Política global de privacidad

Dado que el mundo que nos rodea está cada vez más interconectado y depende cada vez más de la tecnología, la proliferación de datos —incluida información personal de cada uno de nosotros— es un tema que suscita un interés cada vez mayor. Esperamos que las organizaciones protejan nuestra información personal y la utilicen y compartan de un modo justo y ético. Nuestros clientes no merecen menos de nosotros. Además de esta responsabilidad hacia nuestros clientes, también tenemos obligaciones reglamentarias que cumplir y cuya observancia salvaguarda la reputación y la rentabilidad de nuestro negocio.

Al trabajar en IRI, podría entrar en contacto con la información personal de nuestros empleados o clientes. Con el fin de proteger la confianza que se ha depositado en nosotros, así como para velar por que en todo momento demos cumplimiento a nuestras obligaciones, deberá seguir nuestros procedimientos, políticas y normas durante todas las fases de gestión de la información.

Tener debidamente en cuenta la información que se recoge en este documento y las normas y los procedimientos subordinados le ayudará a cumplir sus responsabilidades como empleado.

Las preguntas sobre el contenido de este documento pueden dirigirse a los contactos que se enumeran a continuación. También pueden plantearse consultas de carácter general, que habrán de dirigirse al buzón de privacidad de IRI a través de la dirección Privacy@IRIworldwide.com

Departamento Jurídico Vicepresidente Ejecutivo, Responsable del Departamento Jurídico y Director de Cumplimiento	+1 312-474-8355	General.Counsel@IRIWorldWide.com
Delegado de Protección de Datos/Privacidad Director de Privacidad y Delegado de Protección de Datos Global	+1 312-474-2662	Privacy@IRIworldwide.com
Departamento de Seguridad de la Información	+1 312-474-2865	InfoSecTeam@IRIWorldWide.com

Esta Política de privacidad resulta de aplicación a IRI, incluidos todos sus departamentos, sus unidades de negocio, su Personal, terceros y demás proveedores de servicios (no empleados) que dispongan de un acuerdo contractual con IRI y traten Datos personales. Cualquier excepción a esta Política de privacidad deberá contar con la autorización por escrito del Departamento de Protección de Datos de IRI y revestir justificación comercial adecuada, debiéndose aceptar los riesgos correspondientes y adoptar controles compensatorios. El Departamento de Protección de Datos valorará las excepciones que se detecten en el marco de evaluaciones de riesgos o que se comuniquen de otro modo a través de asociados, en consultas con el Departamento Jurídico, a fin de autorizar la excepción de que se trate.

N.	Política	Declaración de política
1.0	Declaración de misión de privacidad	En este documento interno, IRI identifica las responsabilidades del programa de privacidad y todas las actividades relevantes.
2.0	Código de conducta global	El Código de conducta global de IRI sienta las pautas para que las operaciones que se lleven a cabo a escala interna y con nuestros clientes sean éticas y honestas.
3.0	Política de seguridad de la información	IRI define un modelo operativo con funciones y responsabilidades concretas para definir la gobernanza con respecto a su programa de seguridad de la información. IRI delimita claramente las responsabilidades relativas a la gestión, la explotación, la ejecución y el seguimiento del programa de seguridad de la información, en línea con obligaciones reglamentarias y compromisos comerciales.

Esta Política relativa al RGPD (la “Política RGPD”) de IRI está diseñada para asegurar que las actividades de Information Resources, Inc. y sus sociedades dependientes (conjuntamente, “IRI” o la “Sociedad”) cubiertas por el RGPD no solo cumplan la ley, sino también los altos estándares de IRI, que a menudo van más allá de lo legalmente requerido. La Política RGPD (que se aplica a todas las actividades de IRI dentro del alcance del RGPD, como se explica posteriormente) forma parte de la Política global de privacidad de datos (que se aplica globalmente a IRI, incluidas, entre otras, las actividades dentro del alcance del RGPD).

El RGPD requiere el cumplimiento estricto de algunas reglas y acciones subjetivas basadas en riesgo; puede haber más de una forma de cumplir lo establecido en el RGPD y satisfacer los altos estándares de IRI. Como empleado o contratista de IRI, debe seguir la Política RGPD al tratar Datos personales. Si no está seguro al respecto, hable con el Departamento Jurídico de IRI, el Departamento de Protección de Datos de IRI o el Delegado de Protección de Datos.

