Estándares de Privacidad Global de Latham & Watkins

View in English.

INTRODUCCIÓN

Este documento establece las normas que son de aplicación en el tratamiento de Datos personales europeos (tal y como se definen a continuación) en Latham & Watkins (las “Normas”). Latham & Watkins es un bufete de abogados internacional con oficinas en 16 países de todo el mundo. La empresa trabaja sin fronteras internas y la naturaleza internacional del negocio significa que es fundamental que los datos personales puedan transferirse dentro del bufete.

Latham & Watkins, a través de su Comité ejecutivo, se ha comprometido a proteger los datos personales que se gestionan en la empresa. En particular, estos estándares se han diseñado para facilitar la transferencia de datos personales europeos en el seno de Latham & Watkins, de conformidad con el Reglamento Europeo 2016/679. 

Definiciones 

“Legislación aplicable” designa la legislación en la jurisdicción en la que esté situada una entidad de L&W, así como cualquier otra legislación a la que esté sujeta una entidad de L&W. 

“Autoridad de protección de datos” o “APD” designa a la autoridad supervisora responsable de supervisar e imponer el cumplimiento de la legislación relativa a la protección de datos en un país concreto. 

El “EEE” es el Espacio Económico Europeo. 

“Legislación europea en materia de privacidad” designa las leyes nacionales que implementan el Reglamento europeo 2016/679, la Directiva 2002/58 (y cualquier legislación que la enmiende o substituya) y cualquier legislación europea relacionada en materia de privacidad. 

Los “Datos personales europeos” son aquellos datos personales i) de personal, abogados, socios, consultores, contratistas y posibles candidatos a cualquiera de los cargos mencionados recopilados y tratados en relación con la contratación y la administración de recursos humanos; ii) de clientes, posibles clientes y antiguos alumnos tratados en relación con la prestación de servicios jurídicos y/o con fines de marketing y de comunicaciones; y iii) de proveedores, distribuidores, contratistas y consejeros tratados en el contexto de las relaciones entre esas entidades y Latham & Watkins (sobre lo cual hay más información en la Notificación de privacidad de datos internos o en la Notificación interna de privacidad de datos de clientes y terceros) por cualquier entidad de L&W en calidad de responsable de tratamiento de datos que esté sujeta a la legislación europea en materia de privacidad que sea de aplicación. 

“Latham & Watkins” y “la empresa” designan a Latham & Watkins, un bufete de abogados que trabaja en todo el mundo como sociedad de responsabilidad limitada (LLP) constituida en virtud de la legislación del Estado de Delaware (EE. UU.) (la “LLP de Delaware”) con sociedades de responsabilidad limitada subsidiarias que ejercen en el Reino Unido, Francia, Italia y Singapur, así como sociedades subsidiarias que ejercen en Hong Kong y Japón y en cooperación con el bufete de abogados Salman M. Al-Sudairi situado en Arabia Saudí. Además de las anteriores, la empresa también incluye todas y cada una de las entidades que son propiedad exclusiva de la LLP de Delaware. 

“Legislación local” designa a aquellas leyes o normativas, o cualquier otra obligación que venga impuesta desde cualquier país al que toda Entidad de L&W deba estar sujeta, al margen de la Legislación europea en materia de privacidad. 

Una “Entidad de L&W” es cada una de las sociedades de responsabilidad limitada, sociedades y sociedades limitadas que formen parte de la empresa. 

Las “Cláusulas modelo” son aquellas cláusulas contractuales tipo para la cesión de datos personales a encargados o responsables del tratamiento establecidos en terceros países publicadas y aprobadas periódicamente por la Comisión Europea. 

El término “datos personales” designa la información relacionada con una persona física identificada o susceptible de ser identificada (“interesado”). Una persona susceptible de ser identificada es aquella que puede identificarse, directa o indirectamente, en particular mediante referencia a un identificador, como un nombre, un número de identificación, datos de ubicación o un identificador en línea, o mediante referencia a uno o varios factores específicos de su identidad física, fisiológica, genética, psicológica, económica, cultural o social. El término “datos personales” también incluye toda la información relacionada con aquellas personas que no sean personas físicas, siempre que así se exija en la Legislación europea en materia de privacidad que sea de aplicación. 

El “personal” designa a los socios, los abogados y el personal de Latham & Watkins.

