ÁREA DE NEGOCIO Norma Específica 3P de Normas Corporativas Vinculantes (NCVs) ÁREA DE COMPLIANCE ÁREA DE COMPLIANCE 1. Propietario Director Corporativo de Compliance 2. Ámbito y Alcance 2.1. Alcance material • Estas NCV se aplican a los TID y el Tratamiento realizado por los importadores de datos como resultado de dichos TID. También se aplicarán en adelante Transferencias a Entidades NCV y al Tratamiento que estas realicen como consecuencia de tales Traslados. 2.2. Alcance Geográfico 2.2.1. Entidades y personal sujetos a las NCV • Estas NCV son vinculantes para todas las Entidades de NCV y su personal. La lista actualizada de Entidades del NCV se adjunta como Anexo 1. • La estructura del grupo PROSEGUR https://www.prosegur.com/en/about. se proporciona en la URL Datos de contacto del Entidades NCV se proporcionan, por país, en las URL https://www.prosegur.com/en/legal-notice y https://www.prosegur.com/en/privacy-policy. • El incumplimiento de cualquiera de las obligaciones contenidas en las presentes NCVs, por parte del Personal, se considerará un incumplimiento de las instrucciones de PROSEGUR y/o de las Entidades NCVs en su calidad de empleador o empresario, reservándose PROSEGUR y/o las Entidades NCVs el derecho de ejercitar las acciones legales que correspondan (incluyendo, a título enunciativo y no limitativo, de carácter laboral, civil, administrativo y/o penal), con motivo del daño y/o perjuicio causado como consecuencia de dicho incumplimiento, de conformidad con lo regulado en el convenio colectivo y/o en las cláusulas contractuales aplicables. 2.2.2. Datos personales y actividades de Tratamiento sujetas a las NCV • Las actividades de Datos personales, TID y Tratamiento sujetas a las NCV son las que se enumeran en el Mapa internacional de transferencia de datos adjunto como Anexo 2. 3. Objeto SISTEMA 3P • En el marco de las relaciones comerciales entre las distintas empresas que forman parte del Grupo PROSEGUR, Tramitación de Datos personales, respecto de los cuales PROSEGUR se compromete firmemente a cumplir y respetar la privacidad leyes, y al respeto de la protección de los Datos personales que son tratados en el curso de su actividad, con el objetivo principal Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 1 ÁREA DE COMPLIANCE de proteger los derechos y libertades fundamentales de las personas físicas, en particular su derecho a la intimidad y confidencialidad. • Para cumplir con este compromiso y sus obligaciones en materia de protección de datos, PROSEGUR ha establecido estas Normas Corporativas Vinculantes (en adelante, las "NCVs") como parte integral del Contrato de NCVs, que tiene como objetivo regular las TID que puedan tener lugar dentro de las entidades bajo su alcance y que se detallan en el Anexo 1 de estas NCV. 4. Elaboración y Aprobación Elaborado por: Delegado de Protección de Datos Revisado por: Área Legal Global Oficina de Transformación de Procesos Javier Aparicio Alfaro Diego Rioja Pérez Director Corporativo de Compliance Aprobado por: Sustituye a: Comité de Protección de Datos NE_GLO_LEG_05_Norma Específica 3P de Normas Corporativas Vinculantes (NCVs) Edición: 02 Fecha: 13/05/2021 Fecha: 17/11/2020 5. Desarrollo 5.1. Introducción • Prosegur Compañía de Seguridad España, SA (en adelante, PROSEGUR) es la empresa matriz de un grupo de empresas, siendo líder mundial en el sector de la seguridad privada. Con nuestras cuatro líneas comerciales: alarmas, seguridad, administración de efectivo y subcontratación de procesos comerciales, denominadas AVOS, brindamos a las empresas y hogares una seguridad en la que puede confiar, basada en las soluciones más avanzadas disponibles en el mercado. • Alarmas: Prosegur Alarmas dispone de una amplia gama de productos que ayudan a mejorar la seguridad y tranquilidad de familias y empresas. Las alarmas de Triple Seguridad de Prosegur proporcionan los sistemas más avanzados del mercado. La gama de la empresa va desde sistemas de alarma con verificación por video hasta la automatización de espacios interiores y exteriores, productos que siempre están personalizados y nos convierten en un referente de seguridad global. • Seguridad: Prosegur Security ofrece servicios de seguridad integrales y de alto valor añadido mediante la combinación de la última tecnología y los mejores profesionales. La empresa está permanentemente enfocada en la innovación tecnológica, integrándola en la cadena de valor de cada segmento de negocio. SISTEMA 3P El negocio de la seguridad incluye tanto la vigilancia tradicional tripulada como los servicios auxiliares, como la ciberseguridad. