• Está viendo una versión traducida automáticamente de este sitio web
Español de México
Español de México English (UK) العربية 简体中文 繁體中文 Italiano Français Português do Brasil Español 日本語 한국어 Русский Deutsch Türkçe
Folleto
Póngase en contacto con nosotros
Políticas

Política de protección de datos del RGPD

Objetivo

Malvern International se compromete a desarrollar su actividad comercial de conformidad con todas las leyes y normativas aplicables en materia de protección de datos y respetando los más altos estándares de conducta ética.

Esta política establece los comportamientos y normas que se esperan de los empleados de Malvern International y de terceros en relación con la recopilación, el uso, la conservación, la transferencia, la divulgación y la destrucción de cualquier dato personal perteneciente a los interesados.

Los datos personales son cualquier información que se “refiera” a una persona viva identificable. Los datos personales están sujetos a ciertas garantías legales y otras normativas que imponen restricciones sobre la forma en que las organizaciones pueden procesar dichos datos. Malvern International es responsable de garantizar el cumplimiento de los requisitos de protección de datos descritos en esta Política. El incumplimiento puede exponer a Malvern International a reclamaciones, medidas regulatorias, multas y/o daños a su reputación. Las acciones deliberadas que infrinjan esta política también pueden constituir un delito.

Malvern International tomará muy en serio cualquier incumplimiento de esta política, que podrá ser objeto de un procedimiento disciplinario. Para facilitar la comprensión de esta política, a continuación se explica la siguiente terminología:

Responsable del tratamiento es una empresa que decide cuándo, por qué y cómo tratar los datos personales. En su calidad de responsable del tratamiento, la empresa se encarga de establecer prácticas y políticas que se ajusten a la normativa sobre datos
Ley de protección de datos. Somos los responsables del tratamiento de todos los datos personales relacionados con el personal de nuestra empresa, así como de los datos personales que utilizamos en nuestra actividad comercial con fines propios.

«Categoría especial» significa: cualquier dato personal que incluya información sobre: raza u origen étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud, el sexo, la orientación sexual o la vida sexual.

Personal de la empresa: todos los empleados, trabajadores (incluidos los contratistas, los trabajadores de agencias y los consultores), directores, socios y otras personas (incluidos los voluntarios, los pasantes y los aprendices).

El interesado: una persona física viva, identificada o identificable sobre la que conservamos datos personales. Los interesados pueden ser ciudadanos o residentes de cualquier país y pueden tener derechos legales en relación con sus datos personales. Podría tratarse de usted, de sus compañeros de trabajo, de clientes y proveedores o, de hecho, de cualquier otra persona.

Legislación sobre protección de datos: abarca cualquier normativa destinada a proteger los datos personales o a respetar la privacidad de las personas. La normativa vigente actualmente es (i) el Reglamento General de Protección de Datos (“RGPD”), que se aplica cuando nos dirigimos a personas o les vendemos productos en cualquier país de la UE o del EEE y tratamos sus datos personales.

El RGPD del Reino Unido y la Ley de Protección de Datos de 2018, que se aplican a cualquier interesado que resida en el Reino Unido

La Ley de Datos (Uso y Acceso) de 2025, que complementa y amplía aspectos específicos del RGPD del Reino Unido y del marco actual de protección de datos.

Datos personales: cualquier información que identifique a un interesado o cualquier información relacionada con un interesado que nos permita identificarlo (directa o indirectamente) a partir de dichos datos.

Violación de datos personales: cualquier violación de la seguridad que dé lugar a la destrucción, pérdida, alteración o divulgación no autorizada, accidental o ilícita, de datos personales.

Avisos de privacidad (también denominados «Avisos de tratamiento justo») o Políticas de privacidad: avisos independientes que recogen la información que se puede facilitar a los interesados cuando la empresa recopila datos sobre ellos.

Procesamiento o proceso: cualquier actividad que implique el uso de datos personales.

Ámbito de aplicación de la política

Esta política se aplica a todas las entidades de Malvern International en las que se tratan los datos personales de los interesados.

