• Está viendo una versión traducida automáticamente de este sitio web
Español
Español English (UK) العربية 简体中文 繁體中文 Italiano Français Português do Brasil Español de México 日本語 한국어 Русский Deutsch Türkçe
Folleto
Póngase en contacto con nosotros
Políticas

GDPR Política de protección de datos

Propósito

Malvern International se compromete a llevar a cabo sus actividades de conformidad con todas las leyes y reglamentos aplicables en materia de protección de datos y en consonancia con las normas más estrictas de conducta ética.

Esta política establece los comportamientos esperados y las normas exigidas a los empleados de Malvern International y a terceros en relación con la recogida, uso, conservación, transferencia, divulgación y destrucción de cualquier Dato Personal perteneciente al Sujeto de Datos.

Los datos personales son cualquier información “relativa” a una persona viva identificable. Los datos personales están sujetos a ciertas salvaguardas legales y otras regulaciones que imponen restricciones sobre cómo las organizaciones pueden procesar los Datos Personales. Malvern International es responsable de garantizar el cumplimiento de los requisitos de protección de datos descritos en esta Política. El incumplimiento puede exponer a Malvern International a reclamaciones, acciones reguladoras, multas y/o daños reputacionales. La acción deliberada para infringir esta política también puede constituir un delito penal.

Cualquier infracción de esta política será tratada seriamente por Malvern International y podrá ser considerada bajo el Procedimiento Disciplinario. Para facilitar la comprensión de esta política, a continuación se explica la siguiente terminología:

Un responsable del tratamiento es una empresa que determina cuándo, por qué y cómo tratar los datos personales. Como responsable del tratamiento de datos, la empresa es responsable de establecer prácticas y políticas acordes con la legislación en materia de protección de datos.
ley de protección de datos. Somos el Responsable del Tratamiento de todos los Datos Personales relativos al Personal de nuestra Empresa y de los Datos Personales utilizados en nuestro negocio para nuestros propios fines comerciales.

Categoría especial significacualquier dato personal que incluya detalles sobre: raza u origen étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéricos, datos biométricos, datos relativos a la salud, sexo, orientación sexual o vida sexual.

Personal de la empresatodos los empleados, trabajadores (incluidos contratistas, trabajadores de agencia y consultores), directores, miembros y otros (incluidos voluntarios, becarios y aprendices).

Sujeto de los datosuna persona viva, identificada o identificable sobre la que tenemos Datos Personales. Los interesados pueden ser nacionales o residentes de cualquier país y pueden tener derechos legales en relación con sus Datos Personales. Puede tratarse de usted, sus colegas, clientes, proveedores o cualquier otra persona.

Legislación sobre protección de datoscubre cualquier legislación diseñada para proteger los datos personales o respetar la privacidad de un individuo. La legislación que se aplica actualmente es (i) el Reglamento General de Protección de Datos (“RGPD”), que se aplica cuando nos dirigimos o vendemos a personas físicas establecidas en cualquier país de la UE o del EEE y tratamos sus datos personales.

El UK-GDPR y la Ley de Protección de Datos de 2018 que se aplica a cualquier interesado que resida en el Reino Unido

La Ley de Datos (Uso y Acceso) de 2025, que complementa y amplía aspectos específicos de la UK-GDPR y el marco actual de protección de datos.

Datos personalescualquier información que identifique a un interesado o información relativa a un interesado que podamos identificar (directa o indirectamente) a partir de esos datos.

Vulneración de datos personalescualquier violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración o la difusión no autorizada de Datos Personales.

Avisos sobre protección de datos (también denominados avisos de tratamiento leal) o políticas de privacidad: avisos independientes que establecen la información que puede facilitarse a los interesados cuando la empresa recopila información sobre ellos.

Tratamiento o procesocualquier actividad que implique el uso de Datos Personales.

Ámbito de aplicación

Esta política se aplica a todas las entidades de Malvern International en las que se procesan los datos personales de un interesado.

Esta política se aplica a todo tratamiento de datos personales en formato electrónico (incluidos el correo electrónico y los documentos creados con programas de tratamiento de textos) o cuando se conservan en ficheros manuales estructurados de forma que permitan un fácil acceso a la información sobre las personas.

Aplicación de la política
El equipo directivo debe asegurarse de que todos los empleados de Malvern International responsables del tratamiento de datos personales conozcan y cumplan el contenido de esta política. Además, Malvern International se asegurará de que todos los Terceros contratados para procesar datos personales en su nombre conozcan y cumplan el contenido de esta política. Se pedirán garantías apropiadas de dicho cumplimiento a todos los Terceros, ya sean empresas o individuos, antes de concederles acceso a los datos personales controlados por Malvern International.

