Última actualización: septiembre de 2023
Información general
Prometric LLC es una compañía de responsabilidad limitada de Delaware, EE. UU., con su lugar principal de negocios ubicado en 1501 South Clinton Street, Baltimore, Maryland 21224 EE. UU. (en adelante, “Compañía”, “nosotros” o “nos”). Prometric puede actuar como el controlador de datos o como procesador de datos dependiendo de su relación con el sujeto de datos.
Esta Política de Privacidad (“Política”) ha sido redactada e implementada de acuerdo con los principios establecidos en este documento, para describir nuestras prácticas sobre la recopilación y el procesamiento de Datos Personales sobre candidatos a exámenes, clientes, contratistas y socios. Prometric presta especial atención al respeto de la privacidad y los Datos Personales y se compromete a cumplir con esta Política y de acuerdo con la Ley Aplicable.
En particular, la Compañía se compromete a cumplir con todas las leyes de protección de datos donde la compañía opera, incluyendo:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (“GDPR”);
- La Ley de Privacidad del Consumidor de California de 2018 (“CCPA”), según enmendada por la Ley de Derechos de Privacidad de California de 2020 (“CPPA”);
- La Ley de Protección de Información Personal de la República Popular de China (“PIPL”);
- Otras regulaciones de protección de datos relevantes donde opera la Compañía.
“Ley Aplicable” se refiere a la ley de protección de datos del país correspondiente o a la regulación aplicable relacionada con la protección de datos.
“Datos Personales” significa cualquier información relacionada con una persona física identificada o identificable.
“Tratamiento” significa cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión u otra forma de poner a disposición, alineación o combinación, restricción, eliminación o destrucción.
1. ¿Qué tipos de Datos Personales recopilamos?
Prometric recopila los siguientes Datos Personales dependiendo de su relación con la Compañía y la Ley Aplicable:
- Detalles de contacto incluyendo nombre, dirección, número de teléfono, número de identificación específico del país, dirección de correo electrónico, información de inicio de sesión y contraseña
- Fecha de nacimiento
- Género
- Detalles de programación de exámenes para candidatos
- Detalles de evaluación de pruebas, incluyendo número de identificación del candidato, exámenes realizados y cuándo, puntajes relacionados con esos exámenes, cuántas veces se ha tomado un examen o cualquier sección particular de los exámenes
- Números de Seguro Social donde sea requerido por el patrocinador de la prueba para candidatos (EE. UU.)
- Información de pago e institución financiera
- Residencia y país de ciudadanía
- Fotografía
- Firma
- Grabaciones en video
- Grabaciones de audio (según lo permitido por la ley y solo en jurisdicciones específicas)
- Información de documentos de identificación, verificación o elegibilidad
- Información de transacciones y relaciones incluyendo elementos que revelan patrones de pruebas de candidatos, ubicaciones de pruebas, resultados de pruebas, e información sobre cómo se utilizan los sitios web y aplicaciones de Prometric.
Además, Prometric puede procesar categorías especiales de Datos Personales, según lo permitido por la Ley Aplicable, que pueden incluir:
- Biometría (imágenes y plantillas de huellas dactilares, imágenes y plantillas faciales)
- Información de salud o datos médicos relacionados con las solicitudes de acomodaciones de pruebas de los candidatos
- Raza o etnia, según lo permitido por la Ley Aplicable
2. ¿Cómo recopilamos sus Datos Personales?
En la mayoría de los casos, Prometric recopila tales Datos Personales directamente del sujeto de datos individual.
Sin embargo, en otros casos, podemos recibir información de patrocinadores de pruebas o de proveedores de datos de terceros para ayudarnos a comprender mejor a nuestros clientes. Cuando un candidato visita el sitio web de Prometric, se registra o toma un examen, utiliza nuestras aplicaciones o se comunica con nosotros, también recopilamos información de transacciones con fines de servicio al cliente.
