Contáctanos

Los estándares de privacidad de datos del Reino Unido
(los estandares")

1. PROPÓSITO

1.1         Sobre nosotros

Flex es un proveedor líder y socialmente responsable de servicios de fabricación de productos electrónicos que ofrece servicios de diseño, ingeniería y fabricación a fabricantes de equipos originales aeroespaciales y de defensa, automotrices, informáticos, de consumo, industriales, de infraestructura, médicos, energéticos y móviles. Flex ayuda a los clientes a diseñar, construir, enviar y dar servicio a productos electrónicos y otros productos a través de una red de instalaciones internacionales. Esta presencia global proporciona soluciones de diseño e ingeniería combinadas con servicios básicos de logística y fabricación de productos electrónicos.

1.2         Nuestro compromiso con la privacidad de los datos

Estos Estándares establecen nuestro enfoque y el compromiso del Grupo Flex y su Dirección Ejecutiva y Junta Directiva de mantener los más altos estándares de privacidad de datos. Estos Estándares para el procesamiento de Datos personales se relacionan con los Datos personales de empleados, contratistas y contactos comerciales, u otras personas, y deben ser seguidos por todos los miembros y empleados del Grupo Flex, y la Dirección Ejecutiva y la Junta Directiva harán cumplir dicho cumplimiento. El incumplimiento de estas Normas dará lugar a acciones correctivas y disciplinarias apropiadas.

1.3         Objetivo de estas Normas

Manejaremos todos los datos personales de acuerdo con las leyes de protección de datos y todas las demás leyes aplicables. Nuestro cumplimiento de estos Estándares le brindará la protección necesaria para permitirnos procesar ciertos Datos personales dentro del Grupo Flex, incluida la transferencia de esos Datos personales fuera del Reino Unido.

2. DEFINICIONES Y ABREVIATURAS

Ley aplicable significa todas las leyes y regulaciones locales aplicables de privacidad y protección de datos, incluidas, entre otras, las Leyes de Protección de Datos.

Datos de contacto comercial significa datos personales relacionados con los contactos comerciales con los clientes y proveedores del Grupo Flex;

Controlador de datos significa la persona natural o jurídica que sola o conjuntamente con otras determina los fines y medios del procesamiento de Datos Personales;

Privacidad de datos significa protección de datos según lo promulgado por las Leyes de Protección de Datos;

Procesador de datos significa la persona física o jurídica que procesa Datos Personales por cuenta del Responsable del Tratamiento;

Leyes de protección de datos significa Leyes de Protección de Datos del Reino Unido;

Titular de los datos significa una persona física identificada o identificable;

Datos personales de los empleados medio Datos personales relacionados con: (a) empleados actuales, anteriores y potenciales; (b) contratistas individuales actuales, anteriores y potenciales; c) voluntarios; (d) agentes; (e) trabajadores temporales y ocasionales; y (f) dependientes, parientes, tutores y asociados de los Sujetos de datos establecidos en (a) a (e) del Grupo Flex;

Grupo Flex significa Flex Ltd. constituida en Singapur y ubicada en 2 Changi South Lane, Singapur y cualquiera de sus subsidiarias sujetas a estas Normas;

Oficial de Privacidad de Datos Globales será el Delegado de Protección de Datos según lo definido por las Leyes de Protección de Datos del Reino Unido;

Política global de derechos de los interesados significa la póliza adjunta bajo Anexo C de estas Normas;

Procedimiento global para presentar y manejar quejas sobre privacidad de datos significa la póliza adjunta bajo Anexo D de estas Normas;

Información personal significa cualquier información relacionada con una persona física identificada o identificable que pueda identificarse directa o indirectamente a partir de esa información, incluidos, entre otros, datos personales del empleado, datos de contacto comercial y datos de terceros;

Reglamento / RGPD significa el Reglamento General de Protección de Datos (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos y cualquier ley que lo implemente, lo complemente, lo relacione o lo reemplace.

Procesando tendrá el significado establecido en las Leyes de Protección de Datos del Reino Unido y procesará y procesos se interpretará en consecuencia.

Datos de categoría especial significa cualquier Dato Personal que revele el origen racial o ético de un Sujeto de Datos; opiniones políticas; creencias religiosas o filosóficas; afiliación sindical; datos genéticos; datos biométricos tratados con el fin de identificar de forma única a una persona física; datos sobre salud, vida sexual u orientación sexual; y, a los efectos de estas Normas, incluirá datos relacionados con condenas y delitos penales;

Autoridad supervisora significa la Oficina del Comisionado de Información;

Estándares significa los términos establecidos en este documento;

Datos de terceros significa Datos personales relacionados con terceros, como detalles de contacto de otras personas, información sobre quejas e imágenes de CCTV;

Reino Unido significa el Reino Unido;

Leyes de protección de datos del Reino Unido significa las leyes de privacidad y protección de datos del Reino Unido (incluido el Reglamento modificado por cualquier legislación que surja de la retirada del Reino Unido de la Unión Europea (“RGPD del Reino Unido”) y la Ley de Protección de Datos de 2018, modificada, complementada, sustituida o reemplazada periódicamente;

Nosotros, nuestro y/o nosotros significa el Grupo Flex y sus empleados; y

Tú significa un Sujeto de Datos cuyos Datos Personales son procesados por el Grupo Flex.

3. ANTECEDENTES

3.1         ¿Qué es la ley de privacidad de datos?

La Privacidad de Datos (también conocida como “protección de datos”) requiere que las empresas procesen Datos Personales de acuerdo con ciertos principios de buenas prácticas. También otorga ciertos derechos a las personas (por ejemplo, acceder y corregir su información). La ley de privacidad de datos rige la forma en que Flex recopila, almacena y utiliza datos personales sobre empleados, contratistas, contactos comerciales y otros individuos.

3.2         ¿Cómo afecta la ley de privacidad de datos a Flex a nivel internacional?

Las leyes de protección de datos no permiten la transferencia internacional de datos personales a países fuera del Reino Unido a menos que garanticen un nivel adecuado de privacidad de datos. Flex ha tomado las medidas adecuadas para garantizar que cualquier transferencia de datos personales a países fuera del Reino Unido sea legal. Estos Estándares crean un marco de reglas corporativas vinculantes para cumplir con las reglas contenidas en las Leyes de Protección de Datos y brindan un nivel adecuado de protección para los Datos Personales transferidos a las empresas del Grupo Flex fuera del Reino Unido de acuerdo con las Leyes de Protección de Datos (en particular, el mecanismo establecido en Leyes de protección de datos del Reino Unido para la aprobación de normas corporativas vinculantes). Flextronics Global Services (Manchester) Limited es miembro del Grupo Flex con responsabilidades delegadas en materia de privacidad de datos y será responsable del cumplimiento de estos Estándares.

4. ALCANCE

4.1         Datos cubiertos por estas Normas

Estos Estándares se aplican a nuestro procesamiento y la transferencia por nuestra parte de Datos Personales que están sujetos a las Leyes de Protección de Datos de las cuales somos Controladores de Datos y a:

(a) el procesamiento de estos Datos personales por parte de un miembro del Grupo Flex dentro del Reino Unido;

(b) el procesamiento de estos Datos personales en el Reino Unido por parte de un miembro del Grupo Flex ubicado fuera del Reino Unido en: (i) mientras el Reglamento general de protección de datos (UE) 2016/679 se aplica como ley en el Reino Unido, un país que no se encuentra en el EEE o en un país considerado adecuado para los fines de las transferencias de datos personales de conformidad con una decisión de la Comisión Europea en virtud del artículo 45 del RGPD; y (ii) en el momento en que el Reglamento general de protección de datos (UE) 2016/679 ya no se aplique como ley en el Reino Unido, un país que no se considera adecuado para los fines de las transferencias de datos personales de conformidad con las regulaciones de adecuación en virtud de la sección 17A de la Ley de Protección de Datos de 2018;

(c) la transferencia de estos Datos personales desde dentro del Reino Unido hacia fuera del Reino Unido en: (i) mientras el Reglamento general de protección de datos (UE) 2016/679 se aplique como ley en el Reino Unido, un país que no esté en el EEE o un país considerado adecuado a los efectos de las transferencias de datos personales de conformidad con una decisión de la Comisión Europea en virtud del artículo 45 del RGPD; y (ii) en el momento en que el Reglamento general de protección de datos (UE) 2016/679 ya no se aplique como ley en el Reino Unido, un país que no se considera adecuado para los fines de las transferencias de datos personales de conformidad con las regulaciones de adecuación en virtud de la sección 17A de la Ley de Protección de Datos de 2018, en cada caso por parte de un miembro del Grupo Flex a otro miembro del Grupo Flex y el procesamiento posterior o transferencia posterior de estos Datos personales por parte de ese miembro a otros miembros del Grupo Flex.

(d) El tratamiento que llevamos a cabo podrá ser manual o automatizado. Los tipos de Datos personales que procesamos son Datos personales de empleados, Datos de contacto comercial y otros Datos personales.

4.2         Las tablas adjuntas en Anexo B de estas Normas contienen una descripción general de los Datos Personales que son objeto de transferencias conforme a estas Normas.

4.3         Las Normas se aplican a todo el procesamiento de Datos personales dentro del Grupo Flex donde dichos Datos personales están sujetos a las Leyes de protección de datos y al Párrafo 4.1 de las Normas.

5. PRINCIPIOS

Cuando Flex sea un Responsable del tratamiento, se aplicarán los siguientes principios:

5.1         Procesamos datos personales de manera legal, justa y transparente (“licitud, equidad y transparencia”)

Procesaremos datos personales de manera justa y legal. Una o más de las condiciones establecidas en Anexo A o bajo las Leyes de Protección de Datos, que deban invocarse para legitimar el procesamiento de datos, siempre se cumplirán. Nos aseguraremos de que tenga claro cómo se recopilan, utilizan, consultan o procesan de otro modo los datos personales que le conciernen y en qué medida se procesan o se procesarán los datos personales. También proporcionaremos información según lo exigen las Leyes de Protección de Datos, incluida información para explicar cómo podemos divulgar y/o transferir Datos Personales, así como la base legal para el Procesamiento, intereses legítimos, categorías de destinatarios y derechos disponibles. Cualquier información y comunicación relacionada con el procesamiento de sus Datos personales será fácilmente accesible y fácil de entender.

5.2         Lo mantendremos informado sobre nuestro procesamiento de sus Datos personales y le brindaremos información sobre sus derechos según estos Estándares.

Estos Estándares estarán disponibles públicamente en el sitio web público de Flex y también disponibles en el Portal de Privacidad de Datos interno de Flex y previa solicitud por escrito al Oficial de Privacidad de Datos Global. Antes de procesar sus Datos personales, le informaremos la identidad de la empresa del Grupo Flex que es el Controlador de datos y le proporcionaremos toda la información requerida según las Leyes de protección de datos y estas Normas.

5.3         Nos aseguraremos de que los Datos personales solo se procesen para fines específicos, explícitos y legítimos (“limitación de propósito”)

Nos aseguraremos de que los Datos personales que tenemos sobre usted se procesen para fines específicos, explícitos y legítimos que se determinaron en el momento de la recopilación de los Datos personales y no se procesen posteriormente para fines adicionales que sean incompatibles con los propósitos iniciales. para el cual se recogieron los Datos Personales.

5.4         Nos aseguraremos de cumplir con los principios de minimización de datos en relación con los Datos personales ("minimización de datos")

Nos aseguraremos de que nuestras operaciones de procesamiento manejen Datos personales que sean adecuados, relevantes y también limitados a lo necesario en relación con los fines para los cuales procesamos los Datos personales. Nos aseguraremos de que el período durante el cual se almacenan los Datos personales se limite a un mínimo estricto. No conservaremos los Datos personales por más tiempo del necesario para los fines para los cuales se recopilan y procesan, a menos que sea necesario conservarlos por más tiempo según la ley aplicable. Los Datos Personales sólo se procesarán si los fines del procesamiento no pudieran cumplirse por otros medios.  Limitaremos el acceso a los Datos Personales a aquellos empleados que necesiten acceso para cumplir con sus funciones. Requerimos que nuestros vendedores y proveedores sigan un enfoque similar con respecto a los Datos personales a los que acceden al brindar servicios a Flex.

