|

Añada un marcador para empezar

Legal notices: Whistleblowing

AVISO DE PRIVACIDAD

Tu Privacidad es importante para nosotros. El presente Aviso de Privacidad establece el modo en que gestionamos y realizamos el tratamiento de la información personal recogida en nuestros procesos e investigaciones relativas a la denuncia de irregularidades ("Procedimiento de Denuncia de Irregularidades").

El Aviso de Privacidad pretende ayudarte a tomar decisiones informadas cuando utilices el Procedimiento de Denuncia de Irregularidades, a fin de entender cómo pueden ser tratados tus datos personales. Te rogamos dediques un momento de tu tiempo a leerlo y entenderlo. La aplicación de este Aviso de Privacidad intenta ser tan coherente como sea posible, en todo nuestro negocio y en los países en los que tenemos presencia. No obstante, es posible que las leyes locales de tu país especifiquen ciertos requisitos adicionales o diferentes que pudieran serte aplicables, dependiendo de tu situación particular. Por consiguiente, te rogamos consultes también el Anexo a este aviso.

1. Información sobre el Responsable del Tratamiento

DLA Piper UK LLP es el responsable del tratamiento de tus datos de carácter personal realizado como parte del Procedimiento de Denuncia de Irregularidades. Ten en cuenta que, dependiendo de la naturaleza del informe de denuncia, otras entidades de DLA Piper podrían también ser responsables del tratamiento de tus datos. Para obtener información adicional sobre tales entidades, visitawww.dlapiper.com/practicingentities y https://www.dlapiper.com/en/europe/legalnoticespage/governance-service-entities/

Safecall, el proveedor del servicio de denuncia de irregularidades, podrá, en circunstancias limitadas, ser el responsable del tratamiento de algunos de tus datos de carácter personal.

2. Datos de carácter personal objeto de nuestro tratamiento

En la medida en que lo permitan las leyes, el Procedimiento de Denuncia de Irregularidades podrá ser utilizado sin facilitar tus datos de carácter personal. Podrás, no obstante, revelar voluntariamente tus datos de carácter personal, en concreto, información sobre tu identidad y datos de contacto, por ejemplo, tu nombre y apellidos, dirección, tu país de residencia, tu número de teléfono, dirección de email y la entidad de la firma para la que trabaja.  Durante la tramitación del Procedimiento de Denuncia de Irregularidades, no recabamos datos sensibles o de categoría especial (tales como el origen racial/étnico, la religión o la orientación sexual), aunque estos datos podrán ser también tratados si eres tú quién nos los proporciona. Te rogamos proporciones este tipo de datos únicamente cuando resulte esencial para tu comunicación. Asimismo, podremos realizar el tratamiento de los datos de carácter personal de otras personas, que pudieran haber sido facilitados como parte del informe de denuncia de irregularidades. Dependiendo de la naturaleza de tu comunicación, se podrá ofrecer a tales personas la oportunidad de responder al mismo. No divulgaremos tu identidad a menos que fuera necesario hacerlo, nos hubieras prestado tu consentimiento, o lo exigieran las leyes.

Además, utilizaremos tus datos de carácter personal para fines informativos y estadísticos, de manera anónima.

3. Fundamentos jurídicos que nos permiten proceder al tratamiento

Realizamos el tratamiento de los datos de carácter personal para investigar las comunicaciones en materia de denuncia de irregularidades realizadas a través del Procedimiento de Denuncia de Irregularidades, y para implantar las acciones y medidas de subsanación consideradas necesarias y oportunas tras una investigación. Nos apoyamos en las siguientes bases jurídicas para llevar a cabo el tratamiento de tu información, según resulte aplicable en tus circunstancias concretas.

  • Has prestado tu consentimiento al tratamiento de tus datos de carácter personal (RGPD, art. 6 (1));
  • Es nuestra obligación legal utilizar tu información personal para cumplir con las obligaciones legales que se nos imponen (RGPD art. 6(1)(c)); y/o
  • Es nuestro legítimo interés o el de un tercero utilizar información personal para investigar las comunicaciones de denuncia de irregularidades (RGPD art.  6(1)(f)).