Principios de protección de datos
Cuando tratamos datos personales, debemos respetar los principios de protección de datos, que establecen las obligaciones que debemos cumplir. Se espera que todo el personal respete estos principios, que se exponen a continuación.

  • Legalidad, equidad y transparencia: todos los datos personales se tratarán de forma legal, equitativa y transparente, lo que significa que debemos informar al interesado sobre el tratamiento que se va a realizar (transparencia) y que éste debe ser equitativo, necesario y proporcionado. Todo el personal debe garantizar que el uso de los datos personales es razonable y esperado. Debemos llevar un registro escrito de los datos personales que tratamos y por qué los tratamos. El Responsable de Protección de Datos es responsable de mantener este registro y realizará auditorías periódicas para asegurarse de que está actualizado.
    • Limitación de la finalidad - Los datos personales se recopilarán con fines específicos, explícitos y legítimos, y no se tratarán posteriormente de manera incompatible con dichos fines. Esto significa que debemos especificar exactamente para qué se utilizarán los datos personales recogidos y limitar el tratamiento de dichos datos personales a lo estrictamente necesario para cumplir la finalidad especificada. La finalidad para la que se recogen y procesan los datos personales se establecerá en los avisos de privacidad correspondientes. Si es necesario utilizar datos personales para una nueva finalidad, deberá notificarse al responsable de protección de datos y seguirse cualquier consejo para garantizar el cumplimiento continuo. Si la nueva finalidad ya está contemplada en uno de nuestros avisos de privacidad, es posible que no sea necesario actualizarlo. Sin embargo, si es necesario actualizar nuestro aviso de privacidad antes de que tenga lugar la nueva actividad, deberá hacerse lo antes posible.
    • Minimización de datos - Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se procesan. Esto significa que Malvern International no debe almacenar datos personales más allá de lo necesario.
    • Exactitud - Los datos personales deben ser exactos y mantenerse actualizados. Esto significa que Malvern International debe disponer de procesos para identificar y tratar los datos personales obsoletos, incorrectos y redundantes. Todo el personal es responsable de garantizar la exactitud de los registros dentro de sus áreas de trabajo.
    • Limitación del almacenamiento - Los datos personales se conservarán en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se tratan los datos personales. Esto significa que Malvern International debe, siempre que sea posible, almacenar los datos personales de forma que se limite o impida la identificación del interesado. Como organización, debemos asegurarnos de que sólo conservamos los datos personales durante el tiempo necesario. Esto significa que debemos seguir las mejores prácticas de gestión de registros y eliminar los datos cuando ya no sea necesario conservarlos. El responsable de protección de datos y los miembros del equipo directivo son responsables de poner en marcha procesos de gestión de registros que incluyan un sistema de conservación de datos.
      que establece qué datos personales tenemos y durante cuánto tiempo los conservamos antes de que se revisen para comprobar su pertinencia o se supriman cuando sea necesario.
    • Integridad y confidencialidad - Los datos personales se procesarán de forma que se garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidentales. Malvern International debe utilizar las medidas técnicas y organizativas apropiadas para garantizar que la integridad y confidencialidad de los datos personales se mantiene en todo momento. Todo el personal es responsable de asegurar que sigue cualquier política o requisito de proceso diseñado para proteger la seguridad y confidencialidad de los datos. El personal no debe intentar eludir los controles de seguridad establecidos a tal efecto.
    • Todo el personal tiene un papel clave que desempeñar en la protección de la seguridad de nuestros datos, en particular, el personal:
      • no deben compartir su contraseña o credenciales de Malvern International con nadie más.
      • no deben compartir, cargar o reenviar datos sobre Malvern International con terceros a menos que sea un requisito directo de su función.
      • no debe desactivar, o intentar desactivar cualquier provisión antivirus o control de seguridad en cualquier sistema u ordenador de Malvern International.
  • Responsabilidad - Malvern International y su personal son responsables del cumplimiento de la legislación y pueden demostrarlo.

Recogida de datos

Fuentes de datos

Los datos personales deben recogerse directamente del interesado, a menos que se aplique una de las siguientes condiciones:

  • La naturaleza del objetivo comercial hace necesaria la recogida de datos personales de otras personas u organismos.
  • La recogida debe llevarse a cabo en circunstancias de emergencia para proteger los intereses vitales del interesado o para evitar pérdidas o lesiones graves a otra persona.

