Información legal

Preguntas frecuentes sobre seguridad y privacidad

Información legal
/
Preguntas frecuentes sobre seguridad y privacidad

Avetta respeta la privacidad de las entidades suscriptoras y se compromete a proteger sus datos.

Esta página de preguntas frecuentes brinda información sobre la relación entre Avetta, los clientes de Avetta (cada uno, un “Cliente”) y los proveedores que participan en la Red Avetta (cada uno, un “Proveedor”) desde la perspectiva de la privacidad, y responde a las preguntas comunes que los proveedores tienen sobre cómo Avetta trata y protege sus datos. Esta página de preguntas frecuentes se proporciona solo con fines informativos. No debe considerarse un sustituto del asesoramiento legal y no se incorporará ni formará parte de ningún contrato con Avetta. Los términos en mayúscula utilizados en esta página, pero no definidos aquí, tienen el significado establecido en el Acuerdo de servicio de usuario final (el “EUSA”).

1. ¿Cómo puede un proveedor unirse a la Red Avetta?

Existen dos métodos comunes para que los proveedores se unan a la Red Avetta:

  • Un cliente identifica a un proveedor con el que desea interactuar y al que desea gestionar a través de la plataforma SaaS de Avetta (la “Plataforma de Avetta”). Seguidamente, en colaboración con el cliente, Avetta le envía una invitación al proveedor, con la que le solicita unirse a la Red Avetta. Este proceso es aplicable cuando el cliente busca acceder a ciertos documentos u otros datos sobre el proveedor, y Avetta le facilita posteriormente esos datos. Entonces Avetta pone dichos datos a disposición del cliente a través de la Plataforma de Avetta. Por lo tanto, Avetta recopila los datos del proveedor en respuesta a una solicitud de un cliente con quien el proveedor mantiene una relación comercial.
  • Un proveedor también puede unirse a la Red Avetta por iniciativa propia y luego conectarse con clientes en la Red Avetta al proporcionar documentos y otros datos, de conformidad con los requisitos establecidos por cualquier cliente conectado.

2. ¿Qué datos recopila Avetta de los proveedores a través de la Plataforma de Avetta?

En general, Avetta recopila dos tipos de datos de los proveedores: datos de acceso general y datos de acceso limitado.

Los “datos de acceso general” comprenden el nombre comercial del proveedor, la descripción de sus servicios, su dirección comercial, su información de contacto comercial y otra información general de la empresa.

Los “datos de acceso limitado” comprenden los datos del proveedor facilitados en los formularios de precalificación (PQF), la información específica de seguros, las estadísticas de seguridad como la tasa de modificación de la experiencia (EMR) y los datos de la Administración de Seguridad y Salud Ocupacional (OSHA), todos los datos recopilados durante una auditoría (una auditoría se refiere a la evaluación objetiva de Avetta sobre los procedimientos y las prácticas del proveedor con el fin de evaluar su cumplimiento de las normas reglamentarias relevantes, las mejores prácticas de la industria u otros criterios o parámetros determinados por los clientes conectados), y los datos de los trabajadores, si el proveedor utiliza nuestros productos para trabajadores. El alcance específico de los datos de acceso limitado que Avetta recopila de un proveedor depende de los servicios de Avetta a los que el proveedor se haya suscrito, y de los requisitos establecidos por los clientes conectados del proveedor en la Plataforma de Avetta.

3. ¿Quién puede acceder a los datos de los proveedores a través de la Plataforma de Avetta y por qué?

Los datos de acceso general no están disponibles públicamente, sino que están protegidos por contraseña y se comparten solo con los clientes y los proveedores que forman parte de la Red Avetta y, en ciertas circunstancias, con clientes potenciales. Mostrar los datos de acceso general de los proveedores es un beneficio o función que ofrecemos a los proveedores para que otros clientes puedan buscarlos en la Red Avetta en relación con posibles oportunidades de trabajo.

Solo los clientes conectados al proveedor (y los contratistas principales, si dicho proveedor es un subcontratista) pueden acceder a los datos de acceso limitado. Estos datos se mantienen para el beneficio de los clientes conectados (por ejemplo, para confirmar que el proveedor cumple con los requisitos para trabajar con el cliente o que un trabajador en particular cumple los requisitos para ingresar al sitio de trabajo del cliente). Los datos de acceso limitado se pueden clasificar en dos grupos: (i) datos de cumplimiento estándar, a los que pueden acceder todos los clientes conectados (y contratistas principales, según corresponda), y (ii) datos de cumplimiento específicos del cliente, a los que puede acceder solo el cliente que define los requisitos específicos (y cualquier contratista principal de ese cliente, según corresponda). Es importante destacar que los datos de los trabajadores, enviados a través de nuestros productos para trabajadores, entran en la categoría de datos de cumplimiento específicos del cliente, y el acceso a estos datos está limitado al cliente que establece los requisitos para el acceso a su sitio de trabajo.