El RGPD se ocupa del tratamiento de los Datos personales, tal como esos términos se definen posteriormente.

El RGPD se aplica a todas las empresas constituidas en el EEE. Esto significa que se aplicará a todas las actividades de una empresa de IRI registrada en un país del EEE (es decir, cualquier país de la Unión Europea, además de Noruega, Islandia y Liechtenstein) y también a las actividades de esa empresa que se lleven a cabo en el extranjero.

El Reino Unido continuará aplicando el RGPD a través de sus leyes nacionales después de que haya abandonado la Unión Europea (e incluso si el Reino Unido no sigue siendo parte del EEE).

El RGPD también se aplica a las empresas de IRI que no estén ubicadas en el EEE en dos escenarios principales:

• Cuando una empresa de IRI no perteneciente al EEE presta servicios a un cliente en el EEE que implica el tratamiento de Datos personales. El RGPD también se aplicará a la prestación intragrupal de servicios en el EEE dentro del grupo IRI (por ejemplo, cuando una función de recursos humanos está centralizada en Estados Unidos y una empresa del EEE recibe servicios de esa función centralizada).
• Cuando una empresa de IRI no perteneciente al EEE está “supervisando” el comportamiento de las personas en el EEE. Por ejemplo, cuando un equipo de un departamento de tecnologías de la información en Estados Unidos está supervisando el uso de recursos informáticos o de dispositivos de comunicaciones de IRI por parte de empleados ubicados en el EEE. Esto también se aplicará en el contexto de los sitios web, por ejemplo, cuando IRI está administrando un sitio web dirigido a clientes en el EEE, y ese sitio web utiliza cookies u otras tecnologías para rastrear el comportamiento de los visitantes del sitio.

RESPONSABLE/ENCARGADO DEL TRATAMIENTO

Al tratar datos personales, IRI puede actuar como “responsable” o “encargado” del tratamiento de conformidad con el RGPD.

Un responsable del tratamiento es una organización que determina (es decir, toma decisiones sobre) cómo y por qué se tratan los datos personales. IRI será un responsable del tratamiento en relación con los datos personales de sus empleados y candidatos de contratación, pero también en relación con sus clientes (es decir, contactos comerciales individuales de clientes corporativos de IRI) cuando trata sus datos personales, por ejemplo, en cuestiones de CRM, mercadotecnia, facturación y sitio web.

Un encargado del tratamiento es una organización que actúa según las instrucciones de un responsable del tratamiento para llevar a cabo el tratamiento en su nombre. En general, IRI actuará como un encargado del tratamiento en la prestación de servicios a sus clientes, en relación con lo cual puede ser necesario que aloje, analice o transfiera datos personales de los miembros del programa de fidelización de sus clientes, consumidores, etc. IRI también utilizará sus propios encargados del tratamiento. Esto puede llevarse a cabo para tratar datos personales con respecto a los cuales IRI sea el responsable del tratamiento (por ejemplo, cuando IRI designa un procesador de nóminas externo o un proveedor de automatización de mercadotecnia). Sin embargo, también puede ser el caso cuando se tratan datos de clientes al prestarles servicios, es decir, cuando IRI subcontrata parte de un contrato de cliente con un tercero. En estas circunstancias, IRI será el encargado del tratamiento principal y el tercero será un “subencargado” del tratamiento.

Nota: Todas las relaciones entre un responsable y un encargado del tratamiento (o entre un encargado y un subencargado del tratamiento) deben regirse por un acuerdo escrito que incorpore ciertas condiciones obligatorias. Es importante destacar que esto incluye contratos de cliente en los que IRI pueda tratar datos personales de clientes. Debe ponerse en contacto con el Delegado de Protección de Datos a través de la dirección Privacy@IRIworldwide.com para obtener más información y para conocer las condiciones contractuales apropiadas.

AVISO

IRI se compromete a entregar un aviso siempre que tratemos datos personales de una persona, incluso en relación con nuestros clientes, empleados y candidatos de contratación. Cuando sea posible, se proporcionará un enlace de consulta directo al aviso/política de privacidad en el momento que entreguemos el aviso y el usuario deba tomar una decisión.

Por ejemplo:

• Cuando sea posible siempre que se recopilen datos del consumidor; y
• Cuando proceda, antes de obtener el consentimiento.

