Grifols Ethics Line - Aviso de protección de datos

Aviso de privacidad disponible en otros idiomas.

Grifols es un grupo global del sector de la salud fundado en Barcelona en 1909 que trabaja para mejorar la salud y el bienestar de las personas en todo el mundo. Sus tres principales unidades de negocio – Biopharma, Diagnostic y Bio Supplies – desarrollan, producen y comercializan soluciones y servicios innovadores en más de 100 países.

Grifols respeta los derechos de privacidad de todas aquellas personas que le confían sus datos personales y se compromete a cumplir con las normativas de protección de datos aplicables en cada país.

Este aviso de privacidad ha sido redactado conforme al Reglamento General de Protección de Datos (el "RGPD") de la Unión Europea y la legislación aplicable de privacidad y protección de datos, consulte la Sección 7 para más información sobre las disposiciones específicas detalladas. Describe las prácticas de Grifols en materia de recopilación de datos y los derechos de los interesados en el contexto de la recopilación, uso e intercambio de sus datos personales por parte de Grifols.

Este aviso de privacidad aplica al tratamiento de datos personales de (a) los individuos reportando preguntas, dudas o potenciales violaciones de leyes, normas y regulaciones, así como políticas y procedimientos internos (b) los individuos reportados, y (c) cualquier otra tercera persona relacionada en los reportes.

1. Identificación del/de los responsable(s) del tratamiento/titular(es) de los datos personales

Los corresponsables del tratamiento/titulares de los datos personales son Grifols, S.A., la compañía del grupo Grifols establecida en el país desde el cual se realiza la denuncia, o la compañía que esté relacionada con la misma.

La identidad y los datos de contacto de las compañías del grupo Grifols están disponibles aquí. La/s compañía/s del grupo Grifols que actúe/n como corresponsables del tratamiento será/n referida/s como "Grifols".

2. Identificación del delegado de protección de datos

El delegado de protección de datos actúa como interlocutor entre Grifols y usted con la finalidad de velar por el cumplimiento de la legislación de protección de datos y proteger los derechos que la ley le confiere. Puede contactar con el delegado de protección de datos en dpo@grifols.com, salvo que los responsables sean Grifols Deutschland GmbH o Haema AG, en cuyo caso podrá contactar con el delegado de protección de datos de cada una de estas compañías en dsb@grifols.com y dsb@haema.de, respectivamente.

Los interesados pueden solicitar, si lo desean, más información al delegado de protección de datos, sobre los aspectos esenciales del acuerdo de corresponsabilidad del tratamiento resultante de lo dispuesto en la Sección 1.

3. Finalidades y legitimación del tratamiento, categorías y destinatarios de los datos personales

Finalidad

Gestionar y documentar las denuncias de particulares relativas a preguntas, dudas o posibles infracciones de leyes, normas y reglamentos, así como de políticas y procedimientos internos, incluyendo la valoración de los hechos denunciados y la adopción de las medidas disciplinarias y de las acciones legales que correspondan contra los infractores.

Categorías de datos personales y destinatarios

Categorías de datos personales:

Datos de identificación y características personales¹.
Datos de contacto privados².
Datos profesionales³.
Categorías especiales de datos⁴.
Datos criminales (potenciales violaciones de leyes, normas y regulaciones, además de políticas y procedimientos internos)

Destinatarios:

Compañías del grupo Grifols'.
Proveedores de productos y servicios.
Organismos públicos.

Base Legal

Obligación legal

Interés público: cuando Grifols

no está obligada legalmente a disponer de un sistema de denuncia de irregularidades, y
comparte los resultados de sus propias investigaciones con organizaciones públicas u otras organizaciones con autoridad pública.

Interés legítimo: cuando se comparta con empresas del grupo Grifols para fines administrativos internos.

Consentimiento: para documentar los informes verbales.

¹Por ejemplo, nombre, apellido y las características personales en la descripción de hechos de la denuncia.

²Por ejemplo, número de teléfono privado, dirección de correo electrónico y dirección.

³ Por ejemplo, la condición de empleado o no, título/cargo y lugar de trabajo.

⁴ Por ejemplo, datos de salud, vida y orientación sexual, origen racial o étnico, opiniones políticas, afiliación sindical, datos genéticos, datos biométricos y creencias religiosas o filosóficas.

¹Por ejemplo, nombre, apellido y las características personales en la descripción de hechos de la denuncia.

²Por ejemplo, número de teléfono privado, dirección de correo electrónico y dirección.

³ Por ejemplo, la condición de empleado o no, título/cargo y lugar de trabajo.

