POLÍTICA DE PROTECCIÓN DE DATOS

Número de documento: COP-PLD-100007

Aplicación: Global:

Propietario del Lisa Deverick, Responsable de Protección de Datos (DPO)

documento:

Revisor del documento: Marilena Savvakou, Asesora de Privacidad

Autor del documento: Kirsten Whitfield, Asesora Legal Externa

Revisión: 2

Fecha de revisión: 2 de julio de 2020

Este documento Código de Conducta de Wood

respalda

Responsabilidad por La responsabilidad funcional por el desarrollo, revisión y

este documento: mantenimiento de este documento corresponde al Encargado
de protección de datos

El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 1 de 8
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.
COP-PLD-100007 Rev. POLÍTICA DE PROTECCIÓN DE DATOS
2

Contenido
1 Objetivo....................................................................................................................... 3
2 Funciones y responsabilidades 3
3 Requisitos de la política 3
3.1 Principios generales de protección de datos 3
3.2 Cumplimiento de los Principios de Protección de Datos 4
3.2.1 Fundamentos legales para el tratamiento de información personal 4
3.2.2 Dependencia del consentimiento 4
3.2.3 Transparencia, limitación de finalidad y minimización 5
3.2.4 Precisión ............................................................................................5
3.2.5 Seguridad ..........................................................................................5
3.2.6 Compartir datos con terceros .............................................................5
3.2.7 Transferencias de datos ....................................................................6
3.2.8 Protección de datos por diseño y Evaluaciones del impacto de la
protección de datos. ..........................................................................................6

3.2.9 Derechos del sujeto de datos ...............................................................6

3.3 Capacitación ................................................................................................. 6
3.4 Preguntas y quejas sobre la protección de datos ...................................... 6
3.5 Infracciones a la ley de protección de datos e Infracciones a la política 7
4 Definiciones ................................................................................................................ 7
5 Referencias ................................................................................................................. 9
6 Historial de revisiones ............................................................................................... 9

El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 2 de 9
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.
 COP-PLD-100007 Rev. POLÍTICA DE PROTECCIÓN DE DATOS
2

1 Objetivo
Wood se compromete a cumplir con la legislación de protección de datos y privacidad en
todo el mundo. Como organización responsable, respetamos los datos personales y los
derechos de protección de datos de todos los individuos. Esta Política explica los principios
clave que debe cumplir al tratar datos personales de los clientes, las personas de contacto,
los proveedores y los colegas.
Independientemente del negocio o del lugar, todos somos responsables de cumplir esta
Política. En esta Política, “nosotros”, “usted” o “nuestro” se refiere a los empleados de Wood,
incluidos trabajadores temporales y asesores que trabajan en Wood, empleados y
directores. También esperamos que nuestros socios comerciales, como agentes,
proveedores, contratistas, intermediarios, representantes y socios de empresas conjuntas,
sigan los principios establecidos en esta Política.
Una infracción de la legislación de protección de datos puede tener un impacto significativo
en la reputación de una empresa. Podría afectar el precio de sus acciones o exponerla a
demandas por incumplimiento de contrato por sus contrapartes. Además del daño a la
reputación, las organizaciones que infringen las leyes de protección de datos pueden ser
multadas por esas infracciones. Los niveles de las multas varían de un país a otro, pero
pueden llegar hasta el 4% de la facturación global. Las autoridades regulatorias también
pueden imponer sanciones como la prohibición de tratar datos, auditorías y/o medidas de
supervisión.
Las infracciones a esta Política se tomarán en serio y pueden derivar en una medida
disciplinaria.

2 Funciones y responsabilidades
Wood cuenta con un Equipo de Privacidad, que funciona dentro del Equipo de cumplimiento
y ética y está bajo la dirección del Responsable de Protección de Datos. Se puede contactar
al Equipo de Privacidad para todos los asuntos a los que se refiere esta Política a
privacy@woodplc.com o consultar la página de Privacidad.

3 Requisitos de la política

3.1 Principios generales de protección de datos

Como una empresa global que opera en muchos mercados, Wood aplica los siguientes
principios de protección de datos:
• Nos aseguramos de que tenemos derecho legal a tratar información personal según la
ley de protección de datos aplicable (“fundamentos legales”) y que ninguna información
personal se usará para fines ilegítimos o discriminatorios;
• Somos transparentes con los individuos respecto a qué información personal tratamos y
por qué (“transparencia”);
• Solo usamos la información personal para la finalidad para la cual se obtiene (“limitación
de finalidad”);
• Recopilamos la mínima información personal necesaria para la finalidad para la cual se
procesa (“minimización”);

