Política de Seguridad de Datos

INTRODUCCIÓN

La Presente Política de Protección de Datos establece el modo en que Conservación del Medio Ambiente ("la Empresa") DBA Meta Index maneja los datos personales de nuestros clientes, proveedores, empleados, trabajadores y otros terceros (“Personas interesadas”). Somos el controlador de todos los datos personales relacionados con las Personas involucradas y los datos personales utilizados en nuestra actividad para nuestros propios fines comerciales.

1.1. Esta política se aplica a todos los datos personales (cualquier información que identifique a una Persona interesada o información relativa a una Persona interesada que podamos identificar (directa o indirectamente) a partir de esos datos solos o en combinación con otros identificadores que poseamos o a los que podamos acceder razonablemente) que la Empresa procesa, independientemente de los medios en los que se almacenen esos datos o de si están relacionados con empleados, trabajadores, clientes, clientes o contactos de proveedores, accionistas, usuarios de la página web o cualquier otra Persona involucrada anterior o actual.
1.2. Esta política se aplica a todos los empleados, trabajadores, contratistas, trabajadores de agencias, consultores, directores, miembros y otros.
1.3. Debe leer, comprender y cumplir esta política cuando procese datos personales en nombre de la Empresa y asistir a la formación sobre sus requisitos. Esta política establece lo que esperamos de usted para que la Empresa cumpla con la legislación aplicable. Su cumplimiento de esta política es obligatorio. Cualquier incumplimiento de esta política puede dar lugar a medidas disciplinarias.
1.4. Esta política es un documento interno y no puede compartirse con terceros, clientes o reguladores sin la autorización previa del Director de Cumplimiento.
1.5. Esta política no forma parte de ningún contrato de trabajo o contrato de servicios y podemos modificarla en cualquier momento sin previo aviso.
1.6. Esta política no anula las leyes y reglamentos nacionales de privacidad de datos aplicables en los países en los que opera la Empresa.
ALCANCE

2.1. Reconocemos que el tratamiento correcto y legal de los datos personales mantendrá la confianza en la organización y permitirá el éxito de las operaciones comerciales. La protección de la confidencialidad e integridad de los datos personales es una responsabilidad fundamental que nos tomamos en serio en todo momento. La Empresa se expone a posibles multas por el incumplimiento de las disposiciones de la normativa vigente, como el RGPD y otros equivalentes nacionales.

2.2. Todos los niveles de gestión son responsables de garantizar que usted cumpla con esta Política y necesitan implementar prácticas, procesos, controles y formación adecuados para garantizar dicho cumplimiento.
2.3. Póngase en contacto con el Responsable de Cumplimiento si tiene alguna duda sobre el funcionamiento de esta política o el Reglamento de Protección de Datos vigente u otras leyes de protección de datos o si tiene alguna duda de que esta Política no se está cumpliendo o no se ha cumplido. En particular, debe ponerse siempre en contacto con el Responsable de Cumplimiento en las siguientes circunstancias:

2.3.1. si no está seguro de la base legal en la que se basa para tratar los datos personales (incluidos los intereses legítimos utilizados por la Empresa) (vea la sección 5.1 más abajo);
2.3.2. sí necesita basarse en la aprobación y/o necesita captar la aprobación explícito;
2.3.3. sí necesita redactar avisos de privacidad (vea la sección 5.3 más adelante);
2.3.4. si se ha producido una violación de datos personales (sección 10.2 más adelante);
2.3.5. sí necesita ayuda para tramitar los derechos invocados por una  Persona interesada (vea la sección 12);
2.3.6. siempre que realice una actividad de tratamiento nueva e importante, o un cambio en la misma, que pueda requerir una evaluación de Impacto sobre la Protección de Datos ("DPIA") (vea la sección 13.4 más adelante) o tenga previsto utilizar los datos personales para fines distintos de los que fueron recogidos;
2.3.7. necesita ayuda para cumplir con la legislación aplicable al llevar a cabo actividades de marketing directo (vea la sección 13.6 más abajo); o

PRINCIPIOS DE PROTECCIÓN DE DATOS PERSONALES

1. Hemos elegido y nos apegamos a los principios relacionados con el tratamiento de datos personales establecidos en el RGPD, que se exponen en las secciones 5 a 13 de esta política. Somos responsables y debemos ser capaces de demostrar el cumplimiento de estos principios.


