Tell Me Privacy
-
Índice
1. Introducción
2. Responsable(s) del tratamiento
3. Delegado de protección de datos
4. Categorías de datos personales
5. Fines y base jurídica del tratamiento
6. Revelación de datos personales a terceros
7. Transferencia internacional de datos personales
8. Conservación de los datos
9. Sus derechos legales
10. Definiciones
Anexo 1 Datos de los responsables del tratamiento
Anexo 2 Modificaciones de conformidad con la legislación local
Anexo 2B Canal ES
1. Responsable
2. Titulares de los Datos, limitación del tratamiento y minimización de datos
3. Finalidad y Bases Legales del Tratamiento
4. Cesión de Datos a Terceros
5. Transferencias Internacionales de Datos
6. Periodo de Conservación de Datos
7. Ejercicio de Derechos
1. Introducción
Esta declaración de privacidad («Declaración de privacidad»
) es publicada por cada una de las entidades del grupo Kia enumeradas en el Anexo 1 posterior («Grupo Kia Europa»
). El objeto de esta Declaración de privacidad es informarle acerca del tratamiento de sus datos personales por la entidad respectiva del Grupo Kia Europa en relación con el tratamiento de denuncias presentadas por empleados actuales o ex empleados del Grupo Kia Europa, incluidos los responsables de departamento, miembros del consejo de administración, trabajadores temporales, coordinadores de expatriados, becarios y personas que trabajen bajo la supervisión y dirección de contratistas, subcontratistas y proveedores del Grupo Kia Europa (los «denunciantes»
) a través de la plataforma de notificación de conductas erróneas Kia Compliance: Tell Me (la «plataforma Tell Me»
).
En el Anexo 2 hallará modificaciones de esta Declaración de privacidad de conformidad con la legislación local.
La plataforma Tell Me es un canal de comunicación específico para que los denunciantes notifiquen infracciones de leyes y estatutos externos e incumplimientos de reglamentos internos (p. ej., el Kia EU Compliance & Integrity Code
), según resulten aplicables a la entidad respectiva del Grupo Kia Europa.
Para más información acerca de la plataforma Tell Me y de cómo y cuándo presentar denuncias, consulte la Kia Compliance: Tell Me Policy
.
2. Responsable(s) del tratamiento
Si el incidente o caso denunciado se refiere únicamente a un asunto de Kia Europe GmbH («Kia EU»), Kia EU será la responsable única e independiente de los datos personales tratados en relación con la recepción, el análisis y el tratamiento de las denuncias presentadas a través de la plataforma Tell Me (los «datos personales relevantes»
).
Si la denuncia se refiere a un asunto de otra entidad del Grupo Kia Europa («entidad Kia relevante»
), Kia EU y la entidad Kia relevante colaborarán estrechamente en la evaluación e investigación del caso denunciado (los detalles del proceso de tratamiento de casos se facilitan en la Kia Compliance: Tell Me Policy
). En tal caso, Kia EU y la entidad Kia relevante determinarán conjuntamente los fines y medios del tratamiento de los datos personales relevantes en calidad de corresponsables del tratamiento.
A tal efecto, ambas organizaciones han determinado sus responsabilidades respectivas respecto al cumplimiento de las obligaciones en el marco del RGPD de la siguiente manera:
(a) En caso de que usted ejerza sus derechos legales de conformidad con la sección 9 de esta Declaración de privacidad, la entidad Kia relevante será responsable de hacer efectivos tales derechos. No obstante, Kia EU facilitará puntualmente a la entidad Kia relevante cualquier asistencia apropiada y necesaria para que dicha entidad Kia cumpla con su solicitud de conformidad con el RGPD.
(b) La entidad Kia relevante y Kia EU cumplirán con sus obligaciones de proporcionarle la información pertinente acerca del tratamiento de los datos personales relevantes de conformidad con el Art. 13 y el Art. 14 del RGPD del modo siguiente: (i) ambas organizaciones harán disponible esta Declaración de privacidad en sus respectivos sistemas de intranet; (ii) Kia EU se asegurará de que esta Declaración de privacidad sea ofrecida en la plataforma Tell Me; (iii) y si procede y en la medida en que sea aplicable, la entidad Kia relevante le proporcionará la información correspondiente de conformidad con el Art. 14 del RGPD.
(c) Independientemente de los apartados 2 (a) y (b) anteriores, la entidad Kia relevante y Kia EU reconocen que usted puede ejercer sus derechos con arreglo al RGPD frente a cualquiera de ambas organizaciones en su calidad de corresponsables del tratamiento. No obstante, generalmente será la entidad Kia relevante la que normalmente responda a su solicitud.
Los datos de contacto de cada entidad del Grupo Kia Europa se facilitan en el Anexo 1.
3. Delegado de protección de datos
Si tiene alguna duda relacionada con esta Declaración de privacidad, también puede ponerse en contacto con el delegado de protección de datos de Kia EU en dpo@kia-europe.com
o con el delegado de protección de datos de la entidad Kia relevante («DPO»
). Los datos de contacto del delegado de protección de datos de cada entidad del Grupo Kia Europa se facilitan en el Anexo 1.
