La Sociedad Estadounidense para Niños Sordos valora la privacidad y cumplirá con las leyes aplicables de privacidad, protección de datos y seguridad de datos. Los empleados, contratistas y voluntarios de la Sociedad Estadounidense para Niños Sordos solo recopilarán, usarán y divulgarán información personal de acuerdo con esta política. Esta política rige las actividades de la Sociedad Estadounidense de Niños Sordos (ASDC). ASDC puede adoptar políticas y procedimientos adicionales de privacidad, protección de datos y seguridad de datos que sean consistentes con esta política y cumplan con las leyes de sus jurisdicciones. ¿Preguntas? Póngase en contacto con el director ejecutivo de ASDC en cheri@deafchildren.org  

PROCEDIMIENTOS

Usos permitidos de la información personal. "Informacion personal” significa cualquier información que identifique, o en combinación con otra información, sea capaz de identificar a los participantes, empleados, voluntarios, fanáticos, donantes y visitantes del sitio web de ASDC (colectivamente “Datos sujetos”). Esta política rige las siguientes categorías y permite el uso de la Información personal establecida en esta Sección. Cuando ASDC tenga la intención de procesar información personal para un propósito diferente al que se recopilaron, ASDC notificará al sujeto de datos antes de dicho procesamiento adicional con información sobre ese otro propósito y con cualquier información adicional relevante.

  • INFORMACIÓN DE CONTACTO se utiliza para proporcionar información a los Sujetos de datos sobre las actividades de ASDC y nuestra misión y para solicitar donaciones para apoyar a ASDC. La información de contacto incluye:
    1. Nombre
    2. Dirección
    3. Número de teléfono
    4. Correo electrónico
    5. Información del padre o tutor si el Sujeto de datos es un menor o un adulto con un tutor legal
  • Datos de participación se utilizan para operar las actividades de ASDC, promover ASDC, solicitar donaciones, reconocer a los patrocinadores y socios de ASDC y mantener la historia de ASDC. Los datos de participación incluyen:
    1. Nombre
    2. Edad
    3. Revelación de
    4. Resultados de la competencia
    5. Historial de participación
    6. Imágenes y vídeo
    7. Información biográfica
  • Historial de donaciones se utiliza para la contabilidad, el seguimiento de las donaciones y el agradecimiento a los donantes por sus donaciones. El historial de donaciones incluye:
    1. Nombre
    2. Fechas de donaciones
    3. Cantidades de donaciones
    4. Forma de pago
  • Tableros de mensajes en línea y herramientas en línea similares mantenidas por ASDC pueden permitir a los Sujetos de datos divulgar información sobre ellos mismos públicamente.
  • Datos del empleado se utilizan para realizar actividades y comunicaciones relacionadas con el empleo, incluidas las actividades relacionadas con los deberes laborales de los empleados, la administración de nóminas y beneficios, las evaluaciones de desempeño y las acciones del personal. Los datos del empleado incluyen:
    1. Nombre
    2. Información de contacto
    3. Información sobre salarios, beneficios e impuestos
    4. información bancaria
    5. Historial de trabajo e información biográfica.
  • Operaciones ASDC también puede procesar información personal para realizar operaciones informáticas, control de calidad, pruebas y otras actividades operativas necesarias para los fines anteriores.

ASDC solo usa información personal para promocionar públicamente a ASDC, solicitar donaciones y reconocer a los patrocinadores y socios de ASDC de acuerdo con el consentimiento por escrito de los interesados. Cuando ASDC tenga la intención de continuar con el procesamiento de la Información personal para un fin distinto al que se recopiló, ASDC notificará al Sujeto de datos antes de ese procesamiento adicional con información sobre ese otro propósito y con cualquier información adicional relevante.