Si se recopilan datos personales de una persona distinta del interesado, éste debe ser informado de la recopilación, a menos que se dé una de las siguientes circunstancias:

  • El interesado había recibido la información requerida por otros medios.
  • La información debe ser confidencial por obligación de secreto profesional.
  • Una ley nacional prevé expresamente la recogida, el tratamiento o la transferencia de los datos personales.

Cuando se haya determinado que es necesario notificar a un interesado, la notificación deberá producirse con prontitud, pero a más tardar en el plazo de un mes natural a partir de la primera recogida o registro de los datos personales, en el momento de la primera comunicación si se utilizan para la comunicación con el interesado, en el momento de la divulgación si se divulgan a otro destinatario.

Notificación al interesado

Malvern International, cuando así lo exija la legislación aplicable, el contrato, o cuando considere que es razonablemente apropiado hacerlo, proporcionará a los interesados información sobre la finalidad del tratamiento de sus datos personales.

Cuando se pida a un interesado que dé su consentimiento para el tratamiento de sus datos personales, y cuando se recopile cualquier dato personal del interesado, se harán todas las revelaciones oportunas, de forma que llamen la atención sobre ellas, a menos que se aplique una de las siguientes situaciones:

  • El interesado ya dispone de la información.
  • Se aplica una exención legal a los requisitos de divulgación y/o consentimiento.
  • La divulgación puede hacerse por vía electrónica o por escrito.

Avisos de confidencialidad para el personal

Malvern International proporcionará al personal de la empresa un aviso de privacidad relativo a la recogida y tratamiento de sus datos personales.

Malvern International también incluirá un Aviso de privacidad en línea para posibles terceros que no sean personal de la empresa y un ‘Aviso de cookies’ en línea que cumpla los requisitos de la legislación aplicable.

Elaboración de perfiles y toma de decisiones automatizada

Malvern International no utiliza actualmente la elaboración de perfiles ni la toma de decisiones automatizada. En caso de que sea necesario elaborar perfiles y tomar decisiones automatizadas, sólo será para celebrar o ejecutar un contrato con el interesado o cuando la ley lo autorice. En tales casos, el interesado tendrá la oportunidad de hacerlo:

  • Expresar su punto de vista
  • Obtener una explicación de la decisión automatizada
  • Revisar la lógica utilizada por el sistema automatizado
  • Completar el sistema automatizado con datos adicionales
  • Hacer que una persona revise la decisión automatizada
  • Impugnar la decisión automatizada
  • Oponerse a la toma de decisiones automatizada.

La elaboración de perfiles y la toma de decisiones automatizadas están fuertemente restringidas por la ley de protección de datos y sólo deben llevarse a cabo una vez que se haya completado una evaluación del impacto sobre la protección de datos. El personal no está autorizado a llevar a cabo actividades que impliquen la elaboración automatizada de perfiles o la toma de decisiones sin solicitar previamente el asesoramiento y el apoyo del responsable de protección de datos.

Marketing digital

Malvern International sólo enviará material promocional o de marketing directo a cualquier contacto a través de canales digitales como teléfonos móviles, correo electrónico e Internet cuando dicho material cumpla con la ley de protección de datos. Toda persona asociada a Malvern International que desee llevar a cabo una campaña de marketing digital sin obtener el consentimiento previo del interesado deberá contar previamente con la aprobación del responsable de protección de datos.

Cuando se apruebe el tratamiento de datos personales con fines de marketing digital, el interesado deberá ser informado en el primer contacto de que tiene derecho a oponerse, en cualquier momento, a que sus datos sean tratados con tales fines. Si el interesado presenta una objeción, el tratamiento de sus datos personales relacionado con el marketing digital debe cesar inmediatamente y sus datos deben mantenerse en una lista de supresión con un registro de su decisión de no participar, en lugar de eliminarse por completo.

Cabe señalar que cuando el marketing digital se lleva a cabo en un contexto de ‘empresa a empresa’, no existe ningún requisito legal para obtener una indicación de consentimiento para llevar a cabo marketing digital a particulares, siempre que se les dé la oportunidad de optar por no participar.

Conservación de datos
Para garantizar un tratamiento justo, Malvern International no conservará los datos personales más tiempo del necesario en relación con los fines para los que se recogieron originalmente o para los que se trataron posteriormente.