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 2 ÁREA DE COMPLIANCE Estos servicios son el resultado de la experiencia y el conocimiento de las áreas de riesgo de los clientes. • Gestión de efectivo: Prosegur Cash cubre todo el ciclo de caja y procesa más de 450.000 millones de euros al año. Opera en más de 500 centros en quince países y gestiona más de 100.000 cajeros automáticos. Prosegur Cash es líder mundial en la prestación de servicios de logística y gestión de efectivo, así como en la subcontratación de servicios a instituciones financieras, establecimientos minoristas, agencias gubernamentales y bancos centrales, casas de moneda, joyerías y otras actividades comerciales en todo el mundo. Principalmente en los sectores de banca y distribución. • AVOS: Prosegur AVOS es la rama de actividad centrada en la externalización de soluciones empresariales, el diseño de soluciones innovadoras y la apuesta por las nuevas capacidades tecnológicas. • En Prosegur AVOS ayudamos a nuestros socios a mejorar sus operaciones y a adelantarse al mercado, acometiendo los procesos más complejos y mejorando la experiencia del cliente. Hemos diseñado una propuesta de valor diferencial cuyo principal objetivo es aprovechar el conocimiento adquirido a lo largo de los años y adaptarlo a las nuevas tendencias en tecnología y digitalización. Por eso, en Prosegur AVOS, nuestro objetivo es proporcionar a nuestros clientes la máxima agilidad, trazabilidad y visibilidad en todas las tareas que se desarrollan en el puesto de trabajo. • Estamos presentes en 25 países de los cinco continentes, donde el desafío es brindar servicios con más valor agregado y ocupar una posición destacada en el sector de la seguridad privada en cada mercado. • Para ello, apuntamos a una sólida implantación geográfica basada en un modelo de negocio de probada eficacia. Además de nuestra concepción global, también actuamos localmente. Operamos de acuerdo a las particularidades de cada mercado, ya que nuestro sector está altamente regulado y varía según la legislación de cada país. • Además de ser líder mundial en la prestación de servicios de seguridad privada, PROSEGUR tiene un firme compromiso con la sociedad y con los más desfavorecidos, por lo que contamos con una entidad sin ánimo de lucro, la Fundación Prosegur, que plasma el compromiso de PROSEGUR de contribuir al progreso. de las regiones más desprotegidas en las que opera. Apoya la educación como motor indiscutible de cambio, la discapacidad intelectual y promueve acciones de voluntariado que canalicen la solidaridad de los profesionales de nuestra empresa. Los proyectos solidarios que se llevan a cabo a través de la Fundación Prosegur, en los campos de la educación, la inclusión social, el voluntariado corporativo y la cultura, se implementan de forma progresiva en los diferentes países donde operamos, teniendo en cuenta criterios de sostenibilidad, transparencia y buenas prácticas replicadas. SISTEMA 3P • El carácter global de la compañía lleva a PROSEGUR a poner todo su esfuerzo en la regularización de las transferencias internacionales de datos que puedan producirse entre las distintas entidades del grupo ubicadas en varias regiones - Europa, Latam, USA y Resto del Mundo - mediante Normas Corporativas Vinculantes (en adelante, NCV) definidos para el propósito. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 3 ÁREA DE COMPLIANCE 5.2. Definiciones Para los propósitos de este documento, los siguientes términos tienen los significados aquíen. • “Acuerdo NCVs”: documento que tiene como objetivo establecer el marco legal común para regular los TDI que puedan tener lugar entre las entidades que se encuentran bajo su ámbito de aplicación. • "Autoridad de Control”: autoridad pública independiente, establecida por un miembro del Espacio Económico Europeo, responsable de supervisar la implementación de la Ley de Protección de Datos Europea. • "Categorías Especiales de Datos": datos personales que se refieren a la ideología de una persona, afiliación sindical, religión, creencias, origen racial o étnico, salud (física o mental, incluida la prestación de servicios de atención médica, que revelan información sobre el estado de salud de una persona) o vida sexual. Esta categoría especial también incluye datos genéticos (relacionados con las características genéticas heredadas o adquiridas de una persona física que brindan información única sobre la fisiología o salud de esa persona, obtenida particularmente del análisis de una muestra biológica de la persona) y datos biométricos (obtenidos provenientes de un Tratamiento técnico específico, relacionado con las características físicas, fisiológicas o de comportamiento de una persona física que permitan o confirmen la identificación única de la persona, como imágenes faciales o datos de huellas dactilares). • “Datos personales” o “Datos”: cualquier información relativa a personas físicas identificadas o identificables ("Interesados"). • “Delegado de Protección de Datos”: persona responsable de asesorar a los Responsables del tratamiento y Encargados del tratamiento sobre sus obligaciones en virtud de las leyes de protección de datos aplicables, supervisar el cumplimiento de estas obligaciones y actuar como punto de contacto para las Autoridades de supervisión. • "Destinatario": persona física o jurídica, autoridad pública, agencia u otro organismo al que se divulgan los Datos personales. • “Personal”: toda persona, con dedicación exclusiva o temporal, interna o externa, que preste servicios y / o desarrolle una actividad profesional en el ámbito de una empresa del Grupo PROSEGUR. • “Entidad NCV”: entidad perteneciente al GRUPO PROSEGUR bajo el alcance de aplicabilidad del Acuerdo NCVs. • "Encargado del Tratamiento”: persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o junto con otros, procesa Datos personales en nombre del Responsable. • “Espacio Económico Europeo” o “EEE”: comprende los Estados miembros de la Unión Europea, junto con Liechtenstein, Islandia y Noruega. SISTEMA 3P • “Estados Miembros”: los países miembros de la Unión Europea. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 4 ÁREA DE COMPLIANCE • “Exportador(a) de Datos”: Entidad NCV establecida en el Espacio Económico Europeo que realiza una TID. • “Importador(a) de Datos”: Entidad NCV establecida o ubicada en un tercer país. • “Interesado”: la persona que es el titular de los Datos personales que se procesan. • "Normativa Europea”: la ley de la Unión Europea y de los Estados miembros. • “Normativa Europea de Protección de Datos”: RGPD y las leyes de protección de datos aplicables en los Estados miembros. • Normas corporativas vinculantes “NCVs” o “BCRs”: son instrumentos, consistentes en políticas jurídicamente vinculantes dentro de un grupo de empresas o una unión de empresas, con la finalidad de ofrecer garantías suficientes cuando los Datos personales van a ser transferidos. • "PROSEGUR”: Prosegur Compañía de Seguridad España, SA, la entidad matriz del Grupo Prosegur. • "Grupo PROSEGUR”: Es el conjunto de entidades que forman parte del grupo de empresas PROSEGUR, estén o no bajo el alcance del Acuerdo NCVs. • “RGPD” o “Reglamento general de protección de datos”: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de las personas físicas con respecto al Tratamiento de Datos personales y sobre la libre circulación de los mismos datos y deroga la Directiva 95/46 / CE (Reglamento general de protección de datos). • “Responsable del tratamiento” o “Responsable”: persona física o jurídica, de