4. Categorías de datos personales
El funcionamiento de una plataforma de notificación de conductas erróneas y la investigación de los casos denunciados a través de la plataforma requerirán inevitablemente el tratamiento de datos personales. No obstante, el denunciante tiene el control completo sobre lo que se notifica.
Esto se debe a que la plataforma Tell Me es un sistema no estructurado, por lo que el denunciante no tiene que hacer una categorización previa a la presentación de la denuncia.
Esto también es aplicable a la identidad
del denunciante,
a la persona acusada,
a un testigo
o a cualquier otra persona que se mencione en la denuncia correspondiente
(conjuntamente, los «interesados»
, e individualmente, el «interesado»
).
Como denunciante, le recomendamos que sopese siempre cuidadosamente si revelar o no su identidad. Aunque la identidad del denunciante y de cualquier tercero mencionado en la denuncia será tratada con un alto nivel de confidencialidad, en determinadas circunstancias, Kia EU o la entidad Kia relevante podrían tener la obligación de revelar la identidad del denunciante o del tercero respectivo. Por ello, el Grupo Kia Europa ha implementado la plataforma Kia Compliance: Tell Me, una herramienta específica que permite a los denunciantes presentar una denuncia de manera anónima.
Consulte la Kia Compliance: Tell Me Policy
para hallar otros canales de comunicación si desea revelar su identidad como denunciante.
Los tipos de datos personales que Kia EU y la entidad Kia relevante (si procede) tratan en relación con la plataforma Tell Me y el tratamiento de denuncias pertinentes pueden incluir alguna de la siguiente información relativa al interesado (siempre sujeta al contenido e información que el denunciante haya proporcionado en la denuncia): nombre, sexo; nacionalidad; dirección y ciudad; número de teléfono (móvil); dirección de correo electrónico; tratamiento (cargo); función y puesto en la empresa; departamento; números de administración/números de empleado; características y circunstancias del incidente; medidas tomadas; informes de investigación; otros datos relativos al incidente (p. ej., fecha, hora y ubicación); código de acceso; archivo de sonido, dirección IP y otros datos técnicos; registros de consentimiento (es decir, registros de los consentimientos otorgados por el denunciante).
Según lo establecido en la Kia Compliance: Tell Me Policy
: Tell Me, el Grupo Kia Europa ofrece un elevado nivel de protección para el anonimato del denunciante en caso de que este decida permanecer anónimo en la medida de lo posible y respetando la proporcionalidad. Para este propósito, el Grupo Kia Europa no tendrá acceso a ningún dato técnico que pudiera identificar a un denunciante anónimo (p. ej., dirección IP, archivos de voz grabada y datos de llamada).
En calidad de denunciante, le rogamos que se abstenga de facilitar cualquier categoría especial de datos personales, tales como origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, membresía sindical, o datos referentes a la salud o a la vida sexual no relevantes para el caso. Si se proporcionan tales datos no relevantes en una denuncia, Kia EU y la entidad Kia relevante eliminarán dicha información de la misma y de los conjuntos de datos respectivos. Esto también es aplicable a los datos personales que no sean estricta y objetivamente necesarios para confirmar las acusaciones incluidas en una denuncia.
5. Fines y base jurídica del tratamiento
Kia EU y la entidad Kia relevante tratan los datos personales relevantes para los fines de la notificación inicial, la revisión subsiguiente de la denuncia y la investigación del caso denunciado.
Las bases jurídicas aplicables a estas actividades de tratamiento son las siguientes:
• Consentimiento (Art. 6 (1) a) del RGPD):
para un determinado tratamiento de los datos personales relevantes por parte de la entidad respectiva del Grupo Kia Europa, la base jurídica es el consentimiento previo del denunciante (p. ej., cuando una reunión entre la entidad relevante del Grupo Kia Europa y el denunciante tiene lugar, a petición del propio denunciante, a través de videollamada).
• Cumplimiento de una obligación legal (Art. 6 (1) (c) del RGPD):
la implementación y facilitación de sistemas de notificación de conductas erróneas es obligatoria en ciertas jurisdicciones. En caso de que la ley exija que una entidad del Grupo Kia Europa implemente y facilite dicho sistema de notificación de conductas erróneas y en la medida en que dicha implementación y facilitación requieran el tratamiento de los datos personales relevantes, la base jurídica para dicho tratamiento es el cumplimiento de la obligación legal pertinente.
• Ejecución de una tarea efectuada en interés público (Art. 6 (1) (e) del RGPD):
pese a que la implementación y facilitación de sistemas de notificación de conductas erróneas pueda ser obligatoria, en ciertas jurisdicciones no se exige que la entidad respectiva del Grupo Kia Europa habilite un canal que permita la notificación de manera anónima o la revisión de denuncias que se hayan presentado anónimamente. En tal caso, la base jurídica para el tratamiento de los datos personales relevantes es la ejecución de una tarea efectuada en interés público.
• Intereses legítimos (Art. 6 (1) (f) del RGPD):
cuando el tratamiento de los datos personales relevantes no sea necesario para cumplir con una obligación legal, la entidad relevante del Grupo Kia Europa tratará los datos personales relevantes para la satisfacción de sus intereses legítimos. El interés legítimo es la supervisión del cumplimiento de las leyes y estatutos aplicables y de los reglamentos internos (p. ej., el Código de Cumplimiento e Integridad de Kia EU), así como la detección y prevención de infracciones y conductas erróneas. La entidad relevante del Grupo Kia Europa determinará siempre en cada caso si sobre sus intereses prevalecen los intereses o los derechos y libertades fundamentales de la persona a la que se refiere la información.