Compartir información personal. La información personal solo puede divulgarse como se describe en esta Política:

  • Organizaciones ASDC. La información personal se puede compartir entre los programas aplicables de ASDC, incluido su personal y voluntarios relevantes, según sea necesario para realizar usos permitidos relevantes para el sujeto de datos.
  • Sujetos de datos. La Información personal de un Sujeto de datos puede divulgarse al Sujeto de datos oa su tutor o representante autorizado.
  • Procesando pago. ASDC utiliza a terceros para proporcionar servicios de tarjetas de crédito, bancos, pagos y procesamiento de información. Dichos proveedores de servicios solo están autorizados a usar Información personal según sea necesario para realizar servicios en nuestro nombre o para cumplir con los requisitos legales.
  • Contratistas ASDC utiliza agentes y contratistas para ayudar con nuestras operaciones. Las organizaciones de ASDC obtendrán garantías contractuales satisfactorias de que los contratistas y procesadores de datos con acceso a Información personal protegerán adecuadamente dicha información. Cada contratista o procesador de datos deberá firmar un acuerdo que contenga los términos establecidos en Apéndice A.
  • Emergencia médica. ASDC puede divulgar información personal a profesionales médicos en caso de emergencia.
  • Investigadores de terceros. ASDC puede divulgar información personal de forma confidencial con investigadores, como universidades o agencias de salud pública, que están estudiando problemas de personas sordas/HH, familias y niños, y el impacto de las actividades de ASDC. Este tipo de divulgación solo puede realizarse con el consentimiento por escrito del Titular de los datos. La información solo puede publicarse en forma agregada sin identificar a ningún Sujeto de datos individual.
  • Necesidad. ASDC puede divulgar información personal según sea necesario para proteger el interés vital del Sujeto de datos, proteger el interés vital de otra persona, proteger la seguridad pública, responder a solicitudes gubernamentales y reportar información según lo exija la ley.
  • Intercambio de listas de donantes. Se permite alquilar o intercambiar nombres de donantes e información de contacto con organizaciones que no pertenecen a la ASDC solo de acuerdo con las Políticas y procedimientos de administración de listas de la ASDC y actualmente se limita a los Estados Unidos.

Cuando ASDC tenga la intención de divulgar más Información personal distinta a la descrita anteriormente, ASDC notificará al Sujeto de datos antes de dicha divulgación adicional y, si así lo exige la ley, obtendrá el consentimiento por escrito del Sujeto de datos.

Aviso de prácticas de privacidad. ASDC notificará a los Sujetos de datos sobre sus prácticas de privacidad y protección de datos cuando se registren en ASDC, brinden información en un sitio web de ASDC o proporcionen información personal a ASDC. Cuando lo exija la ley, los sitios web de ASDC también notificarán a los visitantes del sitio web sobre cualquier cookie utilizada en el sitio web y obtendrán el consentimiento cuando sea necesario. Los avisos de privacidad y protección de datos actuales se publican en el sitio web de ASDC.

 Derechos de los interesados. Cada Sujeto de datos (o cualquier tutor o representante autorizado) tiene derecho a solicitar acceso, rectificar o borrar su propia Información personal, o restringir el procesamiento, u oponerse al procesamiento. Cada Titular de los datos también tiene derecho a presentar una queja ante una autoridad de control competente, si corresponde. Cuando el procesamiento de información personal se base en el consentimiento, el Interesado tiene derecho a retirar el consentimiento en cualquier momento con efecto para el futuro.

 Principios del procesamiento de datos. ASDC ha adoptado los siguientes principios para regir su procesamiento de Información personal, excepto según lo dispuesto específicamente por políticas complementarias o según lo exijan las leyes o reglamentos aplicables.