carácter público o privado, servicio o cualquier otro organismo que, solo o conjuntamente con otros, determine los fines y medios del Tratamiento. • "Tercer(os) País(es)": Países situados fuera del Espacio Económico Europeo. • “Tratamiento”: cualquier operación o conjunto de operaciones que se realice sobre Datos personales, tales como recogida, registro, organización, estructuración, conservación, adecuación, modificación, consulta, uso, divulgación o destrucción, entre otros. • "Transferencias internacionales de datos" o "TID": Comunicación de Datos personales de un exportador de datos a un Importador de Datos. • "Transferencia(s) Ulterior(es)”: Divulgar de Datos personales desde un Importador de Datos a destinatarios, que pueden pertenecer o no al Grupo PROSEGUR. • “Brecha(s) de seguridad de los Datos personales”: evento que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos personales transmitidos, conservados o tratados de otra forma, o la Comunicación o acceso no autorizado a dichos Datos. SISTEMA 3P • "Evaluación del Impacto en Privacidad" o "Evaluación del Impacto de Protección de Datos": es un análisis detallado de una o más operaciones de tratamiento de Datos personales Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 5 ÁREA DE COMPLIANCE similares, con la finalidad de identificar y evaluar los riesgos asociados al Tratamiento y determinar las medidas a tomar para evitarlos o mitigarlos. 5.3. Garantía en el Tratamiento de Datos personales 5.3.1. Principios aplicables al tratamiento de Datos personales • El Tratamiento de Datos personales debe realizarse de acuerdo con los siguientes principios: 5.3.1.1 Principio de legalidad • Los Datos personales deben recopilarse y procesarse legalmente. El Tratamiento debe ser lícito y cumplir al menos las siguientes condiciones: a) Los interesados deben haber dado su consentimiento para el Tratamiento de sus Datos personales para uno o más fines específicos. b) el Tratamiento debe ser necesario para la ejecución de un contrato en el que el Interesado sea parte, o para la aplicación de medidas precontractuales a solicitud del Interesado (para mantener una relación comercial, laboral o administrativa); c) el Tratamiento debe ser necesario para el cumplimiento de una obligación legal aplicable al Responsable del tratamiento. La obligación legal debe ser clara y precisa y su aplicación previsible para los destinatarios. d) el Tratamiento debe ser necesario para los fines de los intereses legítimos perseguidos por el Responsable del Tratamiento o por un tercero, siempre que estos intereses no estén subordinados a los intereses o derechos y libertades fundamentales del Interesado que requieran Protección de Datos personales, en particular donde el sujeto de datos es un niño. 5.3.1.2 Lealtad y transparencia • La recogida y el Tratamiento de Datos personales deben llevarse a cabo de manera justa y transparente para los interesados. Los Interesados deben ser informados de las circunstancias relativas al Tratamiento de sus Datos personales de forma accesible y comprensible, utilizando un lenguaje claro y sencillo, de acuerdo con las disposiciones de la Normativa Europea de Protección de Datos. 5.3.1.3 Principio de limitación de la finalidad: SISTEMA 3P • Los Datos personales deben ser recogidos y tratados de conformidad con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. Solo se recopilarán y procesarán para fines específicos y explícitos y fines legítimos, y deberá no ser procesados posteriormente de ninguna manera que sea incompatible con tales fines. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 6 ÁREA DE COMPLIANCE 5.3.1.4 Principio de minimización de datos: • Sólo deben recogerse y tratarse aquellos datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son recabados. La minimización de los Datos deberá aplicarse teniendo en cuenta la cantidad de Datos recogidos, el alcance de su Tratamiento y su período de conservación. El acceso a los Datos deberá minimizarse también, de forma que solo el Personal o Destinatario que necesite conocerlos para el cumplimiento de sus obligaciones tenga acceso a los mismos (“need to know basis”). 