5.5         Nos aseguramos de que los datos personales sean precisos y, cuando sea necesario, se mantengan actualizados (“exactitud”)

Nos aseguraremos de que los datos personales se mantengan actualizados y sean precisos. Flex proporciona a las personas varios métodos para actualizar y corregir sus datos personales, incluso en línea, utilizando sistemas de autoservicio y comunicándose con HR Global Business Services o la persona adecuada. Nos aseguraremos de tomar todas las medidas razonables para garantizar que los Datos personales que sean inexactos se rectifiquen o eliminen sin demora.

5.6         Nos aseguraremos de que los Datos personales se mantengan en una forma que permita la identificación de las personas durante el tiempo necesario para los fines para los cuales se procesan los Datos personales (“limitación de almacenamiento”)

Nos aseguraremos de que se establezcan límites de tiempo para que los Datos personales sean eliminados o revisados periódicamente de acuerdo con la ley aplicable, incluidas las Leyes de Protección de Datos.

5.7         Utilizamos medidas de seguridad y confidencialidad adecuadas para proteger sus datos personales (“integridad y confidencialidad”)

Utilizamos medidas de seguridad técnicas, organizativas, administrativas y físicas adecuadas para proteger sus datos personales contra el procesamiento no autorizado o ilegal y contra pérdidas, destrucción o daños accidentales. Teniendo en cuenta el estado de la técnica, el costo de implementación de estas medidas y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas, imponemos seguridad. adecuada a los riesgos que representa el tratamiento y la naturaleza de los datos a proteger. Además, en caso de una violación de la seguridad de los datos, Flex notificará a la Autoridad de Supervisión a menos que sea poco probable que la violación de la seguridad de los datos resulte en un riesgo para los derechos y libertades de los Interesados, y notificará a los Interesados si es probable que la violación de la seguridad de los datos resultar en un alto riesgo para los derechos y libertades de los Titulares de los datos.

5.8         Le proporcionaremos derechos de acceso, rectificación, supresión, restricción, portabilidad y oposición al procesamiento de acuerdo con las Leyes de Protección de Datos.

Tendrá derecho a solicitar una copia de todos los datos personales que tenemos sobre usted. Le proporcionaremos acceso a dichos datos según lo exigen las Leyes de Protección de Datos, a menos que las Leyes de Protección de Datos nos permitan rechazar o cumplir solo parcialmente con la solicitud (por ejemplo, cuando las solicitudes de un interesado son manifiestamente infundadas o excesivas, en particular porque de su carácter repetitivo). Podemos, cuando lo permitan las leyes de protección de datos, cobrar una tarifa por esto.

Tendrá derecho a solicitarnos que corrijamos sus Datos personales si son inexactos, incluso mediante una declaración complementaria si los Datos personales están incompletos.

También tendrá derecho, en determinadas circunstancias, a que se eliminen sus Datos personales, solicitar la restricción del procesamiento de sus Datos personales u oponerse, por motivos relacionados con su situación particular, al procesamiento de Datos personales o a cualquier marketing directo.

Tendrá derecho, en determinadas circunstancias, a solicitar que transfiramos sus datos personales a usted o a un tercero en un formato estructurado, de uso común y legible por máquina.

Si desea ejercer cualquiera de estos derechos, debe hacerlo comunicándose con el Oficial de enlace de privacidad de datos, el Oficial de privacidad de datos global o si es empleado de Flex, HR Global Business Services. Se establece más información y procedimientos en la Política global de derechos de los interesados que se adjunta en Anexo C.

5.9         Reconocemos su derecho a oponerse al marketing directo.

Si utilizamos sus datos personales para marketing directo, solo lo haremos si hemos obtenido su consentimiento para dicho marketing o si lo permiten de otro modo las leyes de protección de datos. Si se opone a que utilicemos sus Datos personales para marketing directo, debe comunicarse con el Oficial de privacidad de datos global, HR Global Business Services o utilizar cualquier otro método que se establezca en la comunicación de marketing correspondiente.

5.10       Solo hacemos un uso limitado de la toma de decisiones automatizada.

Existen requisitos bajo las Leyes de Protección de Datos para garantizar que ninguna evaluación o decisión sobre un individuo que produzca efectos legales o que lo afecte significativamente de manera similar pueda basarse únicamente en el procesamiento automatizado de Datos personales, excepto en circunstancias limitadas. Por ejemplo, utilizamos la toma de decisiones automatizada en determinados procesos de contratación para comprobar la aptitud de un candidato en particular. Sin embargo, este proceso normalmente se utilizará junto con otros procesos de contratación, como entrevistas, por lo que no se realiza de forma únicamente automatizada. Si Flex toma decisiones importantes de forma únicamente automatizada, implementará, según lo exigen las leyes de protección de datos, salvaguardias como el derecho de las personas a obtener intervención humana, expresar su punto de vista y impugnar la decisión.

5.11       Tomamos precauciones cuidadosas con respecto al procesamiento de datos de categoría especial y datos relacionados con condenas y delitos penales.

Solo procesaremos sus Datos de categoría especial y los datos relacionados con condenas y delitos penales de acuerdo con las Leyes de protección de datos, incluso basándonos en al menos una de las condiciones establecidas en las Leyes de protección de datos del Reino Unido que se requieren para procesar dichos datos. Esto puede incluir el uso de salvaguardias mejoradas en relación con dichos Datos de categoría especial y datos relacionados con condenas y delitos penales, cuando sea necesario.

5.12       Tomamos medidas apropiadas con respecto a nuestro uso de Procesadores de Datos

Los Procesadores de datos pueden incluir un miembro del Grupo Flex o un proveedor externo que procesa Datos personales en nombre de un miembro del Grupo Flex. Nos aseguraremos de que si utilizamos procesadores de datos internos o externos:

(a) tendremos un contrato escrito vigente con ese Procesador de datos;

(b) el contrato escrito contendrá todas las cláusulas que son obligatorias según las leyes de protección de datos del Reino Unido y, de lo contrario, según las leyes de protección de datos;

(c) el contrato escrito establecerá que el Procesador de datos, entre otras cosas:

(i) únicamente actuará siguiendo las instrucciones del Responsable del Tratamiento; y

(ii) tiene el deber de notificar a Flex sin demora indebida cualquier violación de datos personales. Puede existir el deber de notificar a los interesados cuando la violación de datos personales pueda resultar en un alto riesgo para sus derechos y libertades. El Procesador de datos tendrá el deber de documentar cualquier violación de los Datos personales, incluidos los hechos relacionados con la violación de los Datos personales, sus efectos y las medidas correctivas tomadas. La documentación deberá ponerse a disposición de la Autoridad de Control previa solicitud.

También contamos con un programa de auditoría integral para garantizar que los procesadores de datos cumplan con las medidas anteriores (ver el párrafo 6.2 a continuación).

5.13       Restringiremos la transferencia de datos personales.

En principio, las transferencias internacionales de datos personales desde el Reino Unido a un país o territorio que tenga leyes de privacidad de datos inadecuadas no están permitidas a menos que existan salvaguardas adecuadas de acuerdo con las leyes de protección de datos, por ejemplo, por parte de un miembro del Grupo Flex (con base en fuera del Reino Unido) suscribiendo estos Estándares o implementando cláusulas contractuales (como las Cláusulas Contractuales Estándar reconocidas bajo las Leyes de Protección de Datos del Reino Unido) que protegen los Datos Personales que se transfieren. Solo transferiremos Datos personales cuando dichas salvaguardias estén implementadas de acuerdo con las Leyes de protección de datos, siempre que se brinde la protección adecuada según lo exigen las Leyes de protección de datos del Reino Unido. Nos aseguraremos de que todas las transferencias de Datos personales a proveedores externos con sede fuera del Reino Unido respeten las normas relativas a los procesadores (como se establece en el párrafo 5.12 anterior), además de las normas sobre transferencias fuera del Reino Unido.

6. CÓMO CUMPLIMOS Y HACEMOS CUMPLIR LAS NORMAS

6.1         Nuestros oficiales de privacidad

Mantenemos una red integral de funcionarios de privacidad en todo el Grupo Flex que son responsables de la Privacidad de los datos dentro de su país, región o segmento, incluido el cumplimiento de estos Estándares. Cada Oficial de Enlace de Privacidad de Datos reporta al Oficial Regional de Privacidad de Datos correspondiente y, en última instancia, al Oficial de Privacidad de Datos Global, quien reporta directamente a la Junta Ejecutiva. La Junta Directiva de Flex está compuesta por el Jefe de Asuntos Jurídicos, el Director Financiero y el Director de Recursos Humanos, y depende del Director Ejecutivo. El Oficial Global de Privacidad de Datos será el Oficial de Protección de Datos tal como lo definen las Leyes de Protección de Datos del Reino Unido y es en última instancia responsable de la red de Oficiales Regionales de Privacidad de Datos y Oficiales de Enlace de Privacidad de Datos, el desarrollo y la implementación de estos Estándares en respuesta a las solicitudes de la Autoridad Supervisora. y cooperar con la Autoridad de Supervisión y monitorear e informar anualmente sobre el cumplimiento a la Junta Ejecutiva. Los Oficiales Regionales de Privacidad de Datos y los Oficiales de Enlace de Privacidad de Datos son responsables de manejar las quejas locales de los Interesados, informar los problemas de Privacidad de Datos al Oficial Global de Privacidad de Datos, monitorear la capacitación y el cumplimiento a nivel local y ayudar a responder a las solicitudes de la Autoridad Supervisora. y cooperar con la Autoridad de Supervisión.

6.2         Auditoría y cumplimiento

Además, contamos con un programa de auditoría integral que incluye evaluaciones internas periódicas de privacidad que cubren todos los aspectos de estos Estándares. Los resultados de dichas evaluaciones de privacidad se proporcionan al Oficial de Privacidad de Datos Global y a la Junta Ejecutiva de Flex Ltd.Si identificamos alguna brecha en el cumplimiento de nuestros requisitos de Privacidad de datos (incluidos estos Estándares), se implementan planes de trabajo para rectificar cualquier brecha. Cuando dicha evaluación se relacione con estas Normas, se proporcionarán a la Autoridad de Supervisión previa solicitud.

6.3         Programa de entrenamiento

Nos tomamos muy en serio la privacidad de los datos y lo demostramos brindando capacitación obligatoria sobre privacidad de los datos a todos los empleados que tienen acceso permanente o regular a los datos personales, que participan en la recopilación de datos personales o en el desarrollo de herramientas utilizadas para procesar los datos personales en la realización de cumplir con sus deberes. Además de esto, todos los empleados deben cumplir con todas las políticas y procedimientos de Flex que incluyen estos Estándares y también deben confirmar el reconocimiento del Código de conducta de Flex que establece el compromiso del Grupo Flex con la privacidad y confidencialidad de los datos.

6.4         Responsabilidad

Cada miembro del Grupo Flex que actúe como controlador de datos será responsable y podrá demostrar el cumplimiento de las Normas cuando procese Datos personales descritos en el Párrafo 4.1 de las Normas. Para demostrar el cumplimiento, los miembros del Grupo Flex documentarán las categorías de actividades de procesamiento realizadas de acuerdo con los requisitos establecidos en las Leyes de Protección de Datos del Reino Unido. Este registro debe mantenerse por escrito, incluso en formato electrónico, y debe ponerse a disposición de la Autoridad de Supervisión cuando lo solicite.

6.5         Evaluaciones de impacto de la protección de datos

Para mejorar el cumplimiento y cuando sea necesario, los miembros del Grupo Flex llevarán a cabo evaluaciones de impacto de la protección de datos en consulta con el Oficial Global de Privacidad de Datos para operaciones de procesamiento que probablemente resulten en un alto riesgo para los derechos y libertades de las personas físicas. Cuando el resultado de una evaluación de impacto de la protección de datos indique que el procesamiento daría lugar a un alto riesgo en ausencia de medidas tomadas por el miembro del Grupo Flex para mitigar el riesgo, se debe consultar a la Autoridad de Supervisión antes del procesamiento.

