Estándares Globales de Privacidad de Datos

View in English.

INTRODUCCIÓN

El presente documento establece las normas aplicables al tratamiento de Datos Personales Europeos (tal y como se definen más adelante) en Latham & Watkins (las “Normas”). Latham & Watkins es un bufete de abogados global con oficinas en 15 países de todo el mundo. La firma opera sin fronteras internas y el carácter internacional de la actividad hace que sea vital que los datos personales puedan transferirse dentro de la firma.

Latham & Watkins, a través de su Comité ejecutivo, se ha comprometido a proteger los datos personales que se gestionan en la firma. En particular, estos estándares se han diseñado para facilitar la transferencia de Datos Personales Europeos en el seno de Latham & Watkins, de conformidad con el Reglamento Europeo 2016/679.

Definiciones

“Legislación aplicable” designa la legislación en la jurisdicción en la que esté situada una entidad de L&W, así como cualquier otra legislación a la que esté sujeta una entidad de L&W.

“Acuerdo BCR” significa el acuerdo que compromete a todas las Entidades de L&W que tratan Datos Personales Europeos a cumplir las Normas.

“Autoridad de Protección de Datos” o “APD” designa a la autoridad supervisora responsable de supervisar e imponer el cumplimiento de la legislación relativa a la protección de datos en un país concreto.

“DPIA” significa evaluación de impacto de la protección de datos según se define en el Art. 35 DEL GDPR.

El “EEE” es el Espacio Económico Europeo.

“Legislación europea de privacidad de datos” designa las leyes nacionales que implementan el Reglamento europeo 2016/679, la Directiva 2002/58 (y cualquier legislación que la enmiende o substituya) y cualquier legislación europea relacionada en materia de privacidad.

Los “Datos Personales Europeos” son aquellos datos personales (i) del personal, abogados, socios, consultores, contratistas y posibles candidatos a cualquiera de los cargos mencionados recopilados y tratados en relación con la contratación y la administración de recursos humanos; (ii) de clientes, posibles clientes y antiguos alumnos tratados en relación con la prestación de servicios jurídicos y/o con fines de marketing y de comunicaciones; y (iii) de proveedores, distribuidores, contratistas y consejeros tratados en el contexto de las relaciones entre esas entidades y Latham & Watkins (más información sobre los cuales se establece en la Declaración de Tratamiento Justo de Datos de Todo el Personal (All Personnel Fair Data Processing Statement), la Política de Privacidad de Contratación (Recruitment Privacy Policy), la Política de Privacidad de Antiguos Alumnos (Alumni Privacy Policy) o el Aviso de Privacidad de Datos de Clientes y Terceros (Client and Third Party Privacy Notice) por cualquier entidad de L&W en calidad de responsable de tratamiento de datos que esté sujeta a la legislación europea en materia de privacidad que sea de aplicación.

“GDPR” significa el Reglamento Europeo 2016/679.

“Latham & Watkins” y “la firma” se refieren a Latham & Watkins, una firma que opera en todo el mundo como sociedad de responsabilidad limitada constituida conforme a las leyes del Estado de Delaware (EE.UU.) (la “Delaware LLP”) con sociedades de responsabilidad limitada afiliadas que ejercen en Francia, Italia, Hong Kong, Singapur, Reino de Arabia Saudí y Reino Unido y como sociedad afiliada que ejerce en Japón. Latham & Watkins opera en Corea del Sur como Foreign Legal Consultant Office, y además de lo anterior, la firma también incluye todas y cada una de las entidades que son propiedad en su totalidad de la LLP de Delaware.

“Legislación local” designa a aquellas leyes o normativas, o cualquier otra obligación que venga impuesta desde cualquier país al que toda Entidad de L&W deba estar sujeta, al margen de la Legislación europea en materia de privacidad.

Una “Entidad de L&W” es cada una de las sociedades de responsabilidad limitada, sociedades y sociedades limitadas que formen parte de la firma.

“L&W Alemania” significa la oficina de Frankfurt de Latham & Watkins.

Las “Cláusulas tipo” son aquellas cláusulas contractuales tipo para la cesión de datos personales a encargados o responsables del tratamiento establecidos en terceros países publicadas y aprobadas periódicamente por la Comisión Europea.

El término “datos personales” designa la información relacionada con una persona física identificada o susceptible de ser identificada (“interesado”). Una persona susceptible de ser identificada es aquella que puede identificarse, directa o indirectamente, en particular mediante referencia a un identificador, como un nombre, un número de identificación, datos de ubicación o un identificador en línea, o mediante referencia a uno o varios factores específicos de su identidad física, fisiológica, genética, psicológica, económica, cultural o social. El término “datos personales” también incluye toda la información relacionada con aquellas personas que no sean personas físicas, siempre que así se exija en la Legislación europea en materia de privacidad que sea de aplicación.

El “personal” designa a los socios, los abogados y el staff de Latham & Watkins.

“Vulneración de la seguridad”: cualquier violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a Datos Personales Europeos que sean objeto de tratamiento por parte de una Entidad de L&W.

Los “datos de categoría especial” son los Datos Personales Europeos relativos al origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los delitos, las condenas penales, la salud, la orientación sexual o la vida sexual, los datos genéticos y biométricos y cualquier otra categoría especial contemplada en la legislación de la UE aplicable en materia de privacidad.

Los términos “tratamiento”, “responsable del tratamiento” y “encargado del tratamiento” deben tener los significados que se les dan en el Reglamento europeo 2016/679.

Latham & Watkins opera actualmente en los siguientes países (países en el EEE están marcados en gris)

Estas Normas se aplican al tratamiento de Datos Personales Europeos por parte de las Entidades de L&W que están sujetas a las Leyes de Privacidad aplicables de la UE.

Estas Normas se aplican a la transferencia de datos personales de empleados, solicitantes de empleo, clientes y terceros.