El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 3 de 9
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.
 COP-PLD-100007 Rev. POLÍTICA DE PROTECCIÓN DE DATOS
2
• Mantenemos la información personal correcta y actualizada (“precisión”);
• Respetamos los derechos de los individuos como sujetos de datos (“derechos del sujeto
de datos”) y brindamos acceso e información sobre los datos que conservamos sobre
ellos;
• Mantenemos protegida la información personal cuando se usa internamente y cuando se
comparte con terceros y tomamos medidas para asegurar que el tratamiento de los datos no
cause daños a los mismos (“seguridad”).
• Solo permitimos la transferencia o acceso a la información personal fuera de un país si
existen acuerdos apropiados para la transferencia de datos;
• Incorporamos el cumplimiento apropiado de la protección de datos en cualquier proyecto,
sistema o forma nueva de trabajar que involucre el tratamiento de información personal o
nuevos usos de la información personal (“protección de datos por diseño y por defecto”).

3.2 Cumplimiento de los Principios de Protección de Datos

3.2.1 Fundamentos legales para el tratamiento de información personal

Solo debemos tratar información personal si lo permiten las leyes de protección de datos. Los
principales motivos que nos permiten tratar información personal son los siguientes:
• Para cumplir con una obligación legal (por ejemplo, como empleador Wood debe tratar
cierta información sobre los empleados);
• Para proteger los intereses vitales de la persona (por ejemplo, si hay una emergencia
médica);
• Para la ejecución de un contrato con la persona o para realizar los pasos previos a
formalizar un contrato a petición del sujeto de datos;
• Para los legítimos intereses de Wood o de un tercero, pero solo si los derechos de los
individuos no son superiores a dichos intereses; y/o
• Cuando el individuo ha dado su consentimiento (aunque solo debería pedirse si uno o
más de los fundamentos anteriores no aplican o es más apropiado de acuerdo a la
legislación local).
Al decidir si recopilar información personal siempre deberíamos considerar si la finalidad
para la cual se hace podría lograrse igualmente si la información personal se somete a
procesos de anonimización o seudonimización.
Las leyes de muchos países tienen requisitos especiales adicionales para tratar la
información personal que se considera particularmente especial o sensible. Esto incluye
datos relativos a la raza u origen étnico, opiniones políticas, creencias religiosas o
filosóficas, pertenencia a un sindicato, datos genéticos, datos biométricos (para identificar a
una persona), datos médicos y datos sobre la vida sexual o la orientación sexual de una
persona. Los requisitos especiales a menudo también se aplican a los antecedentes penales
y los datos sobre niños. Los datos sensibles, antecedentes penales o datos de niños no
deben recopilarse a menos que el Equipo de Privacidad haya revisado y aprobado su
recopilación y tratamiento

3.2.2 Dependencia del consentimiento

Al basarnos en el consentimiento para el tratamiento de información personal, debemos
asegurarnos de que dicho consentimiento:

El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 4 de 9
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.
 COP-PLD-100007 Rev. POLÍTICA DE PROTECCIÓN DE DATOS
2
• Está documentado para que podamos demostrar que obtuvimos el consentimiento
legítimamente;
• Se dio afirmativamente (como al marcar una casilla o firmar un documento), no podemos
basarnos en la “inacción” como forma de obtener el consentimiento (por ej., no se
aceptan casillas pre-marcadas):
• Informado de forma que el individuo que da el consentimiento tenga información clara
sobre el tratamiento de datos personales que acepta;
• Se ha otorgado voluntariamente y es revocable en cualquier momento: se debe poder
retirar el consentimiento con la misma facilidad que se entregó; y
• No sea “condicionado”; es decir, no sea una condición para aceptar servicios/ofertas.
• Cumple con las leyes aplicables del país

3.2.3 Transparencia, limitación de finalidad y minimización

Cuando recopilamos información personal, solo obtenemos la información mínima necesaria
para la finalidad prevista para la recopilación.
Antes, o tan pronto como sea posible después de recopilar información personal, Wood
debe proporcionar el aviso de privacidad a la persona correspondiente. Un aviso de
privacidad debe contener cierta información. Wood cuenta con avisos de privacidad en su
sitio web, la página de inicio y la Página de privacidad y otras ubicaciones en donde se usen
o soliciten ciertos datos. El Equipo de Privacidad administra los avisos de privacidad de
Wood y debe ser notificado de cualquier cambio en el tratamiento de la información
personal.
La información personal solo debe usarse para la finalidad para la cual fue recopilada. Si
dicha finalidad cambia o si quiere usarla para otro propósito, entonces deberá modificarse el
aviso de privacidad aplicable.
La información personal solo se debe guardar durante el tiempo necesario para la finalidad
para la cual fue recopilada. Los avisos de privacidad describen durante cuánto tiempo se
guarda la información personal para la finalidad pertinente. Más información acerca de cómo
aplicar los periodos de retención y destrucción y de retención específicos que se establecen
en la Política de retención de datos.

