Declaración de privacidad – Cuestionarios EY en Qualtrics XM

1. Introducción

Este Aviso de privacidad tiene por objeto describir las prácticas que sigue EY en relación con la aplicación Qualtrics CoreXM (“Herramienta”) con respecto a la privacidad de todas las personas cuyos datos personales se procesan y almacenan en la Herramienta. Este Aviso de Privacidad debe leerse junto con la Declaración de Privacidad de ey.com.

2. ¿Quién gestiona la Herramienta?

"EY" se refiere a una o más de las firmas miembro de Ernst & Young Global Limited ("EYG"), cada una de las cuales es una entidad legal separada y puede actuar como controlador de datos por derecho propio. La entidad que actúa como responsable del tratamiento de datos (o en calidad similar) al proporcionar esta Herramienta en la que se procesarán y almacenarán sus datos personales es EY Global Services Limited. EY Global Services Limited es licenciataria de la Herramienta de Qualtrics, 400 West Qualtrics Drive, Provo, Estados Unidos UT 84606.

Los datos personales de la Herramienta son compartidos por EY Global Services Limited con una o más firmas de EYG (véase "Quién puede acceder a sus datos personales" sección 6 más abajo).

La herramienta está alojada en los servidores de Qualtrics en Frankfurt.

3. ¿Por qué necesitamos su información?

La Herramienta proporciona una plataforma de encuestas a nivel de toda la empresa para satisfacer diversas necesidades de recopilación de datos en toda la organización de EY, permitiendo a los empleados de EY, a los contratistas y a cualquier persona con una dirección de correo electrónico de EY crear y enviar encuestas a los encuestados internos y externos para recopilar los datos necesarios para fines empresariales.

Sus datos personales procesados en la Herramienta se utilizan de la siguiente manera: los autores de las encuestas procesarán la información recibida en respuesta a las solicitudes presentaciones relevantes para los clientes o para fines internos. Los datos serán agregados y anonimizados cuando se procesen para estas presentaciones.

EY se basa en el siguiente fundamento para legitimar el tratamiento de sus datos personales en la Herramienta: el tratamiento de sus datos personales es necesario a efectos de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo cuando prevalezcan sobre dichos intereses los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de sus datos personales. Los intereses legítimos específicos son la realización de compromisos con clientes y la inscripción y gestión de eventos y formación.

Si usted es un Cliente de EY y/o un tercero, procesamos sus datos personales basándonos en su consentimiento.  El suministro de sus datos personales a EY es opcional.  No obstante, si no facilita todos o parte de sus datos personales sensibles, es posible que no podamos llevar a cabo los fines del tratamiento. Tiene derecho a retirar su consentimiento en cualquier momento. Tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de los datos personales que le conciernen basado en el interés o intereses legítimos mencionados.

4. ¿Qué tipo de datos personales se procesan en la Herramienta?

La Herramienta procesa estas categorías de datos personales:

  • Para los autores de encuestas de EY, la Herramienta procesará el nombre completo del autor y la dirección de correo electrónico de EY.
  • Para los encuestados internos de EY, la Herramienta procesará el nombre completo del encuestado, la dirección de correo electrónico de EY, el rango, el Número Global de Personal (GPN) y la ubicación de la oficina.
  • Para los encuestados externos, como clientes, clientes potenciales, proveedores u otras partes interesadas, la herramienta procesará la dirección de correo electrónico del encuestado en una encuesta restringida.
  • Para cualquier encuestado, también se procesarán los datos introducidos como respuestas en la herramienta.

Estos datos proceden de: socios, empleados o contratistas de EY, clientes y cualquier otro destinatario de la encuesta.

5. Datos personales sensibles

Los datos personales sensibles revelan su origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual.

EY no recopila intencionalmente ningún dato personal confidencial de usted a través de la Herramienta. La intención de la Herramienta no es procesar dicha información.

6. ¿Quién puede acceder a sus datos personales?

Las siguientes personas/equipos tienen acceso a sus datos personales en la Herramienta:

  • El personal de EY tiene acceso a los datos de las encuestas que ha creado o a las que se le ha concedido acceso.
  • Cinco administradores de marca ubicados en EE.UU. y la India tienen acceso total a la herramienta con el fin de: implementar y mantener la aplicación con configuraciones estándar; definir plantillas y metadatos; y configurar el banco de preguntas y la lógica para la ramificación que sea utilizable por todos. Estos administradores se encargarán de que el personal de EY tenga acceso a la herramienta y registrarán a los usuarios para que tengan acceso y controlen los permisos/derechos.
  • Los autores de encuestas ubicados globalmente tienen acceso de lectura, escritura, edición y eliminación (dependiendo del tipo de datos) para: crear encuestas; extender invitaciones a los encuestados; gestionar y controlar el acceso a las encuestas; resultados correspondientes; y crear informes basados en los resultados.
  • Los encuestados (usuarios internos de EY y clientes de EY a los que se invita a responder de forma anónima a las encuestas) que se encuentran en todo el mundo tienen acceso de lectura, escritura y edición a sus propias respuestas a la encuesta con el fin de enviar sus propias respuestas a la encuesta.
  • El personal de los proveedores ubicados en EE.UU., Irlanda, Polonia y Australia tendrá acceso limitado de lectura, escritura, edición y eliminación cuando presten asistencia al sistema, por ejemplo para revisar y corregir cualquier problema.