Todos los Datos Personales recopilados por Prometric a través de nuestras aplicaciones móviles están protegidos y procesados de acuerdo con los términos de esta Política. También ofrecemos notificaciones automáticas ("push") solo a aquellos que optan por recibir tales notificaciones de nuestra parte. Ninguna persona está obligada a proporcionar información de ubicación a Prometric o a habilitar notificaciones push para utilizar cualquiera de nuestras aplicaciones móviles.
Recopilación de Datos Biométricos
El Sistema de Check-In Habilitado para Biometría y la plataforma de supervisión remota de Prometric (conocida como ProProctor) están diseñados para mejorar la seguridad y la integridad del proceso de prueba de una manera que protege la privacidad del candidato mientras confirma la identidad del candidato. Estas tecnologías se utilizan para fines de verificación de identidad, detectar y prevenir fraudes y tergiversaciones, mantener la integridad del proceso de prueba y mejorar la seguridad de los centros de pruebas y exámenes supervisados de forma remota.
3. ¿Por qué recopilamos sus Datos Personales?
En nombre de nuestros patrocinadores de pruebas, Prometric recopila sus Datos Personales con los siguientes propósitos:
- Programar exámenes de prueba
- Verificar identidad
- Administrar pruebas y pagos
- Gestionar solicitudes de servicio al cliente
- Detectar y prevenir fraudes y tergiversaciones por parte de candidatos no autorizados
- Realizar análisis de datos para mantener la integridad del proceso de prueba
- Informar los resultados de las pruebas al candidato y al patrocinador de la prueba
- Realizar actividades de marketing, sujeto a la Ley Aplicable
Para proveedores y otros terceros, Prometric recopila sus Datos Personales para los siguientes propósitos:
- Gestión y administración de proveedores
- Procesamiento de facturas
- Debida diligencia de conocimiento del proveedor y otros requisitos legales
4. ¿Cuáles son las bases legales para el procesamiento de sus Datos Personales?
Los Datos Personales se recopilan y procesan generalmente de acuerdo con las siguientes bases legales:
- Su consentimiento para la recopilación y procesamiento de categorías especiales de Datos Personales.
- Su consentimiento si es requerido por la Ley Aplicable para transferencias de datos transfronterizas.
- El cumplimiento de un contrato que incluye registrarse y programar una prueba, administrar esa prueba, prevención de fraudes y procesamiento de los resultados.
- Por motivos comerciales legítimos como el procesamiento de facturas y la gestión de cuentas financieras, propósitos de respaldo para facilitar la continuidad del negocio, gestión de centros de pruebas, planificación empresarial, gestión de contratos, mejora de los servicios de prueba proporcionados a nuestros clientes, proponer servicios y productos relacionados a candidatos a exámenes existentes, administración de sitios web, cumplimiento, análisis, seguridad y prevención de fraudes, gobernanza corporativa, planificación de recuperación ante desastres, auditoría e informes.
- Cumplimiento de cualquier obligación legal o regulatoria.
5. Divulgación de Datos Personales
Los Datos Personales pueden ser compartidos con otras afiliadas de la Compañía, agencias gubernamentales o terceros por razones comerciales legítimas relacionadas con los servicios proporcionados o según lo permitido o requerido por la Ley Aplicable.
La Compañía puede compartir Datos Personales:
- Dentro de nuestro grupo, como subsidiarias
- Con nuestras afiliadas y centros de pruebas autorizados
- Con socios comerciales como patrocinadores de pruebas y proveedores de servicios para facilitar solicitudes y mejorar nuestros servicios
- Con autoridades gubernamentales y públicas cuando sea necesario o requerido por la autoridad
Los datos biométricos pueden ser divulgados a un tercero únicamente:
- Para una investigación relacionada con supuesta mala conducta únicamente con fines de investigación de engaño, pruebas no autorizadas u otra mala conducta de candidatos a exámenes.
