Estándares de Privacidad Global de Latham & Watkins

View in English.

INTRODUCCIÓN

El presente documento establece las normas aplicables al tratamiento de Datos Personales Europeos (tal y como se definen más adelante) en Latham & Watkins (las "Normas"). Latham & Watkins es un bufete de abogados global con oficinas en 15 países de todo el mundo. La firma opera sin fronteras internas y el carácter internacional de la actividad hace que sea vital que los datos personales puedan transferirse dentro de la firma.

Latham & Watkins, a través de su Comité ejecutivo, se ha comprometido a proteger los datos personales que se gestionan en la firma. En particular, estos estándares se han diseñado para facilitar la transferencia de Datos Personales Europeos en el seno de Latham & Watkins, de conformidad con el Reglamento Europeo 2016/679. 

Definiciones 

“Legislación aplicable” designa la legislación en la jurisdicción en la que esté situada una entidad de L&W, así como cualquier otra legislación a la que esté sujeta una entidad de L&W. 

Acuerdo BCR” significa el acuerdo que compromete a todas las Entidades de L&W que tratan Datos Personales Europeos a cumplir las Normas.

Autoridad de protección de datos” o “APD” designa a la autoridad supervisora responsable de supervisar e imponer el cumplimiento de la legislación relativa a la protección de datos en un país concreto. 

DPIA” significa evaluación de impacto de la protección de datos según se define en el Art. 35 DEL GDPR.

El “EEE” es el Espacio Económico Europeo. 

“Legislación europea de privacidad de datos” designa las leyes nacionales que implementan el Reglamento europeo 2016/679, la Directiva 2002/58 (y cualquier legislación que la enmiende o substituya) y cualquier legislación europea relacionada en materia de privacidad. 

Los “Datos Personales Europeos” son aquellos datos personales i) del personal, abogados, socios, consultores, contratistas y posibles candidatos a cualquiera de los cargos mencionados recopilados y tratados en relación con la contratación y la administración de recursos humanos; ii) de clientes, posibles clientes y antiguos alumnos tratados en relación con la prestación de servicios jurídicos y/o con fines de marketing y de comunicaciones; y iii) de proveedores, distribuidores, contratistas y consejeros tratados en el contexto de las relaciones entre esas entidades y Latham & Watkins (más información sobre los cuales se establece en la Declaración de Tratamiento Justo de Datos de Todo el Personal, la Política de Privacidad de Contratación, la Política de Privacidad de Antiguos Alumnos o el Aviso de Privacidad de Datos de Clientes y Terceros) por cualquier entidad de L&W en calidad de responsable de tratamiento de datos que esté sujeta a la legislación europea en materia de privacidad que sea de aplicación.

"GDPR" significa el Reglamento Europeo 2016/679.

"Latham & Watkins" y "la firma" se refieren a Latham & Watkins, una firma que opera en todo el mundo como sociedad de responsabilidad limitada constituida conforme a las leyes del Estado de Delaware (EE.UU.) (la "Delaware LLP") con sociedades de responsabilidad limitada afiliadas que ejercen en Francia, Italia, Hong Kong, Singapur, Reino de Arabia Saudí y Reino Unido y como sociedad afiliada que ejerce en Japón. Latham & Watkins opera en Corea del Sur como Foreign Legal Consultant Office, y además de lo anterior, la firma también incluye todas y cada una de las entidades que son propiedad en su totalidad de la LLP de Delaware.

“Legislación local” designa a aquellas leyes o normativas, o cualquier otra obligación que venga impuesta desde cualquier país al que toda Entidad de L&W deba estar sujeta, al margen de la Legislación europea en materia de privacidad. 

Una “Entidad de L&W” es cada una de las sociedades de responsabilidad limitada, sociedades y sociedades limitadas que formen parte de la firma.

L&W Alemania” significa la oficina de Frankfurt de Latham & Watkins.

Las “Cláusulas tipo” son aquellas cláusulas contractuales tipo para la cesión de datos personales a encargados o responsables del tratamiento establecidos en terceros países publicadas y aprobadas periódicamente por la Comisión Europea. 