FUNDAMENTOS LEGALES

Todo el tratamiento de datos personales debe basarse en un “fundamento legal” específico (en ocasiones denominado “base legal” o “condición” para el tratamiento). IRI se compromete a identificar un fundamento legal para todas sus actividades de tratamiento y a comunicarlo en sus avisos de privacidad.

Los seis motivos legales disponibles se enumeran en el artículo 6 (1) del RGPD. Estos son:

1. cuando el tratamiento sea necesario para formalizar un contrato (por ejemplo, pagar el salario de un empleado de acuerdo con su contrato laboral);
2. cuando sea necesario cumplir una obligación legal (por ejemplo, divulgar información del empleado a las autoridades fiscales o elaborar nuestros informes de salud y seguridad);
3. si tiene un “interés legítimo” en el tratamiento y esto no perjudica los derechos e intereses de una persona (por ejemplo, hacer un seguimiento de los visitantes de los sitios web de IRI o mantener registros de nuestros clientes en nuestros sistemas de CRM);
4. si ha obtenido el consentimiento del interesado (véase Sección D posterior);
5. cuando sea necesario proteger la vida de una persona; o
6. cuando sea necesario para llevar a cabo una tarea pública/oficial (no relevante para IRI como empresa privada).

Todo el tratamiento de categorías especiales de datos personales debe justificarse por referencia a uno de los fundamentos especiales del tratamiento, como se establece en el artículo 9 (2) del RGPD.

Si bien existen nueve motivos especiales para tratar categorías especiales de datos personales, en general, son más restrictivos y están adaptados a situaciones específicas. Algunos de los fundamentos que presentan una mayor probabilidad de que se apliquen a IRI son:

• se ha obtenido el consentimiento explícito del interesado, excepto cuando el consentimiento esté excluido por la legislación aplicable.
• O el tratamiento es necesario conforme a:
  • una obligación bajo la legislación laboral;
  • razones de interés público esencial (que permite diferentes actividades bajo la ley local, por ejemplo, ejercicios de supervisión de igualdad de oportunidades en ciertos países); o
  • acciones judiciales u obtener asesoramiento legal.

Nota: El uso del consentimiento (ya sea normalizado según el art. 6 o explícito en virtud del art. 9) rara vez será apropiado o válido en un contexto laboral, es decir, no deberíamos buscar el consentimiento de los empleados para el tratamiento de los datos personales.

Los datos personales relacionados con condenas e infracciones penales solo pueden tratarse cuando existe una autorización expresa en virtud de la legislación de la Unión Europea o local (es decir, Estado miembro). Por lo tanto, la política de IRI es supervisar minuciosamente las situaciones en las que puedan tratarse datos de condenas e infracciones penales (por ejemplo, contratación) para garantizar el cumplimiento de la legislación aplicable.

CONSENTIMIENTO

Como uno de los fundamentos legales para el tratamiento, el consentimiento afirmativo (un acto afirmativo para significar un acuerdo) es necesario para el tratamiento de datos personales en determinadas circunstancias. Cuando sea necesario recabar el consentimiento, IRI se compromete a garantizar que el interesado pueda retirar el consentimiento en cualquier momento. El aviso y el consentimiento deben ser claros y visibles, y el interesado debe poder retirar el consentimiento tan fácilmente como lo otorgó.

IRI se esforzará en proporcionar un enlace claro a la Política de privacidad para cada oportunidad de consentimiento.

MERCADOTECNIA DIRECTA: REQUISITOS DE AVISO Y CONSENTIMIENTO

Los interesados tienen derecho a evitar la mercadotecnia directa en cualquier momento. IRI cancelará la suscripción de datos de mercadotecnia directa inmediatamente después de una solicitud. Para cada proceso de consentimiento, IRI se esforzará en proporcionar un enlace claro a la política de privacidad (que brinde la oportunidad de una revisión previa al consentimiento). IRI se esforzará para que el aviso y el consentimiento sean claros y visibles, y que sea necesario un acto afirmativo para expresar su consentimiento.

COOKIES: REQUISITOS DE AVISO Y CONSENTIMIENTO PARA TODOS LOS CANALES DIGITALES

IRI proporcionará avisos de cookies (banner) si utiliza tecnologías de seguimiento (por ejemplo, balizas web, cookies esenciales y no esenciales, etc.).