Como se ha mencionado anteriormente, las categorías especiales de datos personales que no son relevantes para el caso no serán incluidas en las denuncias presentadas a través de la plataforma Tell Me y, por tanto, serán eliminadas.
No obstante, si dichos datos son relevantes para el caso, la base jurídica para el tratamiento de dicha información será el Art. 9 (2) (f) del RGPD (es decir, el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones legales) o bien el Art. 9 (2) (g) del RGPD (es decir, el tratamiento es necesario debido a un interés público considerable, basado en la legislación europea o nacional).
6. Revelación de datos personales a terceros
Kia EU y la entidad Kia relevante tratarán los datos personales relevantes con un alto nivel de confidencialidad.
Los datos serán revelados únicamente en relación con los fines de tratamiento anteriormente establecidos y siempre en cumplimiento de las leyes aplicables. Los posibles destinatarios de los datos personales relevantes incluyen a las siguientes empresas, instituciones o personas:
• Proveedores de servicios:
esto incluye a People Intouch B.V. (y sus subencargados del tratamiento autorizados) como operador de la plataforma Tell Me, con domicilio social en Olympisch Stadion 6, 1076 DE Ámsterdam, Países Bajos.
• People Intouch B.V. tratará los datos personales relevantes en su calidad de encargado del tratamiento de Kia EU y solo de conformidad con las instrucciones de Kia EU. Kia EU y People Intouch B.V. han formalizado un acuerdo para el tratamiento de datos con este propósito.
• Asesores legales:
en algunos casos, Kia EU o la entidad Kia relevante podrán revelar los datos a sus asesores legales con el fin de proteger sus intereses o de hacer valer sus derechos. Los asesores legales tratarán estos datos en calidad de responsables del tratamiento independientes.
• Tribunales y organismos reguladores:
Kia EU o la entidad Kia relevante podrán revelar los datos a tribunales u organismos reguladores conforme lo exija la ley o cuando ello sea necesario para cumplir procedimientos judiciales, órdenes de tribunales, solicitudes de autoridades reguladoras o para proteger sus intereses o hacer valer sus derechos.
• Los organismos reguladores o los tribunales relevantes tratarán estos datos en calidad de responsables del tratamiento independientes.
• Otros:
Kia EU o la entidad Kia relevante podrán revelar los datos a terceros (por ejemplo, la persona acusada o miembros externos de los organismos de supervisión), pero solo si les es exigido hacerlo por ley. Dichos terceros tratarán estos datos en calidad de responsables del tratamiento independientes.
7. Transferencia internacional de datos personales
Con el fin de tratar los datos personales relevantes conforme se establece en esta Declaración de privacidad, Kia EU o la entidad Kia relevante pueden necesitar transferir los datos personales relevantes a terceros conforme se indica en la sección 6 anterior. No obstante, los datos personales relevantes normalmente no serán transferidos a un destinatario que no se encuentre en un país miembro del Espacio Económico Europeo (EEE) o para el cual la Comisión Europea no haya emitido una decisión de adecuación conforme a la cual el país respectivo proporcione un nivel adecuado de protección de datos. Si en algún momento cualquier dato personal relevante fuera transferido a un destinatario en un país que no se encuentre dentro de las categorías mencionadas anteriormente, dicha transferencia siempre estará sujeta a medidas de protección adecuadas de conformidad con el RGPD.
8. Conservación de los datos
Kia EU y la entidad Kia relevante solo tratarán los datos personales relevantes durante el tiempo necesario para los fines establecidos en esta Declaración de privacidad o conforme lo exija la ley aplicable.
A la hora de determinar el periodo de conservación necesario, Kia EU y la entidad Kia relevante tienen en cuenta los fines para los que tratan los datos personales relevantes y si dichos fines se pueden lograr sin tales datos, las categorías de datos relevantes, los riesgos en caso de una filtración de datos y las obligaciones legales que requieran que Kia EU o la entidad Kia relevante conserve los datos.
Normalmente, esto significa que los datos personales relevantes se conservarán del modo siguiente:
• Los datos personales que no sean relevantes para el caso serán eliminados o anonimizados sin demora indebida.
• Los datos personales relevantes contenidos en la documentación relativa al asunto en cuestión serán conservados el tiempo que sea necesario para evaluar la denuncia y llevar a cabo la investigación (si procede), y serán eliminados o anonimizados a más tardar en un plazo de tres años tras finalizar la evaluación y/o la investigación (según proceda), a menos que se inicien procedimientos legales o medidas disciplinarias para los cuales se requiera continuar conservando los datos personales relevantes o la ley aplicable exija un plazo de conservación distinto, sujeto siempre a la necesidad y adecuación de dicha conservación.
9. Sus derechos legales
Cuando Kia EU o la entidad Kia relevante traten sus datos personales sobre la base de su consentimiento, tendrá derecho a retirar dicho consentimiento en cualquier momento (Art. 7 (3) del RGPD).