Los datos personales de los empleados, por ejemplo, incluyen:

• identificadores (por ejemplo, nombre, información de contacto, contactos de emergencia, fotografías, idoneidad para el puesto de trabajo y números de identificación);
• datos personales y familiares (por ejemplo, lugar de nacimiento, estado civil, nacionalidad, ciudadanía, número de miembros en la unidad familiar, datos del pasaporte y del visado);
• información sanitaria (por ejemplo, discapacidades, registros de ausencias por enfermedad, informes de accidentes, información sobre reconocimientos médicos, información sobre salud laboral, preferencias de comidas y alergias alimentarias);
• datos relativos a la gestión y el desarrollo de la carrera profesional (por ejemplo, categoría del empleado, situación a tiempo completo/parcial, formación y cualificaciones, conocimiento de idiomas, referencias, comprobación de antecedentes, experiencia profesional);
• los datos relativos a la ejecución y rescisión del contrato de trabajo o compromiso (p. ej. fechas de contratación, identificación del empleado, registro horario, tiempo de trabajo y vacaciones, evaluaciones del rendimiento, formación, procedimientos disciplinarios y reclamaciones, entrevista de salida);
• datos financieros (por ejemplo, remuneración, compensación, salario, prestaciones, detalles de la cuenta bancaria, número de identificación fiscal/seguridad social);
• grabaciones de audio y vídeo (por ejemplo, grabaciones de CCTV, reuniones en línea y seminarios web, eventos y publicaciones);
• datos relacionados con el uso de los sistemas de control de acceso a los edificios y el acceso y uso de los equipos y recursos de oficina;
• datos relacionados con viajes a efectos de la relación laboral o como parte de programas de beneficios para empleados.

Los datos personales de los solicitantes de empleo, por ejemplo, incluyen:

• la información incluida en la solicitud (por ejemplo, nombre, información de contacto, experiencia laboral y educativa y cualificaciones, prueba de idoneidad para el puesto de trabajo, identificadores y más información sobre el CV);
• información sensible (por ejemplo, raza u origen étnico, discapacidades);
• información recogida durante las entrevistas y evaluaciones (por ejemplo, notas de la entrevista, comentarios, información recogida a través de las evaluaciones y la entrevista en vídeo);
• información sobre el uso del portal de contratación y del sitio web (por ejemplo, información sobre la dirección IP recogida a través de cookies);
• información de terceros, como referencias y reclutadores;
• la información necesaria para realizar la comprobación de antecedentes previos a la contratación (por ejemplo, antecedentes penales, verificación de cualificaciones y empleo);
• información sobre el acceso al edificio, grabaciones de las cámaras de seguridad).

Información relacionada con clientes y terceros, por ejemplo,:

• identificadores (por ejemplo, nombre, información de contacto y números de identificación);
• información biométrica (por ejemplo, fotografías);
• información comercial;
• información profesional o relacionada con el empleo;
• medios de comunicación social y noticias de dominio público;
• características de las clasificaciones protegidas (por ejemplo, nacionalidad, afiliación política, estatus de ciudadanía); y
• grabaciones de audio y vídeo (por ejemplo, grabaciones de CCTV, reuniones en línea y seminarios web).

El tratamiento de los Datos Personales Europeos se basa, según proceda, en:

• consentimiento, art 6 subsección 1 lit. a y art 9 subsección 2 lit a GDPR,
• ejecución de un contrato, art 6 subsección 1 lit. b GDPR,
• cumplimiento de una obligación legal, art 6 subsección 1 lit. c GDPR,
• interés legítimo, art 6 subsección 1 lit. f GDPR,
• cumplimiento de obligaciones y ejercicio de derechos específicos en el ámbito del empleo, art. 9 subsección 2 lit b GDPR,
• establecimiento, ejercicio o defensa de reclamaciones legales, art 9 subsección 2 lit f GDPR

Los Datos Personales Europeos pueden transferirse a través de la red de la empresa a los lugares descritos en el cuadro anterior.

Estas Normas también se aplican a cualquier exportación de Datos Personales Europeos fuera del EEE por parte de una entidad de L&W y al tratamiento de dichos datos exportados por parte de una entidad de L&W (ya sea en calidad de responsable o de encargado del tratamiento) situada fuera del EEE, así como a las transferencias posteriores de Datos Personales Europeos a entidades de L&W situadas fuera del EEE.

A efectos de las presentes Normas, se reconoce que el Reino Unido (“RU”) se considera un tercer país en los términos del GDPR. En consecuencia, Latham & Watkins (London) LLP (“L&W London”) aplicará globales de privacidad de datos independientes que cubrirán la transferencia de datos del Reino Unido dentro de la empresa. En lo que respecta a las respectivas transferencias de datos, L&W London será la única responsable de tomar medidas para remediar los actos y omisiones de otras Entidades de L&W situadas fuera del EEE que infrinjan las Normas del Reino Unido y de pagar una indemnización por los daños y perjuicios resultantes de dicha infracción de las Normas del Reino Unido por Entidades de L&W situadas fuera del EEE. En consecuencia, los interesados que deseen presentar una reclamación en relación con el tratamiento de datos del Reino Unido deben ponerse en contacto con L&W London.

NORMAS Y PRINCIPIOS

1. Principios para el tratamiento de datos

Cuando actúe como responsable del tratamiento de datos, cada entidad de L&W que trate Datos Personales Europeos de conformidad con la Declaración de Tratamiento Justo de Datos de Todo el Personal (All Personnel Fair Data Processing Statement), la Política de Privacidad de Contratación (Recruitment Privacy Policy), la Política de Privacidad de Antiguos Alumnos (Alumni Privacy Policy) o el Aviso de Privacidad de Datos de Clientes y Terceros (Client and Third Party Privacy Notice) (según proceda), cumplirá estos principios:

1.1 Los Datos Personales Europeos se tratarán de manera transparente, justa y legal: los interesados los tendrán a su disposición, en la medida en que no la conozcan ya o la hayan recibido, información relacionada con la identidad de los responsables del tratamiento de datos, con los fines para los que pueden utilizarse sus datos (supeditado a cualquier restricción permitida sobre la prestación de dicha información; por ejemplo, en relación con la prevención de delitos, procedimientos judiciales o impuestos, o bien cuando la legislación aplicable lo prohíba), con la base legal para el tratamiento de datos personales y con otra información pertinente según lo requiera la legislación europea en materia de privacidad que sea de aplicación. Dicha información incluirá detalles de los derechos que pueden ejercer los interesados según la legislación europea en materia de privacidad.