Para llevar a cabo el tratamiento de datos sensibles sobre tu persona, que pudieras compartir con nosotros, nos apoyamos en la base jurídica de tu consentimiento expreso (RGPD Art. 9 (2)).

4. Medidas Técnicas y Organizativas para la Protección de tus Datos de Carácter Personal

Nos comprometemos a mantener la seguridad de la información personal que se nos facilite, y hemos implantado las medidas técnicas y organizativas oportunas para proteger la información personal que tratamos frente a la destrucción, pérdida, alteración, acceso no autorizado o uso accidental o ilícito.  

5. Divulgación de Datos de Carácter Personal

Según resulte necesario y oportuno en las circunstancias de una investigación en materia de denuncia de irregularidades concreta, tus datos serán divulgados a un número restringido de personas físicas dentro de la firma, con autoridad para investigar la comunicación de denuncia de irregularidades, y aplicar las correspondientes medidas de subsanación. También podrá divulgarse a otras personas que tengan que ver con la investigación y a otras entidades de DLA Piper, según resulte necesario, conforme a lo señalado en el apartado 1 anterior.

Dependiendo de la naturaleza de la denuncia, puede que necesitemos también compartir tus datos con otros terceros, tales como:

  • nuestros asesores profesionales, como abogados y contables;
  • autoridades gubernamentales o regulatorias; y
  • aseguradoras de responsabilidad profesional u otras relevantes.

Por otro lado, tus datos serán divulgados a determinados terceros a los que externalizamos ciertos servicios, tales como, a modo enunciativo que no limitativo, servicios de gestión documental y traducción, proveedores de sistemas informáticos y software, y proveedores de documentación y almacenamiento, concretamente, Safecall, el proveedor del servicio de denuncia de irregularidades. Hemos establecido con Safecall las medidas oportunas para garantizar la adecuada protección de tus dados de carácter personal.

Cuando, por mandato legal, se requiera la divulgación de tus datos de carácter personal, te lo notificaremos en la medida en que las leyes lo permitan.

6. Conservación de tus Datos de Carácter Personal

Conservaremos la información personal durante el tiempo necesario para investigar la correspondiente denuncia de irregularidades. Podremos retener algunos datos con relación a la investigación, durante, al menos, 6 años una vez se cierre la denuncia, en cumplimiento de nuestras obligaciones legales y regulatorias. Los datos que ya no se requieran serán borrados y/o anonimizados.

7. Transferencia de tus datos de carácter personal

A fin de investigar la denuncia, puede que necesitemos transferir tu información personal a ubicaciones fuera de la jurisdicción en donde la facilitaste. Si te encuentras dentro del Espacio Económico Europeo (EEE), ten en cuenta que, cuando sea necesario, transferiremos la información personal a países fuera de dicho EEE.

Todas las entidades de DLA Piper han firmado un acuerdo de comunicación de datos, basado en las cláusulas contractuales tipo de la UE, que garantiza que cumplimos con nuestras obligaciones legales y regulatorias con relación al tratamiento de información personal, incluida la obligación de tener bases lícitas para transferir información personal y establecer las oportunas salvaguardas que garanticen un nivel adecuado de protección para la información personal.

8. Tus derechos

Tienes los siguientes derechos con relación a la información personal sobre tu persona de la que disponemos:

  • Derecho de acceso

Si nos lo solicitas, confirmaremos si hemos llevado a cabo el tratamiento de tu información personal y, en caso necesario, te facilitaremos copia de dicha información personal (junto con otros detalles). Si requieres copias adicionales, puede que necesitemos cobrar una tasa razonable por ellas.

  • Derecho de rectificación

Si la información personal que tenemos sobre ti fuera imprecisa o incompleta, tendrás derecho a solicitar que se rectifique. Si tienes derecho a la rectificación, y hubiéramos compartido tu información personal con otros, les comunicaremos dicha rectificación cuando sea posible. Si nos lo pides, y cuando sea posible y lícito hacerlo, también te comunicaremos con quién hemos compartido tu información personal, para que puedas ponerte en contacto con ellos directamente.