Los “datos de categorías especiales” son aquellos datos personales europeos relativos al origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, delitos, condenas penales, orientación o vida sexual, datos genéticos o biométricos y cualquier otra categoría dentro del alcance de la legislación europea en materia de privacidad que sea de aplicación. 

Los términos “tratamiento”, “responsable del tratamiento” y “encargado del tratamiento” deben tener los significados que se les dan en el Reglamento europeo 2016/679. 

Latham & Watkins opera actualmente en los siguientes países (países en el EEE están marcados en gris)

* Latham & Watkins opera en Arabia Saudí en cooperación con la Oficina Legal del Salman M. Al-Sudairi.

NORMAS Y PRINCIPIOS

1. Principios para el tratamiento de datos

Cuando actúe como responsable del tratamiento, cada entidad de L&W, que tratará los datos personales de acuerdo con la Notificación de privacidad de datos internos o con la Notificación de privacidad de datos de clientes y terceros (según corresponda), cumplirá con estos principios: 

  • Los datos personales europeos se tratarán de manera transparente, justa y legal: los interesados los tendrán a su disposición, en la medida en que no la conozcan ya o la hayan recibido, información relacionada con la identidad de los responsables del tratamiento de datos, con los fines para los que pueden utilizarse sus datos (supeditado a cualquier restricción permitida sobre la prestación de dicha información; por ejemplo, en relación con la prevención de delitos, procedimientos judiciales o impuestos, o bien cuando la legislación aplicable lo prohíba), con la base legal para el tratamiento de datos personales y con otra información pertinente según lo requiera la legislación europea en materia de privacidad que sea de aplicación. Dicha información incluirá detalles de los derechos que pueden ejercer los interesados según la legislación europea en materia de privacidad. 
  • Los datos personales europeos se recopilarán con fines comerciales específicos, explícitos y legítimos y, salvo que la legislación europea en materia de privacidad que sea aplicable establezca lo contrario, no se tratará la información de ninguna otra forma que sea incompatible con dichos fines. 
  • Los datos de categorías especiales se tratarán únicamente en la medida en que sea estrictamente necesario para los fines comerciales legítimos de la empresa y de conformidad con cualquier medida de salvaguarda que establezca la legislación europea en materia de privacidad que sea de aplicación. 
  • Se tomarán las medidas apropiadas para garantizar que los datos personales europeos que se recopilen y traten sean adecuados y nunca excesivos, así como que sean pertinentes, precisos y, siempre que sea necesario, que se mantengan actualizados. También se tomarán las medidas apropiadas para corregir o suprimir datos personales puntualmente cuando se determine que no son precisos. 
  • Los datos personales europeos no se conservarán durante un tiempo mayor del que sea estrictamente necesario para los fines para los que dichos datos fueron tratados y se conservarán de conformidad con las políticas de conservación de datos de la empresa que estén documentadas (en virtud de requisitos normativos y exigencias de la legislación europea en materia de privacidad que sea de aplicación). 
2. Seguridad de los datos

Teniendo en cuenta las posibilidades técnicas más recientes y el coste de su aplicación, cada entidad de L&W tomará las medidas técnicas y organizativas que sean apropiadas para proteger los datos personales europeos frente a destrucciones accidentales o ilícitas, pérdidas accidentales, alteraciones, daños, divulgaciones o accesos no autorizados, en especial cuando el tratamiento implique la transmisión de datos a través de una red, así como frente a todas las demás formas de tratamiento ilícito. Las medidas garantizarán un nivel de seguridad apropiado a los riesgos que representen el tratamiento de los datos y la naturaleza de los datos personales europeos que deben protegerse, para que aquella información que pertenezca a categorías especiales o sea de naturaleza altamente confidencial reciba una mayor protección. Dichas medidas incluirán, cuando proceda: 

  • uso de seudónimos; 
  • cifrado; 
  • confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios; 
  • instalaciones de copias de seguridad y de recuperación ante desastres; y 
  • procesos para probar, valorar y evaluar la efectividad de las medidas de seguridad. 