6.6         Privacidad por diseño y por defecto

Los miembros del Grupo Flex deben implementar medidas técnicas y organizativas apropiadas que estén diseñadas para implementar los principios de protección de datos según la Ley de Protección de Datos del Reino Unido y para facilitar el cumplimiento de los requisitos establecidos por estos Estándares.

6.7         Legislación nacional y estas normas

Nos aseguraremos de que, si las leyes de privacidad y protección de datos aplicables brindan menos protección que estos Estándares, estos Estándares se aplicarán a nuestro procesamiento de Datos personales. Sin embargo, si las leyes de privacidad y protección de datos aplicables brindan una mayor protección, nos aseguraremos de cumplir con el estándar más alto. Además, si un miembro del Grupo Flex cree que un conflicto con las leyes de privacidad y protección de datos aplicables le impide cumplir con sus deberes según estos Estándares (incluido seguir el consejo de la Autoridad de Supervisión), esa entidad miembro notificará de inmediato al Oficial de Privacidad de Datos Global. o el Oficial de Enlace de Privacidad de Datos aplicable quien (en consulta con el Departamento Legal o la Autoridad de Supervisión, cuando sea necesario) decidirá responsablemente qué acción tomar.

Flex se asegurará de que, cuando tenga motivos para creer que la legislación que le es aplicable le impide cumplir con las obligaciones establecidas en estos Estándares o tiene un efecto sustancial en su capacidad para cumplir con estos Estándares, notificará de inmediato al miembro del Grupo Flex con responsabilidad delegada en materia de protección de datos. y el Oficial de Privacidad de Datos Global a menos que lo prohíba un organismo encargado de hacer cumplir la ley, como lo prohíbe la ley penal, para preservar la confidencialidad de una investigación policial.

Cuando cualquier requisito legal al que esté sujeto el Flex en un país fuera del Reino Unido pueda tener un efecto adverso sustancial en la protección brindada por estos Estándares, el problema debe informarse a la Autoridad de Supervisión. Esto incluye cualquier solicitud legalmente vinculante de divulgación de Datos personales por parte de una autoridad encargada de hacer cumplir la ley o un organismo de seguridad estatal. La Autoridad de Supervisión debe ser informada claramente sobre la solicitud, incluida información sobre los datos solicitados, el organismo solicitante y la base legal para la divulgación (a menos que esté prohibido de otra manera, como una prohibición bajo el derecho penal para preservar la confidencialidad de una investigación policial). ). En estos casos, el miembro de Flex hará sus mejores esfuerzos para obtener el derecho de renunciar a esta prohibición con el fin de comunicar la mayor cantidad de información posible y lo antes posible, y poder demostrar que así lo hizo. Si, en los casos anteriores, a pesar de haber hecho sus mejores esfuerzos, el miembro de Flex no está en condiciones de notificar a la Autoridad de Supervisión, Flex debe proporcionar anualmente información general sobre las solicitudes que recibió a la Autoridad de Supervisión (por ejemplo, número de solicitudes de divulgación , tipo de dato solicitado, solicitante si es posible, etc.). En cualquier caso, las transferencias de Datos Personales por parte de un miembro del grupo Flex a cualquier autoridad pública no pueden ser masivas, desproporcionadas e indiscriminadas de forma que vayan más allá de lo necesario en una sociedad democrática.

7. RELACIÓN CON LA AUTORIDAD SUPERVISORA

7.1         Cooperación con la Autoridad de Supervisión

Los miembros del Grupo Flex cooperarán con la Autoridad de Supervisión y se brindarán asistencia mutua para hacerlo y para manejar cualquier solicitud o queja de un Interesado o una investigación o consulta. Cualquier pregunta sobre nuestro cumplimiento de las Leyes de Protección de Datos debe dirigirse al Oficial de Privacidad de Datos Global utilizando los datos de contacto establecidos al final de estos Estándares, quien consultará con la Autoridad de Supervisión, cuando corresponda.

Los miembros del Grupo Flex respetarán el asesoramiento de la Autoridad de Supervisión en cualquier cuestión relacionada con la interpretación de estos Estándares de conformidad con las Leyes de Protección de Datos. La Autoridad de Supervisión está autorizada a auditar a cualquier miembro del Grupo Flex que esté sujeto a estas Normas y asesorar sobre todos los asuntos relacionados con estas Normas. Dichos miembros del Grupo Flex deben respetar las decisiones de la Autoridad de Supervisión en la medida en que sean consistentes con las Leyes de Protección de Datos y el debido proceso y sin renunciar a ninguna defensa o derecho de apelación.

8. SUS DERECHOS BAJO ESTOS ESTÁNDARES

8.1         Nuestra responsabilidad hacia usted

Las políticas y procedimientos descritos en estos Estándares se suman a cualquier otro recurso disponible según las leyes de privacidad y protección de datos aplicables o proporcionados según nuestras otras políticas y procedimientos. 

Flextronics Global Services (Manchester) Limited ha sido nominada por el Grupo Flex como la empresa dentro del Reino Unido con responsabilidad delegada para estos Estándares en el contexto de las Leyes de Protección de Datos del Reino Unido. Flextronics Global Services (Manchester) Limited será responsable y tomará todas las medidas necesarias para remediar cualquier incumplimiento por parte de un miembro del Grupo Flex fuera del Reino Unido sujeto a estos Estándares y tiene activos suficientes para pagar una compensación por cualquier daño resultante del incumplimiento de estas Normas. Esto incluirá cualquier sanción impuesta u otro recurso disponible según las leyes de privacidad y protección de datos aplicables, incluido el requisito de pagar una compensación por cualquier daño material o no material resultante del incumplimiento de los Estándares por parte de miembros del Grupo Flex fuera del Reino Unido. Si un miembro del Grupo Flex fuera del Reino Unido infringe estos Estándares, los tribunales o la autoridad supervisora en Inglaterra y Gales tendrán jurisdicción y Flextronics Global Services (Manchester) Limited será responsable ante usted como si el incumplimiento hubiera sido causado por ellos en Inglaterra y Gales. Gales en lugar del miembro del Grupo Flex fuera del Reino Unido. Flextronics Global Services (Manchester) Limited no será responsable si puede demostrar que el miembro del Grupo Flex que presuntamente incumplió no es responsable del incumplimiento que dio lugar a daños o que dicho incumplimiento no tuvo lugar. La carga de la prueba recaerá en Flextronics Global Services (Manchester) Limited para demostrar que el miembro del Grupo Flex fuera del Reino Unido que supuestamente incumple no es responsable de ningún incumplimiento de las Normas que haya dado lugar a la reclamación por daños y perjuicios. . En cada caso identificado anteriormente, si se considera que se han violado estas Normas, será responsabilidad del reclamante demostrar que ha sufrido daño y establecer hechos que demuestren que es probable que el daño haya ocurrido como resultado. de tal incumplimiento.

8.2         Sus derechos bajo estos Estándares

Si cree que un miembro del Grupo Flex infringe estos Estándares, puede presentar una queja comunicándose con HR Global Business Services o con el Oficial de Privacidad de Datos Global (consulte el Párrafo 10 a continuación). Consulte también el Procedimiento global para presentar y manejar quejas sobre privacidad de datos (una copia del cual se puede encontrar en el Portal de privacidad de datos Flex y en Anexo D a estas Normas) que establece más detalles sobre el proceso de manejo de quejas.

Puede hacer valer los derechos establecidos en estos Estándares (incluidos los establecidos en los Párrafos 5, 6.4, 6.7, 7, 8.1, 8.2, 8.3 y 9.1) como tercero beneficiario, en relación con las transferencias de Datos personales realizadas por un miembro del Grupo Flex o un Procesador de datos designado por un miembro del Grupo Flex ubicado dentro del Reino Unido a un país fuera del Reino Unido en (i) mientras el Reglamento general de protección de datos (UE) 2016/679 se aplica como ley en el Reino Unido , un país que no está en el EEE o un país considerado adecuado para los fines de las transferencias de datos personales de conformidad con una decisión de la Comisión Europea en virtud del artículo 45 del RGPD; y (ii) en el momento en que el Reglamento general de protección de datos (UE) 2016/679 ya no se aplique como ley en el Reino Unido, en un país que no se considere adecuado para los fines de las transferencias de datos personales de conformidad con las regulaciones de adecuación en virtud de la sección 17A de la Ley de Protección de Datos de 2018. Esto se puede hacer (a) planteando y llevando la cuestión de incumplimiento ante la Autoridad de Supervisión o llevando la cuestión de incumplimiento ante los tribunales en la jurisdicción de Inglaterra y Gales. Los derechos contenidos en este párrafo son adicionales y no perjudicarán otros derechos o recursos que usted pueda tener por ley, incluido el derecho a una compensación, si corresponde. Sin perjuicio de las disposiciones establecidas en la Sección 8.2, no se considerará que Flex ha incumplido estos Estándares si ha observado el nivel de cuidado apropiado en las circunstancias o ha actuado de otro modo de acuerdo con la Ley de Protección de Datos.

8.3         Todos los interesados que se beneficien de estos derechos como tercero beneficiario recibirán la información requerida por las leyes de protección de datos del Reino Unido (artículos 13 y 14 del Reglamento y, en el momento en que el Reglamento ya no se aplique en el Reino Unido, el Reino Unido RGPD). Las Normas contienen la información requerida sobre los derechos de sus terceros beneficiarios con respecto al procesamiento de sus Datos Personales y sobre los medios para ejercer esos derechos, en la cláusula relativa a la responsabilidad y las cláusulas relativas a los principios de protección de datos. Estos Estándares están disponibles en el sitio web de Flex, a los que se hace referencia en cada Aviso de Privacidad aplicable y disponibles previa solicitud al Oficial de Privacidad de Datos Global.

9. GENERALIDADES

9.1         Actualizaciones de estos estándares

De vez en cuando podemos modificar estas Normas (incluso para tener en cuenta modificaciones en el entorno regulatorio o la estructura de la empresa). Es posible que miembros adicionales del Grupo Flex queden obligados por las Normas y que ciertos miembros del Grupo Flex ya no estén obligados por estas Normas. Por lo tanto, nos aseguraremos de que el Oficial de Privacidad de Datos Global disponga de una lista completamente actualizada de los miembros del Grupo Flex y proporcionaremos esta información a los Interesados y a la Autoridad de Supervisión cuando lo soliciten. El Oficial de Privacidad de Datos Global realizará un seguimiento y registrará cualquier actualización de los Estándares. Además, todas las modificaciones de los Estándares estarán sujetas a la aprobación del Oficial de Privacidad de Datos Global y se informarán sin demora indebida a todos los miembros del Grupo Flex y a la Autoridad de Supervisión.

Cualquier cambio en las Normas o en la lista de miembros del Grupo Flex deberá comunicarse a la Autoridad de Supervisión al menos anualmente con una breve explicación de los motivos que justifican la actualización. Los cambios significativos, como aquellos que podrían afectar el nivel de protección ofrecido por las Normas o afectar significativamente a las Normas, deben comunicarse con prontitud a la Autoridad de Supervisión y, cuando sea necesario, se buscará la aprobación de la Autoridad de Supervisión. 

Una vez que se aprueben las modificaciones a los Estándares, se comunicarán a todos los miembros del Grupo Flex sujetos a estos Estándares y se publicarán en el sitio web público de Flex y en el Portal de privacidad de datos en la intranet del Grupo Flex. Cualquier revisión de las Normas deberá incluir la fecha de la revisión. No realizaremos transferencias de Datos personales cubiertos por estos Estándares a un miembro del Grupo Flex hasta que dicho miembro esté obligado por estos Estándares y pueda cumplirlos.

9.2         Fecha efectiva

30 de junio de 2015
Fecha de actualización efectiva desde: 22 de diciembre de 2020

10. INFORMACIÓN DE CONTACTO

Si tiene alguna pregunta sobre estos Estándares, sus derechos bajo estos Estándares o cualquier otro problema de privacidad, puede contactarnos utilizando la siguiente dirección de correo electrónico: protección de datos@flex.com.