5.3.1.5 Principio de exactitud: • Los datos personales procesados deben ser precisos y, si es necesario, actualizados. Se tomarán todas las medidas necesarias para garantizar que los Datos personales que sean inexactos, con respecto a los fines que justifiquen su Tratamiento, sean eliminados o rectificados sin demora. 5.3.1.6 Principio de limitación en el plazo de conservación: • Los datos personales deben conservarse en un formato que permita la identificación de los Interesados y por un período no mayor al necesario para lograr los fines para los cuales fueron recabados, evitando abusos que pudieran violar los demás principios relacionados con el Tratamiento. 5.3.1.7 Principio de integridad y confidencialidad • Se deben adoptar las medidas de seguridad adecuadas para proteger los datos personales que están sujetos a Tratamiento, incluida su protección contra el acceso no autorizado o ilegal y contra su pérdida, destrucción o daño accidental. 5.3.1.8 Principio de responsabilidad proactiva: • Las Entidades NCVs deberán responsabilizarse, de forma proactiva, del cumplimiento y aplicación de todos los principios, derechos y obligaciones previstos en la Normativa Europea de Protección de Datos, definiendo los medios para su consecución en función de los riesgos que los Tratamientos puedan suponer para los derechos y libertades de los Interesados. Asimismo, deberán ser capaces de demostrar el cumplimiento de dichos principios, derechos y obligaciones. 5.3.1.9 Protección de datos desde el diseño y por defecto • Teniendo en cuenta el principio de protección de datos por diseño y por defecto, el Tratamiento debe, desde el principio, incorporar las medidas técnicas y organizativas que permitan los principios recogidos en la Protección de Datos Europea. Ley para ser aplicado de manera efectiva, sus requisitos que deben cumplirse y los derechos de los Interesados a ser protegidos. SISTEMA 3P • Medidas deberá También se implementará para brindar, por defecto, una mayor protección de la privacidad. Tales medidas deberán garantizar que, de forma predeterminada, solo se procesen realmente los Datos personales necesarios para cada uno de los fines específicos del Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 7 ÁREA DE COMPLIANCE Tratamiento, teniendo en cuenta la cantidad de Datos personales recopilados, el alcance de su Tratamiento, su período de retención y su accesibilidad. También deben asegurarse de que, por defecto, los Datos personales no sean accesibles, sin la intervención del individuo, a un número indefinido de personas físicas. • En otras palabras, desde la concepción de un nuevo proyecto, sistema, herramienta o proceso en que se prevea el Tratamiento de Datos personales, las Entidades NCVs deberán tener en cuenta la protección de los mismos, adoptando decisiones e implantando medidas que garanticen el cumplimiento de la Normativa Europea de Protección de Datos y restrinjan el Tratamiento de los Datos a lo estrictamente necesario. 5.3.2. Tratamiento de Categorías Especiales de Datos • Se prohíbe el Tratamiento de categorías de datos especiales, a menos que: a) el Interesado haya dado su consentimiento para el Tratamiento de sus Datos para uno o varios fines específicos, excepto cuando la Normativa Europea establezca que la prohibición del Tratamiento de los referidos Datos no puede ser levantada por el Interesado; b) El tratamiento es necesario para el cumplimiento de las obligaciones y el ejercicio de derechos específicos del Responsable del tratamiento o del Interesado en el ámbito del empleo, la seguridad social y la ley de protección social establecida en la Normativa Europea o en un acuerdo de negociación colectiva, y dicha ley prevé las salvaguardias adecuadas; c) El Tratamiento es necesario para el establecimiento, ejercicio o defensa de acciones legales y / o reclamaciones; d) El Tratamiento sea necesario para fines de medicina preventiva o laboral y/o evaluación de la