Esta política se aplica a todo tratamiento de datos personales en formato electrónico (incluido el correo electrónico y los documentos creados con programas de procesamiento de textos) o cuando dichos datos se conservan en archivos manuales estructurados de tal manera que permiten un fácil acceso a la información sobre las personas.

Aplicación de políticas
El equipo directivo debe garantizar que todos los empleados de Malvern International responsables del tratamiento de datos personales conozcan y cumplan el contenido de esta política. Además, Malvern International se asegurará de que todos los terceros contratados para tratar datos personales en su nombre conozcan y cumplan el contenido de esta política. Se solicitarán garantías adecuadas de dicho cumplimiento a todos los terceros, ya sean empresas o personas físicas, antes de concederles acceso a los datos personales controlados por Malvern International.

Principios de protección de datos
Cuando procesamos datos personales, debemos respetar los principios de protección de datos que establecen las obligaciones que debemos cumplir. Se espera que todo el personal respete estos principios, que se detallan a continuación.

  • Licitud, lealtad y transparencia: todos los datos personales se tratarán de forma lícita, leal y transparente; esto significa que debemos informar al interesado sobre el tratamiento que se llevará a cabo (transparencia) y que este debe ser leal, necesario y proporcionado. Se espera que todo el personal se asegure de que el uso de los datos personales sea razonable y previsible. Debemos mantener un registro escrito de los datos personales que procesamos y de los motivos por los que los procesamos. El responsable de protección de datos se encarga de mantener este registro y realizará auditorías periódicas para garantizar que el registro esté actualizado.
    • Limitación de la finalidad: los datos personales se recopilarán con fines específicos, explícitos y legítimos, y no se tratarán posteriormente de manera incompatible con dichos fines. Esto significa que debemos especificar exactamente para qué se utilizarán los datos personales recopilados y limitar el tratamiento de dichos datos a lo estrictamente necesario para cumplir con la finalidad especificada. La finalidad para la que se recogen y tratan los datos personales se establecerá en los avisos de privacidad pertinentes. Si surge la necesidad de utilizar datos personales para una nueva finalidad, se deberá notificar al responsable de protección de datos y se deberán seguir sus recomendaciones para garantizar el cumplimiento continuo. Si la nueva finalidad ya está contemplada en uno de nuestros avisos de privacidad, puede que no sea necesario actualizarlo; sin embargo, cuando sea necesario actualizar nuestro aviso de privacidad antes de que se lleve a cabo la nueva actividad, esto deberá hacerse lo antes posible.
    • Minimización de datos: los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. Esto significa que Malvern International no debe almacenar datos personales más allá de lo requerido.
    • Exactitud: los datos personales deben ser exactos y mantenerse actualizados. Esto significa que Malvern International debe contar con procesos para identificar y corregir los datos personales obsoletos, incorrectos o redundantes. Todo el personal es responsable de garantizar la exactitud de los registros dentro de sus áreas de trabajo.
    • Limitación de la conservación: los datos personales se conservarán en una forma que permita la identificación de los interesados durante un plazo no superior al necesario para los fines para los que se tratan dichos datos. Esto significa que Malvern International debe, siempre que sea posible, almacenar los datos personales de manera que se limite o impida la identificación del interesado. Como organización, debemos asegurarnos de conservar los datos personales solo durante el tiempo que sea necesario. Esto significa que debemos seguir las mejores prácticas de gestión de registros y eliminar los datos cuando ya no tengamos un propósito para conservarlos. El responsable de protección de datos y los miembros del equipo directivo superior son responsables de implementar procesos de gestión de registros, incluida la retención de registros.
      un calendario en el que se detalla qué datos personales tenemos y durante cuánto tiempo los conservamos, antes de que se revise su pertinencia o se eliminen cuando sea necesario.
    • Integridad y confidencialidad: los datos personales se tratarán de manera que se garantice su seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales. Malvern International debe aplicar las medidas técnicas y organizativas adecuadas para garantizar que se mantenga en todo momento la integridad y la confidencialidad de los datos personales. Todo el personal es responsable de garantizar que cumple con las políticas o los requisitos de los procesos diseñados para proteger la seguridad y la confidencialidad de los datos. El personal no debe intentar eludir los controles de seguridad establecidos para este fin.
    • Todo el personal desempeña un papel fundamental en la protección de la seguridad de nuestros datos; en particular, el personal:
      • No deben compartir su contraseña ni sus credenciales de Malvern International con nadie más.
      • No deben compartir, subir ni reenviar datos sobre Malvern International a terceros, a menos que sea un requisito directo de su puesto.
      • No debe desactivar ni intentar desactivar ningún programa antivirus ni control de seguridad en ninguno de los sistemas o computadoras de Malvern International.
  • Responsabilidad: Malvern International y su personal son responsables del cumplimiento de la legislación y están en condiciones de demostrarlo.