DERECHO A LA OPOSICIÓN AL TRATAMIENTO (EXCLUSIÓN)

Las personas pueden oponerse al tratamiento de datos personales en función de fundamentos de “intereses legítimos” en cualquier momento. Si se invoca, IRI seguirá sus pautas internas para cumplir las solicitudes de los interesados. Un usuario puede ejercer sus derechos a través de numerosos métodos.

DERECHO A LA SUPRESIÓN)

IRI se compromete a suprimir los datos personales cuando se solicite si la solicitud cumple con el RGPD. IRI se esforzará en reconocer y procesar las solicitudes con prontitud y atender las solicitudes sin demoras indebidas.

IRI ha adoptado procedimientos operativos y técnicos internos sobre cómo tratar las solicitudes de los usuarios que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de IRI a través de la dirección Privacy@IRIworldwide.com.

DERECHO A LA LIMITACIÓN DEL TRATAMIENTO DE DATO

IRI se compromete a respetar el derecho del interesado a limitar el tratamiento en estas circunstancias:

• El interesado impugna la exactitud.
• El tratamiento es ilícito y el interesado solicita la limitación de su uso solo a usos lícitos.
• El interesado necesita la información que tenemos para la formulación, el ejercicio o la defensa de reclamaciones, pero quiere que su uso se limite de otra manera.

Si necesitamos tiempo para decidir si tenemos fundamentos legítimos para anular la solicitud de limitación de uso, entonces debemos suspender el tratamiento hasta que tomemos una determinación. IRI ha adoptado procedimientos operativos y técnicos internos sobre cómo tratar las solicitudes de los usuarios que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de IRI a través de la dirección Privacy@IRIworldwide.com

DERECHO AL ACCESO: Solicitudes de acceso del interesado

IRI se asegurará de que los consumidores tengan derecho a obtener la confirmación del tratamiento que hacemos de sus datos y a acceder a sus datos personales. IRI ha adoptado procedimientos operativos y técnicos internos sobre cómo tratar la solicitud de acceso del interesado que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de IRI a través de la dirección Privacy@IRIworldwide.com

DERECHO A LA RECTIFICACIÓN

Los consumidores tienen el derecho a rectificar (corregir) los datos personales inexactos. Los consumidores tienen derecho a que se completen datos personales incompletos, incluso mediante la provisión de una declaración complementaria.

IRI ha adoptado procedimientos operativos internos sobre cómo tratar las solicitudes de rectificación que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de IRI a través de la dirección Privacy@IRIworldwide.com

DERECHO A LA PORTABILIDAD DE DATOS

IRI se compromete a respetar el derecho a la portabilidad de datos de un interesado. El derecho a la portabilidad de datos solo se aplica a los Datos personales que un usuario nos ha “proporcionado”. Esto significa que:

• Datos proporcionados de manera activa y consciente por el consumidor (por ejemplo, dirección postal, nombre de usuario, edad, etc.);
• Datos observados que adquirimos en virtud del uso de nuestros servicios por parte del consumidor.
  Por ejemplo, pueden incluir el historial de búsqueda de una persona, datos de tráfico y datos de ubicación.
• La información proveniente de agencias de crédito no está sujeta a la portabilidad de datos.
• Cuando el tratamiento se basa en el consentimiento del usuario o para la ejecución de un contrato (véase Sección C anterior); y
• Cuando el tratamiento se lleva a cabo por medios automatizados.

IRI ha adoptado procedimientos operativos y técnicos internos sobre cómo tratar las solicitudes de portabilidad que deben seguirse con atención. Si tiene alguna pregunta, póngase en contacto con el Delegado de Protección de Datos de IRI a través de la dirección Privacy@IRIworldwide.com

TRANSFERENCIA DE DATOS PERSONALES AL EXTRANJERO

IRI no transferirá datos personales que se originen en el EEE fuera del EEE, a menos que (i) pueda garantizar un nivel adecuado de protección de los derechos y libertades de los interesados; o (ii) exista una derogación específica.