Todas las entidades de L&W deberán notificar a la Oficina global de privacidad de datos,a la siguiente dirección de correo electrónico GlobalDPO@lw.com, sin demora, cualquier violación de la seguridad que haya llevado a la destrucción accidental o ilegal, pérdida, alteración, acceso o divulgación no autorizados de los datos personales europeos que trate dicha entidad de L&W (una "violación de la seguridad"). La Oficina global de privacidad de datos llevará un registro apropiado que documente la violación de la seguridad, cualquier impacto potencial en los interesados y cualquier medida correctiva que se haya tomado. La Oficina global de privacidad de datos garantizará también que se notifique a las autoridades de protección de datos pertinentes y a los interesados afectados según se requiera de conformidad con la legislación europea en materia de privacidad. La Oficina global de privacidad de datos compartirá los registros de violaciones de la seguridad relativos a los datos personales europeos tratados por una entidad de L&W en calidad de responsable de tratamiento de la EEE con la APD de su país o su jurisdicción si dicha APD lo requiere. 

Cada una de las entidades de L&W tomará las medidas oportunas para garantizar la fiabilidad de aquel personal que tenga acceso o responsabilidad sobre datos personales europeos, incluido el tratamiento de datos personales de conformidad con las instrucciones de la empresa. 

La sección 7 describe las políticas de la empresa relativas a la seguridad de la información y la función de privacidad. El Comité de seguridad, descrito en la sección 7, es responsable de todas las políticas y normas relativas a la seguridad de la información que existen dentro de la empresa. Las políticas y procedimientos de la empresa, y las modificaciones que de estos se hagan periódicamente, establecen las normas detalladas de la empresa relativas a la seguridad de la información, con las que se debe cumplir. 

3. Trabajar con encargados del tratamiento de los datos 

Cuando una entidad de L&W contrate los servicios de otra entidad de L&W como encargada del tratamiento de datos para tratar datos personales europeos en su nombre, dicho encargado del tratamiento de datos cumplirá con los requisitos pertinentes de estas normas y, si es necesario, las partes implementarán y cumplirán los términos de cualquier acuerdo adicional que pueda requerir la legislación europea en materia de privacidad que sea de aplicación. 

Cuando una Entidad de L&W contrate los servicios de un encargado de tratamiento de datos para que trate Datos personales europeos en su nombre y dicho encargado sea un tercero, la Entidad de L&W seleccionará un encargado del tratamiento que proporcione las garantías necesarias sobre el nivel de seguridad que utilizará respecto de los Datos personales europeos que deben ser tratados. La entidad de L&W garantizará que se celebra, con los terceros que actúen como encargados del tratamiento de datos, un contrato en el que queden cubiertos los requisitos pertinentes sobre la legislación europea en materia de privacidad que sea de aplicación. 

Cuando la Entidad de L&W esté establecida en el EEE y contrate a un tercero establecido fuera del EEE como encargado del tratamiento de datos para que trate Datos personales europeos en su nombre, la Entidad de L&W adoptará una de las siguientes medidas: 

  • garantizar que existe un contrato en vigencia con el encargado del tratamiento de datos, que tenga esencialmente la forma de las Cláusulas modelo para los encargados del tratamiento de datos (supeditadas a cualquier modificación que pueda estar permitidas en la legislación europea en materia de privacidad que sea de aplicación) o bien en una forma que incorpore las condiciones de dichas cláusulas; o 
  • garantizar que otras medidas de protección apropiadas están vigentes, de conformidad con la legislación europea en materia de privacidad que sea de aplicación, con objeto de salvaguardar los datos personales europeos. 

Para determinar si se requiere que un contrato que incorpore las condiciones de las Cláusulas modelo en estas circunstancias, cada una de las Entidades de L&W que estén dentro del EEE deberán seguir las medidas dispuestas en el Apéndice 2. 

Si una Entidad de L&W (que actúa como responsable del tratamiento de datos) transfiere Datos personales europeos a un tercero responsable del tratamiento ajeno a la empresa, la Entidad de L&W se asegurará de que dichas transferencias se lleven a cabo de conformidad con los requisitos de la Legislación europea en materia de privacidad que sea de aplicación. Siempre que lo exija la Legislación europea en materia de privacidad que sea de aplicación, o bien que esta, de alguna forma, lo permita y considere apropiado, la Entidad de L&W pondrá en marcha medidas para salvaguardar los Datos personales europeos y los derechos de los particulares. Dichas medidas de protección pueden tener la forma de un contrato, tanto en la forma de las Cláusulas modelo para transferencias entre responsables del tratamiento de datos, como en cualquier otra forma que proporcione un nivel de protección adecuado. 