Recopilación de datos

Fuentes de datos

Los datos personales deben recabarse directamente del interesado, salvo que se dé alguna de las siguientes circunstancias:

  • La naturaleza del objetivo comercial exige la recopilación de datos personales de otras personas u organismos.
  • La recogida de datos debe realizarse en situaciones de emergencia con el fin de proteger los intereses vitales del interesado o para evitar daños o lesiones graves a otra persona.

Si los datos personales se recogen de una persona distinta del interesado, se deberá informar a este de dicha recogida, salvo que se dé alguna de las siguientes circunstancias:

  • El interesado había recibido la información requerida por otros medios.
  • La información debe mantenerse confidencial debido a la obligación de secreto profesional.
  • Una ley nacional regula expresamente la recopilación, el tratamiento o la transferencia de datos personales.

Cuando se haya determinado que es necesario notificar al interesado, dicha notificación deberá realizarse sin demora, pero a más tardar un mes calendario a partir de la primera recopilación o registro de los datos personales; en el momento de la primera comunicación, si se utilizan para comunicarse con el interesado; o en el momento de la divulgación, si se divulgan a otro destinatario.

Notificación al interesado

Malvern International, cuando así lo exija la legislación aplicable o un contrato, o cuando considere que es razonablemente apropiado hacerlo, proporcionará a los interesados información sobre la finalidad del tratamiento de sus datos personales.

Cuando se solicite al interesado que dé su consentimiento para el tratamiento de sus datos personales, y cuando se recopilen datos personales del interesado, se le proporcionará toda la información pertinente de forma que se le llame la atención sobre ella, salvo que se dé alguna de las siguientes circunstancias:

  • El interesado ya dispone de la información.
  • Existe una exención legal respecto a los requisitos de divulgación y/o consentimiento.
  • La notificación puede realizarse por vía electrónica o por escrito.

Avisos de privacidad para el personal

Malvern International proporcionará al personal de la empresa un aviso de privacidad relativo a la recopilación y el tratamiento de sus datos personales.

Malvern International también incluirá un Aviso de privacidad en línea dirigido a terceros que no sean personal de la empresa, así como un ‘Aviso sobre cookies’ en línea que cumpla con los requisitos de la legislación aplicable.

Elaboración de perfiles y toma de decisiones automatizada

Malvern International no utiliza actualmente la elaboración de perfiles ni la toma de decisiones automatizada. Si fuera necesario recurrir a la elaboración de perfiles o a la toma de decisiones automatizada, solo se haría con el fin de celebrar o ejecutar un contrato con el interesado, o cuando así lo autorice la ley. En tales casos, se le dará al interesado la oportunidad de:

  • Expresar su punto de vista
  • Solicitar una explicación de la decisión automatizada
  • Revisa la lógica utilizada por el sistema automatizado
  • Complementar el sistema automatizado con datos adicionales
  • Pida a una persona que revise la decisión automatizada
  • Impugnar la decisión automatizada
  • Oponerse a la toma de decisiones automatizada que se está llevando a cabo.