1.2 Los Datos Personales Europeos se recopilarán con fines comerciales específicos, explícitos y legítimos y, salvo que la legislación europea en materia de privacidad que sea aplicable establezca lo contrario, no se tratará la información de ninguna otra forma que sea incompatible con dichos fines.

1.3 Los datos de categorías especiales se tratarán únicamente en la medida en que sea estrictamente necesario para los fines comerciales legítimos de la firma y de conformidad con cualquier medida de salvaguarda que establezca la legislación europea en materia de privacidad que sea de aplicación.

1.4 Se tomarán las medidas apropiadas para garantizar que los Datos Personales Europeos que se recopilen y traten sean adecuados y nunca excesivos, así como que sean pertinentes, precisos y, siempre que sea necesario, que se mantengan actualizados. También se tomarán las medidas apropiadas para corregir o suprimir datos personales puntualmente cuando se determine que no son precisos.

1.5 Los Datos Personales Europeos no se conservarán durante más tiempo del estrictamente necesario para los fines para los que dichos datos fueron tratados y se conservarán de conformidad con las políticas de conservación de datos de la firma que estén registradas (en virtud de los requisitos normativos y las exigencias de la legislación europea en materia de privacidad que sea de aplicación).

2. Seguridad de los datos

2.1 Teniendo en cuenta las posibilidades técnicas más recientes y el coste de su aplicación, cada entidad de L&W tomará las medidas técnicas y organizativas que sean apropiadas para proteger los Datos Personales Europeos frente a destrucciones accidentales o ilícitas, pérdidas accidentales, alteraciones, daños, divulgaciones o accesos no autorizados, en especial cuando el tratamiento implique la transmisión de datos a través de una red, así como frente a todas las demás formas de tratamiento ilícito. Las medidas garantizarán un nivel de seguridad apropiado a los riesgos que representen el tratamiento de los datos y la naturaleza de los Datos Personales Europeos que deben protegerse, para que aquella información que pertenezca a categorías especiales o sea de naturaleza altamente confidencial reciba una mayor protección. Dichas medidas incluirán, cuando proceda:

a) uso de seudónimos;

b) cifrado;

c) confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios;

d) instalaciones de copias de seguridad y de recuperación ante desastres; y

e) procesos para probar, valorar y evaluar la efectividad de las medidas de seguridad.

2.2 Todas las entidades de L&W deberán notificar a la Oficina global de privacidad de datos, sin demora, cualquier violación de la seguridad. La Oficina global de privacidad de datos llevará un registro apropiado que documente la violación de la seguridad, cualquier impacto potencial en los interesados y cualquier medida correctiva que se haya tomado. La Oficina global de privacidad de datos garantizará también que se notifique a las autoridades de protección de datos pertinentes y a los interesados afectados según se requiera de conformidad con la legislación europea en materia de privacidad. La Oficina global de privacidad de datos compartirá los registros de incumplimientos de la seguridad relativos a los Datos Personales Europeos tratados por una entidad de L&W en calidad de responsable del tratamiento de la EEE con la APD de su país o su jurisdicción si dicha APD lo requiere.

2.3 Cada una de las entidades de L&W tomará las medidas oportunas para garantizar la fiabilidad del personal que tenga acceso o responsabilidad sobre Datos Personales Europeos, incluido el tratamiento de datos personales de conformidad con las instrucciones de la firma.

2.4 La sección 8 describe las políticas de seguridad de la información y la función de privacidad de la empresa. El Comité de Seguridad descrito en la sección 8.3 es responsable de todas las políticas y normas de seguridad de la información de la empresa. Las políticas y procedimientos de la empresa, modificados periódicamente, establecen las normas detalladas de la empresa en materia de seguridad de la información que deben cumplirse.

3. Trabajar con encargados del tratamiento de los datos

3.1 Cuando una entidad de L&W contrate los servicios de otra entidad de L&W como encargada del tratamiento de datos para tratar Datos Personales Europeos en su nombre, dicho encargado del tratamiento de datos cumplirá con los requisitos pertinentes de estas normas y, si es necesario, las partes implementarán y cumplirán los términos de cualquier acuerdo adicional que pueda requerir la legislación europea en materia de privacidad que sea de aplicación.

3.2 Cuando una Entidad de L&W contrate los servicios de un encargado de tratamiento de datos para que trate Datos Personales Europeos en su nombre y dicho encargado sea un tercero, la Entidad de L&W seleccionará un encargado del tratamiento que proporcione las garantías necesarias sobre el nivel de seguridad que utilizará respecto de los Datos Personales Europeos que deben ser tratados. La entidad de L&W garantizará que se celebra, con los terceros que actúen como encargados del tratamiento de datos, un contrato en el que queden cubiertos los requisitos pertinentes sobre la legislación europea en materia de privacidad que sea de aplicación.

3.3. Cuando la Entidad de L&W esté establecida en el EEE y contrate a un tercero establecido fuera del EEE como encargado del tratamiento de datos para que trate Datos Personales Europeos en su nombre, la Entidad de L&W adoptará una de las siguientes medidas:

a) garantizar la existencia de un contrato con el encargado del tratamiento de datos que se ajuste sustancialmente a las cláusulas tipo para los encargados del tratamiento de datos o que incorpore los términos de las mismas (sin perjuicio de las modificaciones que puedan permitir la legislación aplicable en materia de privacidad de la UE);

b) o garantizar que se llevan a cabo otras medidas de protección apropiadas, de conformidad con la legislación europea aplicable en materia de privacidad, con objeto de salvaguardar los Datos Personales Europeos.