LEGALIDAD, EQUIDAD Y TRANSPARENCIA
2.1. Legalidad y equidad

Los datos personales deben ser Procesados de forma legal, justa y transparente en relación con la Persona interesada.
2.1.2. Sólo puede recopilar, procesar y compartir datos personales de manera
justa y legal y para fines específicos. El GDPR restringe nuestras acciones
   
 relativas a los datos personales a los fines legales especificados. Estas restricciones no pretenden impedir el tratamiento, sino garantizar que tratamos los datos personales de forma justa y sin afectar negativamente a la Persona interesada.

2.1.3. El RGPD permite el tratamiento para fines específicos, algunos de los cuales se exponen a continuación:

                                   (a) el Titular de los datos ha dado su consentimiento;
(b) el tratamiento es necesario para la ejecución de un contrato con la Persona interesada;
(c) para cumplir con nuestras obligaciones legales.;
(d) para proteger los intereses vitales de la Persona interesada;
(e) para perseguir nuestros intereses legítimos para fines en los que no se anulan porque el procesamiento perjudica los intereses o los derechos y libertades fundamentales de las Personas interesadas. Los fines para los que tratamos los datos personales por intereses legítimos deben establecerse en los avisos de privacidad aplicables.

5.1.4 Debe identificar y documentar el fundamento jurídico en el que se basa cada actividad de procesamiento.
2.2. Consentimiento

2.2.1. Un Responsable del Control de Datos solo debe procesar los datos personales sobre la base de una o más de las bases legales establecidas en el GDPR, que incluyen la aprobación.
2.2.2. Una Persona aprueba el procesamiento de sus datos personales si indica claramente su acuerdo, ya sea mediante una declaración o una acción positiva para el procesamiento. La aprobación requiere una acción afirmativa, por lo que es poco probable que el silencio, las casillas marcadas previamente o la inactividad sean suficientes. Si la aprobación se da en un documento que trata otros asuntos, la aprobación debe mantenerse separada de esos otros asuntos.
2.2.3. Las Personas interesadas deben poder retirar fácilmente la aprobación para el tratamiento en cualquier momento y la retirada debe ser atendida con prontitud. Puede ser necesario renovar la aprobación si se pretende tratar los datos personales para una finalidad diferente e incompatible que no se reveló cuando la Persona interesada dio su primer consentimiento.
2.2.4. A menos que podamos basarnos en otra base jurídica de tratamiento, normalmente se requiere la aprobación explícita para el tratamiento de datos personales sensibles, para la toma de decisiones automatizada y para las transferencias de datos transfronterizas. Por lo general, nos basaremos en otra base jurídica (y no requerir la aprobación explícita) para procesar la mayoría de los tipos de datos sensibles. Cuando se requiera la aprobación explícita (por escrito), deberá emitir una notificación de consentimiento al Titular de los datos para captar la aprobación explícita.


2.2.5. Tendrá que demostrar la aprobación captado y mantener un registro de todos los consentimientos para que la Empresa pueda demostrar el cumplimiento de los requisitos de consentimiento.

2.3. Transparencia (notificación a las Personas interesadas)

2.3.1. El RGPD le exige a los Responsables del Control de los Datos que proporcionen información detallada y específica a las Personas interesadas, dependiendo de si la información se recogió directamente de las Personas interesadas o de otra parte. Dicha información debe proporcionarse a través de avisos de privacidad adecuados que deben ser concisos, transparentes, inteligibles, de fácil acceso y en un lenguaje claro y sencillo para que una Persona pueda entenderlos fácilmente.
2.3.2 Siempre que recopilemos datos personales directamente de los  Personas interesadas, incluso con fines de recursos humanos o de empleo, debemos proporcionarle a la  Persona interesada toda la información requerida por el GDPR, incluida la identidad del controlador de datos, cómo y por qué usaremos, procesaremos, divulgaremos, protegeremos y conservaremos esos datos personales a través de un aviso de privacidad que debe presentarse cuando la  Persona interesada proporciona por primera vez los datos personales.
2.3.3. Cuando los datos personales se recopilan indirectamente (por ejemplo, de un tercero o de una fuente disponible públicamente), debe proporcionarle a la Persona interesada toda la información requerida por el GDPR tan pronto como sea posible después de recopilar/recibir los datos. También debe comprobar que los datos personales fueron recopilados por el tercero de conformidad con el RGPD y sobre una base que contempla nuestra Finalidad propuesta de esos datos personales.