La elaboración de perfiles y la toma de decisiones automatizadas están sujetas a estrictas restricciones en la legislación sobre protección de datos y solo pueden llevarse a cabo una vez que se haya completado una evaluación de impacto relativa a la protección de datos. El personal no está autorizado a realizar actividades que impliquen la elaboración de perfiles o la toma de decisiones automatizadas sin solicitar previamente el asesoramiento y el apoyo del responsable de protección de datos.

Marketing digital

Malvern International solo enviará material promocional o de marketing directo a cualquier contacto a través de canales digitales, como teléfonos móviles, correo electrónico e Internet, siempre que dicho material cumpla con la legislación en materia de protección de datos. Cualquier persona vinculada a Malvern International que desee llevar a cabo una campaña de marketing digital sin obtener el consentimiento previo del titular de los datos deberá obtener primero la aprobación del responsable de protección de datos.

Cuando se autorice el tratamiento de datos personales con fines de marketing digital, se deberá informar al interesado, en el momento del primer contacto, de que tiene derecho a oponerse, en cualquier momento, a que sus datos sean tratados para tales fines. Si el interesado presenta una objeción, el tratamiento de sus datos personales relacionado con el marketing digital deberá cesar de inmediato y sus datos deberán conservarse en una lista de exclusión, junto con un registro de su decisión de darse de baja, en lugar de ser eliminados por completo.

Cabe señalar que, cuando el marketing digital se lleva a cabo en un contexto ‘de empresa a empresa’, no existe la obligación legal de obtener una manifestación de consentimiento para realizar actividades de marketing digital dirigidas a personas físicas, siempre y cuando se les ofrezca la posibilidad de darse de baja.

Retención de datos
Para garantizar un tratamiento justo, Malvern International no conservará los datos personales durante más tiempo del necesario en relación con los fines para los que se recopilaron originalmente o para los que se han tratado posteriormente.

El plazo durante el cual Malvern International debe conservar los datos personales se detalla en el Apéndice 1. Este plazo tiene en cuenta los requisitos legales, contractuales y comerciales que influyen en los períodos de conservación. Todos los datos personales deben eliminarse o destruirse lo antes posible cuando se haya confirmado que ya no es necesario conservarlos, a menos que exista un propósito legítimo para no hacerlo. Cualquier decisión de no destruir o eliminar datos personales de acuerdo con las directrices de retención del Apéndice 1 debe documentarse por escrito y ser aprobada por el director ejecutivo.

Protección de datos
Malvern International adoptará medidas físicas, técnicas y organizativas para garantizar la seguridad de los datos personales. Esto incluye la prevención de pérdidas o daños, modificaciones, accesos o tratamientos no autorizados, así como otros riesgos a los que puedan verse expuestos debido a la acción humana o al entorno físico o natural.

A continuación se detallan las medidas de seguridad mínimas que debe adoptar Malvern International:

  • Evitar que personas no autorizadas tengan acceso a los sistemas de procesamiento de datos en los que se tratan datos personales.
  • Evitar que las personas autorizadas a utilizar un sistema de procesamiento de datos accedan a datos personales más allá de lo necesario y de las autorizaciones concedidas.
  • Asegúrese de que los datos personales que se transmiten electrónicamente durante su transporte no puedan ser leídos, copiados, modificados o eliminados sin autorización.
  • Asegúrese de que existan registros de acceso para determinar si se han introducido, modificado o eliminado datos personales en un sistema de tratamiento de datos, y quién lo ha hecho.
  • Asegúrese de que, en caso de que el tratamiento lo realice un encargado del tratamiento, los datos solo puedan tratarse de conformidad con las instrucciones del responsable del tratamiento.
  • Asegúrese de que los datos personales estén protegidos contra su destrucción o pérdida involuntaria.
  • Asegúrese de que los datos personales recopilados con fines distintos puedan ser tratados por separado y de que así se haga.
  • Asegúrese de que los datos personales no se conserven más tiempo del necesario.
  • Asegúrese de que el personal pertinente de la empresa reciba capacitación sobre los requisitos clave de cumplimiento establecidos en la legislación sobre protección de datos y sobre cómo pueden garantizar que se mantenga la seguridad de los datos personales de conformidad con esta política.