  • Legalidad, Equidad y Transparencia. La información personal solo se procesará de manera lícita, justa y transparente en relación con el interesado.
  • Limitación de propósito. La información personal se obtendrá solo para fines específicos, explícitos y legítimos, y no se procesará de ninguna manera que sea incompatible con esos fines.
  • Minimización de datos. Los Datos Personales deberán ser adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.
  • Exactitud. La información personal será precisa y, si es necesario, se mantendrá actualizada, según corresponda a los fines para los que se procesan.
  • Limitación de almacenamiento. La información personal no se mantendrá en un formato que permita la identificación del interesado durante más tiempo del necesario para los fines permitidos.
  • Integridad y Confidencialidad. La Información personal se procesará de manera que garantice la seguridad adecuada de la Información personal, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, utilizando las medidas técnicas u organizativas apropiadas.
  • Protección de datos desde el diseño y por defecto. Se diseñarán medidas técnicas y organizativas para implementar los principios de protección de datos y garantizar que, por defecto, solo se procese la información personal necesaria para cada propósito específico del procesamiento.

 Salvaguardias. Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de los Sujetos de datos, ASDC implementará y mantendrá las medidas técnicas y medidas organizativas para garantizar un nivel de seguridad adecuado al riesgo. ASDC implementará y mantendrá las medidas apropiadas para proteger la Información personal de la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a la Información personal transmitida, almacenada o procesada de otra manera. ASDC también podrá demostrar cómo se realiza el procesamiento de datos de conformidad con las leyes aplicables, incluido el RGPD. Las siguientes medidas deben ser consideradas e implementadas según corresponda de acuerdo con los principios anteriores:

    • Control de acceso a oficinas tales como cerradura y llave, tarjetas magnéticas y seguridad del edificio para garantizar que solo las personas autorizadas puedan ingresar a las instalaciones;
    • Salvaguardas de papel incluyendo (i) el almacenamiento seguro de la Información personal escrita o impresa para protegerla contra la divulgación a personas que no estén involucradas en el uso de la información, y (ii) la trituración cuando se complete el uso de la información impresa;
    • Almacenamiento digital solo en sistemas de datos aprobados por la administración de cada organización ASDC para la Información Personal que posee el sistema;[ XNMUX ]
    • Credenciales de inicio de sesión únicas utilizado para acceder a la información personal con contraseñas de longitud suficiente y tipos de caracteres (p.ej, números, letras mayúsculas, letras minúsculas, caracteres especiales) consistentes con las mejores prácticas de la industria;
    • Cerradura automatica de computadoras y dispositivos que contienen información personal después de un breve período de inactividad;
    • Computadoras y dispositivos asegurados cuando están desatendidos en una casa cerrada cuando está en casa o en un baúl cerrado cuando viaja en automóvil;
    • Supervisión, registro y controles de auditoría en computadoras, dispositivos y sistemas que contienen información personal;
    • Protección de software malicioso en los sistemas informáticos, incluida la actualización regular y rápida de antivirus, sistema operativo y software de aplicación para mantener las características de seguridad actuales;
    • Eliminación de acceso rápido al despedir a un empleado, contratista o voluntario con acceso a la Información personal, incluida la devolución de las llaves de las instalaciones, la devolución del equipo informático y la eliminación o el acceso a los sistemas de datos al cambiar o cancelar las credenciales de inicio de sesión;
    • Eliminación adecuada de dispositivos y medios, incluida la eliminación de Información personal y otra información confidencial antes de su eliminación o reutilización;
    • Capacidad de bloqueo y limpieza remota en computadoras y dispositivos que contienen información personal para proteger los datos en caso de pérdida o robo;
    • Seudonimización y cifrado para limitar el riesgo de divulgación no autorizada de información personal;
    • Sistemas de respaldo para garantizar la capacidad de restaurar la disponibilidad y el acceso a la Información personal de manera oportuna en caso de un incidente físico o técnico;
    • Los cortafuegos para proteger contra intrusiones en la red y configurarse para hacer cumplir las políticas de ASDC, como el bloqueo de sitios web prohibidos; y
    • Conexiones inalámbricas configurado de acuerdo con los estándares de la industria para la seguridad inalámbrica.

 Las capacidades de salvaguardias técnicas deben estar entre los criterios para el uso continuo y/o la adquisición de cualquier nuevo hardware o software informático.