ANEXO A — Condiciones que debe cumplir el Flex antes del procesamiento de datos personales

Se debe cumplir al menos una de las siguientes condiciones antes del procesamiento de Datos personales descrito en el Párrafo 4.1 de estos Estándares por parte del Grupo Flex:

  • El Titular da su consentimiento;
  • El procesamiento es necesario para la ejecución de un contrato en el que el Interesado es parte o para tomar medidas a solicitud del Interesado antes de celebrar un contrato;
  • El procesamiento es necesario para el cumplimiento de las obligaciones legales de Flex, distintas de una obligación contractual;
  • El procesamiento es necesario para proteger los intereses vitales del Titular de los datos o de otra persona física;
  • El tratamiento es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de un poder público conferido al responsable del tratamiento;
  • El procesamiento es necesario para perseguir los intereses legítimos de Flex o de un tercero, excepto cuando dichos intereses sean anulados por los intereses o derechos y libertades fundamentales del interesado que requieran protección de datos personales, en particular cuando el interesado sea un niño.

Se debe cumplir al menos una de las siguientes condiciones antes del procesamiento de los Datos personales descritos en el Párrafo 4.1 de estos Estándares, que son Datos de categoría especial por parte del Grupo Flex:

  • El Titular ha dado su consentimiento explícito;
  • El procesamiento es necesario para cumplir con las obligaciones y ejercer derechos específicos del controlador o del interesado en el ámbito del empleo y la seguridad social y la ley de protección social en la medida en que esté autorizado por la legislación de la Unión o del Reino Unido o, en el momento en que el Reglamento ya no se aplique en el Reino Unido, solo la ley del Reino Unido o un convenio colectivo de conformidad con la legislación de los Estados miembros o, en el momento en que el Reglamento ya no se aplique en el Reino Unido, solo la ley del Reino Unido que establezca salvaguardias adecuadas para los derechos fundamentales y los intereses del interesado;
  • El procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física cuando el interesado sea física o legalmente incapaz de dar su consentimiento;
  • El procesamiento se lleva a cabo en el curso de sus actividades legítimas con las garantías adecuadas por una fundación, asociación o cualquier otro organismo sin fines de lucro con un objetivo político, filosófico, religioso o sindical y siempre que el procesamiento se refiera únicamente al miembros o ex miembros del organismo o personas que tienen contacto regular con él en relación con sus fines y que los datos personales no se divulgan fuera de ese organismo sin el consentimiento de los interesados;
  • El tratamiento se refiere a datos personales que el interesado hace manifiestamente públicos;
  • El procesamiento es necesario para el establecimiento, ejercicio o defensa de reclamaciones legales;
  • El procesamiento es necesario por razones de interés público sustancial, sobre la base de la legislación de la Unión o del Reino Unido o, en el momento en que el Reglamento ya no se aplique en el Reino Unido, solo la legislación del Reino Unido, que será proporcionada al objetivo perseguido y respetará la esencia del derecho a la protección de datos y prever medidas adecuadas y específicas para salvaguardar los derechos fundamentales y los intereses del interesado;
  • El tratamiento es necesario para fines de medicina preventiva u laboral, para la evaluación de la capacidad laboral del empleado, el diagnóstico médico, la prestación de asistencia o tratamiento sanitario o social o la gestión de sistemas y servicios sanitarios o sociales sobre la base de la Unión o del Reino Unido o, en el momento en que el Reglamento ya no se aplique en el Reino Unido, solo la ley del Reino Unido o en virtud de un contrato con un profesional de la salud;
  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección contra amenazas transfronterizas graves para la salud o la garantía de elevados estándares de calidad y seguridad de la atención sanitaria y de los medicamentos o productos sanitarios, sobre la base de la legislación de la Unión o del Reino Unido o, en el momento en que el Reglamento ya no se aplique en el Reino Unido, solo la legislación del Reino Unido que establezca medidas adecuadas y específicas para salvaguardar los derechos y libertades del interesado, en particular el secreto profesional;
  • El procesamiento es necesario para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, del Reglamento basado en la legislación de la Unión o del Reino Unido y, en el momento en que el Reglamento ya no se aplique en el Reino Unido, artículo 89(1) del RGPD del Reino Unido, basado en la legislación del Reino Unido, que será proporcional al objetivo perseguido, respetará la esencia del derecho a la protección de datos y establecerá medidas adecuadas y específicas para salvaguardar los derechos fundamentales y los intereses del interesado.

Todo el procesamiento de datos relacionados con condenas penales y delitos por parte del Grupo Flex se basará en las condiciones establecidas en las Leyes de Protección de Datos.

ANEXO B — Descripción del alcance material de las normas

Transferencias de Datos Personales de Empleados

Fines de exportación o importación

  • Reclutamiento que incluye planificación e implementación de estrategias de reclutamiento y dotación de personal en todo el Grupo Flex
  • Gestión de reclutamiento y recuento de personal.
  • Nómina y gestión de beneficios para empleados, incluida la administración de licencias, administración de compensaciones, revisión focal, revisión del desempeño y servicios de atención a los empleados.
  • Carrera y desarrollo profesional y gestión del talento.
  • Pensiones como contribuciones a pensiones.
  • Administración de acciones, incluida la gestión del plan de compra de acciones para empleados, archivo e informes.
  • Procedimientos disciplinarios y de quejas
  • Gestión de la igualdad de oportunidades en EE.UU.
  • Gestión del desempeño y evaluaciones
  • Administración de registros de personal y apoyo a consultas, incluso en relación con licencias, ausencias, salarios y beneficios.
  • Mantener directorios y facilitar registros de avisos comerciales y/o comunicaciones a empleados y contratistas.
  • Administración de formación
  • Para prevención o investigación de fraude, u otros fines de gestión de riesgos
  • A petición escrita del Titular, en su caso
  • Seguridad, incluida información de apoyo para reclamos de compensación laboral y en emergencias donde la salud o la seguridad de una persona esté en peligro.
  • viajes de negocios
  • Cumplimiento de obligaciones contractuales, legales y regulatorias y manejo de reclamos y disputas legales.
  • Otros asuntos de personal relacionados con el Titular de los datos requeridos o permitidos por ley o reglamento.
  • Contacto con familiares
  • Controles de autorización y seguridad de los datos.
  • Respaldo y continuidad del negocio
  • Protección de la propiedad intelectual, la información confidencial y los activos
  • Previsiones de gestión y planificación de cambios en la estructura del grupo.

Tipos de interesados

Personal que incluye:

  • Empleados actuales, anteriores y potenciales
  • Contratistas actuales, anteriores y potenciales
  • Voluntarios
  • Agentes
  • Trabajadores temporales y ocasionales
  • Dependientes, familiares, tutores y asociados de los interesados anteriormente indicados

Categorías de datos personales

  • Detalles personales, incluidos nombres, fecha de nacimiento, domicilio, identificación fiscal nacional, número de seguro social, número de licencia de conducir, número de pasaporte y dirección de correo electrónico personal.
  • Circunstancias familiares, de estilo de vida y sociales que pueden incluir estado civil, detalles de la pareja, detalles de los hijos y nombre de la madre.
  • Detalles de educación y capacitación, incluidas calificaciones, registros académicos, escuelas, registros de capacitación y experiencia profesional.
  • Detalles de empleo que incluyen situación laboral, función laboral, fecha de contratación, lugar de trabajo, fecha de terminación, estado, detalles de evaluación y detalles organizativos como empresa empleada, dirección de la oficina, número de teléfono del trabajo, fotografía individual, departamento y supervisores, centro de costos, empleado. tipo y si es tiempo completo o parcial, dirección de correo electrónico del trabajo, inicio de sesión del usuario de la intranet, detalles del supervisor, detalles del asesor de recursos humanos, otras direcciones de correo electrónico, descripción del trabajo, códigos e identificación del empleado.
  • Detalles financieros que incluyen detalles de beneficios, propiedad de acciones, salarios, gastos, información de cheques de pago e información de cuentas bancarias, objetivo de bonificación e información de pensiones.
  • Detalles de bienes y servicios, incluidos detalles de intercambios o productos vendidos por los interesados

Tipo de Datos de Categoría Especial o datos relativos a condenas o delitos penales

  • Origen racial o étnico
  • Creencias religiosas o de otro tipo de naturaleza similar
  • Afiliación sindical
  • Salud o condición física o mental
  • Delitos (incluidos los presuntos delitos)

Tipo de personas que tienen acceso a los Datos Personales

Los datos de los empleados son procesados por miembros del departamento de recursos humanos, gerentes de empleados relevantes y miembros de HR Global Business Services para los fines establecidos anteriormente. Algunos de estos Datos de Empleado también pueden enviarse a:

  • Los propios interesados
  • Familiares, tutores u otra persona asociada al Titular de los datos
  • Empleadores actuales, pasados o potenciales del interesado
  • Educación, establecimiento de formación y organismos examinadores.
  • Socios comerciales y otros asesores profesionales;
  • Otras entidades Flextronics
  • Empleados y agentes de Flextronics
  • Proveedores y/o prestadores de bienes y servicios
  • Organizaciones financieras y asesores.
  • Agencias de referencia crediticia
  • Comercio, asociaciones de empleadores y organismos profesionales
  • Agencia gubernamental y organismos encargados de hacer cumplir la ley según lo exige la ley.
  • Agencias de empleo y reclutamiento
  • Administradoras de fondos de pensiones
  • Ciertos procesadores de datos encargados por Flextronics para procesar los datos
  • Adquirentes o compradores potenciales en relación con la enajenación de cualquier negocio o activo Flex

Países desde donde se exportan datos personales

En todo el mundo, incluidos Australia, Austria, Bermudas, Brasil, Islas Vírgenes Británicas, Canadá, Islas Caimán, Chile, China, Costa Rica, Curazao, República Checa, Dinamarca, Finlandia, Francia, Alemania, Hong Kong, Hungría, India, Indonesia, Irlanda. Israel, Italia, Japón, Labuan, Luxemburgo, Malasia, Mauricio, México, Países Bajos, Nueva Zelanda, Filipinas, Polonia, Rumania, Suiza, Suecia, Reino Unido, Singapur, España, Corea del Sur, Taiwán, Turquía, Ucrania y Estados Unidos. .

Países a los que se exportan datos personales

En todo el mundo, incluidos Australia, Austria, Bermudas, Brasil, Islas Vírgenes Británicas, Canadá, Islas Caimán, Chile, China, Costa Rica, Curazao, República Checa, Dinamarca, Finlandia, Francia, Alemania, Hong Kong, Hungría, India, Indonesia, Irlanda. Israel, Italia, Japón, Labuan, Luxemburgo, Malasia, Mauricio, México, Países Bajos, Nueva Zelanda, Filipinas, Polonia, Rumania, Suiza, Suecia, Reino Unido, Singapur, España, Corea del Sur, Taiwán, Turquía, Ucrania y Estados Unidos. .

Base para la transferencia posterior

Sobre la base del cumplimiento de una o más de las condiciones del Anexo A de las Normas de Privacidad de Datos.

Transferencias de información de contacto comercial

Fines de exportación o importación

  • Mantener y desarrollar relaciones con clientes y proveedores;
  • Planificación empresarial
  • Para cumplir con una transacción iniciada por un Titular de los datos
  • Para cumplir con una transacción iniciada por un miembro del Grupo Flex como la compra de suministros o equipos;
  • Para realizar una transacción con o para clientes de Flex;
  • Llevar cuentas relacionadas con cualquier negocio u otra actividad realizada por Flex;
  • Decidir si acepta a cualquier persona como cliente o proveedor;
  • Mantener registros de compras, ventas u otras transacciones con el fin de garantizar que se realicen los pagos y/o entregas requeridos o que se presten los servicios;
  • Realización de encuestas de satisfacción del cliente.
  • Investigación y desarrollo
  • Desarrollo de negocios
  • Gestión de eventos
  • Gestión de base de datos
  • Competiciones de carrera
  • Seguridad
  • Para la prevención o investigación de fraude y robo, u otros fines de gestión de riesgos;
  • Cumplimiento de obligaciones contractuales, legales y regulatorias
  • A petición escrita del Titular, en su caso

Tipos de interesados

Clientes de Flex (incluidos los clientes de nuestros clientes), contactos comerciales y proveedores

Categorías de datos personales

  • Detalles personales, incluidos nombre, domicilio, empleador, dirección de la oficina, números de teléfono personales y del trabajo y direcciones de correo electrónico del hogar y del trabajo;
  • Detalles financieros, incluidos los pagos realizados y recibidos, y el IVA/impuesto sobre las ventas;
  • Bienes o servicios proporcionados o comprados.