4. Formación del personal

Latham & Watkins mantiene un programa para la concienciación sobre la privacidad y seguridad, que se centra en educar a todo el personal, abogados y asistentes legales acerca de las políticas de privacidad y de seguridad de la empresa, así como acerca de las mejores prácticas de privacidad y de seguridad. Existen multitud de canales de comunicación que se usan para difundir información sobre concienciación de privacidad y seguridad. Existen guías con iniciativas y folletos con consejos sobre concienciación acerca de mejores prácticas de privacidad y seguridad disponibles para todo el personal en páginas de intranet dedicadas a la privacidad y seguridad. 

Cada Entidad de L&W también se asegurará de que se le proporciona asesoramiento y formación adecuados al personal que tenga acceso o responsabilidades sobre el tratamiento de datos personales. 

5. Conflicto con la legislación local applicable

Si una entidad de L&W tiene razones para estimar que la legislación, normativas u otras obligaciones jurídicas locales aplicables impiden que dicha entidad cumpla las Normas y que este hecho puede tener un efecto adverso considerable sobre las garantías dispuestas por dichas Normas, la Entidad de L&W informará inmediatamente al Comité de privacidad (según se define a continuación), excepto si la legislación o una autoridad para el cumplimiento de la legislación prohíbe hacerlo, por ejemplo para mantener la confidencialidad de una investigación en cumplimiento de la legislación. El Comité de privacidad llevará registros de todas estas notificaciones y de las medidas tomadas en relación con ellas. 

El Comité de privacidad tomará todas las decisiones necesarias en relación con cualquier medida que se requiera tras una notificación de este tipo por parte de una entidad de L&W, y dicha entidad cumplirá con todas las instrucciones dispuestas por el Comité de privacidad. El Comité de privacidad reconoce que las entidades de L&W no deberían transferir datos personales europeos a ninguna autoridad pública si dichos datos son de muy gran escala, desproporcionados o indiscriminados más allá de lo necesario en una sociedad democrática. El Comité de privacidad puede pedir asesoramiento a la APD correspondiente en cualquier momento, incluido asesoramiento sobre cómo tratar un conflicto entre las normas y la legislación local aplicable. 

El Comité de privacidad informará a la APD pertinente si determina que es probable que la legislación local tenga un efecto adverso sustancial sobre las garantías que proporcionan las normas, excepto si la legislación o una autoridad para el cumplimiento de la legislación prohíbe hacerlo, por ejemplo para mantener la confidencialidad de una investigación en cumplimiento de la legislación. Si tal prohibición estuviera vigente, el Comité de privacidad ordenará a la entidad de L&W pertinente que haga todo lo posible para obtener una exención de la restricción, con tal de permitir la divulgación de toda la información posible a la APD pertinente lo más rápidamente posible, y le ordenará también que guarde un registro de sus esfuerzos a este respecto. 

El Comité de privacidad guardará un registro de cualquier divulgación de datos personales europeos que la empresa se vea obligada a realizar y que tenga probabilidades de tener un efecto adverso sustancial en las garantías que proporcionan estas Normas; además, dicho comité proporcionará un resumen anual de dichas divulgaciones a la APD pertinente (teniendo en cuenta cualquier restricción impuesta por la legislación o por las autoridades para el cumplimiento de la legislación). 

Siempre que la legislación local aplicable exija un nivel de protección más elevado para los datos personales europeos que aquel que se establece en estas Normas, las disposiciones de la legislación local aplicable tendrán prioridad. 

6. Asistencia mutua y cooperación con las autoridades de protección de datos

Cada Entidad de L&W cumplirá las instrucciones que haya dispuesto la APD en su país o jurisdicción, en la medida en que estas estén relacionadas con estas Normas o con el tratamiento de Datos personales europeos en general. Asimismo, tendrá en cuenta todo consejo que la APD le proporcione sobre la interpretación de estas Normas. 

Las Entidades de L&W se ayudarán mutuamente a la hora de responder a cualquier pregunta o investigación de una APD en relación con estas Normas. 

Las Entidades de L&W también se ayudarán mutuamente a la hora de responder a una pregunta o queja por parte de un interesado, en relación con estas Normas o con el tratamiento de sus Datos personales europeos. 

REGLAS VIGENTES Y CUMPLIMIENTO

7. Políticas, responsabilidad y función de privacidad de Latham & Watkins

7.1 Políticas y directrices 

La empresa ha puesto en marcha políticas detalladas, normas, procedimientos y documentos de orientación aprobados por el Comité de privacidad y el Comité de seguridad, que periódicamente se actualizan y modifican, para describir en profundidad las reglas y procesos que deben seguirse para cumplir con estas normas y, en particular, con los principios de tratamiento de datos que se establecen en la sección 1 y con las obligaciones sobre seguridad de la información que se establecen en la sección 2. Los empleados pueden encontrar detalles adicionales sobre las políticas pertinentes en la sección sobre políticas en la intranet de la empresa. 