- En relación con solicitudes legales de agencias regulatorias, legales o gubernamentales con jurisdicción y/o autoridad para hacer tales solicitudes.
Ejecutamos contratos según lo requerido por la Ley Aplicable con nuestros terceros para asegurar que los Datos Personales se procesen de conformidad con esta Política y cualquier otra medida de confidencialidad y seguridad apropiada.
6. ¿Cómo almacenamos sus Datos Personales?
Dependiendo de la naturaleza de su relación con Prometric y según la Ley Aplicable, almacenamos sus Datos Personales en nuestra infraestructura segura de nube de Oracle con servidores ubicados en Ashburn, Virginia, Estados Unidos.
Prometric sigue un Programa integral de Gestión de Registros y un cronograma de retención relacionado al que se adhiere para los propósitos de retención, almacenamiento y destrucción de todos los registros creados en el curso de su negocio, incluyendo aquellos que contienen Datos Personales. También implementamos una estrategia de Gestión de Datos que segrega datos según servidores de datos ubicados regionalmente.
Sujeto a la Ley Aplicable, nuestra Compañía mantendrá sus Datos Personales durante la duración del procesamiento, por el período menor de:
- cinco (5) años a partir de la fecha del último servicio, prueba o evaluación; o
- la expiración del propósito para el cual se recopilaron los Datos Personales; o
- las leyes de la jurisdicción aplicable donde se recopilaron los Datos Personales.
Prometric no mantendrá los Datos Personales más tiempo del necesario para los propósitos mencionados anteriormente. Sin embargo, Prometric puede retener Datos Personales por más tiempo si es necesario para cumplir con la Ley Aplicable o si es necesario para proteger o ejercer sus derechos.
Almacenamiento de Datos Biométricos
Todos los datos biométricos recopilados en centros de pruebas basados en computadora se transfieren de manera segura y se almacenan de manera segura dentro del centro de datos seguro de Prometric en la Unión Europea y se retienen de acuerdo con la Ley Aplicable en la jurisdicción donde se recopilaron. Los datos biométricos se almacenan y aseguran en Microsoft Azure por un período de treinta (30) días.
7. Transferencias de Datos Personales
En algunos casos, el uso de terceros puede implicar la transferencia de Datos Personales a otros países. Nuestros procesos comerciales a menudo requieren la transferencia de Datos Personales entre la Compañía y sus entidades afiliadas internacionalmente.
Si los Datos Personales se procesan dentro de la UE/EEE, y en caso de que los Datos Personales se divulguen a terceros o en un país que no se considere que proporciona un nivel suficiente de protección de acuerdo con la Ley Aplicable, la Compañía se asegurará de:
- La implementación de cláusulas contractuales estándar que puedan ser aprobadas por la Comisión de la UE;
- La adopción de salvaguardias organizacionales, técnicas y legales apropiadas para gobernar dicha transferencia y garantizar el nivel de protección necesario y adecuado bajo la Ley Aplicable.
- Si es necesario, evaluará las circunstancias de la transferencia y la legislación del tercer país, y si se requiere, completará una evaluación de impacto de transferencia de datos para determinar si se requieren medidas suplementarias.
Para los Datos Personales no procesados dentro de la UE/EEE, y en caso de que los Datos Personales se divulguen a terceros ubicados fuera de la jurisdicción del sujeto de datos, la Compañía se asegurará de que existan las salvaguardias necesarias para proteger los Datos Personales implementando mecanismos legales apropiados, incluyendo, según corresponda, cláusulas contractuales estándar y/o obteniendo el consentimiento apropiado de los sujetos de datos. Esos mecanismos pueden diferir según el país y la Ley Aplicable relevante.
8. ¿Cuáles son sus derechos?
