Principis de privacitat ARAG Group

 

El nostre objectiu

Com a grup assegurador amb activitat internacional, atorguem la màxima importància a la protecció i a la seguretat de les dades personals. El respecte pels drets personals és la base d'una cooperació lleial amb els nostres clients, socis i empleats.

El nostre objectiu és que ARAG no sols ofereixi una excel·lent cobertura d'assegurances, sinó que també sigui líder en la protecció de la privacitat en l'era de la digitalització. Per tant, forma part de la nostra naturalesa complir amb tots els requisits legals a l'hora de recopilar i processar dades personals. Aquests requisits inclouen, en particular, les regulacions del Reglament de Protecció de Dades de la UE i totes les lleis sobre protecció de dades que resultin d'aplicació.

Aquesta política de protecció de dades descriu els principis i les mesures necessàries per a protegir els drets i les llibertats de les persones físiques respecte al tractament de les seves dades personals, vàlids per a totes les companyies d'ARAG que han adoptat aquesta política.

Els nostres principis per al tractament de dades

A l'hora de processar dades personals, apliquem els següents principis:

  • Licitud: El tractament de dades personals sempre requereix una base legal.
  • Transparència: Tot interessat ha de ser capaç de comprendre el tractament de les seves dades personals.
  • Limitació de la finalitat: Els fins per als quals es processen les dades personals han d'identificar-se clarament amb antelació i definir-se en el moment de la recollida.
  • Minimització de les dades: El tractament de dades personals es limitarà a la mesura apropiada, factual, rellevant i necessària per a l'objectiu del tractament. El mateix s'aplicarà a les opcions d'accés.
  • Exactes i actualitzats: Les dades personals s'han d'emmagatzemar de manera correcta i completa, han de processar-se respectivament i mantenir-se actualitzats. Es deuran prenen les mesures adequades per a esborrar, corregir, complementar o actualitzar aquelles dades que siguin inexactes o estiguin incomplets o desactualitzats.
  • Limitació d'emmagatzematge: Les dades personals només s'han d'emmagatzemar durant el temps que sigui necessari per a l'objectiu del tractament o segons ho permetin altres regulacions legals (per exemple, períodes de conservació d'acord amb la legislació mercantil/fiscal).
  • Integritat i confidencialitat: En el tractament de dades personals, s'han de prendre les mesures tècniques i organitzatives adequades per a protegir les dades de manera apropiada, en particular enfront del tractament no autoritzat o il·legal, a la pèrdua accidental i a la destrucció o danys accidentals.

Com a part de l'execució responsable de la nostra responsabilitat, documentem el tractament de les dades personals com a prova del compliment dels principis abans esmentats.

Licitud del tractament de dades

Qualsevol tractament de dades personals està subjecte al principi de "prohibició amb reserva d'autorització". En conseqüència, el tractament de dades personals és il·legal si no existeix una base legal per a això. ARAG processa dades personals, en particular, per les següents raons (lícites):

  • Execució d'un contracte o per a aplicació de mesures precontractuals, per exemple, tractament de dades d'adreces per a la comunicació postal.
  • Compliment d'una obligació legal, per exemple, emmagatzematge de documents d'acord amb la legislació financera/mercantil.
  • Interessos legítims, per exemple, publicitat a través del servei postal (sempre que no existeixin objeccions).
  • Consentiment de l'interessat, per exemple, per a possibilitar el contacte per telèfon o per a tractar les dades de salut.

Consentiment de l'interessat, per exemple, per a possibilitar el contacte per telèfon o per a tractar les dades de salut.

Drets dels interessats

La protecció dels drets i llibertats de les persones físiques respecte al tractament de les seves dades personals és una prioritat clau per a ARAG. Per a garantir aquesta protecció, l'interessat compte, entre altres, amb els següents drets:

  • Informació: S'informarà els interessats de manera àgil i transparent sobre si es tractaran o no les seves dades. Això s'aplica tant si les dades personals s'obtenen directament de l'interessat com si són recopilats per altres organismes (recollida per part de tercers).
  • Accés: Els interessats poden sol·licitar en qualsevol moment informació sobre les seves dades personals emmagatzemades i/o tractaments, així com una còpia de les seves dades personals emmagatzemades i/o tractaments.
  • Rectificació: Els interessats poden sol·licitar en qualsevol moment que es corregeixin o es completin aquelles dades personals que siguin falsos o incomplets, per exemple, si un nom o una direcció són incorrectes.
  • Supressió: Els interessats poden sol·licitar que se suprimeixin les seves dades personals, sempre que això no entri en conflicte amb obligacions o drets existents, per exemple, obligació d'emmagatzematge segons la legislació fiscal/mercantil. L'interessat també té dret al "oblit", de manera que s'haurà d'informar altres responsables de dades sobre la sol·licitud d'eliminació, en la mesura en què ARAG els hagi comunicat dades personals.
  • Limitació del tractament: Els interessats poden sol·licitar que les seves dades personals es restringeixin, per exemple, si són inexactes.
  • Oposició: Els interessats poden oposar-se al tractament de les seves dades personals amb finalitats publicitaris en qualsevol moment. Per a altres fins, aquesta objecció és possible sota unes certes condicions, depenent de les circumstàncies personals particulars de l'interessat.
  • Decisió individual automatitzada cas per cas: En el context de transaccions comercials eficients, els interessats només estan subjectes a una decisió automatitzada cas per cas si la mateixa és legal, per exemple, en el context del compliment d'un contracte. S'informarà els interessats sobre els procediments de tractament automatitzat corresponents.

