obligaciones en materia de protección de la información personal en virtud de una ley o de una política puede presentar una queja.

La queja debe presentarse por escrito y dirigida a la persona responsable.

La persona que presenta la queja deberá indicar su nombre, número de teléfono y dirección de correo electrónico para poder ser localizable. Además, la queja deberá contener una descripción detallada de los motivos que justifican su presentación para permitir su evaluación. La persona responsable podrá solicitar información adicional si considera que la queja formulada no está suficientemente detallada. La persona responsable trata toda queja en un plazo razonable y responde por escrito justificando los motivos de su decisión.

Cumplimiento de la política

Cualquier incumplimiento de las prácticas relativas a la protección de la información personal puede dar lugar a sanciones disciplinarias que pueden llegar hasta el despido.

Entrada en vigor y actualizaciones

Fecha	Modificaciones realizadas
2024-09-01	Revisión de la Política de gobernanza que rige la protección de la información personal por ARH

Contacto

Para cualquier pregunta o solicitud de información, le invitamos a comunicarse con la persona a continuación, quien estará encantada de ayudarle.

Director de TI: Patrick Pilote