Evaluación de impacto. Cuando sea probable que un tipo de procesamiento de información personal, en particular mediante el uso de nuevas tecnologías, genere un alto riesgo para los derechos y libertades de los interesados ​​(teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del procesamiento), ASDC llevará a cabo una evaluación del impacto de las operaciones de procesamiento en la protección de la información personal. ASDC debe realizar esta evaluación antes de comenzar el procesamiento de datos contemplado.

 Violaciones e Incidentes de Seguridad.

  • Deber de Informar. Cualquier empleado que tenga conocimiento de una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a la Información personal deberá informar inmediatamente el incidente a su supervisor y/o al Coordinador de privacidad de datos. Los supervisores que reciban informes de posibles violaciones y/o incidentes de seguridad deberán informar de inmediato el asunto al Coordinador de privacidad de datos de la organización.
  • Respuesta al incidente. Al enterarse de una posible violación de la seguridad o una posible violación de esta política o de las leyes de protección de datos aplicables, el Coordinador de privacidad de datos responderá de manera adecuada según las circunstancias, de acuerdo con las políticas y procedimientos de respuesta a incidentes de ASDC, y en todo momento dirigido por un asesor legal. Esta respuesta puede incluir, pero no necesariamente limitarse a:
    1. Notificación a la dirección ejecutiva en su caso;
    2. Notificación de personas, organizaciones y/o funcionarios gubernamentales afectados según lo exijan las normas, leyes, reglamentos y obligaciones contractuales aplicables;
    3. Reentrenamiento y/o acción disciplinaria para los empleados responsables, según corresponda, si el incidente involucró una violación de esta política; y/o
    4. Un análisis posterior al incidente realizado por el Coordinador de Privacidad de Datos y el Departamento Legal para incorporar cualquier lección aprendida en las políticas y procedimientos de respuesta a incidentes de ASDC, para evaluar las salvaguardas de ASDC y para recomendar a la gerencia cualquier cambio que se considere apropiado.

Capacitación en Privacidad y Seguridad de Datos. Los empleados y voluntarios recibirán capacitación y/o orientación sobre privacidad y seguridad de datos adecuada a sus roles y responsabilidades. El Coordinador de privacidad de datos se asegurará de que se brinde capacitación sobre esta política cuando se modifique sustancialmente.

Planificación de contingencias.Las organizaciones de ASDC deben desarrollar planes de contingencia para prepararse para fallas del sistema y para preparar procedimientos para mantener operaciones críticas en caso de falla del sistema.

 Revisión periódica. El Coordinador de privacidad de datos realizará revisiones periódicas de las prácticas de seguridad de datos y privacidad de la organización. Los tipos de evaluación pueden variar y pueden incluir análisis y corrección de vulnerabilidades, auditorías de cortafuegos, pruebas de penetración, pruebas/ejercicios de ingeniería social, auditorías de activos de TI, auditorías de políticas y procedimientos para el cumplimiento de las reglamentaciones aplicables y/o auditorías del cumplimiento de políticas y procedimientos. .

APÉNDICE A: TÉRMINOS DEL CONTRATO PARA CONTRATISTAS Y PROCESADORES DE DATOS Cada contratista o procesador de datos con acceso a Información personal deberá firmar un acuerdo que contenga términos que protejan la Información personal. Para contratistas y procesadores de datos que reciben o procesan información personal de sujetos de datos que residen en la Unión Europea, el Espacio Económico Europeo o Suiza, se debe ejecutar con el contratista un acuerdo de procesamiento de datos por separado de conformidad con el artículo 28 del RGPD. El asesor legal proporcionará una plantilla para este acuerdo de procesamiento de datos. Para los contratistas que no esté recibiendo o procesando información personal de interesados ​​que residan en la Unión Europea, el Espacio Económico Europeo o Suiza, los acuerdos con los contratistas deben incluir disposiciones que sean iguales o sustancialmente similares a las siguientes:

    • La relación contemplada en este Contrato puede requerir que el Contratista acceda a la información personal identificable individualmente de los participantes, empleados, voluntarios, fanáticos, donantes, visitantes del sitio web y otras personas asociadas con ASDC que ASDC tiene en poder de ASDC, Inc. El Contratista puede acceder, usar, y divulgar Información personal solo en la medida necesaria para cumplir con las obligaciones del Contratista descritas en este Contrato. Con respecto al acceso, uso y divulgación de la Información personal por parte del Contratista, el Contratista acepta considerar e implementar las siguientes medidas:
      • Control de acceso a la oficina, como cerradura y llave, tarjetas magnéticas y seguridad del edificio para garantizar que solo las personas autorizadas puedan ingresar a las instalaciones.
      • Medidas de seguridad en papel que incluyen: (i) almacenamiento seguro de Datos personales escritos o impresos para protegerlos contra la divulgación a personas que no estén involucradas en el uso de la información y (ii) trituración cuando se complete el uso de la información impresa;
      • Almacenamiento digital únicamente en sistemas de datos aprobados por la administración del Consultor para los Datos Personales que posee el sistema;
      • Credenciales de inicio de sesión únicas utilizadas para acceder a Datos personales con contraseñas de suficiente longitud y tipos de caracteres (p. ej., números, letras mayúsculas, letras minúsculas, caracteres especiales) de conformidad con las mejores prácticas de la industria;
      • Bloqueo automático de computadoras y dispositivos que contengan Datos personales después de un breve período de inactividad;
      • Las computadoras y los dispositivos están asegurados cuando están desatendidos en una casa cerrada cuando está en casa o en el maletero cerrado cuando viaja en automóvil;
      • Monitoreo, registro y controles de auditoría en computadoras, dispositivos y sistemas que contienen Datos personales;
      • Protección de software malintencionado en los sistemas informáticos, incluida la actualización regular y rápida de antivirus, sistema operativo y software de aplicación para mantener las características de seguridad actuales;
      • Eliminación inmediata del acceso tras la rescisión de un empleado, contratista o voluntario con acceso a Datos personales, incluida la devolución de las llaves de las instalaciones, la devolución del equipo informático y la eliminación o el acceso a los sistemas de datos mediante el cambio o la rescisión de las credenciales de inicio de sesión;
      • Eliminación adecuada de dispositivos y medios, incluida la eliminación de Datos personales y otra información confidencial antes de su eliminación o reutilización;
      • Capacidad de bloqueo y borrado remoto en computadoras y dispositivos que contienen Datos personales para proteger los datos en caso de pérdida o robo;
      • Seudonimización y encriptación para limitar el riesgo de divulgación no autorizada de Datos personales;
      • Sistemas de respaldo para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de manera oportuna en caso de un incidente físico o técnico;
      • Cortafuegos para proteger contra intrusiones en la red y configurados para hacer cumplir las políticas del Consultor, como el bloqueo de sitios web prohibidos;
      • Redes inalámbricas configuradas de acuerdo con los estándares de la industria para la seguridad inalámbrica;
      • Evaluaciones periódicas de riesgos de privacidad y seguridad de datos y actividades de monitoreo de cumplimiento continuo relacionadas en coordinación con los departamentos organizacionales correspondientes;
      • Asegurar la entrega de capacitación y orientación sobre privacidad a empleados y voluntarios con acceso a Datos personales;
      • Investigar y abordar incidentes de privacidad y seguridad de datos y/o violaciones de políticas; y
      • Una respuesta adecuada, según las circunstancias, a cualquier posible violación de la seguridad o posible violación de las políticas de privacidad de datos o las leyes de protección de datos aplicables, de acuerdo con las políticas y procedimientos de respuesta a incidentes del Consultor. 

[2] ASDC debe evaluar la seguridad de su sistema de correo electrónico para determinar si se debe permitir la transmisión de Información personal por correo electrónico a la luz de los principios descritos en esta Sección.