Tipo de Datos de Categoría Especial o datos relativos a condenas o delitos penales

Ninguno

Tipo de personas que tienen acceso a los Datos Personales

Los datos de contacto comercial son utilizados principalmente por los empleados de Flex, ya que son necesarios para cumplir con los requisitos de su trabajo. Sin embargo, la información del cliente de Datos de contacto comercial también puede enviarse a:

  • Socios comerciales y otros asesores profesionales;
  • Otros empleados, agentes y contratistas de Flextronics
  • Proveedores y/o prestadores de bienes y servicios
  • Terceros, incluso con fines de gestión de eventos;
  • Agencia gubernamental, tribunal y organismos encargados de hacer cumplir la ley según lo exige la ley.
  • Reclamantes, beneficiarios, cesionarios y beneficiarios
  • Adquirentes o compradores potenciales en relación con la enajenación de cualquier negocio o activo Flex

Países desde donde se exportan datos personales

En todo el mundo, incluidos Australia, Austria, Bermudas, Brasil, Islas Vírgenes Británicas, Canadá, Islas Caimán, Chile, China, Costa Rica, Curazao, República Checa, Dinamarca, Finlandia, Francia, Alemania, Hong Kong, Hungría, India, Indonesia, Irlanda. Israel, Italia, Japón, Labuan, Luxemburgo, Malasia, Mauricio, México, Países Bajos, Nueva Zelanda, Filipinas, Polonia, Rumania, Suiza, Suecia, Reino Unido, Singapur, España, Corea del Sur, Taiwán, Turquía, Ucrania y Estados Unidos. .

Países a los que se exportan datos personales

En todo el mundo, incluidos Australia, Austria, Bermudas, Brasil, Islas Vírgenes Británicas, Canadá, Islas Caimán, Chile, China, Costa Rica, Curazao, República Checa, Dinamarca, Finlandia, Francia, Alemania, Hong Kong, Hungría, India, Indonesia, Irlanda. Israel, Italia, Japón, Labuan, Luxemburgo, Malasia, Mauricio, México, Países Bajos, Nueva Zelanda, Filipinas, Polonia, Rumania, Suiza, Suecia, Reino Unido, Singapur, España, Corea del Sur, Taiwán, Turquía, Ucrania y Estados Unidos. .

Base para la transferencia posterior

Sobre la base del cumplimiento de una o más de las condiciones del Anexo A de las Normas de Privacidad de Datos.

Transferencias de otros Datos Personales

Prevención y persecución del delito

Fines de exportación o importación

  • Prevención del delito y asistencia a las autoridades y agencias apropiadas con la detección, aprehensión y enjuiciamiento de los delincuentes.
  • El monitoreo y recopilación de imágenes visuales con el fin de mantener la seguridad de las instalaciones Flex aplicables.
  • En respuesta a una solicitud legal de un tribunal o agencia gubernamental o para cumplir con la ley aplicable o un proceso obligatorio

Tipos de interesados

  • Clientes y clientes de Flex (incluidos clientes de nuestros clientes), contactos comerciales y proveedores
  • Asesores, consultores y otros expertos profesionales
  • Miembros del público
  • Personal del Flex, incluidos voluntarios, agentes y trabajadores temporales y ocasionales.
  • Quienes se encuentren dentro, entrando o en las inmediaciones del área bajo vigilancia

Categorías de datos personales

  • Detalles personales
  • Familia, estilo de vida y circunstancias sociales.
  • Detalles de educación y empleo.
  • Detalles financieros
  • Bienes o servicios proporcionados
  • Imágenes sonoras y/o visuales.

Tipo de Datos de Categoría Especial o datos relativos a condenas o delitos penales

  • Delitos, incluidos los presuntos delitos
  • Procedimientos penales, resultados y sentencias

Tipo de personas que tienen acceso a los Datos Personales

  • Los propios interesados
  • Socios comerciales y otros asesores profesionales;
  • Otros empleados y agentes de Flex
  • Otras empresas del Grupo Flex
  • Personas que presentan una consulta o queja
  • Agencia gubernamental, tribunal y organismos encargados de hacer cumplir la ley según lo exige la ley.
  • Proveedores y/o prestadores de bienes y servicios
  • Terceros que proporcionan servicios de seguridad y proveedores

Países desde donde se exportan datos personales

En todo el mundo, incluidos Australia, Austria, Bermudas, Brasil, Islas Vírgenes Británicas, Canadá, Islas Caimán, Chile, China, Costa Rica, Curazao, República Checa, Dinamarca, Finlandia, Francia, Alemania, Hong Kong, Hungría, India, Indonesia, Irlanda. Israel, Italia, Japón, Labuan, Luxemburgo, Malasia, Mauricio, México, Países Bajos, Nueva Zelanda, Filipinas, Polonia, Rumania, Suiza, Suecia, Reino Unido, Singapur, España, Corea del Sur, Taiwán, Turquía, Ucrania y Estados Unidos. .

Países a los que se exportan datos personales

En todo el mundo, incluidos Australia, Austria, Bermudas, Brasil, Islas Vírgenes Británicas, Canadá, Islas Caimán, Chile, China, Costa Rica, Curazao, República Checa, Dinamarca, Finlandia, Francia, Alemania, Hong Kong, Hungría, India, Indonesia, Irlanda. Israel, Italia, Japón, Labuan, Luxemburgo, Malasia, Mauricio, México, Países Bajos, Nueva Zelanda, Filipinas, Polonia, Rumania, Suiza, Suecia, Reino Unido, Singapur, España, Corea del Sur, Taiwán, Turquía, Ucrania y Estados Unidos. .

Base para la transferencia posterior

Sobre la base del cumplimiento de una o más de las condiciones del Anexo A de las Normas de Privacidad de Datos.

Accionistas gestores

Fines de exportación o importación

  • Decidir si se acepta a cualquier persona como accionista
  • Mantener registros y administrar compras de acciones u otras transacciones relevantes.
  • Para prevención o investigación de fraude, u otros fines de gestión de riesgos
  • A posibles compradores y para proteger los derechos o activos legales de Flex para facilitar la adquisición o disposición de negocios de Flex.
  • En respuesta a una solicitud legal de una agencia gubernamental, tribunal y organismo encargado de hacer cumplir la ley y para cumplir de otro modo con la ley aplicable o el proceso obligatorio

Tipos de interesados

Accionistas y contactos de accionistas

Categorías de datos personales

  • Datos personales, incluida la información de contacto.
  • Detalles financieros

Tipo de Datos de Categoría Especial o datos relativos a condenas o delitos penales

Ninguno

Tipo de personas que tienen acceso a los Datos Personales

Los datos personales son utilizados principalmente por los empleados de Flex, ya que son necesarios para cumplir con los requisitos laborales y administrar los beneficios para los accionistas. No obstante, los datos personales también podrán ser enviados a:

  • Los propios interesados
  • Socios comerciales y otros asesores profesionales;
  • Otros empleados y agentes de Flex
  • Otras empresas del Grupo Flex
  • Adquirentes o compradores potenciales en relación con enajenaciones de cualquier negocio o activo Flex
  • Agencia gubernamental, tribunal y organismos encargados de hacer cumplir la ley según lo exige la ley.
  • Defensores del pueblo y autoridades reguladoras

Países desde donde se exportan datos personales

En todo el mundo, incluidos Australia, Austria, Bermudas, Brasil, Islas Vírgenes Británicas, Canadá, Islas Caimán, Chile, China, Costa Rica, Curazao, República Checa, Dinamarca, Finlandia, Francia, Alemania, Hong Kong, Hungría, India, Indonesia, Irlanda. Israel, Italia, Japón, Labuan, Luxemburgo, Malasia, Mauricio, México, Países Bajos, Nueva Zelanda, Filipinas, Polonia, Rumania, Suiza, Suecia, Reino Unido, Singapur, España, Corea del Sur, Taiwán, Turquía, Ucrania y Estados Unidos. .

Países a los que se exportan datos personales

En todo el mundo, incluidos Australia, Austria, Bermudas, Brasil, Islas Vírgenes Británicas, Canadá, Islas Caimán, Chile, China, Costa Rica, Curazao, República Checa, Dinamarca, Finlandia, Francia, Alemania, Hong Kong, Hungría, India, Indonesia, Irlanda. Israel, Italia, Japón, Labuan, Luxemburgo, Malasia, Mauricio, México, Países Bajos, Nueva Zelanda, Filipinas, Polonia, Rumania, Suiza, Suecia, Reino Unido, Singapur, España, Corea del Sur, Taiwán, Turquía, Ucrania y Estados Unidos. .

Base para la transferencia posterior

Sobre la base del cumplimiento de una o más de las condiciones del Anexo A de las Normas de Privacidad de Datos.

ANEXO C — Política global de derechos de los interesados

1. INTRODUCCIÓN

1.1         Propósito de esta Política global de derechos de los interesados

(a) Flextronics (Flex) está comprometido con la privacidad y el respeto de los derechos de aquellos cuyos datos personales Flex recopila y utiliza. Apoyar la privacidad requiere que todos seamos conscientes de los derechos que tienen las personas sobre los datos que les pertenecen y que recopilamos o conservamos.

(b) Cada individuo cuyos datos personales conservamos y utilizamos tiene derechos con respecto a esos datos. Esto incluye empleados, contactos comerciales y usuarios del sitio web. Esta política es para permitirnos respetar esos derechos de acuerdo con nuestros Estándares de privacidad de datos.

(c) Los derechos individuales contenidos en esta Política reflejan los derechos descritos en los Estándares de Privacidad de Datos y en la Sección 7 de la Política y Reglas de Privacidad Global Flex.

(d) Flex respalda el derecho de las personas a ejercer sus derechos para proteger y verificar el uso correcto de sus datos personales. Flex responderá de manera rápida y útil si una persona nos hace una pregunta sobre los datos personales que Flex tiene sobre ellos. Flex facilitará que las personas ejerzan estos derechos y, cuando sea posible, proporcionará medios electrónicos para ejercerlos.

(e) Las personas pueden comunicarse con Flex verbalmente o por escrito para solicitar que Flex tome alguna medida en relación con sus datos personales. Las solicitudes deben remitirse al Oficial de Enlace de Privacidad de Datos local de su jurisdicción en primera instancia, o al Oficial de Privacidad de Datos Global, quien es el Oficial de Protección de Datos a los efectos de las leyes de protección de datos del Reino Unido y puede ser contactado en: protección de datos@flex.com o +43 1 602 4100 1737.

(f) Esta política explica cómo Flex identifica y responde a las solicitudes de personas relacionadas con sus datos.

(g) En general, Flex debe responder a las consultas dentro de un mes a partir de la recepción de la solicitud, por lo que es importante que las solicitudes se identifiquen y entreguen a las personas correctas dentro de Flex lo antes posible.

(h) Nuestros objetivos clave al manejar solicitudes de individuos son:

(i)            identificar la naturaleza de la solicitud lo antes posible;

(ii)           responder al individuo que realiza la solicitud de manera oportuna;

(iii)          trabajar con que la persona que realiza la solicitud comprenda su solicitud, sus inquietudes y cómo podemos ayudarlo; y

(v)          mantener registros claros con respecto a cada solicitud que recibimos y nuestra respuesta.

1.2         ¿Qué derechos tienen los individuos?

(a) Las personas físicas tienen derecho a realizar los siguientes tipos de solicitudes con respecto a los datos personales que Flex posee sobre ellas: 

(i)            Derecho de acceso (sujetos solicitudes de acceso) — el derecho a solicitar una copia de los datos personales que Flex tiene sobre el individuo e información de respaldo que explique cómo se utilizan los datos personales.

(ii)           Derecho de rectificación — el derecho a solicitar que rectifiquemos los datos personales inexactos que conciernen al individuo.

(iii)          Derecho de supresión (derecho al olvido) — el derecho, en algunas situaciones, a solicitar que Flex borre todos los datos personales relativos al individuo.