4. ¿Qué datos personales de los proveedores recopila Avetta?

Los datos de acceso general no suelen incluir datos personales, a menos que la información de contacto comercial proporcionada por el proveedor contenga el nombre o correo electrónico de alguna persona.

Los datos de acceso limitado pueden contener datos personales, pero los tipos específicos de datos personales dependen de los servicios de Avetta a los que el proveedor se haya suscrito y de los requisitos establecidos por los clientes conectados.

Consulte el Apéndice B de nuestro Anexo de tratamiento de datos (“DPA”) para conocer las categorías de datos personales, los tipos de interesados, los fines del tratamiento de datos y otros detalles de este tratamiento que Avetta realizará en relación con la prestación de sus servicios conforme al Acuerdo de servicio de usuario final.

5. ¿Cuáles son los fines del tratamiento de datos?

Los fines del tratamiento de datos por parte de Avetta son los siguientes:

  • Prestar los servicios de Avetta.
  • Mantener datos personales sobre los trabajadores en la Plataforma de Avetta para el beneficio de los clientes conectados (por ejemplo, para confirmar que un trabajador en particular cumple los requisitos para ingresar al sitio de trabajo del cliente).
  • Avetta utiliza datos agregados y anonimizados para los siguientes fines:
    • Desarrollo de productos
    • Investigación
    • Análisis de mercado
  • Avetta utiliza datos de contacto de índole comercial para los siguientes fines:
    • Marketing directo (por ejemplo, envío de boletines informativos y correos electrónicos promocionales)
    • Desarrollo de negocios
    • Atención al cliente
  • Para conocer los demás intereses legítimos de Avetta, consulte la sección 5 de la Política de privacidad de Avetta.

6. ¿Cuál es el rol de Avetta de conformidad con el Reglamento general de protección de datos (RGPD) al tratar datos personales de los proveedores?

Avetta es el encargado del tratamiento en la medida en la que el tratamiento de datos personales se realice en nombre y según las instrucciones del proveedor, como el tratamiento de los datos personales facilitados en los formularios de precalificación (PQF), los datos de la OSHA, los conjuntos de datos recopilados durante una auditoría, los datos de trabajadores en productos para trabajadores u otros datos enviados a Avetta con base en los requisitos determinados por los clientes conectados del proveedor.

Avetta actúa como responsable del tratamiento de datos en la medida en la que el tratamiento de los datos personales se efectúe para fines propios de Avetta en relación con la prestación de sus servicios o para los intereses comerciales legítimos de Avetta, como facturación, gestión de cuentas, soporte técnico, prevención de fraudes, ventas y marketing (por ejemplo, envío de boletines informativos a los usuarios administradores de los proveedores).

7. ¿Cómo protege Avetta los datos de los proveedores?

Avetta está sujeta a las disposiciones de confidencialidad incluidas en la sección 13 del Acuerdo de servicio de usuario final y se compromete a tratar y proteger los datos personales de los proveedores de conformidad con el Anexo de tratamiento de datos.

Avetta mantiene controles técnicos, físicos, administrativos y organizativos rigurosos, los cuales están diseñados para mantener la confidencialidad, la seguridad y la integridad de la información confidencial, incluidos los datos personales que se le confían. Asimismo, implementa sistemas y procedimientos para detectar, prevenir y responder a ataques, intrusiones y fallas del sistema, además de realizar pruebas y monitoreo periódico de la eficacia de dichos sistemas y procedimientos, incluidos análisis de vulnerabilidades y pruebas de penetración. Avetta posee las certificaciones ISO/IEC 27001:2013 (estándares para sistemas de gestión de seguridad de la información [ISMS]) y 27701:2019 (sistema de gestión de información de la privacidad [PIMS] como extensión de la ISO/IEC 27001), ISO/IEC 27017:2015 (estándares para controles de seguridad aplicables al uso y la prestación de servicios en la nube), ISO/IEC 27018:2019 (estándares para la protección de información personalmente identificable en nubes públicas) e ISO/IEC 22301:2019 (estándares para sistemas de gestión de continuidad de negocio). Además, realiza auditorías independientes anuales SOC 2 Tipo II.

Para obtener información adicional sobre las medidas organizativas y técnicas de Avetta a la hora de proteger los datos de las entidades suscriptoras, consulte el anexo II del Anexo de tratamiento de datos.

8. ¿A quién puede Avetta divulgar los datos de los proveedores?