El término “datos personales” designa la información relacionada con una persona física identificada o susceptible de ser identificada (“interesado”). Una persona susceptible de ser identificada es aquella que puede identificarse, directa o indirectamente, en particular mediante referencia a un identificador, como un nombre, un número de identificación, datos de ubicación o un identificador en línea, o mediante referencia a uno o varios factores específicos de su identidad física, fisiológica, genética, psicológica, económica, cultural o social. El término “datos personales” también incluye toda la información relacionada con aquellas personas que no sean personas físicas, siempre que así se exija en la Legislación europea en materia de privacidad que sea de aplicación. 

El “personal” designa a los socios, los abogados y el staff de Latham & Watkins.

"Vulneración de la seguridad": cualquier violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a Datos Personales Europeos que sean objeto de tratamiento por parte de una Entidad de L&W.

Los "datos de categoría especial" son los Datos Personales Europeos relativos al origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los delitos, las condenas penales, la salud, la orientación sexual o la vida sexual, los datos genéticos y biométricos y cualquier otra categoría especial contemplada en la legislación de la UE aplicable en materia de privacidad.

Los términos “tratamiento”, “responsable del tratamiento” y “encargado del tratamiento” deben tener los significados que se les dan en el Reglamento europeo 2016/679. 

Latham & Watkins opera actualmente en los siguientes países (países en el EEE están marcados en gris)

País

Oficinas

Datos de contacto en el país
Estados Unidos Austin, Boston, Century City, Chicago, Houston, Los Angeles, Los Angeles GSO, New York, Orange County, San Diego, San Francisco, Silicon Valley, Washington D.C. 1271 Avenue of the Americas, New York, NY 10020
Reino Unido Londres 99 Bishopsgate, London EC2M 3XF, United Kingdom
Bélgica Bruselas Boulevard du Régent, 43-44, B-1000 Brussels, Belgium
Francia Paris 45, rue Saint-Dominique, Paris 75007, France
Italia Milán Corso Matteotti, 22, Milano, 20121, Italy 
Alemania Frankfurt, Munich, Hamburgo, Dusseldorf
 		 Reuterweg 20, 60323 Frankfurt am Main, Germany 
España Madrid Plaza de la Independencia 6, Madrid 28001, Spain 
Arabia Saudí Riad Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia 
Emiratos Árabes Unidos Dubai ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates 
Corea del Sur Seúl 29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea 
China Pekín Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People's Republic of China 
Hong Kong Hong Kong 18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong 
Singapur Singapur 9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 
Japón Tokio Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan 
Israel Tel Aviv 28 HaArba’a Street, North Tower, 34th floor, Tel Aviv, 6473925, Israel 

Estas Normas se aplican al tratamiento de Datos Personales Europeos por parte de las Entidades de L&W que están sujetas a las Leyes de Privacidad aplicables de la UE.

Estas Normas se aplican a la transferencia de datos personales de empleados, solicitantes de empleo, clientes y terceros.

Los datos personales de los empleados, por ejemplo, incluyen:

  • identificadores (por ejemplo, nombre, información de contacto, contactos de emergencia, fotografías, idoneidad para el puesto de trabajo y números de identificación);
  • datos personales y familiares (por ejemplo, lugar de nacimiento, estado civil, nacionalidad, ciudadanía, número de miembros en la unidad familiar, datos del pasaporte y del visado);
  • información sanitaria (por ejemplo, discapacidades, registros de ausencias por enfermedad, informes de accidentes, información sobre reconocimientos médicos, información sobre salud laboral, preferencias de comidas y alergias alimentarias);
  • datos relativos a la gestión y el desarrollo de la carrera profesional (por ejemplo, categoría del empleado, situación a tiempo completo/parcial, formación y cualificaciones, conocimiento de idiomas, referencias, comprobación de antecedentes, experiencia profesional);
  • los datos relativos a la ejecución y rescisión del contrato de trabajo o compromiso (p. ej. fechas de contratación, identificación del empleado, registro horario, tiempo de trabajo y vacaciones, evaluaciones del rendimiento, formación, procedimientos disciplinarios y reclamaciones, entrevista de salida);
  • datos financieros (por ejemplo, remuneración, compensación, salario, prestaciones, detalles de la cuenta bancaria, número de identificación fiscal/seguridad social);
  • grabaciones de audio y vídeo (por ejemplo, grabaciones de CCTV, reuniones en línea y seminarios web, eventos y publicaciones);
  • datos relacionados con el uso de los sistemas de control de acceso a los edificios y el acceso y uso de los equipos y recursos de oficina;
  • datos relacionados con viajes a efectos de la relación laboral o como parte de programas de beneficios para empleados.