En el Apéndice 1 se indica el periodo de tiempo durante el cual Malvern International necesita conservar los datos personales. En él se tienen en cuenta los requisitos legales, contractuales y empresariales que influyen en los periodos de conservación. Todos los datos personales deben borrarse o destruirse lo antes posible cuando se haya confirmado que ya no es necesario conservarlos, a menos que exista un motivo legítimo para no hacerlo. Cualquier decisión de no destruir o borrar datos personales de acuerdo con las directrices de conservación del Apéndice 1 debe documentarse por escrito y ser aprobada por el Director General.

Protección de datos
Malvern International adoptará las medidas físicas, técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal. Ello incluye la prevención de la pérdida o daño, alteración, acceso o tratamiento no autorizado, y demás riesgos de los que pueda estar expuesta en virtud de la acción humana o del medio físico o natural.

El conjunto mínimo de medidas de seguridad que debe adoptar Malvern International es el siguiente:

  • Impedir que personas no autorizadas accedan a los sistemas en los que se tratan datos personales.
  • Impedir que las personas autorizadas a utilizar un sistema de tratamiento de datos accedan a datos personales más allá de las necesidades y autorizaciones.
  • Garantizar que los datos personales en curso de transmisión electrónica durante el transporte no puedan ser leídos, copiados, modificados o eliminados sin autorización.
  • Garantizar la existencia de registros de acceso para determinar si los datos personales se han introducido, modificado o eliminado de un sistema de tratamiento de datos, y quién lo ha hecho.
  • Garantizar que, en caso de que el tratamiento lo lleve a cabo un encargado del tratamiento, los datos sólo puedan tratarse de conformidad con las instrucciones del responsable del tratamiento.
  • Garantizar la protección de los datos personales contra su destrucción o pérdida no deseadas.
  • Garantizar que los datos personales recogidos para distintos fines puedan tratarse y se traten por separado.
  • Garantizar que los datos personales no se conservan más tiempo del necesario.
  • Garantizar que el personal adecuado de la empresa reciba formación sobre los principales requisitos de cumplimiento de la legislación en materia de protección de datos y sobre cómo pueden garantizar que la seguridad de los datos personales se mantiene de acuerdo con esta política.

Responsabilidades del personal de la empresa

Todas las personas que trabajan para Malvern International o en su nombre tienen cierta responsabilidad a la hora de garantizar que los datos se recopilan, almacenan y tratan de forma adecuada, de acuerdo con esta política y las políticas asociadas.

El Consejero Delegado y el Socio de RR.HH. son responsables de revisar esta política y de poner al día al Consejo de Administración sobre las responsabilidades de Malvern International en materia de protección de datos y sobre cualquier riesgo relacionado con el tratamiento de datos. Cualquier pregunta en relación con esta política o la protección de datos debe dirigirse a esta persona.

El personal de la empresa debe:

  • sólo accederán a los Datos Personales si los necesitan para el trabajo que realizan para Malvern International y sólo si están autorizados para ello. Solo deben utilizar los datos para el fin legal especificado para el que se obtuvieron.
  • no compartir los Datos Personales de manera informal.
  • mantener seguros los Datos Personales y no compartirlos con personas no autorizadas.
  • revisar periódicamente y, cuando se requiera o solicite, actualizar los Datos Personales que tratan. Esto incluye comunicarnos si cambian sus propios datos de contacto.
  • no haga copias innecesarias de los Datos Personales y conserve y elimine cualquier copia de forma segura.
  • Utiliza contraseñas seguras y no las compartas con nadie.
  • deben bloquear la pantalla del ordenador cuando no estén en su mesa.
  • no sacar los Datos Personales de las instalaciones de la empresa sin la autorización de su superior inmediato o del HR Business Partner.
  • pida ayuda al socio empresarial de RR.HH. si tiene dudas sobre la protección de datos o si observa algún aspecto de la protección de datos o la seguridad que podamos mejorar.

Los datos personales deben encriptarse antes de ser transferidos electrónicamente a contactos externos autorizados. Póngase en contacto con el departamento de TI para obtener más información al respecto.

Considere la posibilidad de anonimizar los datos o de utilizar claves/códigos distintos para que el interesado no pueda ser identificado.

Los Datos Personales no deben guardarse en ordenadores personales u otros dispositivos que no pertenezcan a Malvern International.

Los datos personales no deben transferirse nunca fuera del Espacio Económico Europeo, salvo en cumplimiento de la ley y con autorización del Director General.

Los cajones del escritorio y los archivadores deben estar cerrados con llave. No deje papeles con datos personales por ahí.