LIMITACIÓN DE LA FINALIDAD

3.1. Los datos personales deben recopilarse únicamente con fines específicos, explícitos y legítimos. No deben ser procesados posteriormente de ninguna manera incompatible con dichos fines.
3.2. No puede utilizar los datos personales para fines nuevos, diferentes o incompatibles con los revelados cuando se obtuvieron por primera vez, a menos que haya informado a la Persona interesada de los nuevos fines y éste haya dado su consentimiento cuando sea necesario.
MINIMIZACIÓN DE DATOS

4.1. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
4.2. Sólo puede tratar datos personales cuando el desempeño de sus funciones laborales lo requiera. No puede tratar datos personales por ningún motivo que no esté relacionado con sus funciones laborales.
4.3. Sólo puede recopilar los datos personales que necesite para realizar sus funciones laborales: no recopile datos excesivos. Asegúrese de que cualquier dato personal recopilado es adecuado y relevante para los fines previstos.
4.4. Debe asegurarse de que cuando los datos personales ya no sean necesarios para los fines especificados, se eliminen o se anonimicen de acuerdo con las normas de conservación de datos de la Empresa.
PRECISIÓN

5.1. Los datos personales deben ser exactos y, en su caso, estar actualizados. Deben corregirse o eliminarse sin demora cuando sean inexactos.
5.2. Usted se asegurará de que los datos personales que utilicemos y conservemos sean exactos, completos, se mantengan actualizados y sean pertinentes para el fin para el que los hemos recopilado. Debe comprobar la exactitud de los datos personales en el momento de su recogida y a intervalos regulares posteriormente. Debe tomar todas las medidas razonables para destruir o modificar los datos personales inexactos o desactualizados.
LIMITACIÓN DEL ALMACENAMIENTO

6.1. Los datos personales no deben conservarse en forma identificable durante más tiempo del necesario para los fines para los que se tratan los datos.
6.2. No debe conservar los datos personales en una forma que permita la identificación de la Persona interesada durante más tiempo del necesario para el propósito o los propósitos comerciales legítimos para los que los recopilamos originalmente, incluido el propósito de satisfacer cualquier requisito legal, contable o de presentación de informes.
6.3. La Empresa mantendrá políticas y procedimientos de retención para garantizar que los datos personales se eliminen después de un tiempo razonable para los fines para los que se estaban conservando, a menos que una ley requiera que dichos datos se conserven durante un tiempo mínimo.
6.4. Usted tomará todas las medidas razonables para destruir o borrar de nuestros sistemas todos los datos personales que ya no necesitemos de acuerdo con todos los calendarios y políticas de retención de registros aplicables de la Empresa. Esto incluye solicitar a terceros que eliminen dichos datos cuando sea necesario.
6.5. Usted se asegurará de que las Personas interesadas sean informadas del período durante el cual se almacenan los datos y cómo se determina ese período en cualquier aviso de privacidad que sea necesario.

SEGURIDAD, INTEGRIDAD Y CONFIDENCIALIDAD

7.1. Protección de datos personales

Los datos personales deben estar protegidos por medidas técnicas y organizativas adecuadas contra el tratamiento no autorizado o ilegal, y contra la pérdida, destrucción o daño accidentales.
7.1.2. Desarrollaremos, aplicaremos y mantendremos resguardos adecuadas a nuestro tamaño, alcance y actividad, a nuestros recursos disponibles, a la cantidad de datos personales que poseemos o mantenemos en nombre de otros y a los riesgos identificados (incluido el uso de encriptación y seudonimización, cuando sea necesario). Evaluaremos y comprobaremos periódicamente la eficacia de dichos resguardos para garantizar la seguridad de nuestro tratamiento de datos personales. Usted es responsable de proteger los datos personales que tenemos. Debe aplicar medidas de seguridad razonables y adecuadas contra el procesamiento ilegal o no autorizado de datos personales y contra la pérdida accidental o el daño de los datos personales. Debe tener especial cuidado en la protección de los datos personales sensibles contra la pérdida y el acceso, uso o divulgación no autorizados.
7.1.3. Debe seguir todos los procedimientos y tecnologías que ponemos en marcha para mantener la seguridad de todos los datos personales desde el punto de recopilación hasta el punto de destrucción. Sólo podrá transferir datos personales a terceros proveedores de servicios que acepten cumplir con las políticas y procedimientos requeridos y que se comprometan a poner en práctica las medidas adecuadas, según lo solicitado.
7.1.4. Usted debe mantener la seguridad de los datos protegiendo la confidencialidad, la integridad y la disponibilidad de los datos personales, definidos de la siguiente manera:

La confidencialidad significa que sólo pueden acceder a los datos personales las personas que tienen necesidad de conocerlos y están autorizadas a utilizarlos.
(b) La integridad significa que los datos personales son exactos y adecuados para los fines para los que se tratan.
(c) La disponibilidad significa que los usuarios autorizados pueden acceder a los datos personales cuando los necesitan para los fines autorizados.
7.1.5. Debe cumplir y no intentar eludir los resguardos administrativos, físicos y técnicos que implementamos y mantenemos de acuerdo con el GDPR y las normas pertinentes para proteger los datos personales.
7.2. Notificación de una violación de datos personales

7.2.1.    El RGPD exige a los responsables del control de los datos que notifiquen cualquier violación de los datos personales incumplimiento al regulador aplicable y, en ciertos casos, a la Persona interesada.

7.2.2. Por "violación de los datos personales" se entiende cualquier acto u omisión que comprometa la seguridad, la confidencialidad, la integridad o la disponibilidad de los datos personales o los resguardos físicos, técnicos, administrativos u organizativos que nosotros o nuestros terceros proveedores de servicios establezcamos para protegerlos. La pérdida, o el acceso, la divulgación o la adquisición no autorizada de datos personales constituye una violación de los datos personales.
7.2.3. Hemos establecido procedimientos para hacerle frente a cualquier sospecha de violación de los datos personales y notificaremos a los  Personas interesadas o a cualquier regulador aplicable cuando estemos legalmente obligados a hacerlo.
7.2.4.   Si sabe o sospecha que se ha producido una violación de datos personales, no intente investigar el asunto usted mismo. Póngase inmediatamente en contacto con el Responsable de Cumplimiento Normativo en caso de violación de datos personales. Debe conservar todas las pruebas relacionadas con la posible violación de datos personales.

    DERECHOS Y SOLICITUDES DE LA PERSONA INTERESADA

8.1. Los interesados tienen derechos en lo que respecta al tratamiento de sus datos personales. Entre ellos se encuentran los derechos a:

8.1.1. retirar la aprobación al procesamiento en cualquier momento;
8.1.2. recibir determinada información sobre las actividades de procesamiento del responsable del procesamiento;
8.1.3. solicitar el acceso a sus datos personales que poseemos;
8.1.4. impedir que utilicemos sus datos personales con fines de marketing directo;
8.1.5. pedirnos que borremos los datos personales si ya no son necesarios en relación con los fines para los que fueron recogidos o procesados o rectificar los datos inexactos o completar los datos incompletos;
8.1.6. restringir el procesamiento en circunstancias específicas;
8.1.7. impugnar el procesamiento que se haya justificado sobre la base de nuestros intereses legítimos o del interés público;
8.1.8.    oponerse a las decisiones basadas únicamente en el procesamiento automatizado, incluida la elaboración de perfiles;
8.1.9. impedir el procesamiento que pueda causar daños o perjuicios al interesado o a cualquier otra persona;
8.1.10. ser notificado de una violación de los datos personales que pueda suponer un alto riesgo para sus derechos y libertades;
8.1.11. presentar una reclamación ante la autoridad de control; y

8.1.12. en circunstancias limitadas, recibir o solicitar que sus datos personales sean transferidos a un tercero en un formato estructurado, de uso común y legible por máquina.
8.2. Debe verificar la identidad de una persona que solicite datos en virtud de cualquiera de los derechos enumerados anteriormente (no permita que terceros le persuadan para que revele datos personales sin la debida autorización).
8.3. Debe remitir de inmediato cualquier solicitud de la Persona interesada que reciba al Responsable de Cumplimiento.
RENDICIÓN DE CUENTAS

9.1. El responsable del control de los datos debe aplicar las medidas técnicas y organizativas adecuadas de manera eficaz, para garantizar el cumplimiento de los principios de protección de datos. El responsable del control es responsable del cumplimiento de los principios de protección de datos y debe poder demostrarlo.