(v)          Derecho a restringir el procesamiento — el derecho, en algunas situaciones, a solicitar que Flex no utilice los datos personales del individuo que ha proporcionado (por ejemplo, si cree que son inexactos).

(v)           Derecho a la portabilidad de los datos — el derecho, en algunas situaciones, a solicitar que Flex transfiera los datos del individuo a ese individuo o a su nuevo proveedor en formato legible por máquina.

(vi)          Derecho a oponerse — el derecho a oponerse a determinado procesamiento de sus datos personales (a menos que Flex tenga motivos imperiosos para continuar con el procesamiento) y el derecho a oponerse al marketing directo/elaboración de perfiles.

(vii)         Derechos relacionados con la toma de decisiones automatizada — el derecho a no estar sujeto a la toma de decisiones automatizadas que afecten significativamente a un individuo (por ejemplo, determinada elaboración de perfiles).

(b) Flex responderá a las solicitudes enumeradas en 1.2(a) anterior de conformidad con el Anexo C 1.1(g). Sin embargo, en determinadas circunstancias, ese plazo podrá ampliarse otros dos meses, teniendo en cuenta la complejidad de la(s) solicitud(es) y el número de solicitudes presentadas. Si corresponde, el GDPO, en consulta con el Equipo Legal, tomará esta decisión y notificará al Interesado dentro de un mes desde la recepción de la solicitud, junto con los motivos del retraso. Cuando el Titular de los datos haya realizado la solicitud por medios electrónicos, la información se proporcionará por medios electrónicos cuando sea posible, a menos que el Titular de los datos solicite lo contrario.

2. FUNCIONES Y RESPONSABILIDADES

Titular de los datos: Una persona que tiene derecho a presentar una solicitud de derechos individuales/solicitud de derechos del interesado.

Oficial de enlace de privacidad de datos (DPLO): Responsable de escalar las solicitudes de derechos individuales para su jurisdicción y de las tareas establecidas en la Sección 6 de la Política y Reglas de Privacidad Global Flex. Informar a su responsable regional de privacidad de datos correspondiente.

Oficial Regional de Privacidad de Datos (RDPO): Responsable de las tareas establecidas en la Sección 6 de la Política y Reglas de Privacidad Global Flex y del cumplimiento de los Estándares de Privacidad de Datos. Reportar al Oficial Global de Privacidad de Datos.

Oficial Global de Privacidad de Datos (GDPO): También conocido como el Delegado de Protección de Datos (DPO) a los efectos de las leyes de protección de datos del Reino Unido. Responsable de las tareas establecidas en la Sección 6 de la Política y Reglas de Privacidad Global Flex y responsable de la red de Oficiales Regionales de Privacidad de Datos, Oficiales de Enlace de Privacidad de Datos, el desarrollo e implementación de los Estándares de Privacidad de Datos, respondiendo a las solicitudes de la Autoridad de Supervisión. y cooperar con la Autoridad de Supervisión. Podrá delegar tareas dentro de esta Política al RDPO.

3. IDENTIFICACIÓN DE SOLICITUDES DE DERECHOS INDIVIDUALES

(a) Identificar las solicitudes de personas con respecto a sus datos personales es crucial y requiere el apoyo de todos dentro de Flex.

(b) Es esencial que identifiquemos y notifiquemos a las personas relevantes dentro de Flex una vez que recibamos una solicitud de un individuo.

(c) Flex debe responder y abordar las solicitudes dentro del mes siguiente a su recepción. Por tanto, el Flex debe actuar con rapidez y eficacia.

3.1         Identificación de la solicitud de derechos individuales

(a) Es posible que las solicitudes relacionadas con datos personales no siempre sean completamente obvias o claras. Las solicitudes pueden hacer referencia a la ley de protección de datos, pero no es necesario que las solicitudes hagan referencia a ninguna ley para ser válidas.

(b) Escuchar y buscar palabras y frases clave para identificar si una determinada comunicación es una solicitud relativa a datos personales. Las siguientes palabras clave y frases son una lista no exhaustiva de indicadores:

(i) ¿Puede por favor darme/proporcionarme/enviarme toda la información personal que Flex tiene sobre mí?

(ii) ¿Estás usando mis datos/por qué estás usando mis datos/cómo estás usando mis datos/con quién estás compartiendo mis datos?

(iii) Tienes [dirección, fecha de nacimiento, apellido, sexo, etc.] incorrecto para mí, cámbialo a...

(iv) Eliminar/eliminar/purgar toda la información que tenga sobre mí.

(v) Deja de usar mi información, es contra la ley que la uses de esta manera / es inexacta / no necesitas usarla más / No quiero que la uses para…”

(vi) “Dame todos mis datos para…. “

(c) Flex, a través de sus Servicios Comerciales Globales (GBS), mantiene una dirección de correo electrónico dedicada para que los sujetos envíen solicitudes de derechos individuales. La dirección es datosprivacy@flextronics.com. Sin embargo, las solicitudes de derechos pueden realizarse por cualquier medio, por ejemplo, en persona, por teléfono, por correo electrónico, carta o fax. También es posible recibir más de un formulario de solicitud de derechos en una misma comunicación.

(d) Si identifica una solicitud como una que se refiere o puede estar relacionada con datos personales, informe inmediatamente al Oficial de Enlace de Privacidad de Datos (DPLO).

(e) Si no puede estar seguro de que la solicitud sea legítima o de que la persona que realiza la solicitud es quien dice ser, tome medidas de sentido común para verificarlo. Por ejemplo, llame a un número proporcionado por la persona para verificar que haya realizado la solicitud o pídale que envíe un correo electrónico desde una cuenta reconocida. Si aún no está seguro de la identidad de la persona que realiza la solicitud, comuníquese con el Oficial de Privacidad de Datos Global (GDPO) para determinar qué pasos adicionales se deben tomar.

4. INFORMAR Y RESPONDER A SOLICITUDES DE PARTICULARES

(a) Cuando reciba algo que parezca o pueda ser una solicitud relativa a datos personales, notifíquelo a la DPLO de inmediato. Hable con su superior inmediato o con el equipo jurídico si no conoce la identidad del DPLO o si no están disponibles.

(b) El GDPO trabajará con la DPLO para solicitar toda la información de la persona que reporta según sea necesario para identificar la naturaleza de la solicitud, por ejemplo, solicitar una copia del pasaporte de la persona y/o una factura de servicios públicos reciente.

(c) El GDPO determinará si la solicitud es válida o no con respecto a datos personales y se asegurará de que Flex haya acusado recibo de la solicitud a la persona correspondiente.

(d) También es posible que las solicitudes de derechos individuales también se puedan realizar a través de un tercero. A menudo será un abogado que actúe en nombre del individuo. En estos casos, Flex validará que el tercero haya sido autorizado a realizar una solicitud en nombre del particular. El tercero deberá aportar prueba de esta autorización. La prueba puede ser en formato escrito para otorgar al tercero la realización de dicha solicitud o también podría ser un poder general.  

(e) El GDPO identificará la categoría de la solicitud y responderá de acuerdo con el proceso relevante establecido a continuación y las obligaciones Flex según la ley de protección de datos. El GDPO trabajará con el apoyo de DPLO, RDPO, su superior inmediato, TI y el equipo legal al responder a las solicitudes.

(f) El GDPO revisará periódicamente el número total de solicitudes que se reciban y si dichas solicitudes han sido tratadas de acuerdo con esta política y, cuando corresponda, revisará cualquier problema subyacente que dé lugar a las solicitudes.

(g) Una vez que se haya identificado una solicitud de un individuo, el GDPO seguirá el proceso pertinente que se describe a continuación.

4.2         Derecho de Acceso (sujeto solicitud de acceso)

(a) Trabajará con el GDPO y el equipo de TI para avanzar en una solicitud de acceso organizando una búsqueda en todos nuestros sistemas relevantes de los datos personales apropiados (incluido el almacenamiento local, como unidades personales y compartidas), servidores de correo electrónico, copias de seguridad. Ubicaciones y aplicaciones de terceros en las que se almacenan datos personales en nuestro nombre y bajo nuestras instrucciones (por ejemplo, sistemas de recursos humanos, plataformas CRM, programas de contabilidad, etc.). Haga que la persona complete un formulario de solicitud de derechos individuales, si es posible. Copias de los formularios estarán disponibles en el Portal.

b) El proceso de búsqueda deberá iniciarse lo antes posible, ya que puede ser un ejercicio detallado y que requiere mucho tiempo.

(c) Se debe contactar a todos los equipos/departamentos relevantes para garantizar que se busquen todos los archivos, carpetas (ya sean electrónicos o en papel) y aplicaciones de terceros relevantes.

(d) Cuando se realiza una solicitud general de “toda la información en poder del Flex”, los criterios de búsqueda deben ser lo más amplios posible en primera instancia para identificar todos los documentos posibles relacionados con el individuo. Para ayudar, se deben utilizar criterios de búsqueda como el nombre de la persona, su dirección, sus iniciales, su alias, etc. Los datos personales del individuo pueden aparecer en cartas, memorandos, correos electrónicos, notas de archivos, libretas de direcciones electrónicas, etc., así como en nuestra base de datos de clientes o de Recursos Humanos y en los perfiles de los clientes.

(e) Al finalizar la búsqueda, trabajará con el GDPO (y el equipo Legal, si es necesario) para preparar y responder al individuo, proporcionando copias de los datos personales relevantes y la información asociada que el individuo tiene derecho legal a recibir.

(f) Todas las respuestas deben estar firmadas por el GDPO y contener la siguiente información:

(i) los fines del procesamiento;

(ii) las categorías de datos personales en cuestión;

(iii) los destinatarios o categorías de destinatarios a quienes se han divulgado o se divulgarán los datos personales, en particular destinatarios en países fuera del Reino Unido u organizaciones internacionales (e información sobre las salvaguardias apropiadas utilizadas para las transferencias internacionales, si corresponde);

(iv) cuando sea posible, el período previsto durante el cual se almacenarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período;

(v) la existencia del derecho a solicitar a Flex la rectificación o eliminación de datos personales o la restricción del procesamiento de datos personales relacionados con el interesado o a oponerse a dicho procesamiento;

(vi) el derecho a presentar una queja ante la Autoridad de Supervisión (el Comisionado de Información (ICO) del Reino Unido);

(vii) cuando los datos personales no se recopilan del interesado, cualquier información disponible sobre su fuente (por ejemplo, de terceros socios); y

(viii) la existencia de cualquier toma de decisiones automatizada, incluida la elaboración de perfiles, aplicada a cualquiera de sus datos, información sobre la lógica involucrada, así como la importancia y las consecuencias previstas de dicho procesamiento para el interesado. La divulgación de información sobre la elaboración de perfiles solo es necesaria cuando la elaboración de perfiles produce un efecto legal o de otro modo afectará significativamente al individuo relevante. por ejemplo, determina si un individuo consigue un trabajo o un ascenso; o determina el precio al que se les ofrece cualquier producto o servicio o se dirige a grupos de personas vulnerables.

(g) Si la solicitud de acceso del interesado se realiza en formato electrónico (por ejemplo, por correo electrónico), la información debe proporcionarse en un formato electrónico de uso común, por ejemplo, en PDF, Word o Excel (a menos que el interesado solicite lo contrario).

(h)           Exenciones:

(i) Flex no debe proporcionar datos al individuo si hacerlo afecta negativamente los derechos de otros (de todos modos se deben proporcionar datos relativos al individuo que no afecte a otros, como cuando los datos revelan información sobre terceros que podrían afectar negativamente a ellos).

(ii) Si Flex posee una gran cantidad de datos relacionados con el individuo, Flex puede pedirle que especifique la información o el uso de los datos con los que se relaciona su solicitud, pero Flex aún debe responder a la solicitud una vez que identifiquemos la información.

(iii) Flex no debe proporcionar información que esté sujeta a privilegio legal.

(i) Si el GDPO cree que se puede aplicar una exención, notificará al equipo Legal y se debe tomar una decisión conjuntamente entre el GDPO y el equipo Legal.

(j)            Momento

(i) Flex deberá proporcionar esta información a un particular sin demoras indebidas y, como máximo, en el plazo de un mes desde la recepción de la solicitud.