Responsabilidades del personal de la empresa

Todas las personas que trabajan para Malvern International, o en su nombre, tienen la responsabilidad de garantizar que los datos se recopilen, almacenen y traten de forma adecuada, de conformidad con esta política y las políticas relacionadas.

El director ejecutivo y el socio de recursos humanos son los encargados de revisar esta política y de informar al Consejo de Administración sobre las responsabilidades de Malvern International en materia de protección de datos, así como sobre cualquier riesgo relacionado con el tratamiento de datos. Cualquier pregunta relacionada con esta política o con la protección de datos debe dirigirse a esta persona.

El personal de la empresa debe:

  • solo podrán acceder a los datos personales si los necesitan para el trabajo que realizan para Malvern International y únicamente si cuentan con la autorización correspondiente. Solo deberán utilizar los datos para el fin lícito específico para el que se obtuvieron.
  • No compartir datos personales de manera informal.
  • mantener la seguridad de los datos personales y no compartirlos con personas no autorizadas.
  • revisar periódicamente y, cuando sea necesario o se les solicite, actualizar los datos personales que manejan. Esto incluye informarnos si cambian sus propios datos de contacto.
  • No realizar copias innecesarias de los datos personales y conservar y eliminar cualquier copia de forma segura.
  • Utilice contraseñas seguras y no las comparta con nadie.
  • deberían bloquear la pantalla de su computadora cuando no estén en su escritorio.
  • No saque datos personales de las instalaciones de la empresa sin la autorización de su superior inmediato o del socio de recursos humanos.
  • Pide ayuda al socio comercial de RR. HH. si tienes dudas sobre la protección de datos o si detectas algún aspecto relacionado con la protección de datos o la seguridad que podamos mejorar.

Los datos personales deben cifrarse antes de transferirlos electrónicamente a contactos externos autorizados. Consulte al departamento de TI para obtener más información sobre cómo hacerlo.

Considere la posibilidad de anonimizar los datos o de utilizar claves o códigos independientes para que no sea posible identificar al interesado.

Los datos personales no deben guardarse en computadoras personales ni en otros dispositivos que no pertenezcan a Malvern International.

Los datos personales nunca deben transferirse fuera del Espacio Económico Europeo, salvo en cumplimiento de la ley y con la autorización del director general.

Los cajones de los escritorios y los archivadores deben estar cerrados con llave. No dejes documentos con datos personales tirados por ahí.

Los datos personales deben triturarse y eliminarse de forma segura cuando ya no sean necesarios.

Aplicación de las políticas

Cualquier incumplimiento deliberado o por negligencia de esta política por parte del personal de la empresa podrá dar lugar a la adopción de medidas disciplinarias contra dicho personal, de conformidad con nuestro procedimiento disciplinario.

Ocultar o destruir datos personales que formen parte de una solicitud de acceso de los interesados (véase más abajo) constituye un delito. Esta conducta también se consideraría una falta grave según nuestro procedimiento disciplinario, lo que podría dar lugar al despido.

Cabe señalar que, si bien esta política ofrece ejemplos, no se trata en absoluto de una lista exhaustiva y es posible que, de vez en cuando, se le notifiquen otras normas específicas.

Derechos de los interesados y solicitudes de los interesados

Los interesados (entre los que se incluye al personal de la empresa) tienen una serie de derechos en relación con sus datos personales tratados por Malvern International. Estos derechos se detallan en el aviso de privacidad correspondiente a cada interesado. Se entregará un aviso de privacidad al personal de la empresa. Los terceros podrán consultar los avisos de privacidad en línea o solicitar una copia directamente.

