Política de privacidad global de FedEx

Purpose

FedEx Corporation (junto con sus subsidiarias y compañías afiliadas en todo el mundo, en adelante, «FedEx») reconoce la importancia de contar con medidas de protección de la privacidad eficaces y se compromete a cumplir con las leyes, las regulaciones, las políticas internas y los estándares aplicables en materia de privacidad de datos. Estas protecciones forman la base de una compañía confiable, son necesarias para mantener la confianza de los clientes y empleados, y aseguran el propio cumplimiento de la compañía con las leyes locales.  La Política de privacidad global (en adelante, «Política») formaliza el compromiso de FedEx con la privacidad de los datos y establece los controles adecuados para gestionar de forma responsable los Datos personales.

Información general de la Política

Esta Política se basa en principios básicos de protección de datos aceptados a nivel mundial y guía a los miembros del equipo en el Procesamiento de Datos personales. Los miembros del equipo deben cumplir esta Política y cualquier política, procedimiento, estándar, aviso y pauta de FedEx que sea relevante al Procesar datos personales. Ninguna empresa operativa o región afiliada podrá adoptar políticas que sean incompatibles con la presente Política. Se pueden crear requisitos adicionales de protección de datos personales para las empresas operativas o regiones afiliadas con la aprobación del jefe de cumplimiento normativo (en adelante, «CCO») de FedEx.

Definiciones

Legislación aplicable: todas las leyes y regulaciones aplicables relacionadas con la privacidad, la confidencialidad, la conservación y la seguridad de los datos personales, con sus posibles modificaciones o complementos.

Datos personales: cualquier información relacionada con una persona física identificada o identificable. También puede ser cualquier información que pueda utilizarse, directa o indirectamente, para identificar a una persona física, ya sea que se trate de un empleado, un cliente o empleado de un cliente, un proveedor o empleado de un proveedor, un solicitante de empleo, o cualquier otro tercero.

Ejemplos de Datos personales:

• Nombres
• Los números de identificación emitidos por el gobierno (números de identidad, seguridad social o de licencia de conducir, etc.)
• Direcciones
• Números de teléfono
• Direcciones de correo electrónico
• Fotos o videos
• Los datos que hayan pasado al anonimato para que no se puedan identificar a los individuos no constituyen datos personales.

Procesamiento: cualquier operación realizada sobre Datos personales, con o sin el uso de sistemas automatizados, como recolectar, almacenar, organizar, conservar, archivar, registrar, visualizar, modificar, adaptar, alterar, consultar, utilizar, recuperar, reenviar, transmitir o combinar datos. Esto también incluye desechar, eliminar, borrar, destruir o bloquear datos.

Ejemplos:

• Almacenar información en bases de datos
• Visualizar información almacenada en otra computadora u otro sistema
• Transferir información de una base de datos a otra

Alcance

Esta Política se aplica a todos los funcionarios, directores, gerentes y empleados (en conjunto, en adelante, «miembros del equipo») de FedEx.

Responsabilidades de los miembros del equipo

Los miembros del equipo tienen prohibido cualquier Procesamiento ilegal y/o no autorizado de Datos personales. El Procesamiento ilícito y no autorizado de Datos personales incluye, entre otros:

• Cualquier Procesamiento de Datos personales que infrinja la Legislación aplicable.
• Cualquier Procesamiento de Datos personales que infrinja las políticas, los procedimientos, los estándares, los avisos y las pautas de FedEx, incluidos el Aviso de privacidad global, las Reglas corporativas vinculantes de FedEx y los Estándares de seguridad de la información.
• Utilizar Datos personales fuera del ámbito del empleo de los miembros del equipo en FedEx. 
• Divulgar Datos personales a quienes no estén autorizados (incluidos miembros del equipo, clientes, proveedores, contratistas u otras personas que no tengan una necesidad legítima de conocer dichos Datos) o ponerlos a disposición de cualquier otra forma fuera del uso comercial permitido.
• Cualquier Procesamiento que realice un miembro del equipo cuyas funciones legítimas no incluyan tratar datos.

