Este canal de denuncias (“Whistleblowing Channel”) ha sido desarrollado en cumplimiento de la Directiva de la UE 2019/197 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión y la regulación nacional aplicable. La presente política de privacidad incluye información relativa a los datos personales objeto de tratamiento, cómo serán procesados, y con base en qué propósitos.
4finance AS, compañía de responsabilidad limitada con sede en Luxemburgo, así como sus filiales, son los responsables de procesar los datos recogidos a través de este canal de denuncias.
Con base en el Reglamento General de Protección de Datos ("RGPD") y la legislación nacional aplicable, el tratamiento de datos se circunscribe al Canal de Denuncias, las denuncias presentadas a través del sistema, toda la información y documentación facilitada con motivo de la denuncia, así como las actuaciones, investigaciones e informaciones que de ella se deriven.
1. Responsables del tratamiento.
En la medida en que una denuncia haga referencia a empleados u otras personas relacionadas con una filial del grupo 4finance, los responsables del tratamiento de los datos serán conjuntamente 4finance AS y la filial. En el caso de este canal los corresponsables del tratamiento son:
2. Finalidad del tratamiento.
La finalidad del tratamiento de los datos personales es establecer y mantener el Canal de Denuncias, así como recibir, investigar y resolver cualquier incumplimiento, mala conducta u otros asuntos denunciados a través del Canal de Denuncias de acuerdo con las políticas internas de los responsables del tratamiento, y los requisitos de la Directiva 2019/1937 y la legislación nacional aplicable.
Puesto que la naturaleza propia de una denuncia puede incluir cualquier tipo de información, incluso incorrecta o excesiva, su tratamiento tendrá por objeto la elaboración e investigación de evidencias que, en su caso, serán descartadas.
3. Base legal del tratamiento.
El tratamiento se basa en la Directiva 2019/1937 y la normativa estatal aplicable. El tratamiento de los datos personales relativos a los sujetos de la denuncia, a los denunciantes y a los gestores del caso se basa en el interés legítimo del responsable del tratamiento con objeto de prevenir, detectar, investigar y abordar las infracciones.
Dada la específica naturaleza de las denuncias, y la diversidad de su contenido, los responsables del tratamiento podrían estar expuestos, de forma no intencionada, a categorías especiales de datos personales contenidos en el informe de denuncia de acuerdo con las excepciones permitidas por el artículo 9 del RGPD. Cualquier dato personal irrelevante o no pertinente será eliminado de acuerdo con el Art. 17 de la Directiva 2019/1937.
4. Categorías de sujetos y datos objeto del tratamiento.
Denunciantes. Por defecto, el sistema gestiona la denuncia de forma anónima. No obstante, en la medida en que determinados datos pueden ayudar en la investigación, se ofrece la posibilidad de incluir información personal del denunciante (como su nombre, ubicación, departamento, edad, sexo, información financiera, etc.).
Dada la específica naturaleza de los hechos denunciados, la información proporcionada por el denunciante podría contener categorías especiales de datos personales (como información sobre la salud de una persona, datos biométricos, creencias, sexualidad, condenas penales). Así mismo, las circunstancias del caso podrían permitir la identificación del denunciante de forma indirecta.
Los denunciantes pueden ser empleados del Grupo 4finance y cualquier persona externa interesada, que tengan relación con la entidad a través de sus actividades profesionales, como por ejemplo prestadores de servicios, distribuidores, proveedores y socios comerciales.
Sujetos de las denuncias. Las denuncias de conducta indebida pueden contener datos sobre otras personas relevantes (por ejemplo, nombre, apellidos, cargo, ubicación, información financiera, fotografías o vídeos), su comportamiento y circunstancias personales, entre otros datos. Excepcionalmente, los informes podrían contener categorías especiales de datos personales.
Responsables de la investigación. La persona responsable de la investigación recibe la información contenida en el informe. Estas personas son empleados asignados específicamente por los corresponsables para procesar el informe. Se procesa su nombre, título, nombre de usuario y datos de registro.
5. Acceso y revelación de datos personales.
Sólo los responsables de la investigación tienen acceso directo a los datos personales del informe. Los datos personales pueden ser revelados a terceros, como las autoridades o los auditores externos, en caso de obligación legal o interés legítimo.
Cuando se informa desde un dispositivo conectado a una red pública o de trabajo, las páginas web visitadas quedan registradas en el historial del navegador y/o en el registro del sistema, lo que podría permitir su identificación en algunas circunstancias, por lo que se recomienda al denunciante que utilice una red privada y el navegador en modo incógnito.
6. Tratamiento de datos personales en otros países UE/EEE.
El administrador del Canal de Denuncias es un proveedor de servicios externo: Falcony Ltd., Registro Mercantil finlandés ID: 2900763-6, Annankatu 27 A, 00100 Helsinki, Finlandia, +358 20 131 0611, support@falcony.io (Encargado del tratamiento).
Los responsables del tratamiento han establecido los acuerdos y mecanismos necesarios para garantizar que el encargado sólo utiliza los datos personales recogidos por medio del Canal de Denuncias según lo permitido por las leyes de protección de datos aplicables. El Encargado del tratamiento ha subcontratado el almacenamiento de los datos con la compañía Amazon AWS, Irlanda (Sub-encargado del tratamiento). Los datos se procesan y almacenan únicamente dentro del ámbito de la UE/EEE.
7. Período de conservación de los datos.
Los datos de la denuncia serán conservados durante un máximo de dos (2) años una vez finalizada la investigación. Este plazo podría ampliarse en caso de verificarse una obligación legal, por ejemplo, derivada de la legislación en materia de Prevención de Blanqueo de Capitales, procesal penal, administrativa o civil, la regulación en materia de prevención de riesgos laborales, etc.
8. Derechos del Denunciante.
El Denunciante tiene derecho a:
- Obtener del Responsable información sobre si sus datos están siendo objeto de tratamiento, y en tal caso acceder a sus datos personales.
- Rectificar sus datos personales.
- Limitar u oponerse al tratamiento de sus datos personales.
- Suprimir sus datos personales.
- Oponerse al tratamiento de sus datos.
- Presentar una reclamación ante la AEPD
9. Seguridad de la información.
Todos los datos se transmiten y almacenan encriptados. No se envía ninguna información sin encriptar, por lo que el riesgo de violación e identificación indirecta es insignificante.
10. Consultas sobre datos personales y la base legal del Canal de Denuncias.
Para cualquier consulta sobre el tratamiento de datos personales, póngase en contacto con el Responsable de Protección de Datos del Grupo 4finance: privacy@4finance.com
Para cuestiones relacionadas con el marco legal del Canal de Denuncias y la investigación de las mismas, póngase en contacto con el Compliance Officer de 4financeGroup: compliance@4finance.com
Para cuestiones relativas al marco de lucha contra el blanqueo de capitales, póngase en contacto con el responsable de AML de 4finance Group: aml@4finance.com