Los datos personales de los solicitantes de empleo, por ejemplo, incluyen:

  • la información incluida en la solicitud (por ejemplo, nombre, información de contacto, experiencia laboral y educativa y cualificaciones, prueba de idoneidad para el puesto de trabajo, identificadores y más información sobre el CV);
  • información sensible (por ejemplo, raza u origen étnico, discapacidades);
  • información recogida durante las entrevistas y evaluaciones (por ejemplo, notas de la entrevista, comentarios, información recogida a través de las evaluaciones y la entrevista en vídeo);
  • información sobre el uso del portal de contratación y del sitio web (por ejemplo, información sobre la dirección IP recogida a través de cookies);
  • información de terceros, como referencias y reclutadores;
  • la información necesaria para realizar la comprobación de antecedentes previos a la contratación (por ejemplo, antecedentes penales, verificación de cualificaciones y empleo);
  • información sobre el acceso al edificio, grabaciones de las cámaras de seguridad).

Información relacionada con clientes y terceros, por ejemplo,:

  • identificadores (por ejemplo, nombre, información de contacto y números de identificación);
  • información biométrica (por ejemplo, fotografías);
  • información comercial;
  • información profesional o relacionada con el empleo;
  • medios de comunicación social y noticias de dominio público;
  • características de las clasificaciones protegidas (por ejemplo, nacionalidad, afiliación política, estatus de ciudadanía); y 
  • grabaciones de audio y vídeo (por ejemplo, grabaciones de CCTV, reuniones en línea y seminarios web).

El tratamiento de los Datos Personales Europeos se basa, según proceda, en:

  • consentimiento, art 6 subsección 1 lit. a y art 9 subsección 2 lit a GDPR, 
  • ejecución de un contrato, art 6 subsección 1 lit. b GDPR,
  • cumplimiento de una obligación legal, art 6 subsección 1 lit. c GDPR,
  • interés legítimo, art 6 subsección 1 lit. f GDPR,
  • cumplimiento de obligaciones y ejercicio de derechos específicos en el ámbito del empleo, art. 9 subsección 2 lit b GDPR,
  • establecimiento, ejercicio o defensa de reclamaciones legales, art 9 subsección 2 lit f GDPR

Los Datos Personales Europeos pueden transferirse a través de la red de la empresa a los lugares descritos en el cuadro anterior. 

Estas Normas también se aplican a cualquier exportación de Datos Personales Europeos fuera del EEE por parte de una entidad de L&W y al tratamiento de dichos datos exportados por parte de una entidad de L&W (ya sea en calidad de responsable o de encargado del tratamiento) situada fuera del EEE, así como a las transferencias posteriores de Datos Personales Europeos a entidades de L&W situadas fuera del EEE.

A efectos de las presentes Normas, se reconoce que el Reino Unido ("RU") se considera un tercer país en los términos del GDPR. En consecuencia, Latham & Watkins (London) LLP ("L&W London") aplicará normas globales de privacidad de datos independientes que cubrirán la transferencia de datos del Reino Unido dentro de la empresa. En lo que respecta a las respectivas transferencias de datos, L&W London será la única responsable de tomar medidas para remediar los actos y omisiones de otras Entidades de L&W situadas fuera del EEE que infrinjan las Normas del Reino Unido y de pagar una indemnización por los daños y perjuicios resultantes de dicha infracción de las Normas del Reino Unido por Entidades de L&W situadas fuera del EEE. En consecuencia, los interesados que deseen presentar una reclamación en relación con el tratamiento de datos del Reino Unido deben ponerse en contacto con L&W London.