La empresa debe disponer de los recursos y controles adecuados para garantizar y documentar el cumplimiento del RGPD, incluyendo:

designar a un ejecutivo responsable de la privacidad de los datos;
(b) aplicando la privacidad desde el diseño al procesar datos personales y completando las evaluaciones de impacto sobre la protección de datos (DPIA) cuando el procesamiento presente un alto riesgo para los derechos y libertades de las Personas interesadas;
(c) integrar la protección de datos en los documentos internos, incluida esta Política, cualquier documento relacionado o los avisos de privacidad;
(d) formarle periódicamente sobre el GDPR, las políticas y procedimientos internos, y los asuntos de protección de datos, incluyendo, por ejemplo, los derechos del Titular de los datos, la aprobación, la base legal, la DPIA y las violaciones de datos personales. La Empresa debe mantener un registro de asistencia a la formación de todas las personas que emplea y contrata; y
(e) probar regularmente las medidas de privacidad implementadas y realizar revisiones y auditorías periódicas para evaluar el cumplimiento, incluyendo el uso de los resultados de las pruebas para demostrar el esfuerzo de mejora del cumplimiento.
9.2. Mantenimiento de Registros

9.2.1. El GDPR nos obliga a mantener registros completos y precisos de todas nuestras actividades de procesamiento de datos.

9.2.2. Debe mantener y conservar registros corporativos precisos que reflejen nuestro procesamiento, incluidos los registros de los consentimientos de las Personas interesadas y los procedimientos para obtener consentimientos.
9.2.3. Estos registros deben incluir, como mínimo, el nombre y los datos de contacto del responsable del control de los datos, descripciones claras de los tipos de datos personales, los tipos de  Personas interesadas, las actividades de procesamiento, los fines del procesamiento, los terceros destinatarios de los datos personales, los lugares de almacenamiento de los datos personales, las transferencias de datos personales, el período de conservación de los datos personales y una descripción de las medidas de seguridad aplicadas. Para crear estos registros, deben crearse mapas de datos que incluyan los detalles expuestos anteriormente junto con los flujos de datos adecuados.

9.3. Formación y auditoría

9.3.1.   Estamos obligados a asegurarnos de que usted ha recibido la formación adecuada para poder cumplir con las leyes de privacidad de datos. También debemos probar regularmente nuestros sistemas y procesos para evaluar el cumplimiento.
9.3.2. Debe someterse a toda la formación obligatoria relacionada con la privacidad de los datos y asegurarse de que su equipo recibe una formación obligatoria similar.
9.3.3. Debe revisar periódicamente todos los sistemas y procesos bajo su control para asegurarse de que cumplen con esta Política y comprobar que existen los controles de gobernanza y los recursos adecuados para garantizar el uso y la protección adecuados de los datos personales.
9.4. Privacidad por diseño y DPIA

Estamos obligados a aplicar medidas de privacidad desde el diseño en el procesamiento de datos personales mediante la aplicación de medidas técnicas y organizativas adecuadas (como la seudonimización) de manera efectiva, para garantizar el cumplimiento de los principios de privacidad de datos.
9.4.2. Debe evaluar qué medidas de privacidad por diseño pueden implementarse en todos los programas/sistemas/procesos que procesan datos personales teniendo en cuenta lo siguiente:

el estado de la técnica;
(b) el costo de la aplicación;
(c) la naturaleza, el alcance, el contexto y los fines del procesamiento; y
(d) los riesgos de diversa probabilidad y gravedad para los derechos y libertades de los interesados que plantea el procesamiento.
9.4.3.    Los responsables del tratamiento de datos también deben llevar a cabo la DPIA con respecto al procesamiento de alto riesgo.
9.4.4. Deberá llevar a cabo una DPIA (y discutir sus conclusiones con el Responsable de Cumplimiento) cuando implemente programas importantes de cambio de sistema o de negocio que impliquen el procesamiento de datos personales, incluyendo:

(a) uso de nuevas tecnologías (programas, sistemas o procesos), o cambio de tecnologías (programas, sistemas o procesos);
(b)    El procesamiento automatizado, incluida la elaboración de perfiles y la toma de decisiones automática;
c) el procesamiento a gran escala de datos sensibles; y
(d) vigilancia sistemática a gran escala de una zona de acceso público.
9.4.5. Una DPIA debe incluir

una descripción del procesamiento, sus fines y los intereses legítimos del responsable del tratamiento, si procede;
(b) una evaluación de la necesidad y la proporcionalidad del procesamiento en relación con su finalidad;
(c) evaluación del riesgo para las personas; y
(d) las medidas de mitigación de riesgos aplicadas y la demostración de su cumplimiento.
9.5.    Procesamiento automatizado (incluida la elaboración de perfiles) y toma de decisiones automatizada (ADM)