La misma legislación se aplica al tratamiento de datos de terceros establecidos en el Reino Unido una vez que haya expirado el período de transición establecido en el artículo FINPROV.10A párrafo 1, 4 del Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido de fecha 24 de diciembre de 2020. Una vez expirado el periodo de transición, las Entidades de L&W sólo transferirán Datos Personales Europeos al Reino Unido por motivos de garantías legales de conformidad con el Art. 45 y ss. GDPR. Las garantías correspondientes pueden ser, entre otras, cláusulas tipo o una decisión de adecuación de la Comisión Europea que determine que el Reino Unido puede garantizar un nivel de protección de datos comparable al de la UE.

3.4 Si una Entidad de L&W (que actúa como responsable del tratamiento de datos) transfiere Datos Personales Europeos a un tercero responsable del tratamiento ajeno a la firma, la Entidad de L&W se asegurará de que dichas transferencias se lleven a cabo de conformidad con los requisitos de la Legislación europea en materia de privacidad que sea de aplicación. Siempre que lo exija la Legislación europea en materia de privacidad que sea de aplicación, o bien que esta, de alguna forma, lo permita y considere apropiado, la Entidad de L&W pondrá en marcha medidas para salvaguardar los Datos Personales Europeos y los derechos de los particulares. Dichas medidas de protección pueden tener la forma de un contrato, tanto en la forma de las Cláusulas tipo para transferencias de datos entre responsables del tratamiento de datos, como en cualquier otra forma que proporcione un nivel de protección adecuado.

4. Formación del personal

4.1 Latham & Watkins ofrece un programa para la concienciación sobre la privacidad y seguridad, que se centra en formar a todo el staff, abogados y paralegals sobre de las políticas de privacidad y de seguridad de la firma, así como acerca de las mejores prácticas de privacidad de datos y de seguridad. Todo el personal debe completar un módulo obligatorio de aprendizaje online sobre privacidad de datos en el momento de incorporarse a la empresa y, posteriormente, cada dos años. La empresa realiza un seguimiento de los ratios de finalización de este módulo. También se imparte formación específica sobre protección de datos al personal encargado de datos personales.

4.2 Existen multitud de canales de comunicación que se usan para difundir información sobre concienciación de privacidad y seguridad. Existen guías con iniciativas y folletos con consejos sobre concienciación acerca de mejores prácticas de privacidad y seguridad disponibles para todo el personal en páginas de intranet dedicadas a la privacidad y seguridad.

4.3 Cada Entidad de L&W también se asegurará de que se le proporciona asesoramiento y formación adecuados al personal que tenga acceso o responsabilidades sobre el tratamiento de datos personales.

5. Conflicto con la legislación local aplicable

5.1 Si una Entidad de L&W tiene motivos para creer que la legislación local, los reglamentos u otras obligaciones legales impiden que la Entidad de L&W cumpla con la Normativa y que ello puede tener un efecto adverso sustancial en las garantías desarrolladas en dicha Normativa, la Entidad de L&W informará sin demora al Comité de Privacidad (según se define más adelante) (salvo cuando lo prohíba la ley o una autoridad policial, por ejemplo para preservar la confidencialidad de una investigación policial) y suspenderá la transferencia prevista de Datos Personales Europeos. El Comité de Privacidad llevará un registro de todas estas notificaciones y de las medidas adoptadas en relación con ellas.

5.2 El Comité de Privacidad tomará todas las decisiones necesarias en relación con cualquier acción que se requiera como resultado de una notificación de este tipo por parte de una Entidad de L&W, y la Entidad de L&W cumplirá todas las instrucciones emitidas por el Comité de Privacidad. El Comité de Privacidad reconoce que una Entidad de L&W no debe realizar transferencias de Datos Personales Europeos a ninguna autoridad pública a escala masiva, desproporcionada o indiscriminada de forma que vayan más allá de lo necesario en una sociedad democrática. El Comité de Privacidad podrá consultar en cualquier momento a la APD pertinente para que le asesore, incluso sobre cómo abordar un conflicto entre las Leyes Locales y las Normativa.

5.3 El Comité de Privacidad informará a la APD pertinente si ha determinado que es probable que las Leyes Locales tengan un efecto adverso sustancial sobre las garantías establecidas en las Normas, excepto cuando lo prohíba la ley o una autoridad policial, por ejemplo, para preservar la confidencialidad de una investigación policial. Si tal prohibición está en vigor, el Comité de Privacidad ordenará a la entidad de L&W pertinente que haga todo lo posible por obtener una dispensa de la restricción para permitir la divulgación de la mayor cantidad de información a la APD pertinente lo antes posible, y que conserve registros de sus esfuerzos en este sentido. Cualquier litigio con la APD relacionado con el ejercicio por parte de la APD de la supervisión del cumplimiento de estas Normas se presentará ante un tribunal del Espacio Económico Europeo.

5.4 El Comité de Privacidad mantendrá registros de cualquier divulgación de Datos Personales Europeos que la empresa esté obligada a realizar y que puedan tener un efecto sustancial adverso sobre las garantías establecidas por estas Normas, y proporcionará un resumen de las divulgaciones a la APD pertinente anualmente (teniendo en cuenta cualquier restricción impuesta por ley o por una autoridad encargada de hacer cumplir la ley).

5.5 Siempre que la legislación local aplicable exija un nivel de protección más elevado para los Datos Personales Europeos que el establecido en estas Normas, las disposiciones de la legislación local aplicable tendrán prioridad.

6. Asistencia mutua y cooperación con las Autoridades de Protección de Datos (APD)

6.1 Cada Entidad de L&W cumplirá las instrucciones que haya dispuesto la APD en su país o jurisdicción, en la medida en que estas estén relacionadas con estas Normas o con el tratamiento de Datos Personales Europeos en general. Asimismo, tendrá en cuenta todo consejo que la APD le proporcione sobre la interpretación de estas Normas.

6.2 Las Entidades de L&W se ayudarán mutuamente a la hora de responder a cualquier pregunta o investigación de una APD en relación con estas Normas y facilitarán a la APD pertinente la información que la APD solicite razonablemente en relación con el tratamiento de Datos Personales Europeos.