L'interessat rebrà tota la informació relacionada amb el tractament de les seves dades personals en un llenguatge clar i simple.

En el cas d'una violació de les dades personals, els interessats seran informats d'aquest incident si es compleixen els requisits legals corresponents als riscos per als seus drets i llibertats.

L'interessat és lliure de presentar una reclamació a l'empresa, posar-se en contacte amb el delegat de protecció de dades, l'autoritat supervisora de protecció de dades o un tribunal de justícia per a exercir els seus drets i llibertats en relació amb el tractament de dades personals. Aquesta política no afecta als drets legals i les reclamacions dels interessats.

Tractament per part de tercers i cessió de dades

Si les dades personals són tractats per proveïdors de serveis o col·laboradors externs en nom d'ARAG, es prendran les mesures adequades per a la protecció de les dades (depenent del camp d'acció) en el tractament, per exemple:

  • Tractament per part de tercers de dades personals: Si se sol·licita a un proveïdor de serveis el tractament de les dades personals, es formalitzaran acords amb aquest proveïdor de serveis, i només es realitzarà aquest encàrrec a aquells proveïdors de serveis que adoptin les mesures tècniques i organitzatives adequades per a protegir les dades. El mateix s'aplica respecte a l'accés a les dades en relació amb operacions de servei i manteniment.
  • Transferència de funcions: Si s'encomanen a un tercer altres tasques, a més del tractament de les dades personals, per a l'exercici de les quals requereix la seva pròpia autoritat de decisió respecte a l'ús de les dades, es formalitzaran amb aquesta part acords de protecció de les dades (comparables als corresponents al tractament de dades per part de tercers), que establiran les mesures tècniques i organitzatives adequades, comparables a les necessàries per al tractament de dades per part de tercers.
  • Acord de confidencialitat: Si no es pot descartar en casos individuals que les dades personals s'hagin de divulgar de manera limitada, s'ha de formalitzar un acord de confidencialitat per raons de seguretat amb el proveïdor.

Les dades personals només podran processar-se fora de la UE o veure's des de fora de la UE si s'estableixen les garanties i proves adequades per a garantir la seguretat del tractament, per exemple, formalitzant clàusules estàndard per a la protecció de les dades.

Seguretat de les dades, avaluació de l'impacte i disseny tecnològic

Apliquem totes les mesures tècniques i organitzatives adequades per a protegir el tractament de les dades personals. Aquestes inclouen, en particular, mesures per a garantir la confidencialitat, la integritat i la disponibilitat de les dades personals, inclosa la capacitat de recuperació dels sistemes i serveis.

En totes les operacions de tractament, es tenen en compte els riscos per als drets i llibertats dels interessats a l'hora de seleccionar les mesures tècniques i organitzatives. En el cas que els riscos siguin elevats, els processos de tractament estaran subjectes a un control addicional dels riscos i les mesures.

En processar les dades personals, s'observa el principi de "protecció de les dades mitjançant el disseny de la tecnologia i preajustos adequats per a la protecció de les dades" (privacitat de les dades per disseny/per defecte), per exemple, mitjançant la seudonimización o minimització de les dades personals.

Les mesures tècniques i organitzatives es revisen regularment en termes d'efectivitat i s'ajusten segons sigui necessari, tenint en compte els últims avanços tècnics. Això també s'aplica a les mesures tècniques i organitzatives quan es tracta de proveïdors de serveis o socis externs.

Responsabilitats i organització de la protecció de dades

Cadascuna de les companyies d'ARAG és responsable d'implementar les regulacions de protecció de dades. La direcció de l'empresa s'encarrega de crear les condicions prèvies necessàries per a la implementació dels requisits de protecció de dades per part dels empleats dels respectius departaments. Això també s'aplica a les sucursals de la companyia fora de la seva seu central.

La implementació i el compliment dels requisits de protecció de dades compten amb el suport del Delegat de Protecció de Dades del Grup i d'una organització de protecció de dades descentralitzada que s'assegura que els requisits puguin garantir-se internacionalment.

Els principis i característiques del sistema de gestió de la protecció de dades del Grup ARAG es descriuen àmpliament en la Guia complementària de gestió de protecció de dades. A més dels requisits de protecció de dades especificades en aquesta política, s'apliquen requisits complementaris, en funció de les activitats mercantils d'ARAG; a Alemanya, per exemple, el compromís voluntari d'ARAG d'acord amb el "Codi de conducta per al tractament de dades personals del sector de les assegurances a Alemanya".

La política de privacitat sobre protecció de dades s'adopta com una política de grup per part del Consell d'Administració de la companyia respectiva. El Delegat de Protecció de Dades del Grup revisa aquesta política anualment per a assegurar-se que està actualitzada i, en cas de canvis significatius, es torna a sotmetre a aprovació per part del Consell d'Administració.