NORMAS Y PRINCIPIOS

1. Principios para el tratamiento de datos

Cuando actúe como responsable del tratamiento de datos, cada entidad de L&W que trate Datos Personales Europeos de conformidad con la Declaración de Tratamiento Justo de Datos de Todo el Personal, la Política de Privacidad de Contratación, la Política de Privacidad de Antiguos Alumnos o el Aviso de Privacidad de Datos de Clientes y Terceros (según proceda), cumplirá estos principios:

1.1 Los Datos Personales Europeos se tratarán de manera transparente, justa y legal: los interesados los tendrán a su disposición, en la medida en que no la conozcan ya o la hayan recibido, información relacionada con la identidad de los responsables del tratamiento de datos, con los fines para los que pueden utilizarse sus datos (supeditado a cualquier restricción permitida sobre la prestación de dicha información; por ejemplo, en relación con la prevención de delitos, procedimientos judiciales o impuestos, o bien cuando la legislación aplicable lo prohíba), con la base legal para el tratamiento de datos personales y con otra información pertinente según lo requiera la legislación europea en materia de privacidad que sea de aplicación. Dicha información incluirá detalles de los derechos que pueden ejercer los interesados según la legislación europea en materia de privacidad. 

1.2 Los Datos Personales Europeos se recopilarán con fines comerciales específicos, explícitos y legítimos y, salvo que la legislación europea en materia de privacidad que sea aplicable establezca lo contrario, no se tratará la información de ninguna otra forma que sea incompatible con dichos fines. 

1.3 Los datos de categorías especiales se tratarán únicamente en la medida en que sea estrictamente necesario para los fines comerciales legítimos de la firma y de conformidad con cualquier medida de salvaguarda que establezca la legislación europea en materia de privacidad que sea de aplicación. 

1.4 Se tomarán las medidas apropiadas para garantizar que los Datos Personales Europeos que se recopilen y traten sean adecuados y nunca excesivos, así como que sean pertinentes, precisos y, siempre que sea necesario, que se mantengan actualizados. También se tomarán las medidas apropiadas para corregir o suprimir datos personales puntualmente cuando se determine que no son precisos. 

1.5 Los Datos Personales Europeos no se conservarán durante un tiempo mayor del estrictamente necesario para los fines para los que dichos datos fueron tratados y se conservarán de conformidad con las políticas de conservación de datos de la firma que estén registradas (en virtud de los requisitos normativos y las exigencias de la legislación europea en materia de privacidad que sea de aplicación). 

2. Seguridad de los datos

2.1 Teniendo en cuenta las posibilidades técnicas más recientes y el coste de su aplicación, cada entidad de L&W tomará las medidas técnicas y organizativas que sean apropiadas para proteger los Datos Personales Europeos frente a destrucciones accidentales o ilícitas, pérdidas accidentales, alteraciones, daños, divulgaciones o accesos no autorizados, en especial cuando el tratamiento implique la transmisión de datos a través de una red, así como frente a todas las demás formas de tratamiento ilícito. Las medidas garantizarán un nivel de seguridad apropiado a los riesgos que representen el tratamiento de los datos y la naturaleza de los Datos Personales Europeos que deben protegerse, para que aquella información que pertenezca a categorías especiales o sea de naturaleza altamente confidencial reciba una mayor protección. Dichas medidas incluirán, cuando proceda: 

a) uso de seudónimos; 
b) cifrado; 
c) confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios; 
d) instalaciones de copias de seguridad y de recuperación ante desastres; y 
e) procesos para probar, valorar y evaluar la efectividad de las medidas de seguridad. 