Malvern International establecerá un sistema para permitir y facilitar el ejercicio de los derechos de los interesados en relación con:

  • Acceso a la información
  • Oposición al tratamiento
  • Objeción a la toma de decisiones automatizada y a la elaboración de perfiles
  • Restricción del tratamiento
  • Portabilidad de datos
  • Rectificación de datos
  • Borrado de datos

Si una persona presenta una solicitud relacionada con cualquiera de los derechos mencionados anteriormente, Malvern International evaluará cada solicitud de conformidad con todas las leyes y normativas aplicables en materia de protección de datos. Si un miembro del personal recibe una solicitud, no está autorizado a gestionarla por su cuenta y debe notificarlo al responsable de protección de datos lo antes posible.

Los interesados pueden presentar una solicitud relacionada con sus derechos siempre que lo hagan por escrito. No obstante, se recomienda a los interesados que soliciten y utilicen el formulario de solicitud para interesados (disponible en RR. HH.) y lo envíen al departamento de RR. HH. De este modo, se garantiza que la solicitud sea recibida por las personas adecuadas dentro de Malvern International y que pueda tramitarse con prontitud.

Los interesados deberán verificar su identidad al presentar su solicitud. De no hacerlo, es posible que su solicitud no se procese.

Los interesados tienen derecho a obtener la siguiente información sobre sus propios datos personales:

  • Los fines de la recopilación, el tratamiento, el uso y el almacenamiento de sus datos personales.
  • La(s) fuente(s) de los datos personales, en caso de que no se hayan obtenido del interesado.
  • Las categorías de datos personales almacenadas sobre el interesado.
  • Los destinatarios o categorías de destinatarios a quienes se han transmitido o se pueden transmitir los datos personales, junto con la ubicación de dichos destinatarios.
  • El plazo previsto de conservación de los datos personales o los motivos para determinar dicho plazo.
  • El uso de cualquier proceso de toma de decisiones automatizado, incluida la elaboración de perfiles.
  • El derecho del interesado a oponerse al tratamiento de sus datos personales, a presentar una reclamación ante la autoridad de protección de datos, a solicitar la rectificación o la supresión de sus datos personales y a solicitar la limitación del tratamiento de sus datos personales.

Todas las solicitudes recibidas para acceder a datos personales o rectificarlos deben dirigirse al Departamento de Recursos Humanos, que registrará cada solicitud en el momento de su recepción. Se dará respuesta a cada solicitud en un plazo de 30 días a partir de la recepción de la solicitud por escrito del interesado. Se deberá verificar debidamente que el solicitante es el interesado o su representante legal autorizado. Los interesados tendrán derecho a exigir a Malvern International que corrija o complemente los datos personales erróneos, engañosos, desactualizados o incompletos.

Si Malvern International no puede responder a la solicitud en un plazo de 30 días, se compromete a proporcionar lo siguiente dentro del plazo establecido:

  • Un acuse de recibo de la solicitud.
  • Toda la información recopilada hasta la fecha.
  • Detalles sobre cualquier información o modificación solicitada que no se facilite al interesado, los motivos de la denegación y los procedimientos disponibles para recurrir la decisión.
  • Fecha estimada en la que se proporcionarán las respuestas pendientes (a más tardar tres meses después de la presentación de la solicitud inicial).
  • Una estimación de los posibles costos que deberá abonar el interesado (por ejemplo, cuando la solicitud sea de carácter excesivo).
  • El nombre y la información de contacto de la persona con la que el interesado debe ponerse en contacto para realizar el seguimiento.

Cabe señalar que pueden darse situaciones en las que facilitar la información solicitada por un interesado suponga revelar datos personales de otra persona. En tales casos, la información deberá ser censurada u omitida según sea necesario o apropiado para proteger los derechos de dicha persona.

Solicitudes y divulgaciones de las autoridades policiales
En determinadas circunstancias, se permite compartir datos personales sin el conocimiento o consentimiento del interesado. Este es el caso cuando la divulgación de los datos personales es necesaria para cualquiera de los siguientes fines:

  • La prevención o la detección de delitos.
  • La detención o el enjuiciamiento de los delincuentes.
  • La liquidación o recaudación de un impuesto o derecho.
  • Por orden judicial o en virtud de cualquier norma jurídica.