6.3 Las Entidades de L&W también se ayudarán mutuamente a la hora de responder a una pregunta o queja por parte de un interesado, en relación con estas Normas o con el tratamiento de sus Datos Personales Europeos.

7. Transferencia de datos

7.1 Las Entidades de L&W transferirán los Datos Personales Europeos a los Encargados del Tratamiento de Datos y a terceros de conformidad con los artículos 44 a 46 del GDPR o sujetos a una excepción de conformidad con el artículo 49 del GDPR.

7.2 La Oficina Global de Privacidad de Datos, en nombre de las Entidades de L&W, realizará y registrará una evaluación del impacto de la transferencia antes de llevar a cabo una transferencia de Datos Personales Europeos, teniendo en cuenta los siguientes elementos:

7.2.1 las circunstancias específicas de la transferencia, incluida la longitud de la cadena del procesamiento de los datos, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

7.2.2 las leyes y prácticas del tercer país de destino -incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables ;

7.2.3 todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las salvaguardias previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

7.3 Las Entidades de L&W informarán a la Oficina Global de Privacidad de Datos y al Comité de Privacidad en la medida en que sea necesario establecer salvaguardias adicionales antes de la transferencia de Datos Personales Europeos.

7.4 En caso de que la Entidad de L&W que actúe como importadora de datos considere que, con arreglo a las leyes o prácticas del país de destino, no puede cumplir las obligaciones que le imponen las presentes Normas, la Entidad de L&W que actúe como importadora de datos lo notificará a la Entidad de L&W que actúe como exportadora de datos, así como al Comité de Privacidad de Datos, e identificará las medidas complementarias para garantizar la seguridad y confidencialidad de los Datos Personales Europeos. En la medida en que las Entidades de L&W y el Comité de Privacidad de Datos determinen que las medidas complementarias identificadas no pueden garantizar el cumplimiento de estas Normas, las Entidades de L&W suspenderán la transferencia prevista de Datos Personales Europeos.

7.5 Las Entidades de L&W revisarán periódicamente las evaluaciones del impacto de la transferencia y compartirán las evaluaciones con las demás Entidades de L&W.

8. Políticas, responsabilidad y función de privacidad de Latham & Watkins

8.1 Políticas y orientaciones

La empresa ha establecido políticas, normas, procedimientos y documentos de orientación detallados aprobados por el Comité de Privacidad y el Comité de Seguridad, actualizados y modificados de vez en cuando, para describir con más detalle las reglas y procesos que deben seguirse para lograr el cumplimiento de estas Normas, y en particular los principios de tratamiento de datos establecidos en la sección 1 y las obligaciones de seguridad de la información establecidas en la sección 2. Los empleados pueden encontrar más detalles sobre las políticas pertinentes en la sección de políticas de la intranet de la empresa.

8.2 Responsabilidad

La empresa mantendrá registros de sus actividades de tratamiento relativas a los Datos Personales Europeos, tal y como exige la legislación sobre privacidad de la UE. En particular, la empresa mantendrá en formato electrónico los registros de las actividades de tratamiento exigidas en virtud del artículo 30.1 del RGPD. Dichos registros se pondrán a disposición de las Autoridades de Protección de Datos de los países del EEE en los que la empresa desarrolle su actividad, previa solicitud.

8.3 Comités de privacidad y seguridad

(a) El Comité de Privacidad y el Comité de Seguridad de Latham & Watkins son comités independientes pero estrechamente vinculados, presididos por socios de la firma y que informan al Comité Ejecutivo de la misma. Mientras que el Comité de Privacidad (a través de la Oficina Global de Privacidad de Datos) se centra principalmente en la sensibilización y el cumplimiento de las leyes de privacidad pertinentes y las Normas (y cualquier política asociada), el Comité de Seguridad se centra principalmente en el desarrollo y la aplicación de la política y las normas de seguridad de la información de la empresa y el Plan de Respuesta a Incidentes de la empresa. El Comité de Seguridad es responsable de las políticas, normas, directrices y prácticas de seguridad de la empresa, incluida la adhesión a la Política de Uso Aceptable de los Sistemas de Comunicación, mientras que el Comité de Privacidad (a través de la Oficina Global de Privacidad de Datos) supervisa los asuntos internos relacionados con la privacidad, como los acuerdos de transferencia de datos, los acuerdos de tratamiento de datos con proveedores, el cumplimiento de los requisitos normativos locales, las actualizaciones internas en materia de privacidad (incluidas las de la Política de Uso Aceptable de los Sistemas de Comunicación), las notas de formación y orientación y las consultas sobre privacidad de las oficinas locales. El Comité de Privacidad (junto con la Oficina Global de Privacidad de Datos) es responsable de velar por el cumplimiento de estas Normas.

(b) El Comité de Privacidad (a través de la Oficina Global de Privacidad de Datos) y el Comité de Seguridad son conjuntamente responsables de garantizar que el enfoque de la empresa respecto a la privacidad sea proactivo, incorporando los principios de privacidad por diseño y por defecto, y que no sea sólo una reacción a las violaciones de datos u otros incumplimientos. Este enfoque incluirá el uso de técnicas (como la minimización de datos) diseñadas para limitar el tratamiento a lo necesario para los fines en cuestión y para proteger los derechos de los interesados.

(c) El Comité de Privacidad (a través de la Oficina Global de Privacidad de Datos) es responsable de llevar a cabo las DPIA según lo exigido por las leyes de privacidad de la UE. Cuando una DPIA indique que el tratamiento puede suponer un alto riesgo para los derechos y libertades de las personas que son objeto de datos personales europeos, a falta de medidas para mitigar el riesgo, el Comité de Privacidad consultará a la APD pertinente de conformidad con las leyes de privacidad de la UE.

8.4 De conformidad con las leyes de privacidad de datos de la UE, L&W Alemania ha designado un RPD. Los datos de contacto del RPD se publicarán en las políticas de privacidad de Latham & Watkins.