9.5.1. En general, la ADM está prohibida cuando una decisión tiene un efecto legal o similar significativo sobre un individuo, a menos que:
9.5.2. Si se están procesando determinados tipos de datos sensibles, los motivos(b) o (c) no se permitirán, pero dichos datos sensibles podrán ser procesados cuando sea necesario (a menos que puedan utilizarse medios menos intrusivos) para un interés público sustancial, como la prevención del fraude.

una Persona interesada ha consentido explícitamente;
(b) el procesamiento está autorizado por la ley; o
(c) el procesamiento es necesario para la ejecución o la celebración de un contrato.
9.5.3. Si una decisión se basa únicamente en el procesamiento automatizado (incluida la elaboración de perfiles), las Personas interesadas deben ser informadas, cuando se les comunique por primera vez, de su derecho a oponerse. Este derecho debe señalarse explícitamente y presentarse de forma clara y separada de otra información. Además, deben establecerse medidas adecuadas para salvaguardar los derechos y libertades del sujeto de los datos y sus intereses legítimos.
9.5.4. También debemos informarle a la Persona interesada de la lógica implicada en la toma de decisiones o la elaboración de perfiles, el significado y las consecuencias previstas y darle a la Persona interesada, el derecho a solicitar la intervención humana, expresar su punto de vista o impugnar la decisión.
9.5.5. Debe realizarse una DPIA antes de emprender cualquier procesamiento automatizado (incluida la elaboración de perfiles) o actividades de ADM.
9.6. Marketing Directo

9.6.1. Estamos sujetos a ciertas normas y leyes de privacidad cuando comercializamos con nuestros clientes.
9.6.2. Por ejemplo, se requiere la aprobación previa de la Persona interesada para el marketing directo electrónico (por ejemplo, por correo electrónico, texto o llamadas automatizadas). La excepción limitada para los clientes existentes conocida como "soft opt in" ("inclusión suave") les permite a las organizaciones enviar textos o correos electrónicos de marketing si han obtenido los datos de contacto en el curso de una venta a esa persona, están comercializando productos o servicios similares, y dieron a la persona la oportunidad de excluirse del marketing cuando recogieron los detalles por primera vez y en cada mensaje subsiguiente.
9.6.3. El derecho a oponerse a la mercadotecnia directa debe ofrecerse explícitamente a la Persona interesada de manera inteligible, de modo que se distinga claramente de otra información..
9.6.4. La objeción de la Persona interesada al marketing directo debe ser atendida con prontitud. Si un cliente opta por no participar en cualquier momento, sus datos deben eliminarse lo antes posible. La eliminación implica conservar la información suficiente para garantizar que se respeten las preferencias de marketing en el futuro.
9.7. Compartir datos personales

Por lo general, no se nos permite compartir datos personales con terceros a menos que se hayan establecido ciertas garantías y acuerdos contractuales.
9.7.2. Sólo se pueden compartir los datos personales que tenemos con otro empleado, agente o representante de nuestro grupo (que incluye a nuestras filiales y a nuestro máximo responsable junto con sus filiales) si el receptor tiene una necesidad de conocer la información relacionada con su trabajo y la transferencia cumple con las restricciones de transferencia internacional aplicables.
9.7.3. Sólo puede compartir los datos personales que tenemos con terceros, como nuestros proveedores de servicios, si:

tienen la necesidad de conocer la información a fines de prestar los servicios contratados;
(b) compartir los datos personales cumple con el Aviso de Privacidad proporcionado a la Persona interesada y, si se requiere, se ha obtenido la aprobación de la Persona interesada;
(c) el tercero ha aceptado cumplir las normas, políticas y procedimientos de seguridad de los datos exigidos y ha establecido las medidas de seguridad adecuadas;
(d) la transferencia cumple con cualquier restricción de transferencia internacional que sea aplicable; y
(e) se ha obtenido un contrato escrito completamente ejecutado que contiene cláusulas de terceros aprobadas por el GDPR.