Las transferencias pueden no ser obvias. Por ejemplo, si un proveedor ubicado en Alemania subcontrata parte de su tratamiento a un proveedor subcontratado en India, habrá una transferencia de datos personales fuera del EEE. Esto está prohibido a menos que se cumplan ciertas condiciones. Muchos de nuestros contratos de cliente implicarán transferencias internacionales de datos, por ejemplo, cuando prestamos servicios a un cliente italiano utilizando operaciones de tratamiento con sede en Estados Unidos

En relación con las transferencias de datos personales a IRI en Estados Unidos, IRI puede confiar en su certificación de escudo de privacidad para garantizar un nivel adecuado de protección a los interesados del EEE.

i los datos personales van a transferirse a otro país fuera del EEE, consulte con el Delegado de Protección de Datos de IRI a través de la dirección Privacy@IRIworldwide.com quien le aconsejará sobre las salvaguardas aplicables. Esto podría incluir términos contractuales especiales (las “cláusulas contractuales tipo”) o una derogación específica del contexto (por ejemplo, una transferencia necesaria en relación con reclamaciones).

EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS

Si un nuevo proyecto o modo de trabajo, o un cambio propuesto a un proyecto o modo de trabajo existentes, implicara un tratamiento intensivo o de mayor riesgo de datos personales o de categorías especiales de datos, IRI llevará a cabo una evaluación de impacto de protección de datos.

Una evaluación de impacto de protección de datos es importante para identificar y mitigar los riesgos de privacidad antes de que se inicie un proyecto, y para aplicar los principios de “privacidad por diseño”, donde los proyectos se construyen teniendo en cuenta el cumplimiento de la privacidad. Esto puede ahorrar tiempo y recursos al evitar la intervención en un momento posterior. Consulte al Delegado de Protección de Datos de IRI para obtener más información.

TOMA DE DECISIONES AUTOMATIZADAS

Se aplican ciertas restricciones a la toma de decisiones importantes sobre personas basadas enteramente en procesos automatizados, es decir, sin intervención humana. Un ejemplo podría ser que los candidatos de contratación se excluyan automáticamente si no cumplen ciertos criterios o no superan una prueba psicométrica. En estas circunstancias, es posible que tengamos que (i) proporcionar un aviso a los interesados informándoles de que tienen derecho a impugnar la decisión automatizada y requerir la intervención humana; o (ii) agregar la intervención humana en el proceso para evitar la toma de decisiones automatizada. Consulte al Delegado de Protección de Datos de IRI para obtener más información.

POLÍTICA DE PRIVACIDAD

IRI se compromete a proporcionar acceso a esta Política de privacidad a los usuarios cuyos Datos personales se tratarán. IRI se reserva el derecho a modificar y actualizar esta Política de privacidad en cualquier momento.

Anexo A - Definiciones del RGPD

Término clave	Definición
DATOS PERSONALES	Cualquier información relacionada con una persona física identificada o identificable en la Unión Europea, incluidos datos vinculados y/o datos enlazables y cualquier combinación de estos. Estos datos vinculados o enlazables a un alias, identificador de dispositivo o cualquier identificador similar que distingue a un usuario. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante (1) un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización o un identificador en línea o (2) uno o varios elementos propios de la identidad física, psicológica, genética, psíquica, económica, cultural o social de dicha persona. Importante: los datos identificables aumentan el riesgo de tratamiento. La supresión de información personal identificable de un conjunto de datos podría excluirlos del ámbito de aplicación. Por ejemplo, los datos en el punto de venta se encuentran fuera de él. Nota: IRI considera que los números de tarjetas de fidelidad convertidos en token, cifrados con hash o encriptados son Datos personales seudonimizados cubiertos por el RGPD.
CATEGORÍAS ESPECIALES DE DATOS	Datos personales que revelan origen racial o étnico, creencia religiosa o filosófica o afiliación sindical, datos genéticos y datos biométricos utilizados para identificar de manera única a una persona, datos de salud, información relacionada con la vida sexual u orientación sexual de una persona.
TRATAMIENTO	El término Tratamiento es muy amplio. Se refiere, básicamente, a cualquier acción que se lleve a cabo sobre datos personales o con ellos (por ejemplo, su mera recogida, su almacenamiento y su supresión). Es posible que el RGPD resulte de aplicación siempre que IRI lleve a cabo cualquier actuación que tenga que ver con Datos personales o los afecte.
RESPONSABLE DEL TRATAMIENTO	IRI será el Responsable del tratamiento cuando IRI determine el tipo de Datos personales que se recogen, controle cómo tratarlos y determine su uso. Por ejemplo, IRI será el Responsable del tratamiento cuando trate Datos personales de interesados que sean miembros de un panel o un estudio de IRI que IRI gestione directamente en su propio beneficio, cuando tratemos Datos personales recogidos de un sitio web público de IRI, cuando participemos en actividades de mercadotecnia en beneficio de IRI y en la explotación de nuestro negocio (datos de recursos humanos).
ENCARGADO DEL TRATAMIENTO	IRI será el Encargado del tratamiento cuando IRI preste servicios de tratamiento de datos a un Responsable del tratamiento (en general, servicios relacionados con tarjetas de fidelidad de IRI, gestión de relaciones con clientes y comercialización por cuenta de un cliente o en beneficio de este) e IRI carezca de control último sobre los Datos personales que se recogen y cómo se utilizan. Cuando IRI sea un Encargado del tratamiento, trata los datos en nombre del cliente y no tiene derecho a tratar los datos más allá de las instrucciones del cliente. Por ejemplo, IRI será el Encargado del tratamiento cuando trate Datos personales de consumidores que sean miembros de un panel o un estudio de IRI que IRI realice en nombre de un cliente, cuando tratemos números de tarjetas de fidelidad encriptados para un cliente o cuando participemos en actividades de mercadotecnia directa para un cliente como parte de un contrato de cliente.
DERECHOS DE LOS INTERESADOS	El conjunto de derechos otorgados a las personas en ciertas jurisdicciones para solicitar información sobre los Datos personales recopilados o almacenados por IRI y para poder elegir o controlar cómo IRI usa esos datos. Estos derechos pueden incluir: El derecho a obtener información sobre las actividades de tratamiento de datos que suceden en IRI El derecho a obtener una copia de todos los datos almacenados o tratados por IRI El derecho a que los Datos personales sean purgados, corregidos o portados El derecho a limitar o bloquear el tratamiento El derecho a retirar libremente el consentimiento
Personal	Todos los empleados, contratistas, otros compañeros y personal temporal de IRI.