7.2 Responsabilidad 

La empresa llevará registros de sus actividades de tratamiento de datos relacionadas con datos personales europeos según lo dispuesto en la legislación europea en materia de privacidad. Cuando así se solicite, dichos registros deberán ponerse a disposición de las autoridades de protección de datos de los países de la EEE en los que la empresa opere. 

7.3 Comités de privacidad y de seguridad 

El Comité de privacidad y el Comité de seguridad de Latham & Watkins son independientes pero están estrechamente ligados; están presididos por socios de la empresa y responden ante el Comité ejecutivo de la empresa. Mientras que el Comité de privacidad se centra principalmente en sensibilizar sobre la legislación en materia de privacidad y sobre las Normas (así como sobre las políticas relacionadas) y en hacer que se cumplan, el Comité de seguridad se centra en el desarrollo y puesta en práctica de la política y normas de la empresa relativas a la seguridad de la información y en el plan de respuesta ante incidentes de la empresa. El Comité de seguridad es responsable de las políticas de seguridad, normas, directrices y prácticas de la empresa, incluida la adhesión y la Política sobre el uso aceptable de los sistemas de comunicación; por otro lado, el Comité de privacidad supervisa los asuntos internos en materia de privacidad, tales como los acuerdos sobre transferencia de datos, acuerdos sobre el tratamiento de datos con proveedores, el cumplimiento con los requisitos reguladores locales, las actualizaciones internas de privacidad (incluidas aquellas de la Política sobre el uso aceptable de los sistemas de comunicación), la formación y las notas de orientación y consultas sobre privacidad provenientes de oficinas locales. El Comité de privacidad es responsable de hacer que se cumplan estas Normas. 

El Comité de privacidad y el Comité de seguridad tienen la responsabilidad conjunta de garantizar que la empresa tiene un enfoque proactivo sobre la privacidad, incorporando los principios de privacidad por norma y por defecto, y que dicho enfoque no es solo una reacción a violaciones de datos o a otros errores. Este enfoque incluirá el uso de técnicas (como la minimización de datos) diseñadas para limitar el tratamiento de datos al estrictamente necesario para los fines en cuestión y para proteger los datos de los interesados. 

El Comité de privacidad es responsable de efectuar Evaluaciones del Impacto de la Protección de Datos ("EIPD") según lo requiera la legislación europea en materia de privacidad. Cuando una EIPD indique que es probable que el tratamiento de datos suponga un alto riesgo para los derechos y las libertades de las personas a las que pertenecen los datos personales europeos, si no se han tomado medidas para mitigar dicho riesgo, el Comité de privacidad consultará con la APD pertinente de conformidad con la legislación europea en materia de privacidad. 

7.4 Personal de privacidad 

La Oficina global de privacidad de datos de Latham & Watkins trabaja estrechamente con los Comités de privacidad y de seguridad y con los abogados responsables de privacidad de los datos en las distintas ubicaciones de la empresa para desarrollar, interpretar y supervisar las prácticas de privacidad de datos, las políticas y procedimientos del bufete. Asimismo, contribuye a la planificación estratégica y a la puesta en práctica de objetivos y metas pertinentes al cumplimiento de la privacidad de datos y a las mejores prácticas en todas las oficinas de Latham & Watkins. La Oficina global de privacidad de datos también proporciona orientación y asesoramiento a todos los directivos, supervisores, abogados y demás personal en relación con las mejores prácticas de privacidad. En caso de incumplimiento o posible incumplimiento de las Normas, la Oficina global de privacidad de datos informará de dicho incumplimiento o posible incumplimiento al Comité de privacidad, que puede decidir tanto si las hace cumplir como si es necesario adoptar otras medidas. 

El director ejecutivo de Información de Latham & Watkins forma parte del Comité de seguridad de la empresa y supervisa las responsabilidades de seguridad del directivo de Seguridad de la información. El directivo de Seguridad de la información es el responsable de mantener programas de administración de seguridad de la información en Latham & Watkins. Esto incluye el establecimiento de procedimientos para supervisar, hacer cumplir y monitorizar el cumplimiento con las políticas y normas sobre seguridad de la información de la empresa. 