Generalmente, Avetta puede divulgar los datos de un proveedor a:

  • las filiales de su grupo empresarial y los proveedores de servicios/contratistas (como Amazon Web Services para servicios de alojamiento en la nube, productos de terceros integrados en la Plataforma de Avetta, Salesforce para gestión de relaciones con clientes (CRM), proveedores de servicios de seguridad en la red y otras herramientas utilizadas en el transcurso normal de sus actividades comerciales);
  • usuarios de los servicios de Avetta como parte de las ofertas de productos (datos de acceso general disponibles para usuarios en la Plataforma de Avetta y datos de acceso limitado compartidos solo con los clientes conectados del proveedor y contratistas principales, si los hubiese), tal como se explica en la pregunta 3; y
  • otros destinatarios, entre ellos: terceros en actividades de fusiones y adquisiciones, y partes para quienes la divulgación no se basa en el “consentimiento” como base legal (por ejemplo, Avetta puede verse obligada a divulgar datos de un proveedor a autoridades policiales).

Consulte la sección 6 de nuestra Política de privacidad para obtener más información.

9. ¿Avetta vende los datos de los proveedores?

Avetta no vende ningún dato que los proveedores nos hayan enviado al usar la Plataforma de Avetta.

Sin embargo, podemos utilizar cookies y tecnologías similares en nuestro sitio web general (no en la Plataforma de Avetta) con fines publicitarios, lo cual según la Ley de Privacidad del Consumidor de California (CCPA) de 2018 puede considerarse una “venta” o un “uso compartido” de los datos personales de un visitante. No obstante, no realizamos ninguna “venta” de datos personales a cambio de una compensación monetaria.

10. Algunos servicios de Avetta brindan a las entidades suscriptoras acceso a AskAva™, una herramienta impulsada por inteligencia artificial (IA) y diseñada para generar sugerencias de seguridad en el sitio de trabajo. ¿Avetta utiliza el contenido de las entidades suscriptoras para entrenar a AskAva? ¿Cómo trata esta herramienta los datos personales?

Avetta no utiliza ningún contenido de las entidades suscriptoras para entrenar a AskAva. AskAva está impulsada por OpenAI. Dado que las sugerencias son generadas por IA, pueden contener errores o estar incompletas.

El uso adecuado de AskAva no requiere que los usuarios ingresen datos personales. Se aconseja a los usuarios no proporcionar datos personales, ya que no es necesario hacerlo para generar sugerencias de seguridad en el sitio de trabajo. Los datos personales solo se compartirán con OpenAI para el tratamiento, si un usuario facilita intencionalmente dicha información.

El uso de AskAva es completamente opcional, y si no desea que OpenAI trate sus datos, usted no debería utilizar AskAva. Para obtener más información sobre cómo OpenAI trata los datos, consulte la documentación de OpenAI con relación a su interfaz de programación de aplicaciones (API).

11. ¿Dónde almacena Avetta los datos de los proveedores?

En la siguiente tabla se describen las ubicaciones de los servidores donde Avetta trata y almacena los datos para prestar sus servicios SaaS. En general, Avetta selecciona servidores en países donde las leyes locales brindan un nivel más alto de protección de los derechos de privacidad de las personas.

Producto de Avetta Ubicación de la entidad suscriptora (ubicación del alojamiento)
Productos de cumplimiento de proveedores, incluidos, entre otros: Avetta Connect® Health & Safety; ESG & Sustainability; Business Risk; y Avetta Transportation Safety, Motor Carrier Statistics Enterprise
  • En todo el mundo (Alemania)
  • Recuperación ante desastres (Irlanda)
Worker Management
  • Asia-Pacífico (Australia)
  • En todo el mundo, excepto Asia-Pacífico (Alemania)
Pegasus Workforce Management
  • Australia (Australia)
  • Estados Unidos (Estados Unidos)
  • En todo el mundo, excepto Australia y los Estados Unidos (Reino Unido)

Tenga en cuenta que nuestros datos no relacionados con la producción se almacenan en Canadá.

12. ¿Se transferirán datos personales fuera de las jurisdicciones donde residen los interesados?

Las oficinas centrales de Avetta están ubicadas en los Estados Unidos y Avetta contrata diversos proveedores externos (encargados/subencargados) para prestar los servicios. Es probable que los datos personales se transfieran fuera de las jurisdicciones donde residen los interesados.

13. ¿Cuáles son los mecanismos de transferencias transfronterizas que utiliza Avetta para transferir datos?

Al transferir los datos personales fuera del EEE o del Reino Unido (R. U.):

(i) garantizamos que el país en el que se manejarán los datos personales sigue siendo considerado “adecuado” por la Comisión Europea o el R. U., según corresponda;

(ii) incluimos en nuestros contratos las cláusulas contractuales tipo aprobadas por la Comisión Europea (según corresponda) para transferir datos personales desde el EEE o el R. U. y, además, el Anexo de Transferencia Internacional de Datos a las cláusulas contractuales tipo de la Comisión Europea para transferir datos personales desde el R. U.; o bien,

(iii) dependemos de otros mecanismos de cumplimiento legales o condiciones para realizar dichas transferencias de datos.