3.2.4 Precisión
La información personal debe mantenerse precisa. Cuando se recopila información personal,
la responsabilidad de ocuparse de ella debe ser asignada a un propietario junto con un
proceso compresible claramente para mantener la información actualizada y precisa Por
ejemplo, por un sistema de autoservicio, ejercicios de verificación regular o dando
información a los individuos para que sepan a quién contactar si su información cambia.

3.2.5 Seguridad
La información personal debe mantenerse segura y protegida de accesos no autorizados,
pérdida accidental, daño o destrucción. Todos nosotros debemos mantenernos informados y
seguir nuestras políticas y procedimientos de seguridad que están diseñados para proteger
nuestros sistemas de TI, nuestras instalaciones y los datos que se guardan en ellas (tanto la
información confidencial como la información personal).

3.2.6 Compartir datos con terceros

El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 5 de 9
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.
 COP-PLD-100007 Rev. POLÍTICA DE PROTECCIÓN DE DATOS
2
Antes de usar proveedores externos que posean o tengan acceso a información personal en
nuestro nombre, se debe efectuar la diligencia debida para verificar que cumplen nuestros
estándares de protección de datos para información personal y que cumplen las leyes de
privacidad de datos aplicables. Esto se establece en nuestro Código de conducta de la
cadena de suministro.
La información personal no debe compartirse con ningún individuo ni organización (incluidas
otras empresas del grupo Wood, empresas conjuntas y nuestros proveedores de servicio) a
menos que se hayan implementado acuerdos contractuales apropiados o la divulgación esté
permitida de alguna forma por las leyes de protección de datos aplicables. Esto puede
preguntarse a privacy@woodplc.com o a la persona de contacto de Cadena de suministros o
de Contratos de clientes.

3.2.7 Transferencia de datos

La información personal solo puede transferirse fuera del país donde fue recopilada de
forma lícita y adecuada. Cuando se transfieren datos, deben existir acuerdos vigentes con
los terceros que recibirán o tratarán los datos. Los acuerdos pueden incluir transferencias:
◦ A un país aprobado por el organismo regulador pertinente como poseedor de leyes
adecuadas de protección de datos para proteger la información personal (una
“decisión de adecuación”);
◦ A una organización situada en los Estados Unidos que esté certificada por el
convenio de privacidad Privacy Shield (o cualquier sistema alternativo que tenga la
autorización regulatoria pertinente); o
◦ A una organización que haya firmado un acuerdo de transferencias de datos con
Wood (basado en contratos estándares aprobados).

3.2.8 Protección de datos por diseño y por defecto, registros de tratamiento

y evaluaciones de impacto de la protección de datos
Debemos mantener registros de las actividades de tratamiento que involucran información
personal. En algunos países también debemos completar Evaluaciones de impacto de la
protección de datos (DPIA, por sus siglas en inglés) en relación a nuevos sistemas, nuevas
formas de trabajo y modificaciones a los sistemas y formas de trabajo que traten información
personal en una forma que se considere de “alto riesgo”. Esto incluye cuando se recopilan
datos sensibles o cuando ocurre un proceso de toma de decisiones automatizado. El Equipo
de Privacidad opera el sistema ThinkPrivacy para el registro de tratamiento de datos
personales y para llevar a cabo las DPIA.
Todos los sistemas de gobernanza para nuevos proyectos deberían incluir la capacidad de
identificar donde se trata la información personal, por qué se está tratando y eso debería
notificarse al Equipo de Privacidad.

3.2.9 Derechos del sujeto de datos

Las personas sobre las cuales tratamos información personal tienen derecho a ejercer
ciertos derechos y a plantear ciertas peticiones con respecto a su propia información
personal. Esos derechos y la información sobre las peticiones que se pueden hacer se
explican en la Política de gestión de derechos del sujeto de datos.

3.3 Capacitación
El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 6 de 9
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.
 COP-PLD-100007 Rev. POLÍTICA DE PROTECCIÓN DE DATOS
2
Las funciones empresariales deben asegurarse de que todos los empleados de Wood y los
trabajadores de agencia entienden la aplicación de la protección de datos en relación a la
información personal con la que trabajan y sigan una capacitación sobre protección de datos
y sesiones de actualización a intervalos apropiados para asegurar que el conocimiento se
mantenga y que tanto los impulsores como el personal saliente y entrante estén al día.

3.4 Preguntas y quejas sobre la protección de datos

Para quejas de individuos sobre el tratamiento que hace Wood de su información personal,
derive la queja tan pronto como pueda a su responsable local de protección de datos, si
existe el cargo, o a privacy@woodplc.com.Las quejas apropiadas serán escaladas al
Responsable de protección de datos global de Wood.