8.5 Personal de protección de datos

8.5.1 La Oficina Global de Privacidad de Datos de Latham & Watkins cumple la función administrativa del Comité de Privacidad de la firma y es responsable de impulsar el cumplimiento de la privacidad de datos y de las mejores prácticas en toda la firma. La Oficina Global de Privacidad de Datos trabaja en estrecha colaboración con los Comités de Privacidad y Seguridad y los abogados especializados en privacidad de datos de las distintas sedes de la firma para desarrollar, interpretar y supervisar las prácticas, políticas y procedimientos de privacidad de datos de la firma, y contribuye a la planificación estratégica y a la implementación de metas y objetivos relevantes para el cumplimiento de la privacidad de datos y las mejores prácticas en las distintas oficinas de Latham & Watkins. La Oficina Global de Privacidad de Datos ofrece orientación y asesoramiento a socios, directores, supervisores, abogados y personal en relación con las mejores prácticas de privacidad. En caso de infracción o posible infracción de las Normas, la Oficina Global de Privacidad de Datos informará de dicha infracción o posible infracción al Comité de Privacidad, que podrá decidir si es necesario adoptar medidas coercitivas o de otro tipo.

8.5.2 El Director de Información de Latham & Watkins es miembro del Comité de Seguridad de la empresa y supervisa las responsabilidades sobre seguridad del Director de Seguridad de la Información. El Responsable de Seguridad de la Información es responsable de mantener el programa de gestión de la seguridad de la información de Latham & Watkins. Esto incluye establecer procesos para supervisar, hacer cumplir y controlar el cumplimiento de las políticas de seguridad de la información y las normas de seguridad de la información de la empresa.

8.5.3 Cada sistema o aplicación que apoya una práctica o función empresarial en la empresa tiene un Propietario de la Información. El Propietario de la Información es un representante de la dirección de la empresa y es responsable de la protección del sistema o aplicación. Además, los Directores y Jefes de Tecnología de Oficina son responsables de apoyar y administrar las políticas y normas de seguridad de la información de la empresa en su ubicación concreta.

8.5.4 El Administrador de la Oficina de cada ubicación trabaja con el Socio Director de la Oficina y el Director de Operaciones para desarrollar, interpretar y supervisar las prácticas, políticas y procedimientos de la firma y su implementación, y colabora con la planificación estratégica y a la implementación de metas y objetivos en la oficina de Latham & Watkins correspondiente. El Administrador de Oficina ofrece orientación y asesoramiento a todos los directivos, supervisores, abogados y personal en relación con las operaciones comerciales generales del despacho, y también es responsable de gestionar las consultas y asuntos comerciales que le hayan sido escalados.

9. Responsabilidad de cumplimiento

9.1 Es necesario que todo el personal de Latham & Watkins cumpla y muestre (a excepción de la oficina de París) su conformidad con estas junto con la versión más actualizada de la Política de la firma sobre el uso aceptable de los sistemas de comunicación al incorporarse a la firma así como anualmente. El personal del despacho de Latham & Watkins en París tendrá conocimiento de las Normas a través del reglamento interno del despacho (“règlement intérieur”), que el personal puede consultar y al que puede acceder a través de la intranet del despacho o mediante un documento físico en el despacho. Además, el règlement intérieur se envía por correo electrónico a todo el personal anualmente para garantizar que todo el personal tenga conocimiento de las normas y su contenido. En virtud de la legislación francesa, todo el personal de la oficina de París está obligado a cumplir las disposiciones del règlement intérieur. El incumplimiento de las Normas (o del règlement intérieur en el caso de la oficina de París) constituye una falta disciplinaria, que puede dar lugar a medidas disciplinarias que pueden llegar hasta el despido o la expulsión de la firma. En París, la acción disciplinaria será la aplicable a cada categoría de personal: para el personal, la sanción disciplinaria está establecida en el Código Laboral francés (que puede ir desde una advertencia hasta el despido en caso de falta grave); para los abogados, las sanciones pueden ser pronunciadas por el órgano disciplinario del Consejo de Abogados y/o por la empresa (hasta la rescisión del contrato de asociado autónomo o la expulsión de la firma).

9.2 La empresa ha firmado el Acuerdo BCR. L&W Alemania ha sido designada por la empresa como Entidad de L&W con responsabilidades delegadas en materia de protección de datos en el EEE. L&W Alemania tomará medidas para remediar cualquier incumplimiento de las Normas, que podrá hacer cumplir contractualmente a través del Acuerdo BCR.

9.3 L&W Alemania acepta la responsabilidad de tomar medidas para subsanar los actos y omisiones de otras Entidades de L&W situadas fuera del EEE que incumplan estas Normas y de pagar una indemnización por los daños y perjuicios resultantes de dicho incumplimiento de estas Normas por Entidades de L&W situadas fuera del EEE. En consecuencia, cualquier reclamación contra oficinas de Latham & Watkins situadas fuera del EEE deberá dirigirse contra L&W Alemania (salvo las reclamaciones relativas al Reino Unido, que deberán dirigirse contra Latham & Watkins (London) LLP). Cualquier reclamación contra un despacho de Latham & Watkins situado en el EEE deberá dirigirse contra dicho despacho de Latham & Watkins.

9.4 Para eximirse de responsabilidad en virtud de cualquier reclamación presentada por un interesado, L&W Alemania deberá demostrar que no se ha producido tal infracción o que cualquier entidad de L&W situada fuera del EEE no es responsable de una infracción de las Normas que haya dado lugar a los daños y perjuicios u otra reparación reclamada por el interesado.

9.5 Las Entidades de L&W transferirán los Datos Personales europeos sujetos a las presentes Normas únicamente a Entidades de L&W que estén efectivamente vinculadas por las mismas.