Cada uno de los sistemas o instancias que sirve de apoyo en una práctica o función comercial en la empresa tiene un responsable de la información. El responsable de la información es un representante de la administración de la empresa y es responsable de la protección del sistema o de la instancia. Además, los directores de tecnología de la oficina y los líderes son responsables del apoyo y administración de las políticas y normas de seguridad de la información de la empresa en sus respectivas ubicaciones. 

El administrador de la oficina de cada ubicación trabaja junto con el socio de gestión de la oficina y con el director ejecutivo de Operaciones para desarrollar, interpretar y supervisar las prácticas de la empresa, las políticas y los procedimientos para la puesta en práctica. Asimismo, contribuye a la planificación e implementación estratégica de metas y objetivos en la oficina de Latham & Watkins que proceda. El administrador de la oficina proporciona asesoramiento y consejo a todos los directores, supervisores, abogados y demás personal en relación con las operaciones comerciales generales de la empresa. Además, es también responsable de gestionar preguntas y cuestiones comerciales cuya solución corresponda a un órgano de más rango. 

8. Responsabilidad de cumplimiento

Es necesario que todo el personal de Latham & Watkins cumpla estas Normas. Excepto la oficina de París, deberán indicar cada año que aceptan estas Normas, junto con la versión más actualizada de la Política de la empresa sobre el uso aceptable de los sistemas de comunicación. Las normas se comunicarán al personal de la oficina de París de Latham & Watkins mediante las reglas internas de las oficinas (“règlement intérieur”), a las que el personal puede acceder a través de la página de intranet de las oficinas o mediante una notificación física que se coloque en la cafetería de la oficina. En virtud de la legislación francesa, todo el personal de la oficina de Francia tiene que cumplir el règlement intérieur. Si no se cumplen las normas (o el règlement intérieur en el caso de la oficina de París) se estará cometiendo una falta disciplinaria que podría acarrear medidas disciplinarias que podrían incluir hasta la finalización del empleo o la expulsión de la sociedad. 

La empresa ha celebrado un acuerdo que compromete a todas las Entidades de L&W que tratan Datos personales europeos a que cumplan las Normas, el Acuerdo de normas empresariales vinculantes (Acuerdo BCR). La empresa ha nombrado a Latham & Watkins (London) LLP (“L&W London”) como Entidad de L&W con responsabilidades delegadas de protección de datos en el EEE. La Oficina global de privacidad de datos, que puede ser contactada a través del correo electrónico siguiente: GlobalDPO@lw.com, es el contacto en caso de formularse preguntas o tener quejas relacionadas con el cumplimiento de las Normas. L&W London adoptará las medidas oportunas para poner remedio a todo incumplimiento de las Normas, que podrá hacer cumplir de forma contractual a través del Acuerdo de normas empresariales vinculantes. 

L&W London acepta la responsabilidad de adoptar medidas que pongan remedio a actos y omisiones de otras Entidades de L&W de fuera del EEE que incumplan estas Normas y para que paguen una compensación por cualquier daño resultante de dicho incumplimiento por parte de las Entidades de L&W que no pertenezcan al EEE. En consecuencia, todas las reclamaciones que vengan de oficinas de Latham & Watkins ubicadas fuera del EEE deberán ser presentadas ante la oficina de Latham & Watkins en Londres. Todas las reclamaciones contra oficinas de Latham & Watkins ubicadas dentro del EEE deberán ser presentadas ante dicha oficina de Latham & Watkins. 

Con objeto de descargar la responsabilidad en virtud de cualquier reclamación presentada por un interesado, L&W London debe demostrar, bien que no se ha producido tal incumplimiento, o bien que la Entidad de L&W situada fuera del EEE no es responsable de un incumplimiento de las Normas que resultó en daños u otros remedios reclamados por el interesado. 