Los datos personales deben destruirse y eliminarse de forma segura cuando ya no sean necesarios.

Aplicación de la política

Cualquier infracción deliberada o negligente de esta política por parte del personal de la empresa puede dar lugar a la adopción de medidas disciplinarias contra dicho personal de conformidad con nuestro procedimiento disciplinario.

Es un delito penal ocultar o destruir Datos Personales que formen parte de una solicitud de acceso del sujeto (véase más abajo). Esta conducta también constituiría una falta grave con arreglo a nuestro procedimiento disciplinario, que podría dar lugar al despido.

Debe tenerse en cuenta que, si bien esta política proporciona ejemplos, no es en absoluto una lista exhaustiva y es posible que se le notifiquen otras normas específicas de vez en cuando.

Derechos y solicitudes de los interesados

Los interesados (incluido el personal de la empresa) tienen una serie de derechos en relación con sus datos personales procesados por Malvern International. Éstos se detallarán en el aviso de privacidad correspondiente al interesado. El personal de la empresa recibirá un aviso de privacidad. Los terceros podrán acceder a los avisos de privacidad en línea o solicitar una copia directamente.

Malvern International establecerá un sistema que permita y facilite el ejercicio de los derechos de los interesados en relación con:

  • Acceso a la información
  • Objeción al tratamiento
  • Objeción a la toma de decisiones automatizada y a la elaboración de perfiles
  • Restricción del tratamiento
  • Portabilidad de los datos
  • Rectificación de datos
  • Borrado de datos

Si una persona realiza una solicitud relacionada con cualquiera de los derechos enumerados anteriormente, Malvern International considerará cada solicitud de acuerdo con todas las leyes y reglamentos de protección de datos aplicables. Si un miembro del personal recibe una solicitud, no está autorizado a gestionarla por sí mismo y debe notificarlo al responsable de protección de datos lo antes posible.

Los interesados pueden presentar una solicitud relativa a sus derechos siempre que lo hagan por escrito. No obstante, se recomienda a los interesados que soliciten y utilicen el formulario de solicitud de datos (disponible en RRHH) y lo presenten al departamento de RRHH. Esto asegurará que la solicitud sea recibida por las personas adecuadas dentro de Malvern International y pueda ser procesada con prontitud.

Se pedirá a los interesados que verifiquen su identidad cuando presenten su solicitud. En caso contrario, su solicitud podría no ser atendida.

Los interesados tienen derecho a obtener la siguiente información sobre sus propios datos personales:

  • Los fines de la recogida, tratamiento, uso y almacenamiento de sus datos personales.
  • La fuente o fuentes de los datos personales, si no se han obtenido del interesado.
  • Las categorías de datos personales almacenados para el interesado.
  • Los destinatarios o categorías de destinatarios a los que se han transmitido o pueden transmitirse los datos personales, junto con la ubicación de dichos destinatarios.
  • El periodo previsto de conservación de los datos personales o la justificación para determinar el periodo de conservación.
  • El uso de cualquier toma de decisiones automatizada, incluida la elaboración de perfiles.
  • Derecho del interesado a oponerse al tratamiento de sus datos personales, a presentar una reclamación ante la autoridad de protección de datos, a solicitar la rectificación o supresión de sus datos personales, a solicitar la limitación del tratamiento de sus datos personales.

Todas las solicitudes de acceso o rectificación de datos personales deben dirigirse al Departamento de Recursos Humanos, que registrará cada solicitud a medida que se reciba. Se dará respuesta a cada solicitud en un plazo de 30 días a partir de la recepción de la solicitud escrita del interesado. Una verificación adecuada deberá confirmar que el solicitante es el interesado o su representante legal autorizado. Los interesados tendrán derecho a exigir a Malvern International que corrija o complemente los datos personales erróneos, engañosos, obsoletos o incompletos.

Si Malvern International no puede responder a la solicitud en un plazo de 30 días, se comprometerá a proporcionar lo siguiente en el plazo especificado:

  • Un acuse de recibo de la solicitud.
  • Cualquier información localizada hasta la fecha.
  • Detalles de cualquier información o modificación solicitada que no se facilitará al interesado, el motivo o motivos de la denegación y cualquier procedimiento disponible para recurrir la decisión.
  • Una fecha estimada en la que se facilitarán las respuestas restantes (a más tardar 3 meses después de la presentación de la solicitud inicial).
  • Una estimación de los costes que deberá pagar el interesado (por ejemplo, si la solicitud es excesiva).
  • El nombre y los datos de contacto de la persona con la que el interesado debe ponerse en contacto para el seguimiento.