Todos los miembros del equipo son responsables de garantizar que se apliquen las medidas de seguridad adecuadas para proteger los Datos personales. Los supervisores deben informar a sus empleados al inicio de la relación laboral sobre la obligación de proteger los Datos personales. Esta obligación seguirá vigente incluso después de que haya finalizado la relación laboral. 

Aplicación de leyes locales

Cada compañía operativa y región afiliada es responsable del cumplimiento de esta Política. Si hay motivos para creer que un requisito de la Legislación local aplicable u otra obligación legal contradice las obligaciones establecidas en la presente Política, la compañía operativa afiliada correspondiente deberá informar al CCO. En caso de conflicto entre un requisito de la Legislación local aplicable y la Política, FedEx trabajará para encontrar una solución práctica que concilie dichos requisitos.

Principios de protección de datos

Los datos personales se recopilarán, registrarán y usarán de manera adecuada y profesional, ya sea que dichos datos estén papel, en registros de computadora o se registren por cualquier otro medio. 

FedEx es responsable y debe poder demostrar el cumplimiento de los siguientes principios de protección de datos:

• Justo y legal. Durante el Procesamiento de Datos Personales, se deben proteger los derechos de la persona con respecto a sus Datos personales. Los Datos personales se deben recolectar y procesar de manera justa y lícita.
• Especificación del propósito. Los Datos personales se pueden utilizar o procesar solamente con el objetivo que se define al momento de la recolección y no se deben utilizar o procesar de ninguna manera que sea incompatible con ese objetivo. Los Datos personales no podrán recolectarse ni almacenarse para su posible uso futuro, salvo que lo permita la legislación aplicable.
• Limitación de la recolección. FedEx solo recolecta los Datos personales necesarios para cumplir con el propósito especificado en el momento de la recolección y solo en la medida en que lo permita la Legislación aplicable.
• Eliminación. Los Datos personales que no se necesiten más para el objetivo especificado al momento de la recolección se deben eliminar de acuerdo con los calendarios de retención correspondientes, a menos que estén sujetos a una excepción por parte del Departamento de Asuntos Legales.
• Calidad de los datos. Los Datos personales deben ser precisos y, si resulta necesario, mantenerse actualizados.
• Protecciones de seguridad. Los Datos personales deben protegerse a través de medidas de seguridad técnicas, gerenciales y físicas contra el riesgo de pérdida o acceso no autorizado, destrucción, uso, modificación o divulgación.
• Transparencia. En el momento de la recolección, se debe notificar a las personas acerca de cómo se van a utilizar o procesar sus Datos personales. Deben saber quién está recolectando los Datos personales, el objetivo del Procesamiento de los Datos Personales y, si existen terceros que Procesarán los Datos Personales, que estén en funcionamiento las protecciones adecuadas. Todos esos avisos deben ser aprobados por el Departamento de Asuntos Legales.
• Participación individual. En la medida en que lo exija la Legislación aplicable, las personas tienen derecho a acceder a sus Datos personales y, cuando proceda, a corregirlos o eliminarlos, así como a ejercer cualquier otro derecho previsto en la Legislación aplicable.

Seguridad y acceso

Los Datos personales deben protegerse contra el acceso o la divulgación no autorizados. Esto se aplica independientemente de si los Datos personales se procesan de forma electrónica o en papel. Se espera que los miembros del equipo sigan los Estándares de seguridad de la información de FedEx, que se pueden encontrar mediante la búsqueda de la palabra clave “estándares”. Por ejemplo, los miembros del equipo solo podrán tener acceso a los Datos personales en la medida en que sea apropiado para el tipo y el alcance de la tarea en cuestión y según sus funciones y responsabilidades laborales. Los miembros del equipo deben verificar que un proveedor, prestador de servicios, contratista u otra entidad o persona ajena a FedEx cuente con las autorizaciones adecuadas para Procesar Datos personales antes de divulgar o proporcionarles acceso a ellos.

Antes de la introducción de nuevos métodos de procesamiento de datos, se debe realizar una evaluación de impacto de la privacidad para los nuevos sistemas de TI, lo que puede derivar en la implementación de medidas técnicas y organizativas para proteger los Datos personales.

