Aviso de protección de datos
Nos importa la protección de sus datos personales, y nuestros procesos comerciales están diseñados para tener esto en cuenta. Procesamos los datos (personales) que usted nos facilite dentro del contexto de un mensaje de manera estrictamente confidencial y exclusivamente de conformidad con las disposiciones legales.
A continuación, nos gustaría informarle acerca de la recopilación, el tratamiento y el uso de datos personales en el contexto del sistema de denuncias. Por favor, antes de enviar un mensaje lea detenidamente la siguiente información sobre privacidad.
1 Responsable del tratamiento
El responsable del tratamiento para el sistema de denuncias (BKMS® System, accesible en https://www.bkms-system.net/voestalpine), de conformidad con el Reglamento General de Protección de Datos 1 («RGPD») es
1. voestalpine AG
voestalpine-Straße 1
4020 Linz, Austria
Correo electrónico: group-dataprotection@voestalpine.com
2. sus filiales
(consulte los datos de contacto actuales en https://www.voestalpine.com/locations)
como responsables del tratamiento independientes (en lo sucesivo, «voestalpine» o «nosotros»)
1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que revoca la Directiva 95/46/CE (Reglamento General de Protección de Datos).
2 Propósito y base legal del sistema de denuncias
El sistema de denuncias (BKMS® System) tiene por objetivo recibir y procesar mediante un canal seguro y confidencial mensajes sobre (presuntas) infracciones de la ley o de las normas de cumplimiento de voestalpine. El tratamiento de los datos (personales) compartidos por usted en el contexto del BKMS® System sirve para detectar y evitar las malas prácticas y para prevenir los daños asociados, no solamente para el Grupo voestalpine sino también para nuestros empleados y clientes. La base legal para este tratamiento de datos (personales) es el artículo 6, párrafo 1, punto f del RGPD (intereses legítimos del responsable del tratamiento en detectar y evitar las malas prácticas y prevenir los daños asociados, no solamente para el Grupo voestalpine sino también para nuestros empleados y clientes). Además, el tratamiento de datos presenta un importante interés público (art. 6, párr. 1, punto e del RGPD) para evitar y detectar delitos a través de la información recibida y para impedir que se cometan delitos por medio de la existencia de sistemas de denuncias. Para aquellas filiales para las cuales un sistema de denuncias es obligatorio, con arreglo a la Directiva sobre denuncias y sus leyes de implementación a nivel nacional, el art. 6, párr. 1, punto c del RGPD (cumplimiento de una obligación legal) también debe usarse como base legal.
Le pedimos que no incluya en su mensaje ninguna categoría especial de datos personales (como, por ejemplo, datos que indiquen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como datos genéticos, datos biométricos, datos de salud o datos relativos a la actividad o la orientación sexual de una persona física). En la medida en que, a pesar de ello, usted comparta dichos datos, la base legal de este tratamiento será el artículo 9, párrafo 2, punto f del RGPD (formulación, ejercicio o defensa de reclamaciones legales).
Los datos relativos a resoluciones judiciales de derecho penal y actos delictivos o medidas de seguridad asociadas tan solo se procesan en la medida en que esto se permita con arreglo a las leyes de la Unión Europea o los Estados miembros, que ofrecen garantías adecuadas para los derechos y libertades de las personas involucradas.
3 Uso del sistema de denuncias y tipo de datos personales recopilados
3.1 Tipos de datos personales procesados
El uso del sistema de denuncias es voluntario. Si envía un mensaje por medio del sistema de denuncias, procesaremos los siguientes datos personales y la información relativa a las personas involucradas indicada a continuación, que usted nos proporciona voluntariamente en el contexto de su mensaje:
Alertador/remitente del mensaje: - Su nombre, si ha decidido revelar (voluntariamente) su identidad
- Si es usted empleado de la empresa en cuestión
- Qué relación tiene usted con la empresa en cuestión
- Denominación y breve descripción de la situación
- Otros datos personales relativos a usted y a las personas nombradas en el mensaje que usted proporciona voluntariamente en el contexto de su mensaje
En el transcurso del tratamiento es posible que también le pidamos que nos proporcione datos adicionales que nos asistan en el procesamiento de su mensaje. Compartir información es algo que se realiza siempre con carácter voluntario. Estos datos pertenecen a las siguientes categorías:
- Información de contacto privada y profesional (p. ej., nombre, número de teléfono, dirección de correo electrónico, dirección)
- Fecha de nacimiento
- Relación con voestalpine (p. ej., proveedor, empleado, cliente, socio comercial)
- Datos de empleados de los empleados de voestalpine
- Otros datos personales que nos asistan en el procesamiento del caso concreto y que usted comparta voluntariamente
Otras partes afectadas que el alertador ha nombrado en el mensaje (p. ej., personas acusadas, testigos, personas con información): - Nombre y otros datos personales que el alertador ha compartido en el contexto del mensaje
Proporcionar respuestas completas a las preguntas planteadas en el contexto de su mensaje nos ayuda a procesar el mensaje. Tenga en cuenta que, en la medida en que los datos (personales) descritos no sean proporcionados, no lo sean en la medida necesaria o si no logramos recopilar dichos datos, es posible que no podamos procesar su mensaje o que el procesamiento de este sufra retrasos.