9. Programa de auditoría para verificar el cumplimiento

Latham & Watkins se compromete a poner en marcha las siguientes medidas para analizar y verificar el cumplimiento de estas Normas y de la legislación aplicable en materia de protección de datos: 

  • Auditorías internas: el equipo interno de auditorías de la empresa, los miembros del Comité de privacidad y/o la Oficina global de privacidad de datos llevan a cabo auditorías periódicas en las que se evalúa la seguridad de la información y el cumplimiento dentro de la empresa. Cada Entidad de L&W se auditará de forma regular tal y como se exija, dentro de lo razonable, en el plan de auditoría basada en riesgos de la empresa. El alcance de estas auditorías se ha ampliado para incluir pruebas del cumplimiento de estas Normas en la empresa. Los resultados de las auditorías se comunicarán al Comité de auditorías de la empresa, en la medida en la que dichos resultados guarden relación con la privacidad o con la seguridad de la información, y los resultados importantes se comunicarán al Comité ejecutivo. Se requerirá a cada una de las entidades de L&W que ejecute cualquier acción correctiva identificada en dichas auditorías como necesaria para el cumplimiento de estas normas, y el Comité de auditorías supervisará la ejecución. 
  • Auditorías externas: auditorías para demostrar la seguridad de los sistemas comerciales de la empresa, que se llevan a cabo anualmente por parte de auditores externos a la empresa. Cualquier Entidad de L&W podrá concertar auditorías externas adicionales y específicas. Los resultados de las auditorías se comunicarán al Comité de privacidad de la empresa, en la medida en la que dichos resultados guarden relación con la privacidad o con la seguridad de la información. 
  • Facilitar los resultados de las auditorías a las APD del EEE: en la medida en la que estén relacionadas con el cumplimiento de estas Normas, una Entidad de L&W del EEE compartirá los resultados de las auditorías externas o internas con la APD de su país o jurisdicción, en caso de que la APD se lo solicite. 
  • Sometimiento a auditorías de la APD: cada Entidad de L&W tendrá que permitir que la APD del país o jurisdicción del EEE en la que lleve a cabo la actividad comercial audite su trabajo en dicho país o jurisdicción del EEE, con los fines de comprobar el cumplimiento de estas Normas y de la legislación aplicable en materia de protección de datos. 
10. Actualizaciones

El Comité de privacidad al que se hace referencia en la sección 7.3 revisará estas normas, se asegurará de que se actualizan regularmente y comunicará las actualizaciones pertinentes a las entidades de L&W. El Comité de privacidad se asegurará de que todos los cambios en la estructura de la empresa quedan reflejados en estas Normas y de que todas las Entidades de L&W que se vayan incorporando tengan que aceptar y cumplir las condiciones de estas Normas. 

El Comité de privacidad mantendrá informado al Comité de seguridad de todas las actualizaciones y también informará de ellas a la APD pertinente según proceda. 

Las disposiciones no confidenciales de estas Normas (incluido el contenido del Apéndice 1, Procedimiento sobre reclamaciones de privacidad de los datos) se publicarán en la página de Internet y en la de intranet de Latham & Watkins. El texto completo de las Normas se pondrá, a petición, a disposición (en virtud del contrato de confidencialidad) de cualquier interesado que desee ejercer su derecho de compensación, que se describe en el Procedimiento sobre reclamaciones de privacidad de los datos del Apéndice 1. 

DERECHOS DE LOS INTERESADOS

11. Derecho de acceso, rectificación y oposición (marketing y elaboración de perfiles incluidos) 

Cada entidad de L&W reconoce que los interesados tienen los siguientes derechos como terceros beneficiarios en relación con la entidad de L&W en su capacidad de responsable del tratamiento de datos personales europeos: 