Si tiene alguna duda relacionada con el tratamiento de sus datos personales por parte de Kia EU o la entidad Kia relevante, Kia EU o la entidad Kia relevante (según proceda) le facilitarán gustosamente información acerca de los datos personales que le conciernan y de las actividades de tratamiento correspondientes (Art. 15 del RGPD). Si los requisitos legales se cumplen, también tendrá derecho a obtener: (a) la rectificación de sus datos personales (Art. 16 del RGPD); (b) la supresión de sus datos personales (Art. 17 del RGPD); y (c) la limitación del tratamiento de sus datos personales (Art. 18 del RGPD).
Además, tiene derecho a la portabilidad de sus datos (Art. 20 del RGPD) y a presentar una reclamación ante una autoridad competente en materia de protección de datos (Art. 77 del RGPD).
Su derecho de oposición:
cuando Kia EU o la entidad Kia relevante traten sus datos personales sobre la base del Art. 6 (1) (f) del RGPD, tendrá derecho a oponerse a dicho tratamiento en cualquier momento por motivos relacionados con su situación particular (Art. 21 (1) del RGPD).
Cuando la entidad Kia relevante y Kia EU traten sus datos personales en calidad de corresponsables del tratamiento, en los apartados 2 (a) - (c) hallará información correspondiente a la entidad que responderá a su solicitud.
10. Definiciones
«Responsable del tratamiento»
es la persona física o jurídica, la autoridad pública, agencia u otra institución que, individual o solidariamente, determina los propósitos y los medios para el tratamiento de datos personales.
«RGPD»
significa, (i) con respecto a Kia UK LTD en calidad de responsable del tratamiento, el Reglamento de Protección de Datos del Reino Unido, adaptado por la Ley de Protección de Datos de 2018 (RGPD del Reino Unido); y, (ii) con respecto a cualquiera de las demás entidades del Grupo Kia Europa enumeradas en el Anexo 1, el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos) de la Unión Europea.
«Datos personales»
significa cualquier información referente a una persona física identificada o identificable.
«Tratar» / «tratamiento»
se refiere a cualquier operación o serie de operaciones realizadas con datos personales o con conjuntos de datos personales, tales como la recogida, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la revelación por transmisión, la divulgación o la facilitación por otros medios, la alineación o combinación, la restricción, la supresión o la destrucción de datos.
«Encargado del tratamiento»
es una persona física o jurídica, autoridad pública, agencia u otra institución que trata datos personales en nombre del responsable del tratamiento.
Anexo 1 Datos de los responsables del tratamiento
| Entidades relevantes del grupo Kia | Detalles de contacto | Detalles de contacto del DPO |
|---|---|---|
| Kia Europe GmbH (Kia UE) | Theodor-Heuss-Allee 11, 60486 Frankfurt, Alemania Email: info@kia-europe.com |
dpo@kia-europe.com |
| Kia Nederland B.V. | De Corridor 25, 3621 ZA Breukelen, Países Bajos Email: info@kia.nl |
info@kia.nl |
| Kia Austria GmbH | Sverigestrasse 5, 1220 Wien, Austria Email: office@kia.at |
datenschutz@kia.at |
| Kia Belgium N.V. | Ikaroslaan 33, 1930 Zaventem, Bélgica Email: info@kia.be |
privacy@kia.be |
| Kia France SAS | 2 rue des Martinets, Rueil-Malmaison 92560, Francia Email: relation.clientele@kia.fr |
dpo@kia.fr |
| Kia Sales Slovakia s.r.o. | Einsteinova 19, Bratislava 851 01, Eslovaquia Email: info@kmss.sk |
dpo@kiasales.sk |
| Kia Iberia S.L.U. | Calle de Anabel Segura, 16 Edificio Vega Norte, Planta 2, 28108 Alcobendas, Madrid, España Email: contacto@kia.es |
consultalopd@kia.es |
| Kia Deutschland GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Alemania Email: info@kia.de |
datenschutz@kia.de |
| Kia Sweden AB | Kanalvägen 10A, 194 61 Upplands Väsby, Suecia Email: info@kia.se |
d.elander@kia.se |
| Kia Polska SP. Z.O.O. | Pulawska 366, 02-819 Varsovia, Polonia Email: infolinia@kiapolska.pl |
iod@kiapolska.com.pl |
| Kia Czech s.r.o. | Jihlavská 1558/21, Michle 140 00, Praga 4, República Checa Email: kia-info@kia.cz |
gdpr@kia.cz |
| Kia Hungary Kft. | 1117 Budapest, Budafoki út 56, Hungría Email: info@kiahungary.hu |
adatvedelem@kiahungary.hu |
| Kia UK LTD | Walton Green, Walton-On-Thames, Surrey, KT12 1FJ, Reino Unido Email: dpo@kia.co.uk |
dpo@kia.co.uk |
| Kia Ireland | Unidad A8 Calmount Park, Calmount Road, Dublín, D12 X266, Irlanda Email: admin@kiaireland.ie |
dpo@kia.co.uk |
| Kia Italia S.r.l | Via Gallarate 184, 20151 Milán, Italia Email: infokia@kia.it |
dpo@kia.it |
| Kia Connect GmbH | Theodor-Heuss-Allee 11, 60486 Frankfurt, Alemania Email: info@kia-connect.eu |
dpo@kia-connect.eu |
Serán de aplicación las siguientes modificaciones de conformidad con la legislación local:
AUSTRIA
La Directiva sobre denunciantes de irregularidades de la UE se ha transpuesto a la legislación nacional en Austria a través de la Ley austriaca para la protección de denunciantes (HSchG). En los casos en los que las indicaciones de infracciones legales figuren dentro del ámbito de la HSchG («área cubierta»), el tratamiento de esta información con la finalidad de impedir e inhibir infracciones legales potenciales está basado en el cumplimiento de una obligación legal (art. 6, apdo. 1, letra c del RGPD, en combinación con los arts. 2 y ss. de la HSchG).