La entidad de IRI responsable de su información personal y, por tanto, la responsable de tratamiento será la empresa que recoja originalmente la información a través de usted o acerca de usted. Esto a menudo será evidente por el contexto, como, por ejemplo, si usted representa a un cliente de IRI y está acostumbrado a tratar con nuestra filial local en (por ejemplo) el Reino Unido o Italia. Esto también puede explicarse en avisos por separado disponibles cuando esa entidad de IRI recoja su información personal por primera vez, como, por ejemplo, cuando usted o la empresa en la que trabaja nos contrata para prestar un servicio.

Puede obtener más información acerca de IRI en www.iriworldwide.com o poniéndose en contacto con nosotros utilizando los datos que figuran en la sección de contacto.

En esta sección puede encontrar más información sobre

• los tipos de información personal que recogemos
• cuándo recogemos la información personal
• cómo usamos la información personal
• la base jurídica para usar la información personal

Recogemos información sobre usted si:

• usa nuestros sitios web;
• hace negocios con nosotros como representante de uno de nuestros clientes o proveedores;
• solicita un puesto de trabajo en IRI, en cuyo caso, debe consultar nuestros avisos de privacidad aparte para aspirantes;
• se pone en contacto con nosotros con motivo de cualquier forma de consulta o reclamación;
• visita una oficina o un centro de IRI;
• se suscribe a nuestras comunicaciones comerciales; asiste a un evento de IRI; o
• trabaja en nuestra empresa como empleado o contratista independiente.

También tratamos información personal en nombre de nuestros clientes cuando les prestamos nuestros servicios. Al hacerlo, actuamos como un “controlador de datos”. Actuamos igualmente como “procesador de datos” según las leyes de protección de datos relevantes, cuando recibimos información suya a través de nuestro cliente (o tercero potencial) que será el correspondiente “responsable del control de datos”.
Si tiene dudas o preguntas sobre el tratamiento de su información personal en el contexto de los servicios de IRI, debe ponerse en contacto con nuestro cliente. Tenga en cuenta que, si se pone en contacto con nosotros directamente, es posible que necesitemos comunicar su solicitud al cliente correspondiente.

Dependiendo del contexto en el que interactuemos con usted, es probable que la información que recojamos incluya:

• su nombre;
• sus datos de contacto;
• información relativa a su relación laboral con IRI;
• datos de perfil/inicio de sesión;
• sus preferencias de mercadotecnia;
• imágenes de CCTV o datos de identificación (por ejemplo, libro de registro de visitas) que puedan capturarse si visita una oficina o un centro de IRI;
• cualquier otra información personal que proporcione en la correspondencia que mantiene con nosotros; por ejemplo, cuando esto sea relevante para una reclamación o consulta.