  • el derecho a recibir información sobre el modo en que trata sus datos personales la entidad de L&W pertinente en su capacidad de responsable del tratamiento de datos personales europeos, lo que incluye derecho a recibir una copia de estas Normas y del procedimiento de reclamaciones sobre privacidad de datos; 
  • el derecho a recibir una copia de los datos personales europeos que la entidad de L&W conserva sobre ellos (lo que incluye el modo de tratar dichos datos y el fin con el que se tratan), dentro de los plazos e intervalos que se especifiquen en la legislación europea en materia de privacidad que sea de aplicación, en virtud del pago de cualquier honorario que la entidad de L&W tenga permitido cobrar de acuerdo con la Legislación europea en materia de privacidad que sea de aplicación, y en virtud de cualquier derecho a rechazar dicha solicitud, tanto en su totalidad como en parte, que pueda tener la entidad de L&W de acuerdo con la legislación europea en materia de privacidad que sea de aplicación; 
  • el derecho a que se actualicen, rectifiquen o completen sus datos personales europeos, en especial a causa de la naturaleza incompleta o inexacta de dichos datos, en virtud de las disposiciones de la legislación europea en materia de privacidad que sea de aplicación; 
  • el derecho a que se borren sus datos personales europeos, en virtud de las disposiciones de la legislación europea en materia de privacidad que sea de aplicación; 
  • el derecho a restringir el tratamiento de sus datos personales europeos, en virtud de las disposiciones de la legislación europea en materia de privacidad que sea de aplicación; 
  • el derecho a recibir en un formato estructurado, de uso común y legible por máquina, los datos personales europeos que el interesado haya proporcionado a una entidad de L&W en su capacidad de responsable de tratamiento de datos personales europeos, y a transmitir dichos datos personales a otro responsable del tratamiento de los datos personales, en virtud de las disposiciones de la legislación europea en materia de privacidad que sea de aplicación; 
  • siempre que lo exijan las disposiciones de la legislación europea en materia de privacidad que sea de aplicación, el derecho a no recibir material de marketing directo sin haber prestado antes su consentimiento y, en cualquier caso, el derecho a oponerse en todo momento al tratamiento de sus datos personales (incluida la elaboración de perfiles) con fines de marketing directo; 
  • el derecho a oponerse en todo momento al tratamiento de datos personales europeos, en virtud de las disposiciones de la legislación europea en materia de privacidad que sea de aplicación; y 
  • el derecho a oponerse a decisiones que supongan que sus datos personales europeos se registren solamente mediante medios de tratamiento automatizado, incluida la elaboración de perfiles, si dichas decisiones evalúan sus características personales o su comportamiento y producen efectos legales que les afectan significativamente o están relacionados con ellos (excepto en la medida en que lo permitan las salvaguardas que contenga la legislación europea en materia de privacidad que sea de aplicación y con sujeción a estas). 
12. Incumplimiento de estas Normas

Latham & Watkins reconoce que los interesados tienen derecho a hacer valer los siguientes derechos frente a la empresa, con respecto a los Datos personales europeos, en tanto que terceros beneficiarios: 

  • el derecho a estar informados (con sujeción a las excepciones o exenciones que prevea la legislación europea en materia de privacidad que sea de aplicación) cuando se transfieran datos de categorías especiales a un país fuera del EEE donde no se provea una protección apropiada para dichos datos; 
  • el derecho a obtener una copia de estas Normas si lo solicitan (en virtud de cualquier acuerdo de confidencialidad que la empresa o la Entidad de L&W que gestione la solicitud exija dentro de lo razonable); 
  • el derecho a recibir una respuesta, en un plazo razonable y nunca más tarde de un 1 mes desde que se realice la solicitud, a todas las consultas relativas al tratamiento de los datos personales europeos del interesado fuera del EEE; 
  • el derecho a poner una reclamación y a conseguir la compensación que sea adecuada (incluida, cuando proceda, una indemnización por daños y perjuicios) como resultado del incumplimiento de estas Normas por parte de una entidad de L&W (salvo todo incumplimiento de las disposiciones que esté relacionado con la formación del personal, con las políticas y la función de privacidad de Latham & Watkins, con el programa de auditoría y con las actualizaciones de estas Normas); 
  • el derecho a poner una reclamación ante una autoridad de protección de datos del Espacio Económico Europeo del país de residencia habitual del interesado o de su lugar de trabajo, o del lugar en que se haya producido el supuesto incumplimiento de estas Normas; y 
  • el derecho a pedir una satisfacción judicial efectiva en el tribunal apropiado del Espacio Económico Europeo, que puede estar en la jurisdicción en la que esté establecida la entidad de L&W pertinente o en el lugar de residencia habitual del interesado. 
13. Cumplimiento de los derechos de los interesados

El proceso para ejercer los derechos que se describen en la sección 12 se establece en mayor detalle en el Procedimiento de reclamaciones sobre privacidad de datos de Latham & Watkins, del Apéndice 1 a estas normas. 

Todo interesado que desee hacer valer sus derechos puede presentar una reclamación ante la Oficina global de privacidad de datos a través del correo electrónico GlobalDPO@lw.com, o ante la APD o los tribunales del territorio en el que esté ubicada la entidad de L&W pertinente. 

Todo interesado que quiera hacer valer sus derechos en virtud de estas Normas tendrá que aportar pruebas que den lugar a causas judiciales que, a primera vista, demuestren que se ha producido un incumplimiento. 

Fecha de entrada en vigor de las Normas: septiembre de 2016 

Actualizado en julio de 2020

Apéndice 1 Procedimiento de reclamaciones sobre privacidad de datos de Latham & Watkins