BÉLGICA
Con arreglo a la Ley belga para la protección de denunciantes de 28 de noviembre de 2022, que transpone la Directiva (UE) 2019/1937:
Los siguientes párrafos se añadirán a la sección 8 (Conservación de los datos) a modo de párrafos finales:
Específicamente, en virtud de la Ley belga para la protección de denunciantes, el nombre, el cargo y los datos de contacto del denunciante y de cualquier persona sujeta a las medidas de protección y respaldo, así como aquellos de la persona en cuestión, incluyendo, cuando proceda, su número de empresa, se conservarán hasta que la infracción denunciada haya prescrito de conformidad con la legislación aplicable.
Kia Belgium mantendrá un registro con todas las denuncias presentadas, respetando estrictamente la obligación de confidencialidad tal y como está estipulada en la sección 11 de la Política de Kia Compliance: Tell Me. Con independencia del párrafo anterior, cuando proceda, las denuncias se guardarán mientras dure la relación contractual entre Kia Belgium y los denunciantes.
ITALIA
La sección 4 se sustituye por lo siguiente:
El funcionamiento de una plataforma de notificación de conductas erróneas y la investigación de los casos denunciados a través de la plataforma requerirán inevitablemente el tratamiento de datos personales. No obstante, el denunciante tiene el control completo sobre lo que se notifica. Esto se debe a que la plataforma Tell Me es un sistema no estructurado, por lo que el denunciante no tiene que hacer una categorización previa a la presentación de la denuncia. Esto también es aplicable a la identidad
del denunciante,
a la persona acusada,
a un testigo
o a cualquier otra persona que se mencione en la denuncia correspondiente
(conjuntamente, los «interesados»,
e individualmente, el «interesado»
).
Como denunciante, le recomendamos que sopese siempre cuidadosamente si revelar o no su identidad. Aunque la identidad del denunciante y de cualquier tercero mencionado en la denuncia será tratada con un alto grado de confidencialidad, Kia EU o la entidad Kia relevante podrían tener la obligación de revelar la identidad del denunciante o del tercero respectivo en determinadas circunstancias. Por ello, el Grupo Kia Europa ha implementado la plataforma Kia Compliance: Tell Me, una herramienta específica que permite a los denunciantes presentar una denuncia de manera anónima. Consulte la Política de Kia Compliance: Tell Me para hallar otros canales de comunicación si desea revelar su identidad como denunciante.
De conformidad con la plataforma Tell Me y la gestión de las denuncias relevantes, Kia EU y la entidad Kia relevante (cuando proceda) pueden tratar cualquier tipo de datos personales. De hecho, además de los datos de contacto e identificación (cuyo tratamiento es necesario para la tramitación de la denuncia), toda la información contenida en la denuncia puede ser tratada.
Kia EU y la entidad Kia competente (cuando proceda), con independencia de su propia voluntad, pueden tratar datos personales que correspondan a categorías especiales de datos, con arreglo al artículo 9 del RGPD, o a datos personales relativos a condenas o delitos penales o medidas de seguridad relacionadas, de conformidad con el artículo 10 del RGPD, que pueden estar contenidos en la denuncia y/o en las actas y documentos adjuntos a la misma. Dichos datos se usarán exclusivamente para la finalidad de tramitar la denuncia, en cumplimiento íntegro de los principios de proporcionalidad y necesidad; si se incluyen en la denuncia datos irrelevantes o datos que no sean estricta y objetivamente necesarios para verificar lo que se alega, Kia EU y la entidad Kia relevante los eliminarán de la denuncia y de los conjuntos de datos relevantes.
Según lo establecido en la Política de Kia Compliance: Tell Me, el Grupo Kia Europa ofrece un elevado nivel de protección para el anonimato del denunciante en caso de que este decida permanecer anónimo en la medida de lo posible y respetando la proporcionalidad. Para este propósito, el Grupo Kia Europa no tendrá acceso a ningún dato técnico que pudiera identificar a un denunciante anónimo (p. ej., dirección IP, archivos de voz grabada y datos de llamada).
La sección 5 se modifica de la siguiente manera:
• La base jurídica «Ejecución de una tarea efectuada en interés público (art. 6 (1) (e) del RGPD»
no es válida en Italia.
• Intereses legítimos (art. 6 (1) (f) del RGPD):
Cuando el tratamiento de los datos personales relevantes no sea necesario para cumplir con una obligación legal, la entidad relevante del Grupo Kia Europa tratará los datos personales relevantes para la satisfacción de sus intereses legítimos, consistentes en la protección de sus propios derechos contractuales y precontractuales o, en cualquier caso, derivados de relaciones existentes. La entidad relevante del Grupo Kia Europa determinará siempre en cada caso si sobre sus intereses prevalecen los intereses o los derechos y libertades fundamentales de la persona a la que se refiere la información.