Dependiendo de la jurisdicción y la Ley Aplicable, usted puede tener los siguientes derechos relacionados con sus Datos Personales:
- Derecho de acceso
- Derecho de rectificación
- Derecho de eliminación
- Derecho a restringir el procesamiento
- Derecho a oponerse al procesamiento
- Derecho a la portabilidad de datos
- Derecho a decidir cómo se utilizan sus Datos Personales póstumamente
El ejercicio de tales derechos está sujeto a las limitaciones previstas por la Ley Aplicable y la orientación relevante de las Autoridades de Supervisión.
Para ejercer sus derechos, el sujeto de datos puede contactar a la Compañía como se describe en la sección “Cómo contactarnos.” Podemos solicitar prueba de identidad para responder a la solicitud. Si no podemos satisfacer su solicitud (rechazo o limitación), justificaremos nuestra decisión por escrito.
Derechos de Privacidad de California
La Sección 1798 del Código Civil de California permite a los residentes de California pedir a las empresas con las que tienen una relación comercial establecida que proporcionen cierta información sobre el intercambio de Datos Personales de las empresas con terceros para fines de marketing directo. Prometric no comparte ningún Datos Personales de consumidores de California con terceros para fines de marketing sin consentimiento. Si usted es un candidato a examen, Prometric proporcionará sus Datos Personales a su patrocinador de prueba, quien puede usar la información de acuerdo con sus propias políticas de privacidad.
9. ¿Cómo protegemos sus Datos Personales?
Prometric implementa una variedad de medidas de seguridad, como salvaguardias técnicas, físicas y administrativas para proteger todos los Datos Personales de incidentes de seguridad o divulgación no autorizada, y más generalmente de una Violación de Datos Personales. Estas medidas de seguridad son reconocidas como estándares de seguridad apropiados en la industria e incluyen, entre otras, controles de acceso, contraseñas, cifrado, límites de tiempo estrictos para la eliminación, mecanismos de registro y evaluaciones de seguridad regulares.
En caso de una Violación de Datos Personales que potencialmente afecte sus datos personales, Prometric sigue su Plan de Respuesta a Incidentes y tomará rápidamente las acciones apropiadas para mitigar los riesgos para los sujetos de datos. Tales medidas pueden incluir notificar a la Autoridad de Supervisión apropiada y a los sujetos de datos afectados, proporcionando los detalles relevantes del incidente y las medidas de mitigación según lo requerido por la Ley Aplicable (es decir, GDPR o PIPL).
El Programa de Seguridad de la Información de Prometric se revisa varias veces al año por múltiples organizaciones de terceros para asegurarse de que cumpla o supere los mejores estándares disponibles para la seguridad y la privacidad y protección de datos. Además, los empleados y contratistas están obligados a informar de inmediato cualquier instancia conocida o sospechada de uso indebido, pérdida o acceso no autorizado.
10. Procesamiento de Datos Personales bajo la Ley de Protección de Información Personal de la República Popular de China (‘PIPL’)
Esta sección se aplica cuando los Datos Personales se encuentran dentro de las fronteras de la República Popular de China (RPC) o cuando los Datos Personales son procesados por una de nuestras empresas ubicadas en la RPC.
De acuerdo con el Artículo 13 de la PIPL, los Datos Personales pueden ser recopilados para los siguientes propósitos:
- Basado en el consentimiento de los individuos;
- Para el cumplimiento de contratos, para intereses comerciales legítimos;
- Para cumplir con deberes y responsabilidades legales o obligaciones legales;
- Para procesar datos disponibles públicamente;
- Para cumplir con requisitos legales.
Siguiendo los requisitos establecidos en el Artículo 23 de la PIPL y el contenido mencionado en la Sección 4, la transferencia y el intercambio de sus Datos Personales a un tercero no se llevarán a cabo sin (1) su consentimiento específico si es aplicable, o (2) para cumplir con los deberes legales bajo la Ley Aplicable.