  • Derecho de supresión

Puedes solicitar que borremos o eliminemos tu información personal, en determinadas circunstancias, como, por ejemplo, cuando ya no se necesite o cuando retires tu consentimiento (en su caso). Si tienes derecho a la supresión, y hubiéramos compartido tu información personal con otros, les comunicaremos dicha supresión cuando sea posible. Si nos lo pides, y cuando sea posible y lícito hacerlo, también te comunicaremos con quién hemos compartido tu información personal, para que puedas ponerte en contacto con ellos directamente.

  • Derecho de restricción del tratamiento

Puedes pedirnos que ‘bloqueemos’ o suprimamos el tratamiento de tu información personal, en determinadas circunstancias, como, por ejemplo, cuando impugnes la exactitud de tal información personal, o te opongas a nosotros. Si tienes derecho a la restricción, y hubiéramos compartido tu información personal con otros, les comunicaremos dicha supresión cuando nos sea posible hacerlo. Si nos lo pides, y cuando sea posible y lícito hacerlo, también te comunicaremos con quién hemos compartido tu información personal, para que puedas ponerte en contacto con ellos directamente.

  • Derecho a la portabilidad de los datos

Tienes derecho, en determinadas circunstancias, a obtener información personal que nos hayas proporcionado (en formato estructurado, de uso común y mecánicamente legible) y reutilizarla en cualquier otro lugar o pedirnos que la transfiramos a un tercero de tu elección.

  • Derecho de objeción

Puedes pedirnos que cesemos el tratamiento de tu información personal, y lo haremos, cuando nos apoyemos en nuestro propio interés legítimo o en el de otra persona para realizar el tratamiento de tu información personal, a menos que podamos demostrar fundamentos jurídicos imperiosos para dicho tratamiento.

  • Derecho a retirar el consentimiento

Si nos apoyamos en tu consentimiento como fundamento jurídico para el tratamiento de tu información personal, tendrás derecho a retirar dicho consentimiento en cualquier momento.

Ten en cuenta que alguno de estos derechos podría verse limitado cuando ostentemos un interés superior o una obligación legal para continuar realizando el tratamiento de los datos, o cuando los datos pudieran estar exentos de divulgación debido a un deber de secreto profesional.

Para hacer valer cualquiera de los anteriores derechos, puedes ponerte en contacto con privacyteam@dlapiper.com.

Si tienes alguna duda con respecto a nuestras prácticas de privacidad, incluido el modo en que hemos gestionado tu información personal, puedes informar de ello a la Autoridad Supervisora correspondiente, en concreto, la del país en el que resides.

Si tienes alguna pregunta sobre el tratamiento de tus datos personales al utilizar el servicio de denuncia de irregularidades, te rogamos te pongas en contacto, directamente, con la Directora de Privacidad de la firma, Mariette Kruger, DLA Piper UK LLP, Londres, o con el Equipo de Privacidad de la firma, privacyteam@dlapiper.com.

Para obtener información adicional sobre cómo se realiza el tratamiento de tus datos personales en la firma, puedes consultar nuestra Política de Privacidad.

 

Anexo - España

Entendemos que a nuestros empleados / los interesados podría preocuparles su privacidad y el modo en que sus datos de carácter personal son tratados en el contexto de la comunicación de una conducta indebida (a través de nuestros canales internos de denuncia, o nuestro programa Speak Up o Whistleblowing (Denuncia de Irregularidades).

Debes saber que puedes acceder a la información completa sobre el modo en que recabamos y tratamos tu información personal, a través de nuestra Política de Privacidad para España, con la que deberías estar ya familiarizado, y cuya versión más reciente podrás encontrar 24/7 en la siguiente página web: Política de Privacidad | DLA Piper. Esta amplia información en materia de privacidad se proporciona en español a los empleados / interesados, de conformidad con los Artículos 12, 13 y 14 del Reglamento General sobre Protección de Datos 2016/679 de la UE (el "RGPD"), la Ley Orgánica española 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales ("NLOPD"), y los Artículos 29 a 34 de la Ley española en materia de denuncia de irregularidades / Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción ("LPID").