Los derechos de acceso detallados anteriormente implican la transferencia de datos personales en varias jurisdicciones (incluidas jurisdicciones fuera de la Unión Europea) en las que opera EY (las ubicaciones de las oficinas de EY se enumeran en www.ey.com/ourlocations). EY procesará sus datos personales en la Herramienta de acuerdo con la ley y los reglamentos profesionales aplicables en su jurisdicción. Las transferencias de datos personales dentro de la red de EY se rigen por las Normas corporativas vinculantes de EY.

Transferimos o divulgamos los datos personales que recopilamos a terceros proveedores de servicios (y a sus filiales y empresas asociadas) contratados por nosotros para apoyar nuestros procesos auxiliares internos. Por ejemplo, contratamos a proveedores de servicios para que proporcionen, gestionen y respalden nuestra infraestructura informática (como la gestión de identidades, el alojamiento, el análisis de datos, las copias de seguridad y los servicios de almacenamiento en la nube) y para el almacenamiento y la eliminación segura de nuestros archivos impresos. Nuestra política consiste en utilizar únicamente proveedores de servicios externos que estén obligados a mantener niveles adecuados de protección de datos, seguridad y confidencialidad, y que cumplan todos los requisitos legales aplicables a la transferencia de datos personales fuera de la jurisdicción en la que se recopilaron originalmente.

En la medida en que los datos personales se hayan convertido en anónimos de tal manera que usted o su dispositivo ya no sean razonablemente identificables, dicha información se tratará como datos no personales y no se aplicarán los términos de este Aviso de Privacidad.

Para los datos recogidos en el Espacio Económico Europeo (EEE) o que se refieren a personas físicas en el EEE, EY requiere un mecanismo de transferencia adecuado según sea necesario para cumplir con la legislación aplicable. La transferencia de datos personales de la Herramienta al proveedor de sistemas y al personal del cliente se rige por un acuerdo entre EY y el proveedor de servicios o el cliente que incluye cláusulas estándar de protección de datos adoptadas por la Comisión Europea.

7. Retención de datos

Nuestra política es conservar los datos personales sólo durante el tiempo necesario para los fines descritos en la sección "Por qué necesitamos sus datos personales". Los periodos de conservación varían en las distintas jurisdicciones y se establecen de acuerdo con los requisitos normativos y profesionales locales en materia de conservación.

Para cumplir nuestros requisitos profesionales y legales, para establecer, ejercer o defender nuestros derechos legales y con fines de archivo e históricos, necesitamos conservar información durante periodos de tiempo significativos.

Las políticas y/o procedimientos para la retención de datos personales en la Herramienta se definen en: la Política Global de Retención de Registros de EY, el Calendario de Retención de cada país correspondiente y, para los datos de registro, la Política de Registro de IT de EY.

Después del final del período de retención de datos, sus datos personales serán eliminados.

8. Seguridad

EY se compromete a garantizar que sus datos personales estén seguros. Para evitar el acceso o la divulgación no autorizados, EY cuenta con medidas técnicas y organizativas para salvaguardar y asegurar sus datos personales. Encontrará más información sobre nuestro enfoque de la protección de datos y la seguridad de la información en nuestro folleto Proteja sus datos.

9. El control de sus datos personales

EY no transferirá sus datos personales a terceros (que no sean los terceros mencionados en la sección 6 anterior) a menos que tengamos su permiso o la ley nos exija hacerlo. 

Tiene derecho legal a solicitar detalles de los datos personales de EY sobre usted.

Para confirmar si sus datos personales se procesan en la Herramienta o para acceder a sus datos personales en la Herramienta, comuníquese con su representante habitual de EY o envíe su solicitud por correo electrónico a global.data.protection@ey.com.

10. Rectificación, supresión, limitación del tratamiento o portabilidad de datos

Puede confirmar que sus datos personales son precisos y actuales. Puede solicitar la rectificación, el borrado, la restricción del procesamiento o una copia fácilmente portátil de sus datos personales poniéndose en contacto con su representante habitual de EY o enviando un correo electrónico al equipo de protección de datos global.data.protection@ey.com.

11. Quejas

Si le preocupa una supuesta violación de la ley de privacidad o cualquier otra regulación, comuníquese con el líder de privacidad global de EY, Office of the General Counsel, 6 More London Place, Londres, SE1 2DA, Reino Unido o por correo electrónico al equipo de protección de datos o a su representante habitual de EY. Un líder de privacidad de EY investigará su queja y brindará información sobre cómo se manejará y resolverá.

Si no está satisfecho con la forma en que EY resolvió su queja, tiene derecho a presentar una queja ante la autoridad de protección de datos de su país. También puede remitir el asunto a un tribunal de jurisdicción competente. 

Ciertas firmas miembro de EY en países fuera de la Unión Europea (UE) han nombrado a un representante en la UE para que actúe en su nombre si, y cuando, realicen actividades de procesamiento de datos a las que se aplique el Reglamento General de Protección de Datos (RGPD) de la UE. Más información y los datos de contacto de estos representantes están disponibles aquí.

12. Contacto

Si tiene preguntas o inquietudes adicionales, comuníquese con su representante habitual de EY o envíe un correo electrónico al equipo de protección de datos global.data.protection@ey.com.