2.2 Todas las entidades de L&W deberán notificar a la Oficina global de privacidad de datos, sin demora, cualquier violación de la seguridad. La Oficina global de privacidad de datos llevará un registro apropiado que documente la violación de la seguridad, cualquier impacto potencial en los interesados y cualquier medida correctiva que se haya tomado. La Oficina global de privacidad de datos garantizará también que se notifique a las autoridades de protección de datos pertinentes y a los interesados afectados según se requiera de conformidad con la legislación europea en materia de privacidad. La Oficina global de privacidad de datos compartirá los registros de incumplimientos de la seguridad relativos a los Datos Personales Europeos tratados por una entidad de L&W en calidad de responsable del tratamiento de la EEE con la APD de su país o su jurisdicción si dicha APD lo requiere. 

2.3 Cada una de las entidades de L&W tomará las medidas oportunas para garantizar la fiabilidad de aquel personal que tenga acceso o responsabilidad sobre Datos Personales Europeos, incluido el tratamiento de datos personales de conformidad con las instrucciones de la firma. 

3. Trabajar con encargados del tratamiento de los datos 

3.1 Cuando una entidad de L&W contrate los servicios de otra entidad de L&W como encargada del tratamiento de datos para tratar Datos Personales Europeos en su nombre, dicho encargado del tratamiento de datos cumplirá con los requisitos pertinentes de estas normas y, si es necesario, las partes implementarán y cumplirán los términos de cualquier acuerdo adicional que pueda requerir la legislación europea en materia de privacidad que sea de aplicación. 

3.2 Cuando una Entidad de L&W contrate los servicios de un encargado de tratamiento de datos para que trate Datos Personales Europeos en su nombre y dicho encargado sea un tercero, la Entidad de L&W seleccionará un encargado del tratamiento que proporcione las garantías necesarias sobre el nivel de seguridad que utilizará respecto de los Datos Personales Europeos que deben ser tratados. La entidad de L&W garantizará que se celebra, con los terceros que actúen como encargados del tratamiento de datos, un contrato en el que queden cubiertos los requisitos pertinentes sobre la legislación europea en materia de privacidad que sea de aplicación. 

3.3 Cuando la Entidad de L&W esté establecida en el EEE y contrate a un tercero establecido fuera del EEE como encargado del tratamiento de datos para que trate Datos Personales Europeos en su nombre, la Entidad de L&W adoptará una de las siguientes medidas: 

a) garantizar la existencia de un contrato con el encargado del tratamiento de datos que se ajuste sustancialmente a las cláusulas tipo para los encargados del tratamiento de datos o que incorpore los términos de las mismas (sin perjuicio de las modificaciones que puedan permitir la legislación aplicable en materia de privacidad de la UE); 
b) o garantizar que se llevan a cabo otras medidas de protección apropiadas, de conformidad con la legislación europea aplicable en materia de privacidad, con objeto de salvaguardar los Datos Personales Europeos. 

La misma legislación se aplica al tratamiento de datos de terceros establecidos en el Reino Unido una vez que haya expirado el período de transición establecido en el artículo FINPROV.10A párrafo 1, 4 del Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido de fecha 24 de diciembre de 2020. Una vez expirado el periodo de transición, las Entidades de L&W sólo transferirán Datos Personales Europeos al Reino Unido por motivos de garantías legales de conformidad con el Art. 45 y ss. GDPR. Las garantías correspondientes pueden ser, entre otras, cláusulas tipo o una decisión de adecuación de la Comisión Europea que determine que el Reino Unido puede garantizar un nivel de protección de datos comparable al de la UE. 

3.4 Si una Entidad de L&W (que actúa como responsable del tratamiento de datos) transfiere Datos Personales Europeos a un tercero responsable del tratamiento ajeno a la firma, la Entidad de L&W se asegurará de que dichas transferencias se lleven a cabo de conformidad con los requisitos de la Legislación europea en materia de privacidad que sea de aplicación. Siempre que lo exija la Legislación europea en materia de privacidad que sea de aplicación, o bien que esta, de alguna forma, lo permita y considere apropiado, la Entidad de L&W pondrá en marcha medidas para salvaguardar los Datos Personales Europeos y los derechos de los particulares. Dichas medidas de protección pueden tener la forma de un contrato, tanto en la forma de las Cláusulas tipo para transferencias de datos entre responsables del tratamiento de datos, como en cualquier otra forma que proporcione un nivel de protección adecuado. 