3.2 Uso del portal de denuncias
La comunicación entre su dispositivo (PC, tablet, teléfono móvil, etc.) y el sistema de denuncias se realiza por medio de una conexión cifrada (SSL). Su dirección IP no se guardará cuando utilice el sistema de denuncias. Para mantener la conexión entre su dispositivo y el BKMS® System, en su dispositivo se guardará una cookie que solamente contiene el identificador de la sesión (denominada «cookie de sesión»). Esta cookie solamente será válida hasta que usted finalice la sesión, y expirará cuando cierre el navegador.
Cualquier información recibida será procesada por el Comité de Denuncias de voestalpine AG por norma general o, en casos concretos, directamente por la filial en cuestión, y siempre será tratada de manera confidencial.
4 Transferencia y difusión posterior
En el contexto del procesamiento de un mensaje, es necesario compartir un mensaje en su totalidad o en parte con los empleados de voestalpine AG responsables del procesamiento, los departamentos competentes respectivos y aquellas filiales involucradas en el asunto del mensaje, así como con consultores externos en algunos casos (p. ej., abogados, auditores, intérpretes/traductores o expertos forenses que investigan su mensaje en nombre de voestalpine).
En este contexto, voestalpine AG y las empresas del Grupo respectivamente afectadas tienen un interés legítimo en la transferencia y el tratamiento de los datos por parte de voestalpine AG en lo que respecta al procesamiento del caso, puesto que las posibles infracciones a menudo no se aclaran ni descartan, o no lo suficiente, a nivel local y por ello requieren revisión e intervención por parte de la empresa matriz del Grupo. Por esos motivos, la empresa del Grupo en cuestión tiene un interés legítimo en el tratamiento de los datos y en su transferencia a voestalpine AG, y voestalpine AG tiene un interés legítimo en recibir y procesar posteriormente los datos utilizando el BKMS® System.
Su información tan solo se facilitará a aquellas personas que la necesiten urgentemente para procesar el mensaje. Al compartir mensajes, siempre garantizamos que se cumplan las normativas aplicables de protección de datos. Todas aquellas personas que reciban acceso a los datos estarán obligadas a mantener la confidencialidad.
Además, es posible que se compartan datos con otras partes competentes (p. ej., autoridades públicas), en la medida en que estemos obligados a ello en virtud de disposiciones legales o decisiones de obligado cumplimiento dictadas por autoridades públicas o tribunales.
4.1 Encargados del tratamiento
El sistema de denuncias está gestionado por una empresa especializada, EQS Group GmbH, Bayreuther Str. 35, 10789, Berlín, Alemania, en nombre de voestalpine.
voestalpine AG actúa como encargado del tratamiento a efectos del art. 28 del RGPD en lo relativo al uso del BKMS® System y el respaldo de primer nivel para las empresas del Grupo.
Los datos personales y la información introducidos en el sistema de denuncia de irregularidades se almacenan en una base de datos de un centro de datos de alta seguridad gestionado por EQS Group GmbH. Tan solo voestalpine tiene acceso a los datos. EQS Group GmbH y otras terceras partes no tienen acceso a los datos. Esto se garantiza en el procedimiento certificado a través de medidas técnicas y organizativas exhaustivas. Todos los datos se almacenan cifrados con varios niveles de protección por contraseña, de manera que el acceso esté restringido a un grupo muy pequeño de personas de voestalpine expresamente autorizadas (ver más arriba en «Transferencia y difusión posterior»). El vídeo del producto en la página web de EQS Group GmbH (www.eqs.bkms-system.com) ofrece una explicación breve y concisa del funcionamiento del BKMS® System.