⁴ Por ejemplo, datos de salud, vida y orientación sexual, origen racial o étnico, opiniones políticas, afiliación sindical, datos genéticos, datos biométricos y creencias religiosas o filosóficas.
Finalidad	Categorías de datos personales y destinatarios	Base Legal
Gestionar y documentar las denuncias de particulares relativas a preguntas, dudas o posibles infracciones de leyes, normas y reglamentos, así como de políticas y procedimientos internos, incluyendo la valoración de los hechos denunciados y la adopción de las medidas disciplinarias y de las acciones legales que correspondan contra los infractores.	Categorías de datos personales: Datos de identificación y características personales¹. Datos de contacto privados². Datos profesionales³. Categorías especiales de datos⁴. Datos criminales (potenciales violaciones de leyes, normas y regulaciones, además de políticas y procedimientos internos) Destinatarios: Compañías del grupo Grifols'. Proveedores de productos y servicios. Organismos públicos.	Obligación legal Interés público: cuando Grifols no está obligada legalmente a disponer de un sistema de denuncia de irregularidades, y comparte los resultados de sus propias investigaciones con organizaciones públicas u otras organizaciones con autoridad pública. Interés legítimo: cuando se comparta con empresas del grupo Grifols para fines administrativos internos. Consentimiento: para documentar los informes verbales.

Sin perjuicio de las categorías que figuran en el cuadro anterior, le informamos de que las categorías de datos personales que se tratan para el cumplimiento de las obligaciones legales pueden diferir en función de la jurisdicción del responsable de tratamiento correspondiente.

3.1. Información adicional sobre la base legal para tratar datos personales

La tabla anterior muestra la base legal aplicable para el tratamiento de datos personales según la finalidad. En esta sección, podrá encontrar detalles adicionales sobre la licitud del tratamiento:

Obligación legal (artículo 6.1(c) del RGPD): aplica cuando el tratamiento de datos personales es necesario para cumplir las obligaciones legales aplicables a Grifols. En la Sección 7 se encuentra el detalle de la normativa específica aplicable a Grifols que obliga al tratamiento de los datos personales. No proporcionar los datos personales solicitados puede implicar que Grifols no pueda dar cumplimiento a dichas obligaciones.
Interés público: aplica cuando Grifols necesita tratar datos personales para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial.
Interés legítimo (de Grifols y/o de terceros): Grifols, de acuerdo con sus principios y valores corporativos, tiene interés en detectar, evaluar y prevenir infracciones de leyes, reglamentos y políticas y procedimientos internos aplicables. Por tanto, Grifols persigue los siguientes intereses legítimos que prevalecen sobre los derechos y libertades fundamentales de los interesados, dado que el tratamiento se encuentra dentro de las expectativas razonables de los interesados en función de su relación con Grifols:
- Prevención del fraude;
- Gestión ordinaria de un grupo de empresas multinacional y administración interna, que supone compartir información con las compañías del grupo Grifols;

En todo caso, puede solicitar más información en relación con el interés legítimo o ejercer su derecho de oposición al tratamiento de sus datos personales en base al interés legítimo, enviando su solicitud a privacy@grifols.com.

Consentimiento: debe obtenerse mediante una clara acción afirmativa, por ejemplo, pulsando botones de aceptación o similares y para un fin determinado. Los interesados podrán retirar su consentimiento en cualquier momento, tal y como se detalla en la Sección 6. La negativa del interesado a otorgar el consentimiento solicitado no afectará negativamente a su relación contractual con Grifols.

El tratamiento de categorías especiales de datos personales y de datos relacionados con condenas e infracciones penales solo está permitido de acuerdo con la normativa de cada país. Consulte la Sección 7 para obtener más detalles.

3.2. Destinatarios de los datos personales

La tabla anterior muestra las categorías de destinatarios con quien Grifols puede compartir datos personales. Esta sección incluye información respecto esos destinatarios:

Compañías del grupo Grifols: puede consultar el listado aquí.
Proveedores de productos y servicios: por ejemplo, tecnologías de la información y abogados.
Organismos públicos: por ejemplo, autoridades gubernamentales, policiales, judiciales, etc.

Grifols procurará que la comunicación de datos personales se realice a países que ofrecen un nivel de protección de datos adecuado. Si los datos personales son tratados desde países que no ofrecen dicho nivel de protección, Grifols y/o los proveedores (según sea el caso) adoptarán, si fuera necesario, las garantías apropiadas (por ejemplo, las cláusulas contractuales tipo incluidas en la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021) para llevar a cabo dichas transferencias de datos de conformidad con la legislación de protección de datos aplicable. Puede solicitar información específica a Grifols sobre las garantías apropiadas que se aplican a cada transferencia internacional de datos personales en privacy@grifols.com.

Grifols no comparte los datos personales con otro ningún tercero, salvo que lo exija la ley aplicable.

