La incorporación del Reglamento General de Protección de Datos (“RGPD”) modifica la legislación europea en materia de protección de datos. Entendemos que pueda tener alguna pregunta sobre la función de Cigna desde la perspectiva de la protección de los datos, así como sobre las obligaciones que le impone el RGPD a Cigna.
Cigna ha evaluado los efectos del RGPD sobre sus actividades y ha puesto en marcha todas las medidas necesarias para su cumplimiento. Como consecuencia, debido a nuestra función como responsable del tratamiento de datos personales en virtud de la legislación, no se exigirán disposiciones contractuales adicionales entre Cigna y sus clientes, como los requisitos de diligencia debida y las disposiciones relativas a auditoría, que en estos casos no contempla la legislación.
De cualquier modo, mantenemos nuestro compromiso de trabajar de forma colaborativa y eficaz con nuestros clientes y socios para garantizar la privacidad y protección de sus datos confidenciales.
Alcance del reglamento
Los términos “responsable del tratamiento” y “encargado del tratamiento” se fundamentan en la legislación europea en materia de protección de datos actual. Estos términos se utilizan para describir las funciones de las entidades que realizan el tratamiento de datos personales y son un elemento esencial del RGPD.
El “responsable del tratamiento” es la entidad que establece los fines y medios del tratamiento de datos personales, es decir, el que decide cómo y por qué se tratan los datos personales. En cambio, el “encargado del tratamiento” realiza el tratamiento de datos personales únicamente en nombre del responsable y de acuerdo con las instrucciones de este. Aunque el RGPD impone determinadas obligaciones directas a los encargados, la mayor parte de sus exigencias recae sobre los responsables.
Salvo que le hayamos informado de lo contrario en el acuerdo que tenemos con usted, tratamos los datos personales que son necesarios para prestarle nuestros servicios en calidad de responsables.
Entendemos que haya decidido trabajar con nosotros, en parte, debido a la protección que brindamos a los datos personales de carácter confidencial suyos y de sus empleados. Con este objetivo, tenga claro que, en los casos en los que quedemos supeditados al RGPD, nos comprometemos íntegramente a cumplir con las obligaciones que tenemos en calidad de responsables.
Por consiguiente, en virtud de las obligaciones del RGPD, nos comprometemos a lo siguiente:
- Tratar los datos personales de manera justa, transparente y con base jurídica. Nos aseguraremos de que las personas están informadas sobre la recopilación y uso de sus datos personales, que contamos con la base jurídica para realizar el tratamiento de datos personales y que el tratamiento que realizamos de categorías especiales de datos personales (como la información sobre la salud de las personas) se ajusta a los requisitos de la legislación vigente en materia de protección de datos. Por ejemplo, cuando se nos requiera el consentimiento explícito para el tratamiento de los datos relativos a la salud de una persona, pediremos dicho consentimiento. No obstante, tenga en cuenta que la legislación de determinados Estados miembros permite el tratamiento de ciertos tipos de categorías especiales de datos personales a efectos de pólizas de seguros sin un consentimiento explícito.
- Tratar los datos personales únicamente para los fines para los que fueron recopilados y no de forma que contradigan dichos fines. Si tratamos datos personales para un nuevo fin, nos aseguraremos de que el tratamiento cumple con el RGPD. En la práctica, es posible que suponga tener que pedir a las personas su consentimiento para la nueva actividad de tratamiento.
- Tomar las medidas necesarias para garantizar que los datos personales son adecuados, pertinentes y limitados a lo necesario según los fines de su tratamiento y, además, que son exactos y se actualizan cuando corresponda.
- Poner en marcha las medidas técnicas y organizativas necesarias para proteger los datos personales que tratamos. Las medidas de seguridad implementadas se basan en una serie de factores, que incluyen, a modo de ejemplo: la tecnología de última generación, las características, el alcance, el contexto y los fines del tratamiento, así como los riesgos que supone el tratamiento para las personas, entre otros. Las garantías técnicas con las que contamos también se ajustan a las normas de seguridad del sector. Asimismo, nos aseguraremos de que nuestros subcontratistas aplican las medidas de seguridad necesarias y que cuentan con contratos que cumplen con los requisitos del RGPD.
- Aplicar una protección de datos desde el diseño y por defecto y realizar evaluaciones de impacto sobre privacidad cuando sea necesario.
- Garantizar que los datos personales están protegidos adecuadamente cuando se transfieran fuera del Espacio Económico Europeo. Por ejemplo, Cigna ha elaborado un acuerdo de transferencia de datos dentro del grupo que incorpora las cláusulas contractuales tipo de la Comisión Europea para legitimar la transferencia de datos personales entre miembros del grupo corporativo Cigna.
- Conservar datos personales únicamente mientras sean necesarios para los fines del tratamiento.
- Defender los derechos de las personas en relación con sus datos personales. Por ejemplo, si tratamos los datos personales de una persona física dentro del contexto de prestación de servicios, responderemos a cualquier petición que recibamos de dicha persona en relación con sus datos personales.
- Garantizar que acreditamos nuestra “rendición de cuentas”. Contamos con políticas y procedimientos que nos ayudan a cumplir con las disposiciones jurídicas y normativas. Disponemos de políticas fundamentales globales y, cuando es necesario, las unidades de negocio de Cigna elaboran y establecen políticas y procedimientos de cumplimiento específicos para cada departamento, que se examinan y actualizan de forma periódica.