Como se ha mencionado anteriormente, las categorías especiales de datos personales (derivadas del artículo 9 del RGPD) que no son relevantes para el caso no serán incluidas en las denuncias presentadas a través de la plataforma Tell Me y, por tanto, serán eliminadas. No obstante, si dichos datos son relevantes para el caso, la base jurídica para el tratamiento de dicha información será el art. 9 (2) (b) del RGPD (el tratamiento es necesario para cumplir con las obligaciones y ejercer los derechos específicos del responsable del tratamiento o el interesado en el ámbito de la legislación laboral, las leyes de seguridad social y la protección social, siempre que esto esté autorizado por la legislación europea o la del estado miembro, o por un acuerdo colectivo en el marco de las leyes de los estados miembros, sujeto a las salvaguardias adecuadas para los derechos fundamentales y los intereses del interesado) y el art. 9 (2) (f) del RGPD (es decir, el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones legales).
La sección 6 se modifica de la siguiente manera:
• Otros:
Kia EU o la entidad Kia relevante pueden revelar los datos a otros terceros, tales como miembros externos de organismos de supervisión, entidades de respaldo a las denuncias, asesores o empresas consultoras, empresas profesionales u otras entidades que colaboren con Kia en la función que sea, pero únicamente si la ley así lo requiere o si resulta necesario para alcanzar los fines establecidos en esta política de privacidad.
La sección 9 se modifica de la siguiente manera:
Si tiene cualquier duda acerca del tratamiento de sus datos personales por parte de Kia EU o la entidad Kia relevante, Kia EU o la entidad Kia relevante (según proceda) le facilitarán gustosamente información acerca de los datos personales que le conciernan y de las actividades de tratamiento correspondientes (art. 15 del RGPD). Si los requisitos legales se cumplen, también tendrá derecho a obtener: (a) la rectificación de sus datos personales (art. 16 del RGPD); (b) la supresión de sus datos personales (art. 17 del RGPD); y (c) la limitación del tratamiento de sus datos personales (art. 18 del RGPD). También tiene derecho a presentar una reclamación ante una autoridad competente en materia de protección de datos (art. 77 del RGPD).
La sección 10 se modifica de la siguiente manera:
«Encargado del tratamiento» es una persona física o jurídica, autoridad pública, agencia u otra institución que trata datos personales en nombre del responsable del tratamiento.
Sección adicional:
Con arreglo al artículo 14 (2) (f) del RGPD: Los datos personales se recopilan directamente de los interesados o bien de terceros, en función de si se trata de:
- datos relativos al denunciante, en cuyo caso los datos se recopilan directamente del interesado que comunica sus datos al enviar la denuncia;
- datos relativos a otros interesados (tales como la persona acusada, testigos o cualquier otra persona mencionada en la denuncia), en cuyo caso los datos se recopilan de terceros, es decir, de la persona que presenta la denuncia.
ESPAÑA
Kia Iberia S.L.U. (KES) realizará las actividades de tratamiento necesarias para la gestion las denuncias internas que se quieran presentar a través del canal local que ha sido implementado por KES en calidad de Responsable de Tratamiento. Puede encontrar la Política de Privacidad de este canal local de denuncias interno en el anexo 2B.
Sección 8 (Plazos de Conservación) debería incorporar el siguiente texto:
Para las comunicaciones que tengan origen en España, por imperativo legal, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada.
SUECIA
El siguiente párrafo se añadirá a la sección 1 (Introducción) a modo de párrafo final:
Además del tratamiento de datos personales relevantes descritos en esta declaración de privacidad, Kia Sweden AB («Kia Sweden» ) trata datos personales en relación con la gestión del canal de denuncias habilitado localmente por Kia Sweden (el «canal sueco» ). En el Anexo 2A puede encontrarse información sobre el tratamiento de datos personales por parte de Kia Sweden a través del canal sueco.
La sección 5 (Fines y base jurídica del tratamiento) se sustituirá por lo siguiente:
Kia EU y Kia Sweden tratan los datos personales relevantes para los siguientes fines: denuncia inicial, revisión subsiguiente de la denuncia relevante e investigación del caso denunciado.
Las bases jurídicas aplicables a las actividades de tratamiento son las siguientes para Kia EU:
• Consentimiento (art. 6 (1) (a) del RGPD): Para un determinado tratamiento de los datos personales relevantes por parte de Kia EU, la base jurídica es el consentimiento previo del denunciante (p. ej., cuando una reunión entre Kia EU y el denunciante tiene lugar, a petición del propio denunciante, a través de videollamada).
• Cumplimiento de una obligación legal (art. 6 (1) (c) del RGPD): En caso de que la ley exija que Kia EU implemente y facilite dicho sistema de notificación de conductas erróneas y en la medida en que dicha implementación y facilitación requieran el tratamiento de los datos personales relevantes, la base jurídica para dicho tratamiento es el cumplimiento de la obligación legal pertinente. La implementación y facilitación de sistemas de notificación de conductas erróneas es obligatoria en ciertas jurisdicciones.