4. Período de conservación

Una vez cumplidos los fines para los que se traten los datos personales, Grifols conservará los mismos hasta que transcurran los plazos de prescripción de las responsabilidades que pudieran derivarse y durante los plazos necesarios para el cumplimiento de cualquier obligación legal que resulte de aplicación.

5. Procedencia de los datos personales

Si los interesados no proporcionan directamente a Grifols sus datos personales, Grifols puede obtenerlos del denunciante y de terceros involucrados en la denuncia (p.ej. gerentes/supervisores y testigos).

Si la persona que denuncia proporciona datos personales de terceros, Grifols facilitará este aviso de privacidad a dichos terceros. La entrega de este aviso de privacidad a estos terceros podría retrasarse si Grifols, tras un análisis caso por caso, se considera que facilitar esta información demasiado pronto podría afectar la investigación.

6. Derechos de protección de datos

Los siguientes derechos de protección de datos son aplicables de conformidad con el RGPD. Grifols se compromete a respetar otros derechos de protección de datos que resulten de aplicación de conformidad con las normativas de protección de datos de cada país.

Derecho

Acceso

Contenido: Puede solicitar confirmación de si sus datos personales están siendo tratados y, en tal caso, acceder a sus datos incluidos en los ficheros de Grifols.

Rectificación

Contenido: Puede solicitar la rectificación de sus datos personales cuando sean inexactos.

Supresión

Contenido: Puede solicitar la eliminación de sus datos personales.

Oposición

Contenido: Puede solicitar que sus datos personales no sean objeto de tratamiento en determinadas circunstancias.

Portabilidad

Contenido: Puede solicitar recibir, en un fichero electrónico, los datos personales que haya facilitado a Grifols, así como el derecho a transmitirlos a otros terceros.

Limitar el tratamiento

Contenido

Puede solicitar la limitación del tratamiento de sus datos personales cuando:

se compruebe la impugnación de la exactitud de sus datos personales.
el tratamiento de sus datos personales es ilícito y usted se opone a su supresión.
Grifols ya no necesite sus datos personales para las finalidades del tratamiento, pero usted los necesite para la formulación, el ejercicio o defensa de reclamaciones.
se haya opuesto al tratamiento de sus datos personales para el cumplimiento de una misión en interés público o cuando sea necesario para finalidades de un interés legítimo, mientras se verifica si los motivos legítimos de Grifols prevalecen sobre los suyos.

Retirada de consentimiento

Contenido: Puede retirar su consentimiento sin que ello afecte a la legalidad del tratamiento realizado con su consentimiento antes de la retirada.

Derecho	Contenido
Acceso	Puede solicitar confirmación de si sus datos personales están siendo tratados y, en tal caso, acceder a sus datos incluidos en los ficheros de Grifols.
Rectificación	Puede solicitar la rectificación de sus datos personales cuando sean inexactos.
Supresión	Puede solicitar la eliminación de sus datos personales.
Oposición	Puede solicitar que sus datos personales no sean objeto de tratamiento en determinadas circunstancias.
Portabilidad	Puede solicitar recibir, en un fichero electrónico, los datos personales que haya facilitado a Grifols, así como el derecho a transmitirlos a otros terceros.
Limitar el tratamiento	Puede solicitar la limitación del tratamiento de sus datos personales cuando: se compruebe la impugnación de la exactitud de sus datos personales. el tratamiento de sus datos personales es ilícito y usted se opone a su supresión. Grifols ya no necesite sus datos personales para las finalidades del tratamiento, pero usted los necesite para la formulación, el ejercicio o defensa de reclamaciones. se haya opuesto al tratamiento de sus datos personales para el cumplimiento de una misión en interés público o cuando sea necesario para finalidades de un interés legítimo, mientras se verifica si los motivos legítimos de Grifols prevalecen sobre los suyos.
Retirada de consentimiento	Puede retirar su consentimiento sin que ello afecte a la legalidad del tratamiento realizado con su consentimiento antes de la retirada.

Puede ejercer, cuando resulte de aplicación, sus derechos de protección de datos enviando a Grifols, por ejemplo, una comunicación por escrito a privacy@grifols.com, indicando en el asunto de la comunicación "Whistleblowing". A estos efectos, Grifols puede solicitarle más información o documentación si resulta necesario y adecuado para identificarle.

Para residentes en Estados Unidos, por favor, contacte con la Privacy Office a través de US-PrivacyRights@Grifols.com

Asimismo, usted puede ejercer su derecho de reclamación ante una autoridad de protección de datos, incluyendo aquellas que se encuentren en su lugar de residencia, trabajo o en el lugar en que ha ocurrido la presunta infracción.

