Privacidad

Políticas de Datos Personales

Última revisión: 22 de Mayo, 2018

Identificación

  • Deloitte & Co S.A.
  • Deloitte & Co. Cuyo S.A.
  • Deloitte S.A.
  • Deloitte S.C.
  • Deloitte & Touche Management Services S.C.
  • Cybsec S.A.

Marco Legal

- Artículo 43 de la Constitución Nacional Argentina.
- Ley 25.326 de protección de datos personales.
- Decreto 1558/2001 de reglamentación de la ley de protección de datos personales.
- Disposición DNPDP 11/2006 sobre medidas de seguridad para el tratamiento y conservación de datos personales.
- Todas aquellas normas complementarias a las indicadas precedentemente.

Generalidades

Las políticas y procedimientos de Deloitte tienen como base el marco legal mencionado precedentemente, cuyo fin es la protección de la información que le ha sido confiada a Deloitte, siendo intención de Deloitte exclusivamente recolectar aquella información que ha sido suministrada voluntariamente.

Esta información puede ser obtenida, entre otros, a través de cualquiera de los siguientes canales o medios: (i) relación comercial o profesional; (ii) ejecución de servicios; (iii) relación laboral; (iv) aplicación a procesos de selección; (v) asistencia a capacitaciones, seminarios o cursos; (vi) remisión de correos electrónicos solicitando información; y (vii) website de Deloitte.

Deloitte no recoleta ni forma y/o administra archivos, bancos o registros que almacenen información relativa a datos personales, salvo para poder contactar a sus titulares, cumplir con las obligaciones legales o contractuales a cargo de Deloitte o para remitir información de interés o invitaciones a las actividades que lleva adelante Deloitte en cumplimiento de su objeto social.

Definiciones

A los fines de la ley 25.326 se entiende por:

  • Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.
  • Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, ingresos e información referente a la salud o a la vida sexual.
  • Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
  • Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.
  • Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos.
  • Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado.
    Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la Ley 25.326.
  • Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos.
  • Disociación de datos: Todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable.

PRINCIPIOS BÁSICOS EN MATERIA DE HABEAS DATA

Generalidades

Se entiende por datos personales a toda la información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

Se entiende por datos sensibles a aquellos datos personales cuyo uso indebido puede afectar a la intimidad del titular de dichos datos o generar su discriminación, entre otros, datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, ingresos e información referente a la salud o a la vida sexual.

Provisión de datos sensibles

Ninguna persona puede ser obligada a proporcionar datos sensibles.

Los datos sensibles sólo pueden ser recolectados y ser objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares.

Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo conformidad de sus titulares.

Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas.

Recolección y almacenamiento de los datos

Los datos personales que se recojan a los efectos de su tratamiento deben ser adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.

La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la ley.

Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.

Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate.

Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.

Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados.
Consentimiento y/o autorización para obtener los datos

El tratamiento de datos personales y/o sensibles es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos.

Deloitte requiere autorización previa de sus clientes, proveedores y empleados para el tratamiento de los datos personales que sean provistos a Deloitte en el marco de la relación contractual alcanzada con ellos.

Excepciones a la autorización previa y expresa del titular de los datos

  • No será necesaria la autorización cuando:
  • Los datos se obtengan de fuentes de acceso público irrestricto;
  • Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;
  • Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;
  • Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;
  • Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.

TRATAMIENTO DE DATOS PERSONALES

Deloitte utiliza los datos personales que recolecta para fines lícitos, procurando una mejora continua en las actividades que lleva adelante y en la relación que mantiene con sus clientes, proveedores, empleados, organismos de control y demás terceros.

TRANSFERENCIA DE DATOS PERSONALES

Los datos personales recolectados por Deloitte podrán ser comunicados/transferidos a (i) cualquiera de los miembros de Deloitte Touche Tohmatsu Limited (DTT) y/o sociedades relacionadas, afiliadas, controladas, controlantes, filiales, representaciones o vinculadas de Deloitte y/o de DTT o de los miembros de DTT, (ii) terceros proveedores de servicios de procesamiento y tratamiento de datos y (iii) demás terceros que pudieran corresponder de acuerdo a la relación de Deloitte con el titular del dato o a los motivos y fines lícitos para los cuales fueron recolectados por Deloitte.

Deloitte exige a quienes transfiere datos personales el cumplimiento de estándares adecuados de confidencialidad, protección y seguridad, y especialmente cuando dichos terceros se encuentran en países que no cuentan con una legislación de protección de datos adecuada conforme los parámetros establecidos por las autoridades y normativa de Argentina.

DERECHOS DEL TITULAR DE LOS DATOS PERSONALES

Derecho de información

Toda persona puede solicitar información al organismo de control relativo a la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables.

El registro que se lleve al efecto será de consulta pública y gratuita.

Derecho de acceso

El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes.

El responsable o usuario debe proporcionar la información solicitada dentro de los diez (10) días corridos de haber sido intimado fehacientemente.

Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley.

El derecho de acceso a que se refiere este artículo sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis (6) meses, salvo que se acredite un interés legítimo al efecto.

El ejercicio del derecho al cual se refiere el presente punto en el caso de datos de personas fallecidas les corresponderá a sus sucesores universales.