• Ejecución de una tarea efectuada en interés público (art. 6 (1) (e) del RGPD: Pese a que la implementación y facilitación de sistemas de notificación de conductas erróneas pueda ser obligatoria, en ciertas jurisdicciones no se exige que Kia EU habilite un canal que permita la notificación de manera anónima o la revisión de denuncias que se hayan presentado anónimamente. En tal caso, la base jurídica para el tratamiento de los datos personales relevantes es la ejecución de una tarea efectuada en interés público.
• Intereses legítimos (art. 6 (1) (f) del RGPD): Cuando el tratamiento de los datos personales relevantes no sea necesario para cumplir con una obligación legal, Kia EU tratará los datos personales relevantes para la satisfacción de sus intereses legítimos. El interés legítimo es la supervisión del cumplimiento de las leyes y estatutos aplicables y de los reglamentos internos (p. ej., el Código de Cumplimiento e Integridad de Kia EU), así como la detección y prevención de infracciones y conductas erróneas. Kia EU determinará siempre en cada caso si sobre sus intereses prevalecen los intereses o los derechos y libertades fundamentales de la persona a la que se refiere la información.
Como se ha mencionado anteriormente, las categorías especiales de datos personales que no son relevantes para el caso no serán incluidas en las denuncias presentadas a través de la plataforma Tell Me y, por tanto, serán eliminadas. No obstante, si dichos datos son relevantes para el caso, la base jurídica para el tratamiento de dicha información será el art. 9 (2) f) del RGPD (es decir, el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones legales) o bien el art. 9 (2) g) del RGPD (es decir, el tratamiento es necesario debido a un interés público considerable, basado en la legislación europea o nacional).
Las bases jurídicas aplicables a las actividades de tratamiento son las siguientes para Kia Sweden:
• Intereses legítimos (art. 6 (1) (f) del RGPD): La base jurídica en el marco del RGPD para el tratamiento de los datos personales relevantes por parte de Kia Sweden es que el tratamiento sea necesario para el interés legítimo de Kia Sweden de supervisar el cumplimiento de las leyes y estatutos aplicables y de los reglamentos internos (p. ej., el Código de Cumplimiento e Integridad de Kia EU), así como detectar y prevenir infracciones y conductas erróneas. Al compartir dichos datos personales relevantes con otras partes, Kia Sweden se basa en su interés legítimo de investigar las conductas erróneas denunciadas o tomar medidas en lo relativo al resultado de una investigación.
• El tratamiento es necesario para los fines de cumplir con las obligaciones y ejercer derechos específicos en el ámbito de la legislación laboral (art. 9 (2) (b) del RGPD): Si Kia Sweden trata categorías especiales de datos personales relevantes que sean pertinentes para los fines de recibir e investigar una denuncia, la base jurídica en el marco del RGPD para el tratamiento por parte de Kia Sweden es que el tratamiento sea necesario para los fines de cumplir con las obligaciones y ejercer derechos específicos en el ámbito de la legislación laboral.
• El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones legales (art. 9 (2) (f) del RGPD: Si Kia Sweden comparte categorías especiales de datos personales relevantes para los fines de tomar medidas en lo relativo al resultado de una investigación, la base jurídica en el marco del RGPD para que Kia comparta los datos personales relevantes es que ello sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales.
• El tratamiento es necesario para investigar si una persona que esté en una posición de liderazgo o se considere personal clave dentro del Grupo Kia Europa ha estado involucrada en irregularidades graves o bien para la formulación, el ejercicio o la defensa de reclamaciones legales (sección 5(2) de la Regulación suplementaria sueca (2018:219) al RGPD, en sueco: Förordning med kompletterande bestämmelser till EU:s dataskyddsförordning) y la sección 2(4) de la Regulación Integritetsskyddsmyndigheten DIFS 2018:2 (en sueco: Föreskrifter om behandling av personuppgifter som rör lagöverträdelser): Si Kia Sweden trata datos personales relevantes relativos a (presuntas) condenas y delitos penales por parte de una persona que esté en una posición de liderazgo o se considere personal clave dentro del Grupo Kia Europa, la base jurídica para el tratamiento por parte de Kia Sweden es que el tratamiento sea necesario para los fines de investigar si dicha persona ha estado involucrada en irregularidades graves. Si Kia Sweden comparte datos personales relevantes relativos a (presuntas) condenas y delitos penales por parte de una persona que esté en una posición de liderazgo o se considere personal clave dentro del Grupo Kia Europa para los fines de tomar medidas en lo relativo al resultado de una investigación, la base jurídica para que Kia Sweden comparta los datos personales relevantes es que ello sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales.
1. Responsable
KIA IBERIA, S.L.U., Alcobendas (Madrid) – C/ Anabel Segura, 16, 2nd floor (Vega Norte II Building), con correo contacto@kia.es,
es Responsable del Tratamiento de los Datos Personales Tratados en relación con la recepción, investigación y tramitación de las denuncias presentadas en el Canal KES.
Si tiene alguna pregunta sobre cómo trata KES sus datos personales, puede ponerse en contacto con el responsable de protección de datos de KES en consultaslopd@kia.es o con el responsable de protección de datos de Kia EU en dpo@kia-europe.com
.