(ii) Si el GDPO, trabajando con el equipo Legal cuando sea necesario, determina que se aplica una exención, el GDPO deberá notificar a la persona que realiza la solicitud sin demora indebida y dentro de un mes con una explicación de las razones por las cuales Flex no cumplirá con sus pedido.

(k)           Mantenimiento de registros

(i) El equipo de HR Global Business Services mantendrá registros completos del proceso y la respuesta a cada solicitud.

4.3         Derecho de rectificación

(a) Trabajará con el GDPO y el equipo de TI para localizar los datos que el individuo afirma que son incorrectos y, si las circunstancias son las descritas por el individuo, corregirá los datos en todos nuestros archivos y sistemas donde están almacenados.

(b) Si la persona solicita que se completen datos incompletos, usted trabajará con el GDPO y el equipo de TI para completar los datos. Esto incluye permitir al individuo realizar una declaración complementaria para completar los datos.

(c) Trabajará con el GDPO para informar a la persona que la información ha sido corregida/completada lo antes posible.

(d)           Periodo de tiempo

(i) Flex deberá rectificar/completar la información en cuestión sin demoras indebidas y dentro del plazo de un mes desde la recepción de la solicitud, a más tardar.

(mi)           Mantenimiento de registros

(i) El equipo de HR Global Business Services mantendrá registros completos del proceso y la respuesta a cada solicitud.

4.4         Derecho de supresión (el derecho al olvido)

(a) Este derecho solo está disponible en determinadas circunstancias (que se establecen a continuación). El GDPO primero evaluará si la persona realmente tiene este derecho antes de ponerse en contacto con el equipo de Sistemas de Información de Recursos Humanos para llevar a cabo la eliminación.

(b)           Este derecho sólo se aplica cuando:

(i) los datos ya no son necesarios para la finalidad para la que fueron recogidos o tratados;

(ii) el individuo retira su consentimiento para el procesamiento (y no existe otra justificación para el procesamiento);

(iii) el individuo se opone al uso de sus datos por parte de Flex y Flex no puede demostrar que existen motivos legítimos imperiosos para el procesamiento;

(iv) Flex haya utilizado sus datos de forma ilícita; o

(v) los datos deben eliminarse para cumplir con la ley.

(c) Si el GDPO concluye que este derecho se aplica, esta conclusión se remitirá al equipo Legal para su revisión. Si el equipo Legal y el GDPO acuerdan que se aplica el derecho, el equipo de TI ayudará a eliminar los datos relevantes de nuestros sistemas (y de cualquier sistema de terceros en el que se almacenen los datos del individuo (por ejemplo, proveedores de alojamiento de TI, proveedores de bases de datos, etc.).

(d) Si Flex ha hecho públicos los datos, también es necesario informar a otras personas que puedan estar utilizando esos datos (por ejemplo, socios, sitios de redes sociales vinculados, etc.) que la persona ha solicitado que se eliminen sus datos. Flex tomará medidas razonables para lograrlo (teniendo en cuenta la tecnología disponible y el costo de implementación). El GDPO, trabajando con el equipo Legal cuando sea necesario, decidirá cuáles son estos pasos razonables.

(mi)           Exenciones

(i) Flex no está obligado a cumplir con una solicitud de eliminación de datos si el procesamiento de los datos es necesario:

(A) ejercer la libertad de expresión e información;

(B) para cumplir con la ley;

(C) por razones de salud pública;

(D) para fines de archivo en interés público

(E) fines de investigación científica o histórica o fines estadísticos; o

(F) si es necesario en relación con reclamaciones legales;

(ii) Flex tampoco está obligado a cumplir si la solicitud es manifiestamente infundada o excesiva (en particular, cuando la misma persona ha presentado la misma solicitud en múltiples ocasiones).

(iii) Si el GDPO cree que se puede aplicar una exención, notificará al equipo Legal y se tomará una decisión conjuntamente entre el GDPO y el equipo Legal.

(F)           Periodo de tiempo

(i) Flex deberá borrar esta información sin dilación indebida y, como máximo, en el plazo de un mes desde la recepción de la solicitud.

(ii) Si el GDPO, trabajando con el equipo Legal cuando sea necesario, determina que se aplica una exención, el GDPO deberá notificar a la persona que realiza la solicitud sin demora indebida y dentro de un mes con una explicación de las razones por las cuales Flex no cumplirá con sus pedido.

(gramo)           Mantenimiento de registros

(i) El equipo de HR Global Business Services mantendrá registros completos del proceso y la respuesta a cada solicitud.

4.5         Derecho a restringir el procesamiento

(a) Un individuo puede solicitar que Flex restrinja el procesamiento de sus datos personales en determinadas circunstancias.

(b) Este derecho sólo se aplica cuando:

(i) el individuo cuestiona la exactitud de los datos que posee Flex;

(ii) el individuo se opone al procesamiento y Flex está determinando si existen motivos legítimos para continuar procesando sus datos personales;

(iii) el procesamiento es ilegal pero el individuo se opone a la supresión y solicita en su lugar su restricción;

(iv) Flex ya no necesita los datos, pero el individuo los requiere en relación con un reclamo legal.

(c) En cada uno de los escenarios descritos anteriormente, se puede exigir al Flex que restrinja el uso de los datos hasta que se resuelva la situación; sin embargo, el Flex puede seguir almacenando los datos. Este derecho pretende ser sólo una medida temporal.

(d) Cuando los datos están restringidos, Flex solo puede almacenar los datos. De lo contrario, no debe utilizarse a menos que:

(i) el individuo consiente;

(ii) su uso es necesario en relación con un reclamo legal; o

(iii) se requiere por razones de interés público.

(e) El GDPO evaluará si el derecho se aplica y, si es así, trabajará con el equipo de TI para restringir el procesamiento de los datos relevantes.

(f) Cuando los datos en cuestión se procesan normalmente de forma automática, el RGPD instruirá al equipo de TI para que adopte medidas para aislar o bloquear los datos en cuestión.

(g) El GDPO trabajará con la Unidad de Negocios que procesa los datos personales para garantizar que todo el personal relevante esté al tanto de las restricciones vigentes.

(h) El GDPO, trabajando con el equipo Legal cuando sea necesario, puede determinar que la restricción ya no se aplica porque ya no se pueden cumplir los requisitos anteriores. Antes de permitir el procesamiento ilimitado de los datos, el RGPD debe informar primero al interesado.

(i)            Periodo de tiempo

(i) Flex deberá responder a una solicitud de restricción del procesamiento sin demoras indebidas y, en cualquier caso, dentro del mes siguiente a la recepción de la solicitud.

(j)           Mantenimiento de registros

(i) El equipo de HR Global Business Services mantendrá registros completos del proceso y la respuesta a cada solicitud.

4.6         Derecho a la portabilidad de los datos

(a) Un individuo puede solicitar que transfiramos ciertos datos que tenemos sobre él al individuo o a otra entidad.

(b) Este derecho sólo se aplica:

(i) a los datos que el individuo ha proporcionado a Flex (y por lo tanto no se aplica a los datos que Flex ha creado sobre el individuo). Sin embargo, la información sobre cómo un individuo utiliza un producto, servicio o dispositivo se considerará “proporcionada por” el individuo;

(ii) cuando el procesamiento de los datos relevantes se basó en el consentimiento del individuo o en un contrato con el individuo; y

(iii) el tratamiento se realiza por medios automatizados.

(c) Si se aplica el derecho, Flex debe proporcionar los datos relevantes al individuo en una forma estructurada, de uso común y legible por máquina. Esto significa una hoja de cálculo de Excel, un documento de Word u otro archivo de texto común.

(d) Este derecho tiene por objeto permitir que la información sea utilizada por un tercero proveedor, por lo que va más allá del derecho de acceso.

(e) Si el individuo solicita que sus datos sean transferidos directamente a otra entidad, Flex deberá hacerlo cuando sea técnicamente factible.

(F)            Exención

(i) Flex no tiene que transferir los datos si hacerlo afectaría negativamente los derechos de otras personas. Esto se aplicaría cuando la información que se "transmitirá" incluye información sobre terceros si esa información se utilizará para diferentes propósitos;

(ii) Flex no tiene que transferir los datos si ello resultara en la infracción de nuestros derechos de propiedad intelectual o la revelación de nuestros secretos comerciales. Sin embargo, si la información puede divulgarse sin interferir con estos derechos, debe divulgarse de esa manera.

(g) Si el GDPO cree que se puede aplicar una exención, notificará al equipo Legal y se tomará una decisión conjuntamente entre el GDPO y el equipo Legal.

(h)           Periodo de tiempo

(i) Flex deberá trasladar esta información a un particular u otra empresa sin demoras indebidas y, como máximo, en el plazo de un mes desde la recepción de la solicitud.

(ii) Si el DPO, trabajando con el equipo Legal cuando sea necesario, determina que se aplica una exención, el GDPO notificará a la persona que realiza la solicitud sin demora indebida y dentro de un mes con una explicación de las razones por las cuales Flex no cumplirá con sus pedido.

(j)           Mantenimiento de registros

(i) El equipo de HR Global Business Services mantendrá registros completos del proceso y la respuesta a cada solicitud.

4.7         Derecho de oposición (incluido el marketing directo)

(a) Una persona puede informarnos que se opone a que procesemos sus datos personales.

(b) Este derecho solo se aplica cuando Flex procesa los datos personales del individuo sobre la base de sus intereses legítimos o los de un tercero (en lugar de haber obtenido el consentimiento para dicho procesamiento o que dicho procesamiento sea necesario para proporcionar los productos o servicios solicitados al individuo). y Flex no puede demostrar que dichos intereses legítimos prevalezcan sobre los propios derechos del individuo, o que el procesamiento sea necesario para los derechos legales de Flex.

(c) El GDPO, junto con el equipo Legal (si es necesario), evaluará si Flex (o un tercero relevante) tiene intereses legítimos continuos que prevalezcan sobre los derechos y libertades del individuo, tomando en consideración cualquier circunstancia específica, que Flex conoce, en relación con ese individuo.

(d) Si el GDPO y el equipo Legal determinan que Flex (o el tercero) no tiene intereses legítimos prevalecientes continuos, Flex dejará de procesar los datos personales de esa persona. Los datos personales se eliminarán de los sistemas Flex (y de sistemas de terceros).

(e) Por separado, una persona puede solicitar que Flex deje de utilizar sus datos personales para marketing directo, incluso para cualquier elaboración de perfiles que Flex realice en relación con dicho marketing.

(f) Al recibir una solicitud para dejar de usar datos personales para marketing directo, el GDPO informará a los equipos operativos y de marketing pertinentes, quienes dejarán de usar los datos personales del individuo para marketing lo antes posible y dejarán de enviar cualquier marketing a ese individuo. . También debe cesar toda elaboración de perfiles de esa persona realizada en relación con el marketing. 

(gramo)           Periodo de tiempo

(i) Debemos responder a dichas solicitudes y, en su caso, cesar el procesamiento correspondiente sin demoras indebidas y dentro del mes siguiente a la recepción de la solicitud.

(h)           Mantenimiento de registros

(i) El equipo de HR Global Business Services mantendrá registros completos del proceso y la respuesta a cada solicitud.

4.8         Derechos donde se produce la toma de decisiones automatizada

(a) Este derecho se aplica cuando Flex utiliza únicamente medios automatizados para tomar una decisión que afecta significativamente a un individuo. Esto podría incluir decisiones sobre empleo o promoción basadas únicamente en pruebas de aptitud o la introducción de pruebas psicométricas. También podría aplicarse cuando generamos mensajes dirigidos a usuarios que ajustan el precio para el individuo o explotan específicamente a grupos vulnerables.

(b) Una persona puede informar a Flex que se opone a que tomemos una decisión importante sobre él basada únicamente en el procesamiento automatizado.

(c) Cuando se reciba dicha solicitud, el GDPO, junto con el equipo jurídico, evaluará si se aplica una exención.

d) Exenciones

(i) La decisión automatizada es necesaria para celebrar o ejecutar un contrato con el individuo.

(ii) La decisión automatizada está autorizada por la ley del Reino Unido.

(iii) Flex tendrá el consentimiento explícito del individuo para tomar tal decisión.