4. Formación del personal

4.1 Latham & Watkins ofrece un programa para la concienciación sobre la privacidad y seguridad, que se centra en formar a todo el staff, abogados y paralegals sobre de las políticas de privacidad y de seguridad de la firma, así como acerca de las mejores prácticas de privacidad de datos y de seguridad. 

4.2 Existen multitud de canales de comunicación que se usan para difundir información sobre concienciación de privacidad y seguridad. Existen guías con iniciativas y folletos con consejos sobre concienciación acerca de mejores prácticas de privacidad y seguridad disponibles para todo el personal en páginas de intranet dedicadas a la privacidad y seguridad. 

4.3 Cada Entidad de L&W también se asegurará de que se le proporciona asesoramiento y formación adecuados al personal que tenga acceso o responsabilidades sobre el tratamiento de datos personales. 

5. Conflicto con la legislación local aplicable

5.1 Siempre que la legislación local aplicable exija un nivel de protección más elevado para los Datos Personales Europeos que el establecido en estas Normas, las disposiciones de la legislación local aplicable tendrán prioridad. 

6. Asistencia mutua y cooperación con las Autoridades de Protección de Datos (APD)

6.1 Cada Entidad de L&W cumplirá las instrucciones que haya dispuesto la APD en su país o jurisdicción, en la medida en que estas estén relacionadas con estas Normas o con el tratamiento de Datos Personales Europeos en general. Asimismo, tendrá en cuenta todo consejo que la APD le proporcione sobre la interpretación de estas Normas. 

6.2 Las Entidades de L&W se ayudarán mutuamente a la hora de responder a cualquier pregunta o investigación de una APD en relación con estas Normas y facilitarán a la APD pertinente la información que la APD solicite razonablemente en relación con el tratamiento de Datos Personales Europeos. 

6.3 Las Entidades de L&W también se ayudarán mutuamente a la hora de responder a una pregunta o queja por parte de un interesado, en relación con estas Normas o con el tratamiento de sus Datos Personales Europeos. 

7. Transferencia de datos

7.1 Las Entidades de L&W transferirán los Datos Personales Europeos a los Encargados del Tratamiento de Datos y a terceros de conformidad con los artículos 44 a 46 del GDPR o sujetos a una excepción de conformidad con el artículo 49 del GDPR.

7.2 La Oficina Global de Privacidad de Datos, en nombre de las Entidades de L&W, realizará y registrará una evaluación del impacto de la transferencia antes de llevar a cabo una transferencia de Datos Personales Europeos, teniendo en cuenta los siguientes elementos:

7.2.1 las circunstancias específicas de la transferencia, incluida la longitud de la cadena del procesamimento de los datos, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

7.2.2 las leyes y prácticas del tercer país de destino -incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables ;

7.2.3 todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las salvaguardias previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

8. Políticas, responsabilidad y función de privacidad de Latham & Watkins

8.1 De conformidad con las leyes de privacidad de datos de la UE, L&W Alemania ha designado un RPD. Los datos de contacto del RPD se publicarán en las políticas de privacidad de Latham & Watkins.

9. Responsabilidad de cumplimiento

9.1 Es necesario que todo el personal de Latham & Watkins cumpla y muestre su conformidad con estas junto con la versión más actualizada de la Política de la firma sobre el uso aceptable de los sistemas de comunicación al incorporarse a la firma así como anualmente. 

9.2 La empresa ha firmado el Acuerdo BCR. L&W Alemania ha sido designada por la empresa como Entidad de L&W con responsabilidades delegadas en materia de protección de datos en el EEE. L&W Alemania tomará medidas para remediar cualquier incumplimiento de las Normas, que podrá hacer cumplir contractualmente a través del Acuerdo BCR.