7. Disposiciones Específicas

Austria

Los derechos de información, acceso, rectificación, supresión, limitación del tratamiento y notificación de infracciones de datos personales no serán aplicables cuando sea necesario para proteger la identidad de una persona o para evitar que se obstruyan o socaven las medidas de seguimiento, en particular, mientras duren los procedimientos de investigación, administrativos o judiciales.

República Checa

La obligación legal referida en la Sección 3 se encuentra regulada en el Acta Checa No. 171/2023 del 2 de junio de 2023.

Unión Europea

La base jurídica para tratar los datos personales identificados en la Sección 3 se regula en las siguientes disposiciones del RGPD:

Obligación legal: artículo 6.1(c) del RGPD
Interés público: artículo 6.1 (e) del RGPD
Interés legítimo (de Grifols y/o cualquier tercero): artículo 6.1(f) del RGPD
Consentimiento: artículo 6.1(a) del RGPD

El tratamiento de categorías especiales de datos personales se basa en el establecimiento, ejercicio o defensa de reclamaciones legales (artículo 9.2 (f) del RGPD), o razones de interés público sustancial de acuerdo con la Directiva de denuncia de irregularidades y sus reglamentos locales de aplicación (artículo 9.2 (g) del RGPD).

El tratamiento de datos personales relacionados con condenas e infracciones penales solo está permitido bajo el control de la autoridad oficial o amparado por el cumplimiento de obligaciones legales (artículo 10 del RGPD).

La obligación legal referida en la Sección 3 se encuentra regulada en la Directiva 2019/1937 de Protección de Denunciantes y en las leyes nacionales traspuestas por los miembros de la Unión Europea.

Francia

La obligación legal referida en la Sección 3 se encuentra regulada en la Ley No. 2022-401 de 21 de marzo de 2022.

Cuando Grifols Francia S.A.R.L es el responsable del tratamiento los interesados tienen el derecho a indicar de qué manera quieren que sus datos sean gestionados tras su fallecimiento.

Italia

Los derechos de los interesados no podrán ser atendidos si es concebible un perjuicio real y concreto para la confidencialidad de la identidad del denunciante. No obstante, el interesado denunciado podrá ejercer sus derechos a través del Garante (autoridad italiana de protección de datos), de conformidad con el artículo 160 del Código de Privacidad italiano, según lo dispuesto en el tercer párrafo del artículo 2 undecies del Código de Privacidad.

La obligación legal referida en la Sección 3 se encuentra regulada en la Ley de Protección de Denunciantes (179/2017).

Irlanda

La obligación legal referida en la Sección 3 se encuentra regulada en el acto de “Protected Disclosures (Amendment)” de 2022.

Portugal

La obligación legal referida en la Sección 3 se encuentra regulada en la Ley No. 93/2021 de 20 December.

Cuando Grifols Portugal - Produtos Farmacêuticos e Hospitalares, Lda. es el responsable del tratamiento, los interesados tienen derecho a indicar como quieren que sus datos personales sean gestionados tras su fallecimiento. Cuando el interesado fallecido no hubiera indicado cómo quiere que se gestionen sus datos tras su fallecimiento, el ejercicio de los derechos de protección de datos indicados en la Sección 6 podrá ser ejercido por sus herederos. Los interesados también podrán indicar que no sea posible ejercer estos derechos tras su fallecimiento.

Cuando exista una obligación legal de secreto, los derechos de los interesados no podrán ejercerse.

República Popular de China

China continental: cuando los datos personales de los interesados estén siendo tratados por cualquier empresa del grupo Grifols establecida en la República Popular de China, se les aplicará el anexo aquí disponible. El anexo se establece como complemento adicional a este aviso de privacidad y es parte integral del mismo.

España

La obligación legal a que se refiere la Sección 3 está regulada en la Ley, 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Sin perjuicio de lo dispuesto en la Sección 3.2, la identidad de las personas que realicen la denuncia se mantendrá en todo caso confidencial y no se comunicará a las personas a las que se refieran los hechos denunciados ni a terceros.

En el caso de que el interesado al que se refieran los hechos del informe ejerza el derecho de oposición, se presumirá, salvo prueba en contra, que existen motivos legítimos imperiosos para el tratamiento de sus datos personales.

Suecia

La obligación legal referida en la Sección 3 se encuentra regulada en el “Whistleblowing Act” (Swedish Act 2021:890), relativo a la especial protección contra represalias para empleados que reportan irregularidades.

Reino Unido

Todas las referencias a RGPD a lo largo del documento también hacen referencia, en su caso, al RGPD tal y como forma parte de la legislación aplicable en Inglaterra, Gales, Escocia e Irlanda del Norte.