4.2 Difusión a destinatarios fuera de la UE o el EEE
Los destinatarios descritos en esta sección 4 pueden estar situados en países fuera de la Unión Europea («terceros países»), en los cuales la legislación aplicable no garantiza el mismo nivel de protección de datos que en su país de origen. En ese caso, cualquier transmisión conforme a los requisitos legales tan solo se llevará a cabo si existe una decisión de adecuación de la Comisión Europea para el tercer país, si se han acordado las garantías adecuadas con el destinatario (p. ej., cláusulas contractuales estándar de la UE), si el destinatario participa en un sistema de certificación aprobado, si existen normas corporativas vinculantes de acuerdo con el artículo 47 del RGPD o si hay una derogación para situaciones específicas de acuerdo con el artículo 49 del RGPD (p. ej., si la transferencia se requiere para la formulación, ejercicio o defensa de reclamaciones legales). Puede solicitarnos una presentación general relativa a los destinatarios en terceros países y una copia de las normas específicamente acordadas para garantizar un nivel adecuado de protección de datos. Para solicitarla, le rogamos que utilice la información proporcionada en la sección Contacto.
5 Plazo de conservación, periodos de retención
Los datos personales se conservarán el tiempo que sea necesario para esclarecer la situación y realizar una evaluación concluyente, o mientras sea obligatorio por ley o exista un interés legítimo por parte de la empresa. Más adelante, los datos se borrarán o se anonimizarán de conformidad con los requisitos legales.
6 Derechos de los interesados
De acuerdo con la legislación europea de protección de datos, usted, en calidad de alertador, y los demás interesados nombrados en el mensaje tienen derechos de información, rectificación, supresión y limitación del procesamiento, portabilidad de los datos así como oposición al tratamiento de sus datos personales. Usted tiene también la posibilidad de presentar una reclamación ante la autoridad de control.
7 Información relativa a los demás interesados
Si existe una obligación legal, informaremos a los demás interesados (p. ej., personas acusadas, testigos, personas con información, etc.) de que hemos recibido un mensaje sobre ellos. Su identidad como alertador no será revelada —en la medida en que esto esté permitido legalmente—, y se garantizará también que no se puedan sacar conclusiones relativas a su identidad como alertador. En caso de que se envíen deliberadamente mensajes falsos con la intención de desacreditar a otra persona (denuncia), no será posible garantizar la confidencialidad. La base legal de este tratamiento de datos personales es el artículo 6, párrafo 1, punto c del RGPD (cumplimiento de una obligación legal).
8 Nota sobre el envío de anexos
Cuando envíe un mensaje o información adicional, puede enviar al mismo tiempo anexos al empleado responsable de voestalpine. Si desea enviar un mensaje de forma anónima, tenga en cuenta la siguiente advertencia de seguridad: los archivos pueden contener información personal oculta que podría poner en peligro su anonimato. Elimine dicha información antes de enviar documentos. Si no es capaz de eliminarlos o no sabe cómo hacerlo, copie el texto de su anexo en el texto del mensaje o envíe de manera anónima el documento impreso a la dirección indicada en el pie de página, especificando el número de referencia que recibirá al final del proceso de envío del mensaje.
9 Contacto
Si tiene preguntas sobre el tema de la protección de datos así como para la formulación de sus derechos descritos anteriormente, puede ponerse en contacto con la organización de protección de datos de voestalpine escribiendo a group-dataprotection@voestalpine.com o a
voestalpine AG, Departamento Jurídico, de Fusiones y Adquisiciones y Cumplimiento (Legal, M&A and Compliance), voestalpine-Straße 1, 4020 Linz, Austria.
10 Modificación del Aviso de protección de datos
El presente Aviso de protección de datos se modifica ocasionalmente. Por lo tanto, tenga siempre en cuenta la versión actual de nuestra declaración de privacidad.
Versión: Octubre de 2022
(Para simplificar la fluidez del texto no empleamos formulaciones de género neutro. Siempre que las referencias a personas se expresen utilizando el género masculino, dicha formulación se aplicará de igual manera a todos los géneros.)