9.3 L&W Alemania acepta la responsabilidad de tomar medidas para remediar los actos y omisiones de otras Entidades de L&W situadas fuera del EEE que incumplan estas Normas y de pagar una indemnización por los daños y perjuicios resultantes de dicho incumplimiento de estas Normas por Entidades de L&W situadas fuera del EEE. En consecuencia, cualquier reclamación contra oficinas de Latham & Watkins situadas fuera del EEE deberá dirigirse contra L&W Alemania (salvo las reclamaciones relativas al Reino Unido, que deberán dirigirse contra Latham & Watkins (London) LLP). Cualquier reclamación contra un despacho de Latham & Watkins situado en el EEE deberá dirigirse contra dicho despacho de Latham & Watkins.

10. Programa de auditoría para verificar el cumplimiento

Latham & Watkins se compromete a poner en marcha las medidas necesarias para analizar y verificar el cumplimiento de estas Normas y de la legislación aplicable en materia de protección de datos

11. Actualizaciones

11.1 El Comité de Privacidad revisará estas Normas, se asegurará de que se actualicen periódicamente y comunicará las actualizaciones pertinentes a las Entidades de L&W sin demoras indebidas. El Comité de Privacidad se asegurará de que cualquier cambio en la estructura de la empresa se refleje en estas Normas y que cualquier nueva Entidad de L&W esté obligada a aceptar y cumplir los términos de estas Normas. El Comité de Privacidad informará a las Entidades L&W sobre cualquier cambio en estas Normas.

11.2 Las disposiciones no confidenciales de estas Normas, incluido el contenido del Apéndice 1 (Procedimiento de Reclamaciones sobre Privacidad de Datos), se publicarán en el sitio web externo de Latham & Watkins y en el sitio de intranet de Latham & Watkins. Cualquier actualización de las Normas se publicará sin demora. El texto íntegro de las Normas se facilitará previa solicitud (sujeta a un acuerdo de confidencialidad) a cualquier interesado que desee ejercer los derechos de reparación descritos en el Procedimiento de Reclamaciones sobre Privacidad de Datos del Apéndice 1.

12. Derecho de acceso, rectificación y oposición (marketing y elaboración de perfiles incluidos) 

Cada entidad de L&W reconoce que los interesados tienen los siguientes derechos como terceros beneficiarios en relación con la entidad de L&W en su capacidad de responsable del tratamiento de Datos Personales Europeos: 

12.1 el derecho a recibir una copia de los Datos Personales Europeos que la entidad L&W posea sobre ellos (incluida la finalidad y el modo de tratamiento) en los plazos y con la periodicidad especificados en la legislación comunitaria aplicable en materia de privacidad de datos, sin perjuicio del derecho a rechazar dicha solicitud, en su totalidad o en parte, que pueda corresponder a la entidad L&W en virtud de la legislación comunitaria aplicable en materia de privacidad de datos;

12.2 el derecho a recibir una copia de los Datos Personales Europeos que la entidad de L&W conserva sobre ellos (lo que incluye el modo de tratar dichos datos y la finalidad), dentro de los plazos e intervalos que se especifiquen en la legislación europea aplicable en materia de privacidad de datos 

12.3 derecho a que se actualicen, corrijan o completen sus Datos Personales Europeos, en particular debido al carácter incompleto o inexacto de los mismos, con sujeción a lo dispuesto en la legislación de la UE aplicable en materia de privacidad de datos;

12.4 derecho a que se supriman sus Datos Personales Europeos, con arreglo a lo dispuesto en la legislación de la UE aplicable en materia de privacidad de datos;

12.5 el derecho a restringir el tratamiento de sus Datos Personales Europeos, de conformidad con lo dispuesto en la legislación de la UE aplicable en materia de privacidad de datos;

12.6 derecho a recibir los Datos Personales Europeos que el interesado haya facilitado a una Entidad de L&W en su calidad de responsable del tratamiento de Datos Personales Europeos, en un formato estructurado, de uso común y lectura mecánica, y a transmitir dichos datos personales a otro responsable del tratamiento, con sujeción a lo dispuesto en la legislación de la UE aplicable en materia de privacidad de datos;