En caso de actividad sospechosa, presunto ciberataque, presunto incidente de seguridad o posible vulneración relacionada con Datos personales, todos los empleados de FedEx deben notificarlo inmediatamente al departamento de Seguridad de la Información a través del sitio web de notificación de incidentes, con la palabra clave «incidente», o informar el incidente a través de un correo electrónico a C3@fedex.com.

Transferencia de datos o procesamiento por parte de terceros

Los Datos personales no pueden transferirse a un país fuera del país de origen a menos que la transferencia haya sido aprobada por el Departamento de asuntos legales, que garantizará un nivel adecuado de protección de datos o que las protecciones adecuadas estén presentes. Si un proveedor o un tercero está involucrado en el Procesamiento de Datos personales, debe existir un acuerdo de transferencia de datos con ese proveedor externo. Un proveedor externo puede procesar Datos personales únicamente en conformidad con las instrucciones de FedEx.

Procesamiento de categorías especiales de Datos personales

Las categorías especiales de Datos personales que son altamente sensibles pueden procesarse solo en determinadas circunstancias. Estas categorías incluyen el origen racial y étnico de un individuo, las creencias políticas, las creencias religiosas o filosóficas, la afiliación sindical o el estado de salud y la vida sexual del sujeto de los datos. En virtud de la Legislación aplicable, otras categorías de datos pueden requerir un tratamiento especial. Por ejemplo, los Datos personales relacionados con un delito a menudo pueden ser tratados bajo requisitos especiales de una Ley local aplicable. Además, las solicitudes de permisos que incluyan categorías especiales de datos serán gestionadas por el Departamento de Recursos Humanos y el Departamento de asuntos legales locales.

Si hay planes para implementar un nuevo sistema, procedimiento o proceso que incluya Datos personales de una categoría especial, se debe informar al CCO con antelación.

Periodo de revisión

El Propietario de la Política la revisará al menos una vez por año fiscal para garantizar su relevancia, aplicabilidad y alineación con cualquier obligación legal o reglamentaria de FedEx, o con decisiones de gestión que puedan afectar esta Política.

Acuse de recibo

Es posible que, ocasionalmente, se les solicite a los miembros del equipo que declaren que han recibido una copia de la política, que la comprenden y que la cumplirán.

El cumplimiento de esta Política es obligatorio. El cumplimiento también incluye completar oportunamente cualquier capacitación obligatoria y seguir cualquier procedimiento que se emita de conformidad con esta Política. Todos los gerentes son responsables de la aplicación y el cumplimiento de esta Política de cara a sus equipos, lo que incluye comunicarla a los miembros de su equipo, proporcionar toda la formación y/o orientación necesarias para ayudar en el proceso de implementación, y supervisar el cumplimiento de esta Política. Quienes no cumplan esta Política estarán sujetos a medidas disciplinarias, que pueden llegar hasta el despido.

Si sabe o sospecha de alguna infracción a esta Política, denúnciela y comuníquela a su gerente, al Departamento de Recursos Humanos, al Departamento de asuntos legales o a la Línea de alerta FedEx.

Visite fedexalertline.com para enviar un informe en línea o encontrar el número telefónico que aplique a su país o territorio. En EE. UU., el número telefónico es 1.866.42.FedEx (1.866.423.3339). Se prohíben las represalias contra cualquier persona que informe de buena fe sobre una infracción confirmada o posible infracción. También se prohíben las represalias contra cualquier persona que ayude en una investigación.

Toda persona que haya tomado represalias contra otra que, de buena fe, haya informado una infracción a esta Política o haya colaborado en una investigación, será objeto de medidas disciplinarias, que pueden llegar hasta el despido.

• Código de Conducta y Ética Empresarial
• Estándares de seguridad de la información
• Política de Privacidad de los empleados de RR. HH. de FedEx
• Política sobre el uso de los recursos informáticos o el uso aceptable de las tecnologías de FedEx
• Planes de destrucción y retención de datos de su empresa
• Palabra clave “incidente”

Jefe de cumplimiento normativo de FedEx
Política adoptada con vigencia a partir del 7 de enero de 2025