Si Malvern International trata datos personales con alguno de estos fines, podrá aplicar una excepción a las normas de tratamiento descritas en esta política, pero solo en la medida en que no hacerlo pudiera perjudicar el caso en cuestión.

Formación en protección de datos

A todos los empleados de Malvern International que tengan acceso a datos personales se les explicarán sus responsabilidades en virtud de esta política como parte de su capacitación inicial. Malvern International impartirá periódicamente capacitación sobre protección de datos y orientación sobre los procedimientos a su personal, y la participación en dicha capacitación es obligatoria.

Traslados entre las sedes de Malvern International

Para que Malvern International pueda llevar a cabo sus operaciones de manera eficaz en sus distintas sedes, puede haber ocasiones en las que sea necesario transferir datos personales de una sede a otra, a fin de permitir el acceso a dichos datos desde una ubicación en el extranjero. En tal caso, la sede que envía los datos personales sigue siendo responsable de garantizar la protección de dichos datos, así como el cumplimiento de la normativa relativa a las transferencias de datos fuera del Espacio Económico Europeo. Todo el personal debe asegurarse de que los datos se transfieran utilizando medios oficiales y autorizados. El personal no está autorizado a compartir datos de manera informal utilizando plataformas personales como WhatsApp u otros servicios de mensajería instantánea,

Cesiones a terceros

Malvern International solo transferirá datos personales a terceros o les permitirá acceder a ellos cuando tenga la certeza de que el destinatario tratará la información de forma legítima y la protegerá adecuadamente. En los casos en que el tratamiento sea realizado por un tercero, Malvern International determinará primero si, con arreglo a la legislación aplicable, dicho tercero se considera responsable del tratamiento o encargado del tratamiento de los datos personales que se transfieren.

Cuando se considere que el tercero es el responsable del tratamiento, se celebrará un acuerdo adecuado con dicho responsable para aclarar las responsabilidades de cada parte en relación con los datos personales transferidos.

Cuando se considere que el tercero actúa como encargado del tratamiento, Malvern International se esforzará por celebrar un acuerdo de tratamiento adecuado con dicho encargado. El acuerdo exigirá al encargado del tratamiento que proteja los datos personales contra cualquier divulgación indebida y que solo trate los datos personales de conformidad con las instrucciones de Malvern International. Además, el acuerdo exigirá al encargado del tratamiento que implemente las medidas técnicas y organizativas adecuadas para proteger los datos personales, así como procedimientos para notificar las violaciones de datos personales.

Cuando Malvern International subcontrate servicios a un tercero, determinará si dicho tercero tratará datos personales en su nombre y si la subcontratación implicará alguna transferencia de datos personales a un tercer país. En cualquiera de los dos casos, se asegurará de incluir en el contrato de subcontratación las disposiciones adecuadas para dicho tratamiento y dichas transferencias a terceros países.

Gestión de reclamaciones

Los interesados que deseen presentar una queja sobre el tratamiento de sus datos personales deben dirigirse al buzón de correo electrónico de Protección de Datos gdpr@malvernplc.com

Notificación de violaciones

Cualquier persona que sospeche que se ha producido una violación de datos personales debido al robo o la divulgación de datos personales deberá notificarlo inmediatamente al responsable de protección de datos, proporcionando una descripción de lo ocurrido. La notificación del incidente puede realizarse por correo electrónico a gdpr@malvernplc.com

El responsable de protección de datos investigará todos los incidentes notificados para confirmar si se ha producido o no una violación de datos personales. Si se confirma una violación de datos personales, el responsable de protección de datos seguirá el procedimiento autorizado pertinente en función de la gravedad y la cantidad de datos personales afectados. En caso de violaciones graves de datos personales, Malvern International creará y dirigirá un equipo de respuesta de emergencia para coordinar y gestionar la respuesta a dicha violación.