12.7 cuando así lo exijan las disposiciones de las Leyes aplicables sobre privacidad de datos de la UE, el derecho a no recibir material de marketing directo sin haber dado previamente su consentimiento y, en todos los casos, el derecho a oponerse en cualquier momento al tratamiento de sus datos personales (incluida la elaboración de perfiles) con fines de marketing directo;

12.8 derecho a oponerse en cualquier momento al tratamiento de sus Datos Personales Europeos, con sujeción a lo dispuesto en la legislación de la UE sobre protección de la intimidad; y

12.9 derecho a oponerse a que se tomen decisiones sobre sus Datos Personales Europeos basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, cuando dichas decisiones evalúen sus características personales o su comportamiento y produzcan efectos jurídicos que les conciernan o les afecten significativamente (excepto en la medida en que lo permita la legislación aplicable de la UE en materia de privacidad de datos y con sujeción a las garantías contenidas en la misma).

13. Incumplimiento de estas Normas

Latham & Watkins reconoce que los interesados tienen derecho a hacer valer los siguientes derechos frente a la firma, con respecto a los Datos Personales Europeos, en tanto que terceros beneficiarios: 

13.1 el derecho a obtener una copia de estas Normas si lo solicitan (en virtud de cualquier acuerdo de confidencialidad que la firma o la Entidad de L&W que gestione la solicitud exija dentro de lo razonable); 

13.2 el derecho a recibir una respuesta, en un plazo razonable y nunca más tarde de un 1 mes desde que se realice la solicitud (y no superior a tres meses en caso de solicitudes complejas), a todas las consultas relativas al tratamiento de los Datos Personales Europeos del interesado fuera del EEE; 

13.3 el derecho a poner una reclamación y a conseguir la compensación que sea adecuada (incluida, cuando proceda, una indemnización por daños y perjuicios) como resultado del incumplimiento de estas Normas por parte de una entidad de L&W (salvo todo incumplimiento de las disposiciones que esté relacionado con la formación del personal, con las políticas y la función de privacidad de Latham & Watkins, con el programa de auditoría y con las actualizaciones de estas Normas); 

13.4 el derecho a poner una reclamación ante una autoridad de protección de datos del Espacio Económico Europeo del país de residencia habitual del interesado o de su lugar de trabajo, o del lugar en que se haya producido el supuesto incumplimiento de estas Normas; y 

13.5 el derecho a pedir una satisfacción judicial efectiva en el tribunal apropiado del Espacio Económico Europeo, que puede estar en la jurisdicción en la que esté establecida la entidad de L&W pertinente o en el lugar de residencia habitual del interesado. 

14. Cumplimiento de los derechos de los interesados

14.1 El proceso para ejercer los derechos que se describen en la sección 14 se establece en mayor detalle en el Procedimiento de reclamaciones sobre privacidad de datos de Latham & Watkins, del Apéndice 1 a estas Normas. 

14.2 El interesado que desee hacer valer sus derechos deberá ponerse en contacto en primera instancia con la Oficina Global de Privacidad de Datos, pero también podrá presentar una reclamación ante el Presidente del Comité de Privacidad de Datos con sede en Frankfurt, o ante la APD o los tribunales del territorio en el que se encuentre la Entidad L&W correspondiente.

14.3 Todo interesado que quiera hacer valer sus derechos en virtud de estas Normas tendrá que aportar pruebas que den lugar a causas judiciales que, a primera vista, demuestren que se ha producido un incumplimiento. 

14.4 Las Entidades L&W reconocen que el interesado puede estar representado por un organismo, organización o asociación sin ánimo de lucro, de conformidad con la legislación de la UE en materia de protección de datos y sujeto a un poder notarial adecuado.

15. Terminación

15.1 Al término de las presentes Normas o la suspensión de la transferencia de datos, las Entidades de L&W pertinentes podrán conservar, devolver o eliminar los Datos Personales Europeos y las copias de los mismos a elección del exportador de datos.

Fecha de entrada en vigor de las Normas: septiembre de 2016 

Actualizado en julio de 2024

Apéndice 1 Procedimiento de reclamaciones sobre privacidad de datos de Latham & Watkins