10. Programa de auditoría para verificar el cumplimiento

Latham & Watkins se compromete a poner en marcha las medidas necesarias para analizar y verificar el cumplimiento de estas Normas y de la legislación aplicable en materia de protección de datos

10.1 Auditoría interna: el equipo de auditoría interna de la empresa, con el apoyo de miembros del Comité de Privacidad y/o de la Oficina Global de Privacidad de Datos, lleva a cabo auditorías de forma periódica para evaluar el cumplimiento de estas Normas, como pruebas de aplicaciones, sistemas informáticos y bases de datos que procesan Datos Personales Europeos, transferencias de Datos Personales Europeos, revisión de las leyes de los países receptores, revisión de contratos con proveedores. El alcance apropiado de la auditoría se determinará caso por caso. Estas Normas se auditarán de forma periódica según requiera razonablemente el enfoque de auditoría según los riesgos de la empresa. Los resultados de la auditoría se comunicarán, según proceda, a la Oficina Global de Privacidad de Datos de la empresa, a la dirección de L&W Alemania y a la alta dirección de la empresa. Se aplicarán todas las medidas correctoras que dichas auditorías consideren necesarias para el cumplimiento de estas normas, y el Comité de Auditoría se encargará de su seguimiento.

10.2 Auditoría externa: los auditores externos de la empresa realizan anualmente auditorías que comprueban la seguridad de los sistemas empresariales de la empresa. Cualquier entidad de L&W puede organizar auditorías externas adicionales ad hoc. Los resultados de la auditoría se comunicarán, según proceda, al Comité de Privacidad y/o al Comité de Seguridad de la empresa en la medida en que estén relacionados con la privacidad o la seguridad de la información.

10.3 Además de las auditorías descritas en las cláusulas 10.1 y 10.2, el Comité Ejecutivo, el Comité de Auditoría, el RPD, el Comité de Privacidad o el Comité de Seguridad pueden solicitar auditorías adicionales.

10.4 Facilitar los resultados de las auditorías a las APD dentro del EEE: en la medida en que estén relacionados con el cumplimiento de estas Normas, una Entidad de L&W en el EEE compartirá los resultados de dichas auditorías internas o externas con la APD de su país o jurisdicción si así lo solicita dicha APD.

10.5 Someterse a la auditoría de la APD: cada Entidad de L&W permitirá a la APD del país del EEE en el que desarrolle su actividad auditar sus operaciones en dicho país del EEE con el fin de verificar el cumplimiento de las presentes Normas y de la legislación de la UE aplicable en materia de privacidad.

11. Solicitudes de acceso a la Administración

11.1 En caso de que una Entidad de L&W reciba una solicitud para proporcionar, conservar, revelar, conceder acceso o procesar de otro modo Datos Personales Europeos por parte de un tercero, incluidas, sin limitación, las fuerzas y cuerpos de seguridad o una autoridad gubernamental (“Solicitud de terceros”), la Entidad de L&W deberá:

11.1.1 notificar sin demora dicha solicitud u orden a las demás Entidades de L&W pertinentes y al Comité de Privacidad, y hará todo lo razonablemente posible para ayudar a la Entidad de L&W que actúe como exportador de datos en sus esfuerzos por oponerse a la solicitud u orden;

11.1.2 en caso de que la legislación aplicable le prohíba notificar la solicitud u orden a las demás entidades de L&W pertinentes y al Comité de Privacidad, hará todo lo razonablemente posible para impugnar dicha solicitud u orden ante un tribunal competente y solicitar la autorización pertinente para que las demás entidades de L&W pertinentes puedan intervenir en el procedimiento; y

11.1.3 en caso de que dicha solicitud o cualquier divulgación posterior u otra acción por parte de la Entidad de L&W que haya recibido la Solicitud de Terceros impida o pudiera impedir a la Entidad de L&W pertinente cumplir estas Normas, la Entidad de L&W pertinente se compromete a informar sin demora a otras Entidades de L&W pertinentes y al Comité de Privacidad de su incapacidad para cumplirlas.

11.2 Las Entidades de L&W documentarán su evaluación jurídica relativa a la Solicitud de Terceros y conservarán la información durante la vigencia de estas Normas. La evaluación se pondrá a disposición de la APD a petición de ésta.

11.3 Con sujeción a lo dispuesto en el apartado 11.1, las Entidades L&W sólo facilitarán a un tercero los Datos Personales Europeos que sean razonablemente necesarios para cumplir con la Solicitud de Terceros, y dicha transferencia no será masiva, desproporcionada e indiscriminada de forma que vaya más allá de lo necesario en una sociedad democrática.

12. Actualizaciones

12.1 El Comité de Privacidad (referido en la sección 8.3) revisará estas Normas, se asegurará de que se actualicen periódicamente y comunicará las actualizaciones pertinentes a las Entidades de L&W sin demoras indebidas. El Comité de Privacidad se asegurará de que cualquier cambio en la estructura de la empresa se refleje en estas Normas y que cualquier nueva Entidad de L&W esté obligada a aceptar y cumplir los términos de estas Normas. El Comité de Privacidad informará a las Entidades L&W sobre cualquier cambio en estas Normas.

12.2 El Comité de Privacidad mantendrá informados al Comité de Seguridad y a las Entidades de L&W de todas las actualizaciones e informará puntualmente de las mismas a las APD pertinentes, según proceda.

12.3 Las disposiciones no confidenciales de estas Normas, incluido el contenido del Apéndice 1 (Procedimiento de Reclamaciones sobre Privacidad de Datos), se publicarán en el sitio web externo de Latham & Watkins y en el sitio de intranet de Latham & Watkins. Cualquier actualización de las Normas se publicará sin demora. El texto íntegro de las Normas se facilitará previa solicitud (sujeta a un acuerdo de confidencialidad) a cualquier interesado que desee ejercer los derechos de reparación descritos en el Procedimiento de Reclamaciones sobre Privacidad de Datos del Apéndice 1.