3.5 Infracciones a la ley de protección de datos e Infracciones a la política

Una filtración de datos personales es una infracción de seguridad que lleva a la pérdida,
destrucción, acceso, alteración, divulgación no autorizada/accidental/ilegal o al acceso a
información personal transmitida, almacenada o tratada de alguna forma. Una filtración
puede ser el resultado de la pérdida de datos interna o externa. Por ejemplo, un correo
electrónico enviado a la persona equivocada o un ataque cibernético.
Cada uno de nosotros es responsable de informar las filtraciones de datos personales. Las
filtraciones relacionadas con TI deben informarse a través del procedimiento de respuesta a
filtraciones de seguridad de TI y las filtraciones de datos no relacionadas con TI deben
informarse a privacy@woodplc.com de conformidad con la Política de filtración de datos.

4 Definiciones
En este documento se usan los siguientes términos.

Término Definición
Información personal (También llamada “datos personales”) cualquier información sobre
una persona natural identificada o identificable. Una persona
identificable es aquella que puede identificarse, directa o
indirectamente, en particular por referencia a un número de
identificación, ubicación, fecha, identificadores en línea o uno o
más factores específicos de la identidad física, fisiológica,
genética, mental, económica, cultural o social de esa persona.
Algunos ejemplos de estos datos en el contexto laboral incluyen:
datos de identificación (como el nombre, dirección, fecha y lugar de
nacimiento, fotografía); información de contacto (como el número
de teléfono, correo electrónico, dirección); identificadores
nacionales (como el número de identificación, números de
identificación tributaria, número de licencia de conducir, numero de
pasaporte); educación y capacitación (antecedentes educativos,
calificación y experiencia profesional, organizaciones
profesionales, publicaciones); y estatus profesional (como cargo,
puesto, ubicación).
Ejemplos de estos datos en el contexto de un cliente o postulante

El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 7 de 9
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.
COP-PLD-100007 Rev. POLÍTICA DE PROTECCIÓN DE DATOS
2
incluye el nombre y la información de contacto en nuestras bases
de datos CRM, direcciones de correo electrónico, direcciones IP,
suscripciones a boletines y preferencias de marketing.

Tratamiento, tratar y Cualquier operación o conjunto de operaciones realizada sobre

tratado información personal, ya sea por medios automáticos o no, como la
recopilación, acceso, registro, organización, almacenamiento,
adaptación o alteración, recuperación, consulta, uso, divulgación
por transmisión, acceso remoto o ponerla a disposición de otra
forma, alineación o combinación, bloqueo, borrado o eliminación.
Esencialmente el término “tratar” cubre cualquier cosa que se
pueda hacer con la información personal.

Datos sensibles información personal que contiene información relativa a la raza u

origen étnico, opiniones políticas, creencias religiosas o filosóficas,

El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 8 de 9
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.
COP-PLD-100007 Rev. POLÍTICA DE PROTECCIÓN DE DATOS
2

Término Definición
creencias, pertenencia a un sindicado, datos genéticos, datos
biométricos (para identificar a una persona), datos de salud y datos
sobre la vida sexual o la orientación sexual de una persona.

Datos sobre Información relativa a las condenas y ofensas penales o medidas de

antecedentes penales
seguridad relacionadas.

5 Referencias

Título del documento Número del

documento
Código de conducta de Wood COP-PLD-100008
Política de gestión de derechos del sujeto de datos COP-PLD-100010
Política de seguridad de la información GIT-PLD-100002
Política de filtración de datos COP-PRO-100005
Política de retención de datos COP-PLD-100011
Código de conducta de la cadena de suministros SCM-POL-100001

6 Historial de revisiones

Número Fecha de la Resumen de los cambios

de revisión
revisión
R1 31 de julio de Emitido para comentario
2018
0 1 de agosto de Emitido para uso, reemplaza a IGS-PRO-100007 y
2018 IGS-GDS- 100001
1 23 de junio de Actualización de referencias legales no vigentes y mayor
2019 referencia a las posibles sanciones derivadas de una
infracción, se añadió referencia a contactar al Equipo de
Privacidad en lugar de Cumplimiento y se aclararon algunos
de los términos.
2 2 de julio de Actualización y modificación para explicar en más
2020 detalle los principios y las formas de trabajo
actualizadas. Modificación para asegurar la referencia
precisa a las nuevas leyes de privacidad fuera de la
UE.

El contenido es propiedad de Wood. Las copias en papel no se controlan. Esta copia era válida en Página 9 de 9
su fecha de impresión. Para obtener una copia actualizada, visite el Sistema de Gestión de Wood.