Mediante el uso que hace de nuestros sitios web, también recogeremos información como su dirección IP, información generada por el navegador (tipo de navegador, sistema operativo) o información sobre su sesión de navegación. No utilizamos esta información para identificarlo como persona física, sino para adaptar o mejorar su experiencia de navegación o, en conjunto con los datos de otros usuarios, con fines estadísticos.

Su información personal se utilizará con los fines enumerados en la tabla que figura abajo. Solo recogeremos, usaremos y compartiremos su información personal cuando estemos seguros de que tenemos una base jurídica adecuada para hacerlo. También hemos descrito en la tabla las bases jurídicas de las que dependemos. En el marco de nuestra relación comercial, debe facilitarnos solo los datos personales necesarios para suscribir o desarrollar una relación comercial o que, por ley, debamos recoger. Sin estos datos, por lo general, tendremos que declinar suscribir contratos o ejecutar órdenes de pedido o no podremos cumplir contratos vigentes, pudiéndonos vernos obligados a resolverlos. La base jurídica que adoptamos en cada caso afectará a los derechos que usted tiene en relación con su información personal (véase la sección que figura abajo para obtener más información):

Objetivo	Base jurídica
Comercializar nuestros productos y servicios	Interés legítimo en ponerse en contacto con clientes existentes y potenciales para promocionar nuestros productos y servicios; o (cuando lo requiera la ley) obtener consentimiento.
Interactuar con usted en eventos.	Interés legítimo en interactuar con contactos comerciales y promocionar nuestros productos y servicios.
Desarrollar actividades comerciales con nuestros socios y proveedores (por ejemplo, mantener registros de gestión de relaciones con clientes, ponernos en contacto con usted sobre el negocio que mantiene con IRI, facturación).	Interés legítimo en ponernos en contacto con nuestros socios y proveedores; o en cumplimiento de una obligación legal.
Resolver consultas y reclamaciones de los clientes.	Interés legítimo en resolver consultas y reclamaciones; o en cumplimiento de una obligación legal.
Brindarle acceso a todos los apartados de nuestros sitios web, personalizar su experiencia en nuestros sitios web y, en última instancia, mejorar la funcionalidad de los sitios web en beneficio de todos los usuarios.	Interés legítimo en proporcionar un sitio web mejorado y fácil de usar para los clientes comprendiendo cómo se utiliza nuestro sitio web.
Gestionar la contratación.	Interés legítimo en seleccionar candidatos adecuados y consentimiento directamente del aspirante para retener datos para oportunidades futuras (y, en su caso, el tratamiento necesario para decisiones de contratación). Consulte nuestros avisos de privacidad aparte para aspirantes.
Proteger a nuestros empleados y garantizar la seguridad de nuestros centros.	Interés legítimo en proteger a nuestros empleados y prevenir los delitos; o en cumplimiento de una obligación legal
Tratar números de tarjetas de fidelización, datos de operaciones de fidelización y datos personales de encuestados cifrados con hash o pseudonimizados por cuenta de nuestros clientes en calidad de encargado del tratamiento.	Cumplimiento de un contrato con nuestros clientes y consentimiento obtenido por que nuestros clientes hagan las veces de responsables del tratamiento.

En esta sección, puede obtener más información acerca de cómo compartimos la información personal:

• dentro de IRI;/li>
• con terceros que nos ayudan a ofrecer nuestros productos y servicios; y/li>
• nuestros reguladores; y otros terceros

Compartimos su información de la manera y con los fines que se describen a continuación:

• dentro de IRI, cuando dicha comunicación sea necesaria para prestar nuestros servicios a nuestros clientes o gestionar nuestro negocio;
• con terceros que ayudan a gestionar nuestro negocio y a ofrecer servicios. Estos terceros han aceptado limitaciones de confidencialidad y usan cualquier información personal que compartimos con ellos o que recogen en nuestro nombre con el único fin de prestarnos el servicio contratado con nosotros. Entre estos se incluyen proveedores de servicios informáticos que nos ayudan a administrar nuestros sistemas informáticos y de back office, proveedores de automatización de mercadotecnia y compañías de eventos;
• con nuestros reguladores, como las autoridades de control encargadas de la protección de datos, para cumplir todas las leyes, regulaciones y normas aplicables, y las solicitudes de las fuerzas y cuerpos de seguridad, organismos reguladores y otras agencias gubernamentales.
• podemos compartir información no personal en forma agregada y estadística relativa a los visitantes de nuestro sitio web, patrones de tráfico y uso del sitio web con nuestros socios, filiales o anunciantes.
• Si, en el futuro, vendemos o transferimos una parte o la totalidad de nuestro negocio o activos a un tercero, podemos comunicar información a un comprador potencial o real de nuestro negocio o activos.