Señalamos a continuación algunos detalles concretos relativos a la LPID. A tenor de la LPID, DLA Piper Spain SL (y/o cualquier otra entidad de DLA Piper con la que el empleado / interesado interactúe), a través de su consejo de administración, es el responsable del tratamiento de tus datos de carácter personal cuyo tratamiento se haya realizado en el contexto del plan de comunicación de denuncias. 

Los fines para los que se realiza el tratamiento de tu información personal son la implantación, gestión y verificación del plan de comunicación de denuncias, así como la adopción de las medidas correctoras que el resultado de una investigación pudiera identificar como necesarias.

El fundamento jurídico para el tratamiento de tu información personal (independientemente de que el empleado / interesado sea el informante o esté, de otro modo, afectado por los hechos denunciados, incluso cuando se utilicen los canales de denuncia externos), será el cumplimiento con las leyes (Artículo 6.1.c del RGPD), cuando debido al tamaño del empleador / entidad con la que ocurre la interacción, u otras circunstancias, el plan sea jurídicamente vinculante. Si la implantación del plan fuera meramente voluntaria u oportuna, o si guardase relación con una divulgación pública, el interés público, refrendado por ley, será el fundamento para el tratamiento de tus datos (Artículo 6.1.e del RGPD).

A menos que se considere estrictamente necesario, o cuando la persona que realice la comunicación haya prestado su válido consentimiento para revelar su identidad, no divulgaremos la identidad de un informante a las personas a las que hace referencia la denuncia ni a ningún tercero. Cuando el responsable del tratamiento considere que debe revelar la información conforme a lo dispuesto en la LPID, incluso a los tribunales, fiscales o las fuerzas del orden correspondientes, en el contexto de una investigación penal, disciplinaria o regulatoria, deberemos tratar de avisar de tal divulgación, anticipadamente, a la persona que realizó la denuncia, a menos que ello pudiera entorpecer la investigación o procedimiento judicial en curso.

Sin perjuicio de lo anterior, los empleados / interesados tendrán en cuenta que diversas personas podrían acceder a su información personal, de conformidad con la LPID. La lista de dichas personas autorizadas incluirían a las siguientes (a) el Director del Sistema Whistleblowing y la persona que efectivamente se ocupe de la denuncia y la investigación, en su caso, (b) el Director de RR.HH. o el órgano designado para sustituirle, aunque únicamente cuando pudiera ser necesario para adoptar medidas disciplinarias contra un empleado, (c) el Director del Departamento Jurídico, aunque únicamente cuando resultase necesario para adoptar medidas legales con relación a los hechos denunciados, (d) el correspondiente encargado del tratamiento, (e) nuestro Delegado de Protección de Datos y (f) otras personas cuya intervención fuera esencial para adoptar medidas correctoras, o avanzar en los procesos disciplinarios o de derecho penal.  

Cuando se recibe una denuncia, las personas que la gestionan deberán decidir si se abre o no una investigación formal, teniendo en cuenta los hechos denunciados y las circunstancias del caso. Esta decisión se tomará tan pronto sea posible y, en cualquier caso, cuando resulte factible dentro de los tres meses siguientes a la fecha en la que se hubiera recibido la comunicación. Cuando la decisión sea en sentido negativo, o no se haya tomado dentro del antedicho plazo de tres meses, todos los datos de carácter personal contenidos en la comunicación deberán ser eliminados.

Los empleados / interesados podrán siempre ejercer sus derechos de acceso, rectificación, supresión, objeción y limitación del tratamiento y, en su caso, portabilidad, conforme a lo dispuesto en los Artículos 15 a 22 del RGPD. Podrán asimismo presentar una reclamación ante la Agencia Española de Protección de Datos, www.aepd.es.

No se recogerán ni tratarán datos de categoría especial (por ejemplo, origen étnico, creencias religiosas, orientación sexual), datos que no fueran necesarios a los fines del plan de comunicación de denuncias, ni datos falsos, en el contexto de este plan. Según se dispone expresamente en la LPID, tales datos deberán eliminarse inmediatamente, si se hubieran recogido accidentalmente o por error. No obstante, si las leyes obligaran a realizar el tratamiento de ciertas categorías especiales de datos, ello será únicamente a tenor de lo dispuesto en el Artículo 9.2.g del RGPD.