Con base en los propósitos prescritos en esta Política, los Datos Personales pueden ser transferidos a un país o región fuera de su residencia para su procesamiento. En ese momento, la Compañía protegerá la seguridad de los Datos Personales de acuerdo con la Ley Aplicable, incluyendo pero no limitado a la implementación de controles de acceso, contraseñas, estándares de cifrado, límites de tiempo estrictos para los períodos de retención, mecanismos de registro y evaluaciones de seguridad regulares.
La Compañía le informará plenamente sobre la transferencia de datos transfronteriza de acuerdo con el Artículo 39 de la PIPL antes de transferir sus Datos Personales fuera de la RPC y obtendrá su consentimiento, informándole lo siguiente: el nombre del receptor de salida, la información de contacto, el propósito del procesamiento, el método de procesamiento, el tipo de Datos Personales, y recordándole los métodos y procedimientos por los cuales puede ejercer sus derechos bajo la PIPL. Solicitaremos su consentimiento explícito y separado para hacerlo.
Según sea necesario, la Compañía llevará a cabo una evaluación de riesgos de transferencia de datos transfronteriza de acuerdo con la Ley Aplicable si los Datos Personales se transfieren fuera de la RPC.
Bajo la PIPL, los Datos Personales Sensibles se definen como los Datos Personales que, una vez filtrados o utilizados ilegalmente, pueden causar fácilmente daños a la dignidad de las personas físicas, grave daño a la seguridad personal o patrimonial, incluyendo información sobre características biométricas, creencias religiosas, estado designado especialmente, salud médica, cuentas financieras, seguimiento de ubicación individual, etc., así como los Datos Personales de menores de 14 años.
De acuerdo con la PIPL y como se detalla en la Sección 2, el procesamiento de Datos Personales Sensibles está sujeto al consentimiento separado del individuo y se lleva a cabo para un propósito comercial específico.
Prometric no recolectará Datos Personales de menores de 14 años sin el consentimiento separado del padre u otro tutor. Solo utilizaremos o divulgaremos Datos Personales sobre un niño en la medida permitida por la ley, de acuerdo con las leyes y regulaciones aplicables, para buscar el consentimiento parental o para proteger a un niño.
En caso de una Violación de Datos Personales, Prometric asumirá responsabilidades civiles hacia el sujeto de datos si infringe los derechos de los datos personales del sujeto de datos, sin perjuicio de las responsabilidades administrativas, penales u otras responsabilidades legales que asumiría el Controlador de Datos bajo la PIPL.
11. Cambios en la Política de Privacidad
La Compañía puede necesitar actualizar su Política para cumplir con nuevas o diferentes prácticas de privacidad. Una versión actualizada de esta política estará disponible a través de un canal apropiado y se aplicará a los datos recopilados después de su fecha de entrada en vigor.
12. Cómo Contactarnos
Para cualquier consulta, comentario o inquietud sobre esta Política, o para ejercer los derechos de privacidad permitidos por la Ley Aplicable relacionados con Datos Personales, comuníquese con nuestro Oficial de Protección de Datos en la siguiente dirección: joseph.srouji@contractor.prometric.com
También puede enviar una solicitud relacionada con sus datos personales haciendo clic en el siguiente enlace y completar todos los campos requeridos en el formulario: Solicitudes de Datos Personales
También puede comunicarse con nosotros por correo a:
Gerente del Programa de Privacidad de Prometric
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 EE. UU.
Después de agotar el proceso interno de quejas de Prometric, si un candidato a examen no está satisfecho con la resolución, puede presentar una queja ante la Oficina de Mejores Negocios de Maryland (“BBB”), un proveedor de resolución alternativa de disputas con sede en Estados Unidos.
Sitio web de BBB: http://www.bbb.org/greater-maryland/
Teléfono de BBB: 410-347-3990
Fax de BBB: 410-347-3936
Los sujetos de datos también tienen derecho a presentar una queja directamente ante la Autoridad de Supervisión competente en su jurisdicción relevante o pueden tomar acciones legales según la Ley Aplicable.