En esta sección puede encontrar más información sobre

• cómo usamos la información personal para informarle puntualmente sobre nuestros productos y servicios.
• cómo puede gestionar sus preferencias de mercadotecnia.

Podemos utilizar información personal para darle a conocer productos y servicios de IRI que, en nuestra opinión, le pueden interesar. Podemos comunicarnos con usted por correo electrónico, correo postal, teléfono u otros canales de comunicación que, en nuestra opinión, puede encontrar útiles. En todos los casos, respetaremos sus preferencias sobre cómo desea que gestionemos las actividades de mercadotecnia con usted.

Para proteger los derechos de privacidad y garantizar que controle cómo gestionamos las actividades de mercadotecnia con usted:

• tomaremos medidas para limitar la mercadotecnia directa a un nivel razonable y proporcionado, y solo le enviaremos comunicaciones que, en nuestra opinión, puedan ser de interés o relevantes para usted;
• puede solicitar que detengamos la mercadotecnia directa en cualquier momento; puede solicitar que dejemos de enviar correos electrónicos de mercadotecnia a través del enlace de “cancelar suscripción” que aparece en todos los mensajes de mercadotecnia que le enviamos por correo electrónico. También puede ponerse en contacto con nosotros a través de la dirección de correo electrónico Privacy@IRIworldwide.com. Especifique si desea que detengamos todas las formas de mercadotecnia o solo una clase particular (por ejemplo, correo electrónico); y
• puede cambiar la forma en que su navegador gestiona las cookies, que pueden usarse para mostrar publicidad en línea conforme a los ajustes de su navegador.
• Le recomendamos que revise regularmente los avisos de privacidad y los ajustes de preferencias disponibles en cualquier plataforma de medios sociales, así como las preferencias de la cuenta que mantiene con IRI.

En esta sección puede encontrar más información sobre:

• cómo operamos como empresa global y transferimos datos internacionalmente.
• los acuerdos que hemos establecido para proteger su información personal si la transferimos al extranjero.

IRI opera a escala global. En consecuencia, su información personal puede ser transferida y conservada en países ajenos a la UE bajo leyes de protección de datos relevantes, incluyendo países en particular que están sujetas a diferentes normas de protección de datos. IRI tomará las medidas adecuadas para garantizar que las transferencias de información personal cumplen las leyes aplicables y se administran cuidadosamente para proteger sus derechos de privacidad e intereses. Asimismo, nuestra empresa velará por que las transferencias se limiten a países reconocidos por proporcionar un nivel adecuado de protección legal o con respecto a los cuales tengamos garantías de que existen acuerdos alternativos para proteger sus derechos de privacidad.
A tal fin:

• las transferencias a IRI en Estados Unidos están cubiertas por todas las garantías apropiadas bajo el RGPD, como las Cláusulas Contractuales Estándar o medidas suplementarias vinculadas a las circunstancias de la transferencia.
• cuando transferimos su información personal fuera de IRI o a terceros que nos ayudan a ofrecer y prestar nuestros productos y servicios, obtenemos compromisos contractuales de ellos para proteger su información. Algunas de estas garantías son salvaguardas adecuadas de gran reconocimiento o mecanismos contractuales como las Cláusulas Contractuales Estándar.
• cuando recibimos solicitudes de información de fuerzas y cuerpos de seguridad o reguladores, validamos cuidadosamente estas solicitudes antes de comunicar cualquier información personal.

Tiene derecho a ponerse en contacto con nosotros a través de la dirección de correo electrónico Privacy@IRIworldwide.com para obtener más información sobre los mecanismos de protección de que disponemos (incluida una copia de los compromisos contractuales relevantes) para garantizar la protección adecuada de su información personal cuando se transfiere según se indica anteriormente.

En circunstancias limitadas, las transferencias de su información personal pueden basarse en excepciones específicas que permiten transferencias en ausencia de mecanismos de protección, como cuando una transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones judiciales.