13. Derecho de acceso, rectificación y oposición (marketing y elaboración de perfiles incluidos) 

Cada entidad de L&W reconoce que los interesados tienen los siguientes derechos como terceros beneficiarios en relación con la entidad de L&W en su capacidad de responsable del tratamiento de Datos Personales Europeos:

13.1 el derecho a recibir una copia de los Datos Personales Europeos que la entidad L&W posea sobre ellos (incluida la finalidad y el modo de tratamiento) en los plazos y con la periodicidad especificados en la legislación comunitaria aplicable en materia de privacidad de datos, sin perjuicio del derecho a rechazar dicha solicitud, en su totalidad o en parte, que pueda corresponder a la entidad L&W en virtud de la legislación comunitaria aplicable en materia de privacidad de datos;

13.2 el derecho a recibir una copia de los Datos Personales Europeos que la entidad de L&W conserva sobre ellos (lo que incluye el modo de tratar dichos datos y la finalidad), dentro de los plazos e intervalos que se especifiquen en la legislación europea aplicable en materia de privacidad de datos;

13.3 derecho a que se actualicen, corrijan o completen sus Datos Personales Europeos, en particular debido al carácter incompleto o inexacto de los mismos, con sujeción a lo dispuesto en la legislación de la UE aplicable en materia de privacidad de datos;

13.4 derecho a que se supriman sus Datos Personales Europeos, con arreglo a lo dispuesto en la legislación de la UE aplicable en materia de privacidad de datos;

13.5 el derecho a restringir el tratamiento de sus Datos Personales Europeos, de conformidad con lo dispuesto en la legislación de la UE aplicable en materia de privacidad de datos;

13.6 derecho a recibir los Datos Personales Europeos que el interesado haya facilitado a una Entidad de L&W en su calidad de responsable del tratamiento de Datos Personales Europeos, en un formato estructurado, de uso común y lectura mecánica, y a transmitir dichos datos personales a otro responsable del tratamiento, con sujeción a lo dispuesto en la legislación de la UE aplicable en materia de privacidad de datos;

13.7 cuando así lo exijan las disposiciones de las Leyes aplicables sobre privacidad de datos de la UE, el derecho a no recibir material de marketing directo sin haber dado previamente su consentimiento y, en todos los casos, el derecho a oponerse en cualquier momento al tratamiento de sus datos personales (incluida la elaboración de perfiles) con fines de marketing directo;

13.8 derecho a oponerse en cualquier momento al tratamiento de sus Datos Personales Europeos, con sujeción a lo dispuesto en la legislación de la UE sobre protección de la intimidad; y

13.9 derecho a oponerse a que se tomen decisiones sobre sus Datos Personales Europeos basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, cuando dichas decisiones evalúen sus características personales o su comportamiento y produzcan efectos jurídicos que les conciernan o les afecten significativamente (excepto en la medida en que lo permita la legislación aplicable de la UE en materia de privacidad de datos y con sujeción a las garantías contenidas en la misma).

14. Incumplimiento de estas Normas

Latham & Watkins reconoce que los interesados tienen derecho a hacer valer los siguientes derechos frente a la firma, con respecto a los Datos Personales Europeos, en tanto que terceros beneficiarios:

14.1 el derecho a obtener una copia de estas Normas si lo solicitan (en virtud de cualquier acuerdo de confidencialidad que la firma o la Entidad de L&W que gestione la solicitud exija dentro de lo razonable);

14.2 el derecho a recibir una respuesta, en un plazo razonable y nunca más tarde de un 1 mes desde que se realice la solicitud (y no superior a tres meses en caso de solicitudes complejas), a todas las consultas relativas al tratamiento de los Datos Personales Europeos del interesado fuera del EEE;

14.3. el derecho a poner una reclamación y a conseguir la compensación que sea adecuada (incluida, cuando proceda, una indemnización por daños y perjuicios) como resultado del incumplimiento de estas Normas por parte de una entidad de L&W (salvo todo incumplimiento de las disposiciones que esté relacionado con la formación del personal, con las políticas y la función de privacidad de Latham & Watkins, con el programa de auditoría y con las actualizaciones de estas Normas);

14.4 el derecho a poner una reclamación ante una autoridad de protección de datos del Espacio Económico Europeo del país de residencia habitual del interesado o de su lugar de trabajo, o del lugar en que se haya producido el supuesto incumplimiento de estas Normas; y

14.5 el derecho a pedir una satisfacción judicial efectiva en el tribunal apropiado del Espacio Económico Europeo, que puede estar en la jurisdicción en la que esté establecida la entidad de L&W pertinente o en el lugar de residencia habitual del interesado.

15. Cumplimiento de los derechos de los interesados

15.1 El proceso para ejercer los derechos que se describen en la sección 14 se establece en mayor detalle en el Procedimiento de reclamaciones sobre privacidad de datos de Latham & Watkins, del Apéndice 1 a estas Normas.

15.2 El interesado que desee hacer valer sus derechos deberá ponerse en contacto en primera instancia con la Oficina Global de Privacidad de Datos, pero también podrá presentar una reclamación ante el Presidente del Comité de Privacidad de Datos con sede en Frankfurt, o ante la APD o los tribunales del territorio en el que se encuentre la Entidad L&W correspondiente.

15.3 Todo interesado que quiera hacer valer sus derechos en virtud de estas Normas tendrá que aportar pruebas que den lugar a causas judiciales que, a primera vista, demuestren que se ha producido un incumplimiento.

15.4 Las Entidades L&W reconocen que el interesado puede estar representado por un organismo, organización o asociación sin ánimo de lucro, de conformidad con la legislación de la UE en materia de protección de datos y sujeto a un poder notarial adecuado.

16. Terminación

16.1 Al término de las presentes Normas o la suspensión de la transferencia de datos, las Entidades de L&W pertinentes podrán conservar, devolver o eliminar los Datos Personales Europeos y las copias de los mismos a elección del exportador de datos.

16.2 En la medida en que el exportador de datos acepte que la Entidad de L&W correspondiente conserve los datos personales, el importador de datos deberá garantizar que se mantenga la protección de los Datos Personales Europeos de conformidad con las disposiciones sobre transferencia de datos del GDPR.

16.3 En la medida en que las leyes locales prohíban a la Entidad L&W que actúa como importador de datos devolver o suprimir los Datos Personales Europeos, el importador de datos deberá garantizar que se mantenga la protección de los Datos Personales Europeos de conformidad con estas Normas.

Fecha de entrada en vigor de las Normas: septiembre de 2016

Actualizado en febrero de 2025