(e) Si dicha exención no se aplica, Flex no tomará dicha decisión basándose únicamente en medios automatizados. En cambio, cualquier decisión de este tipo será reconsiderada por un miembro apropiado del equipo/Unidad de Negocio correspondiente.

(f) Cuando se aplique una exención, Flex podrá continuar con dicha decisión pero deberá:

(i) garantizar que la información utilizada para elaborar dicha información sea precisa y esté actualizada;

(ii) considerar si es razonable tomar la decisión sin utilizar medios automatizados;

(iii) permitir la intervención humana en el proceso de toma de decisiones cuando lo solicite el individuo; y

(iv) considerar cualquier objeción a la decisión planteada por el individuo tan pronto como sea razonablemente posible e, idealmente, dentro del mismo período de un mes en el que se requiere la respuesta inicial.

(gramo)           Periodo de tiempo

(i) Debemos responder a dichas solicitudes y, en su caso, cesar el procesamiento correspondiente sin demoras indebidas y dentro del mes siguiente a la recepción de la solicitud.

(h)           Mantenimiento de registros

(i) El equipo de HR Global Business Services mantendrá registros completos del proceso y la respuesta a cada solicitud.

ANEXO D — Procedimiento global de presentación y manejo de quejas sobre privacidad de datos

1. INTRODUCCIÓN, OBJETIVO Y DEFINICIONES

1.1         Introducción

(a) Flextronics (Flex) está comprometido con la privacidad de los datos y el procesamiento justo de los Datos personales, lo que incluye permitir a las personas ejercer los derechos con respecto a sus Datos personales a los que tienen derecho según nuestros Estándares de privacidad de datos y las leyes locales de privacidad de datos aplicables.

(b) Muchos regímenes de privacidad (incluidas las leyes de privacidad del Reino Unido) a menudo otorgan a las personas ciertos derechos con respecto a la recopilación y el procesamiento de sus Datos personales por parte de las organizaciones. Flex se compromete a respetar y permitir que las personas ejerzan estos derechos, según lo establecido en nuestros Estándares de privacidad de datos y la Política global de derechos de los interesados.

(c) Un Sujeto de Datos tiene derecho a presentar una Queja de Privacidad de Datos relacionada con cualquier procesamiento de sus Datos Personales por parte de Flex o una entidad de Flex.

1.2         Propósito de la Política

(a) El objetivo de esta política es establecer el procedimiento que deberán seguir:

(i) Personas (Sujetos de datos) que presentan una Queja de Privacidad de Datos; y

(ii) Flex cuando se recibe una Reclamación de Privacidad de Datos. 

1.3         Definiciones

(a)           Quejas de privacidad de datos: Una queja o inquietud sobre cuestiones de privacidad de datos presentada contra una persona o entidad, incluida una queja de que Flex o una entidad Flex específica no cumple con los Estándares de privacidad de datos, cualquier política de Flex relacionada con la privacidad de datos o las leyes de privacidad de datos aplicables.

(b)           Contacto de negocio: Un contacto comercial con cualquier cliente, inversor subyacente, accionista, proveedor, socio o vendedor.

(C)           Sujeto de datos: Todas las personas cuyos Datos personales son procesados por una o más entidades Flex, incluidos empleados actuales y anteriores, contactos comerciales y cualquier otro interesado. Un Sujeto de Datos tiene derecho a presentar una Queja de Privacidad de Datos relacionada con cualquier procesamiento de sus Datos Personales por parte de Flex o una entidad de Flex.

(d)           Información personal: Información relativa a una persona identificada o identificable que puede identificarse, directa o indirectamente, en particular mediante referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos del entorno físico, identidad fisiológica, genética, mental, económica, cultural o social de esa persona natural. Los ejemplos incluyen, entre otros:

(i) nombre, dirección, Número de Identificación Fiscal, Número de Seguro Social, Número de Identidad Nacional, fecha de nacimiento, números de cuentas personales, números de tarjetas de crédito/débito, nombres de usuarios de banca en línea (usados o no junto con contraseñas);

(ii) datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas, condición de miembro de un sindicato, salud o condición física o mental, vida sexual e antecedentes penales.

2. FUNCIONES Y RESPONSABILIDADES

Titular de los datos: Una persona que tiene derecho a presentar una Reclamación de Privacidad de Datos.

Oficial de enlace de privacidad de datos (DPLO): Responsable de elevar todas las quejas de privacidad de datos al GDPO y las tareas establecidas en la Sección 6 de la Política y reglas de privacidad global Flex. Informar a su responsable regional de privacidad de datos correspondiente.

Oficial Regional de Privacidad de Datos (RDPO): Responsable de las tareas establecidas en la Sección 6 de la Política y Reglas de Privacidad Global Flex y del cumplimiento de los Estándares de Privacidad de Datos. Reportar al Oficial Global de Privacidad de Datos.

Oficial Global de Privacidad de Datos (GDPO): El Delegado de Protección de Datos (DPO) a los efectos de las leyes de protección de datos del Reino Unido. Responsable de las tareas establecidas en la Sección 6 de la Política y Reglas de Privacidad Global Flex y responsable de la red de Oficiales Regionales de Privacidad de Datos, Oficiales de Enlace de Privacidad de Datos, el desarrollo e implementación de los Estándares de Privacidad de Datos, respondiendo a las solicitudes de la Autoridad de Supervisión. y cooperar con la Autoridad de Supervisión. Podrá delegar tareas dentro de esta Política al RDPO.

3. RECIBO DE UNA DENUNCIA DE PRIVACIDAD DE DATOS

3.1         Un Sujeto de Datos puede presentar una Queja de Privacidad de Datos comunicándose con HR Global Business Services (GBS) y el Oficial de Privacidad de Datos Global a través de la siguiente dirección de correo electrónico: protección de datos@flex.com.

3.2         Flex, a través de sus Servicios Comerciales Globales (GBS), mantiene la dirección de correo electrónico dedicada anteriormente para que los sujetos presenten Quejas de Privacidad de Datos. Sin embargo, las quejas sobre privacidad de datos se pueden presentar por cualquier medio, por ejemplo, en persona, por teléfono, por correo electrónico, carta o fax. Flex pondrá a disposición formularios de quejas modelo para ayudar a los interesados y habrá copias de los formularios disponibles en el sitio web de Flex y en el portal de privacidad de datos.

3.3         Sin perjuicio de lo anterior, si un Interesado presenta una Reclamación de Privacidad de Datos a través de cualquier otro medio escrito o verbal, un miembro del personal que reciba dicha Reclamación de Privacidad de Datos enviará inmediatamente esa Reclamación de Privacidad de Datos al Oficial Global de Privacidad de Datos utilizando la dirección de correo electrónico anterior. .

4. PLAZOS DE TRATAMIENTO DE QUEJAS

El siguiente plazo se aplicará a las quejas de privacidad de datos manejadas según este Procedimiento.

Nombre

Periodo de tiempo

Descripción

Acuse de recibo de la queja

Dentro de los siete (7) días

Flex para acusar recibo de cada Reclamación de privacidad de datos por correo electrónico dentro de los siete (7) días posteriores a su recepción.

Solicitar más información

Dentro de catorce (14) días

Si el Titular de los datos no proporciona suficiente información, el Oficial Global de Privacidad de Datos puede solicitar, dentro de los catorce (14) días posteriores a la recepción de la Reclamación de Privacidad de Datos, más información sobre la queja.

Toma una decision

Sin demoras indebidas y en cualquier caso dentro de un (1) mes

El Oficial Global de Privacidad de Datos considerará la Reclamación de Privacidad de Datos y cualquier información complementaria proporcionada. El GDPO tomará una decisión sin demoras indebidas y, en cualquier caso, dentro de un (1) mes desde la recepción de la denuncia.

Si se producen retrasos en los plazos previstos para la respuesta, el RGPD mantendrá informado al Titular en todas las etapas del proceso.

Si la denuncia es compleja o existen numerosas denuncias

Dentro de tres (3) meses

Teniendo en cuenta la complejidad y el número de Reclamaciones sobre Privacidad de Datos, el plazo de un mes para tomar una decisión podrá ampliarse como máximo dos meses más. La decisión se tomará sin dilación indebida y en todo caso dentro de los tres (3) meses siguientes a la fecha de recepción de la denuncia.

El GDPO debe informar al interesado de esto por escrito dentro de un (1) mes después de la recepción de la queja.

Si se producen retrasos en los plazos previstos para la respuesta, el RGPD mantendrá informado al Titular en todas las etapas del proceso.

4.1         La decisión del Oficial Global de Privacidad de Datos se tomará por escrito.

4.2         La decisión del Oficial Global de Privacidad de Datos contendrá al menos la siguiente información:

(a) una descripción de la Reclamación de Privacidad de Datos,

(b) una descripción de la(s) respuesta(s) del demandado, si corresponde, a la Reclamación de Privacidad de Datos;

(c) y una declaración de los hallazgos y conclusiones del Oficial de Privacidad de Datos Global.

4.3         El Oficial Global de Privacidad de Datos se encargará de enviar una copia de la decisión al reclamante dentro de los tres días hábiles siguientes a la fecha de la decisión.

5. CONSECUENCIAS DE LA DECISIÓN

5.1         En caso de que se confirme la Reclamación de Privacidad de Datos, el Oficial Global de Privacidad de Datos tomará las medidas adecuadas en consulta con el Equipo Legal, incluida cualquier compensación que se deba pagar al Interesado por daños materiales o no materiales. donde corresponda.

5.2         En caso de que se rechace el Reclamo de Privacidad de Datos, o se confirme el Reclamo de Privacidad de Datos pero el Titular de los Datos no esté satisfecho con la respuesta propuesta, el Titular de los Datos tendrá derecho a cualquiera de los siguientes:

(a) plantear el asunto ante la Oficina del Comisionado de Información;

(b) plantear la cuestión ante los tribunales de la jurisdicción de Inglaterra y Gales.

6. ESCALADA DE QUEJAS

6.1         Cuando se determina que una queja de privacidad de datos podría representar un riesgo para Flex o es significativa de otro modo, es posible que sea necesario derivarla al Director de Cumplimiento.

7. MANTENIMIENTO DE REGISTROS

7.1         Toda la documentación relevante en relación con este procedimiento debe ser registrada y mantenida por GBS.

7.2         Los registros de Reclamo de Privacidad de Datos deberán incluir una copia del Reclamo de Privacidad de Datos y todas las comunicaciones y respuestas deben conservarse.

8. CUMPLIMIENTO Y AUDITORÍA

8.1         Este procedimiento está sujeto a un monitoreo periódico basado en riesgos por parte de la red de privacidad de datos y el equipo de cumplimiento de Flex para garantizar que sea efectivo y siga siendo adecuado para su propósito. Además, también puede estar sujeto a una revisión independiente por parte del equipo de auditoría interna del Flex.

9. EFECTO DE OTRAS LEYES APLICABLES

9.1         Si el Reclamo de privacidad de datos se refiere al comportamiento o conducta de otra persona específicamente identificada, el Reclamo de privacidad de datos se manejará de acuerdo con cualquier derecho que dicho individuo pueda tener según la ley local aplicable, incluido (si corresponde) el derecho de ese individuo a presentar una respuesta a la Reclamación de Privacidad de Datos.

10. ENTRENAMIENTO

10.1       Los funcionarios regionales de privacidad de datos y los funcionarios de enlace de privacidad de datos brindarán capacitación al personal relevante sobre los procedimientos establecidos en este documento. Los Oficiales Regionales de Privacidad de Datos y los Oficiales de Enlace de Privacidad de Datos pueden capacitar a las Unidades de Negocios o al departamento de GBS para identificar problemas comunes que surjan en relación con el manejo de Quejas de Privacidad de Datos.

11. INFORMACIÓN ADMINISTRATIVA

(a) Cualquier pregunta relacionada con la interpretación y aplicación de esta política debe dirigirse al Oficial de Privacidad de Datos Global en protección de datos@flex.com.

(b) En caso de cualquier inconsistencia entre la orientación proporcionada en esta política y los Estándares de Privacidad de Datos o cualquier otro estándar, política o procedimiento, consulte con el Oficial de Privacidad de Datos Global.