La solicitud a que se refiere el presente punto no requiere de fórmulas específicas, siempre que garantice la identificación del titular de los datos. Se puede efectuar de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. También pueden ser utilizados otros servicios de acceso directo o semi-directo como los medios electrónicos, las líneas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin.

En cada supuesto, se podrán ofrecer preferencias de medios para conocer la respuesta requerida.

El derecho de acceso permitirá:

  • Conocer si el titular de los datos se encuentra o no en el archivo, registro, base o banco de datos;
  • Conocer todos los datos relativos a su persona que constan en el archivo;
  • Solicitar información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos;
  • Solicitar las finalidades para las que se recabaron;
    Conocer el destino previsto para los datos personales;
  • Saber si el archivo está registrado conforme a las exigencias de la Ley Nº 25.326.

Vencido el plazo para contestar, el interesado podrá ejercer la acción de protección de los datos personales y denunciar el hecho ante la Dirección Nacional de Protección de Datos Personales a los fines del control pertinente de este organismo.

En el caso de datos de personas fallecidas, deberá acreditarse el vínculo mediante la declaratoria de herederos correspondiente, o por documento fehaciente que verifique el carácter de sucesor universal del interesado.

Contenido de la información provista al titular del dato personal

La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.

La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

Derecho de rectificación, actualización o supresión

Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos.

El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco (5) días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad.

El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la Ley 25.326.

En el supuesto de cesión, o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato.

La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.

Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.

Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

AREA ENCARGADA DE TRAMITAR DUDAS, PETICIONES, QUEJAS Y/O RECLAMOS

En todos los casos en los que el titular de los datos pretenda dirigir a Deloitte una duda y/o una petición y/o una queja y/o un reclamo y/o una solicitud de rectificación, actualización o supresión de datos, deberá remitir dicha nota indicando el objeto de la misma a la siguiente casilla de correo electrónico: arsecurityoffice@deloitte.com o bien a la siguiente dirección:

Deloitte & Co S.A.
Florida 234, pisto 5
Att: Seguridad Informática
Ciudad Autónoma de Buenos Aires

Deloitte tramitará dicha nota dentro de los diez (10) días de recibida la misma y cursará su respuesta por medio de los datos de contacto que se consignen en la nota.

La Agencia de Acceso a la Información Pública, órgano de control de la Ley 25.326 tiene la atribución de atender las denuncias y reclamos que se interpongan con relación al incumplimiento de las normas sobre protección de datos personales.

La Agencia de Acceso a la Información Pública tiene sus oficinas en Av. Pte Gral Julio A. Roca 710, piso 2do, Ciudad Autónoma de Buenos Aires. T.E.011-2821-0047 http://www.jus.gob.ar/datos-personales.aspx

COMPROMISO DE CLIENTES PROVEEDORES Y PERSONAL

Los clientes y proveedores que contraten con Deloitte, así como los empleados de Deloitte deberán actuar en un todo de acuerdo con éstas políticas y con la ley de protección de Datos Personales N° 25.326 y demás normas que la complementan o sustituyan en el futuro

DISPOSICIÓN 11/2006 y 9/2008 – MEDIDAS DE SEGURIDAD PARA EL TRATAMIENTO Y CONSERVACION DE DATOS PERSONALES

Deloitte, sus proveedores y sus clientes deberán ajustar su accionar y cumplir con los diferentes niveles de seguridad (básico, medio y crítico) previstos por las Disposiciones 11/2006 y 9/2008 de la Dirección Nacional de Protección de Datos Personales y/o normas que las reemplacen en el futuro.

Deloitte implementa todas las medidas necesarias para mantener la seguridad de la información personal de sus clientes, proveedores y empleados contemplando las medidas prácticas, técnicas y organizativas internas necesarias para garantizar la seguridad, integridad y confidencialidad de los datos, tratando diligentemente de evitar el acceso no autorizado, destrucción, utilización, modificación o divulgación de los datos, de acuerdo a lo previsto en el art. 9 de la ley 25.326, normas complementarias y en particular en las Disposiciones 11/2006 y 9/2008 de la Dirección Nacional de Protección de Datos Personales, que establece las distintas medidas de seguridad para el tratamiento y conservación de datos personales contenidos en bancos de datos privados.

Deloitte hará sus mejores esfuerzos para evitar el acceso no autorizado a la información personal de sus clientes, proveedores y empleados. El área responsable de Tecnología y Sistemas de Deloitte tiene a su cargo el cumplimiento de la normativa relacionada a la seguridad de la información, a través de las políticas, normas, manuales y procedimientos de seguridad aprobados para tal fin.

CONCIENTIZACIÓN – FORMACIÓN

Con el fin de garantizar la difusión de estas políticas y su correcto entendimiento por parte del personal de Deloitte, Deloitte lleva adelante actividades periódicas de concientización y formación en materia de protección de datos personales.

CONTROL Y MEJORA CONTINUA

Deloitte realiza controles internos con el objetivo de velar por el cumplimiento de estas políticas y sugerir posibles cambios para mejorar los mecanismos de recolección, seguridad y tratamiento de datos de datos personales.
VIGENCIA

La presente política se encuentra vigente a partir de la fecha de su publicación.

Última actualización: 22/05/2018.