2. Titulares de los Datos, limitación del tratamiento y minimización de datos
El Canal KES podra tratar datos personales de personas que tengan la condición de empleados cuenta ajena; los autónomos; los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos; cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores. También se aplicará a los informantes que comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral o estatutaria ya finalizada, voluntarios, becarios, trabajadores en periodos de formación con independencia de que perciban o no una remuneración, así como a aquéllos cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.
Los datos personales que claramente no sean pertinentes para investigar un informe y que no sean estricta y objetivamente necesarios para verificar las alegaciones de un informe se suprimirán lo antes posible.
Si la información recibida contiene datos personales incluidos en las categorías especiales de datos, se suprimirán inmediatamente, sin que se proceda a su registro y tratamiento.
3. Finalidad y Bases Legales del Tratamiento
Los datos aportados por los usuarios del Canal KES serán utilizados con la finalidad principal de gestionar la recepción y tramitación de comunicaciones sobre irregularidades, conductas ilícitas o actos contrarios o infracciones graves o muy graves a los valores éticos, principios y pautas de conducta del Código de Integridad y Cumplimiento de Kia, la legislación, la normativa interna y los compromisos asumidos por la misma, así como sobre cualquier posible irregularidad o incumplimiento.
Los datos facilitados podrán servir para la sustanciación de las eventuales medidas disciplinarias o para la formulación de las acciones correspondientes ante autoridades.
El tratamiento de datos personales, en los supuestos de comunicación internos, se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, 8 de la Ley Orgánica 3/2018, de 5 de diciembre, y 11 de la Ley Orgánica 7/2021, de 26 de mayo, cuando, de acuerdo a lo establecido en los artículos 10 y 13 de la ley, sea obligatorio disponer de un sistema interno de información. Si no fuese obligatorio, el tratamiento se presumirá amparado en el artículo 6.1.e) del citado reglamento. El tratamiento de datos personales en los supuestos de canales de comunicación externos se entenderá lícito en virtud de lo que disponen los artículos 6.1.c) del Reglamento (UE) 2016/679, 8 de la Ley Orgánica 3/2018, de 5 de diciembre, y 11 de la Ley Orgánica 7/2021, de 26 de mayo.
4. Cesión de Datos a Terceros
El tratamiento de datos personales será realizado velando por el cumplimiento de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción , del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y de la la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
El acceso a los datos personales contenidos en el sistema de información interno quedará limitado a:
a) El Responsable del Sistema y a quien lo gestione directamente.
b) El responsable de Recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador.
c) El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.
d) Los encargados del tratamiento que eventualmente se designen, en este caso People Intouch B.V., tratarán los datos personales pertinentes únicamente de conformidad con las instrucciones del responsable del tratamiento.
e) El delegado de protección de datos.
Los datos podrán ser puestos en conocimiento del Departamento Legal, Abogados, Órganos Judiciales y Fuerzas y Cuerpos de Seguridad del Estado en caso de que alguna de las informaciones recibidas fueran susceptibles de ser consideradas delito o infracción legal de algún tipo
5. Transferencias Internacionales de Datos
Los datos personales facilitados a través del Canal KES no serán objeto de ninguna Transferencia Internacional de Datos que no se encuentre en un país miembro del Espacio Económico Europeo (EEE) o para el cual la Comisión Europea no haya emitido una decisión de adecuación conforme a la cual el país respectivo proporcione un nivel adecuado de protección de datos. Si en algún momento cualquier dato personal relevante fuera transferido a un destinatario en un país que no se encuentre dentro de las categorías mencionadas anteriormente, dicha transferencia siempre estará sujeta a medidas de protección adecuadas de conformidad con el RGPD.
6. Periodo de Conservación de Datos
De conformidad con lo establecido en la normativa de protección de datos, los datos de quien remita la correspondiente comunicación, así como aquellos datos personales de terceros individuos que fuesen objeto de comunicación, serán conservados en el sistema del Canal KES únicamente durante el tiempo que resulte imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados, y siempre por un plazo máximo de 3 meses desde la comunicación, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del Canal. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica de Protección de Datos, 3/2018 de 5 de diciembre de 2018.
No obstante, los datos podrán ser tratados por un plazo superior fuera del propio Canal KES, limitando su conocimiento a aquellas personas con funciones de control interno y cumplimiento. En caso de que resultado del proceso de investigación iniciado por KES con motivo de los hechos denunciados, pudiera derivarse a necesidad de ejercitar las acciones legales oportunas y/o que pudieran dar lugar a la apertura de un proceso judicial, los datos podrán ser conservados durante el tiempo adicional necesario hasta que se obtenga una resolución judicial firme, en cumplimiento de la legislación vigente.
7. Ejercicio de Derechos
KES garantiza en todo caso el ejercicio de sus derechos. Usted tiene derecho ejercitar su derecho de acceso, rectificación, supresión limitación, oposición a su tratamiento, o portabilidad. Puede ejercer sus derechos remitiendo una solicitud expresa, a través de los medios indicados en la política de privacidad. Asimismo, si considera que el tratamiento de datos personales no se ajusta a la normativa vigente, le informamos que tiene derecho a presentar una reclamación ante la Autoridad de control nacional competente, Agencia Española de Protección de Datos ( www.aepd.es ).
Versión de 15 de diciembre de 2023