Cabe señalar que pueden darse situaciones en las que facilitar la información solicitada por un interesado suponga revelar datos personales de otra persona. En tales casos, la información debe redactarse o retenerse según sea necesario o apropiado para proteger los derechos de esa persona.

Solicitudes de las fuerzas de seguridad y divulgación de información
En determinadas circunstancias, se permite compartir datos personales sin el conocimiento o consentimiento del interesado. Este es el caso cuando la divulgación de los datos personales es necesaria para alguno de los siguientes fines:

  • Prevención o detección de delitos.
  • Detención o procesamiento de delincuentes.
  • La liquidación o recaudación de un impuesto o derecho.
  • Por orden de un Tribunal o por cualquier norma jurídica.

Si Malvern International procesa datos personales para uno de estos fines, podrá aplicar una excepción a las normas de procesamiento descritas en esta política, pero sólo en la medida en que no hacerlo probablemente perjudicaría el caso en cuestión.

Formación sobre protección de datos

A todos los empleados de Malvern International que tengan acceso a datos personales se les explicarán sus responsabilidades en virtud de esta política como parte de su formación inicial. Malvern International proporcionará formación periódica sobre protección de datos y orientación sobre procedimientos a su personal, y la realización de esta formación es obligatoria.

Traslados entre los centros de Malvern International

Para que Malvern International pueda llevar a cabo sus operaciones de manera eficaz en sus diferentes sitios, puede haber ocasiones en las que sea necesario transferir datos personales de un sitio a otro, para permitir el acceso a los datos personales desde una ubicación en el extranjero. En tal caso, el sitio que envía los datos personales sigue siendo responsable de garantizar la protección de esos datos personales y también el cumplimiento de las transferencias de datos fuera del Espacio Económico Europeo. Todo el personal debe garantizar que los datos se transfieren utilizando medios oficiales y autorizados. El personal no está autorizado a compartir datos de manera informal a través de plataformas personales como WhatsApp u otros servicios de mensajería instantánea,

Transferencias a terceros

Malvern International sólo transferirá datos personales a terceros o permitirá el acceso a los mismos cuando tenga la seguridad de que la información será procesada legítimamente y protegida adecuadamente por el receptor. Cuando se produzca el procesamiento por parte de terceros, Malvern International identificará en primer lugar si, en virtud de la legislación aplicable, el tercero se considera un controlador o procesador de datos de los datos personales que se transfieren.

Cuando se considere que el tercero es un responsable del tratamiento de datos, se celebrará un acuerdo adecuado con el responsable del tratamiento para aclarar las responsabilidades de cada parte con respecto a los datos personales transferidos.

Cuando se considere que el tercero es un procesador de datos, Malvern International se esforzará por firmar un acuerdo de procesamiento adecuado con el procesador de datos. El acuerdo requerirá que el procesador de datos proteja los datos personales de cualquier divulgación posterior y que sólo procese los datos personales de acuerdo con las instrucciones de Malvern International. Además, el acuerdo exigirá que el procesador de datos aplique medidas técnicas y organizativas adecuadas para proteger los datos personales, así como procedimientos para notificar las violaciones de los datos personales.

Cuando Malvern International externalice servicios a un tercero, determinará si éste tratará datos personales en su nombre y si la externalización conllevará transferencias de datos personales a terceros países. En ambos casos, se asegurará de incluir disposiciones adecuadas en el acuerdo de externalización para dicho tratamiento y las transferencias a terceros países.

Tramitación de reclamaciones

Los interesados que deseen presentar una reclamación sobre el tratamiento de sus datos personales deben dirigirse al buzón de protección de datos gdpr@malvernplc.com

Notificación de infracciones

Cualquier persona que sospeche que se ha producido una violación de datos personales debido al robo o exposición de datos personales debe notificarlo inmediatamente al responsable de protección de datos facilitando una descripción de lo ocurrido. La notificación del incidente puede hacerse por correo electrónico a la dirección gdpr@malvernplc.com

El responsable de la protección de datos investigará todos los incidentes notificados para confirmar si se ha producido o no una violación de datos personales. Si se confirma que se ha producido una violación de datos personales, el responsable de protección de datos seguirá el procedimiento autorizado pertinente en función de la importancia y cantidad de los datos personales afectados. En el caso de violaciones graves de datos personales, Malvern International iniciará y presidirá un equipo de respuesta de emergencia para coordinar y gestionar la respuesta a la violación de datos personales.