Para transferencias de datos a los Estados Unidos, Avetta optó por certificar su cumplimiento del marco de privacidad de datos UE-EE. UU. (“Marco de privacidad de datos UE-EE. UU.”), la extensión del R. U. al marco de privacidad de datos UE-EE. UU. (“Extensión del R. U.”) y el marco de privacidad de datos Suiza-EE. UU. (“Marco de privacidad de datos Suiza-EE. UU.”) en conjunto con el marco de privacidad de datos “Marco de privacidad de datos UE-EE. UU.”, la “Extensión del R. U.” y el marco de privacidad de datos (“Marco de privacidad de datos”), administrado por el Departamento de Comercio de los EE. UU. La Comisión Europea emitió una decisión de adecuación para el marco de privacidad de datos UE-EE. UU., y confirmó que EE. UU. garantiza un nivel adecuado de protección, comparable al de la Unión Europea, para los datos personales transferidos desde la UE a empresas estadounidenses de conformidad con este marco. De manera similar, la autoridad del R. U. determinó que la Extensión del R. U. no compromete el nivel de protección de datos para los interesados del R. U., cuando sus datos se transfieren a EE. UU., establecen así el puente de datos Reino Unido-EE. UU., a través de la Extensión del R. U. Como participante del programa del marco de privacidad de datos, Avetta se compromete a respetar los principios de este marco sobre notificación, elección, responsabilidad por transferencias ulteriores, seguridad, integridad de los datos y restricción de propósito, acceso, recurso, aplicación legal y responsabilidad civil al tratar datos personales. Para obtener más información, consulte nuestra Notificación sobre el marco de privacidad de datos, disponible aquí.

En caso de que las leyes aplicables en materia de protección de datos hubiesen prescrito requisitos adicionales o hubiesen modificado los mecanismos actuales de transferencia de datos entre fronteras, tomaremos las medidas apropiadas, entre ellas: colaborar con nuestras entidades suscriptoras para implementar los requisitos o actualizar los mecanismos de transferencia. Todo esto con el fin de permitir la transferencia legal de los datos personales de los interesados fuera de su país de origen.

Para obtener más información, consulte la sección 7 del Anexo de tratamiento de datos.

14. ¿Cómo cumple Avetta con el RGPD y otras leyes de protección de datos aplicables?

Al ser una organización que opera en múltiples jurisdicciones, Avetta está sujeta a varias leyes de protección de datos (como el RGPD, el RGPD del R. U., la CCPA, la Ley de Protección de Información Personal y Documentos Electrónicos [PIPEDA] y la Ley de Privacidad de Australia de 1988). Nuestro programa de privacidad se basa en los requisitos del RGPD. Para abordar las necesidades de cumplimiento global, adoptamos el siguiente enfoque: primero identificamos los requisitos comunes de las leyes de protección de datos aplicables, identificamos las brechas e implementamos soluciones para abordar dichos requisitos comunes; luego analizamos las variaciones y evaluamos la necesidad de personalizar el programa para cumplir con los requisitos locales o implementar estos requisitos en todas las jurisdicciones.

En términos generales, nos regimos por los principios de privacidad de los datos, que exigen que los datos personales sean:

  • tratados de manera legal, justa y transparente (legalidad, equidad y transparencia);
  • recopilados solo para fines específicos, explícitos y legítimos (limitación de la finalidad);
  • adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan (minimización de datos);
  • exactos y, cuando sea necesario, actualizados durante todo el ciclo de vida de los datos personales (exactitud);
  • no conservados durante más tiempo del necesario para los fines para los que se tratan (limitación de almacenamiento);
  • tratados de manera que se garantice su seguridad, utilizando medidas técnicas y organizativas apropiadas para proteger contra el tratamiento no autorizado o ilegal y contra la pérdida, la destrucción o el daño accidental (seguridad, integridad y confidencialidad);
  • no transferidos a otro país sin las garantías adecuadas (limitación de transferencia); y
  • puestos a disposición de los interesados para permitirles ejercer ciertos derechos en relación con sus datos personales (derechos y solicitudes del interesado).

15. ¿Cuáles son los términos que rigen la relación entre Avetta y los proveedores?

La relación contractual entre Avetta y un proveedor se rige por el siguiente acuerdo y anexo:

Para obtener información adicional sobre el programa de privacidad y seguridad de Avetta, visite nuestra página de información legal. Avetta evalúa continuamente la eficacia de su programa de privacidad y seguridad, y se compromete a monitorear e implementar cambios que sean apropiados o necesarios debido a los acontecimientos en el ámbito legal, en el mercado o en la práctica.