capacidad laboral del trabajador, sobre la base de la Normativa Europea o en virtud de un contrato con un profesional y cuando los Datos personales sean tratados por un profesional o bajo su responsabilidad o por cualquier otra persona sujeta a la obligación de secreto profesional según la Normativa Europea o las normas establecidas por los organismos nacionales competentes; e) El Tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, sobre la base de la Normativa Europea que establezca medidas adecuadas y específicas para proteger los derechos y libertades del Interesado, en particular el secreto profesional; 5.3.3. Medidas para garantizar la seguridad de los datos SISTEMA 3P • Las Entidades NCVs implementarán y aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel adecuado de seguridad, teniendo en cuenta el estado de la técnica, los costos de aplicación, la naturaleza, alcance, contexto y propósitos del Tratamiento, así como la los riesgos a los que están expuestos los Tratamientos y el impacto que éste pueda Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 8 ÁREA DE COMPLIANCE tener sobre los derechos y libertades de las personas físicas, ya sean derivados de la acción humana o del medio físico o natural. • Las siguientes medidas, entre otras, deberá se aplicado: a) seudonimización y cifrado de Datos personales; b) capacidad para asegurar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de Tratamiento; c) capacidad para restaurar la disponibilidad y el acceso a los Datos personales rápidamente en caso de incidentes físicos o técnicos; d) Verificación, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del Tratamiento. • Asímismo, las Entidades NCVs deberán adoptar medidas para garantizar que cualquier persona que actúe bajo su responsabilidad y tenga acceso a los Datos personales sólo pueda tratar dichos Datos siguiendo instrucciones del Responsable del Tratamiento, salvo que esté obligada a ello en virtud de la Normativa Europea. • Al evaluar la idoneidad del nivel de seguridad, se deberán tener en cuenta los riesgos vinculados al Tratamiento de Datos personales, en particular como resultado de la destrucción, pérdida o alteración accidental o ilícita de los Datos personales transmitidos, almacenado o procesado de otra manera, o no autorizado divulgar de o acceso a dichos datos. • La Política de Seguridad de la Información de PROSEGUR, adjunta como Anexo 3, constituye el marco para la definición, gestión, administración e implementación de los mecanismos y procedimientos necesarios para establecer niveles de seguridad adecuados para los activos de información de PROSEGUR y sus clientes. 5.3.4. Modelo de Gobierno de Cumplimiento en Protección de Datos • PROSEGUR ha nombrado un Delegado de Protección de Datos Corporativo a nivel de Grupo PROSEGUR (“Delegado de Protección de Datos Corporativo del Grupo”), Delegados de Protección de Datos locales en los países del Espacio Económico Europeo en los que el Grupo PROSEGUR está presente y en Brasil (“Delegado(s) de Protección de Datos Local(es)”. • Dichos profesionales integran y reciben el soporte (i) del Comité de Protección de Datos; (ii) del Comité de Privacidad (Ejecutivo); (iii) de los Responsables Oficiales del Tratamiento; (iv) de los Responsables Operativos del Tratamiento, (v) Responsables de la evaluación de medidas técnicas (Control Tester), tal y como se establece en el Modelo de Gobierno de Cumplimiento en Protección de Datos, adjunto como Anexo 4. SISTEMA 3P • PROSEGUR también ha nombrado Oficiales de Cumplimiento en todos los países en que está presente, y se encuentren incluidos dentro del proceso de adhesión a las NCVs, los cuales actuarán a modo de interlocutores y responsables de gestionar las reclamaciones por incumplimientos del procedimiento de las NCVs a nivel local (“Oficiales de Cumplimiento Locales”). Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 9 ÁREA DE COMPLIANCE 5.3.5. Subcontratación • Cuando una Entidad NCV que actúa como Responsable del Tratamiento desee subcontratar la prestación de servicios a un Encargado del Tratamiento (ya sea una Entidad NCV o no), en primer lugar se utilizará solo Procesadores de datos que brinden garantías suficientes para implementar las medidas técnicas y organizativas apropiadas en tal de manera que el Tratamiento cumpla con los requisitos del RGPD y garantice la protección de los derechos de los Interesados. Dicho Tratamiento por parte del Encargado del Tratamiento, en nombre del Responsable del Tratamiento, se regirá por un contrato u otro acto legal conforme a las leyes europeas, que sea vinculante para el Encargado del Tratamiento con respecto al Responsable del Tratamiento y que establezca el objeto y duración del Tratamiento, la naturaleza y el propósito del Tratamiento, el tipo de Datos personales y categorías de sujetos de datos y las obligaciones y derechos del Responsable del Tratamiento. Ese contrato, que puede basarse, total o parcialmente,sobre cláusula contractual estándars, estipulará, al menos, las obligaciones establecidas en Política de PROSEGUR sobre Selección y Evaluación de Proveedores, adjunta como Anexo 5. • Las Entidades NCVs sólo contratarán Subencargados que ofrezcan las garantías suficientes para implantar las medidas técnicas y organizativas adecuadas de forma que el Tratamiento cumpla con los requisitos establecidos en la Normativa Europea de Protección de Datos y en las presentes NCVs, asegurando la protección de los derechos de los Interesados. Adicionalmente, dicho Subencargado del Tratamiento, al igual que el Encargado del Tratamiento, no tratará ni almacenará los Datos fuera del Espacio Económico Europeo sin contar con las garantías adecuadas establecidas en la Normativa Europea de Protección de Datos. A los efectos anteriores, las Entidades NCVs deberán observar y dar cumplimiento a las normas de PROSEGUR en materia de Selección y Evaluación de Proveedores, adjunta como Anexo 5. • Adicionalmente, Entidades NCV, Encargadas del Tratamiento, serán responsables ante el Responsable del Tratamiento, y responderán del efectivo cumplimiento de las obligaciones en materia de protección de datos por parte del Subencargado del Tratamiento. • La Encargado del Tratamiento es responsable ante el Responsable del tratamiento y es responsable del cumplimiento por parte del Subencargado del Tratamiento con las obligaciones de protección de datos. • El Encargado del Tratamiento se compromete a notificar al Responsable del Tratamiento, con anticipación y por medios certificables, de cualquier cambio planificado en términos de agregar o reemplazar Procesadores de datos, dando al Responsable del Tratamiento la oportunidad de oponerse a dichos cambios. • Para los fines anteriores, las Entidades de las NCV deberán observar y cumplir con la Política de Selección y Evaluación de Proveedores de PROSEGUR, que se adjunta como Anexo 5. También se deberá observar lo dispuesto en la Cláusula 5.4 de estas NCV. 5.3.6. Violaciones de seguridad de Datos personales SISTEMA 3P • En caso de que se produzca o se sospeche que se haya producido una Violación de Seguridad que pueda afectar a los Datos personales, la persona que la haya detectado deberá ponerlo en Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 10 ÁREA DE COMPLIANCE conocimiento inmediato del Delegado de Protección de Datos del Grupo, de conformidad con lo establecido en el Protocolo de Gestión y Notificación de Brechas de Seguridad, adjunto como Anexo 6. • Entre otras obligaciones, toda violación de la seguridad de datos personales deberá ser documentada por escrito, quedando a disposición de la(s) Autoridad(es) de Control competente(s). • Las Entidades NCVs que actúen como Responsables del Tratamiento deberán notificar las Quiebras de la Seguridad de Datos personales a la Autoridad de Control competente, a menos que sea improbable que dichas Quiebras de la Seguridad de Datos personales constituyan un riesgo para los derechos y libertades de las personas físicas. La notificación deberá ser realizada sin dilación indebida y, de ser posible, en el plazo de 72 horas desde que el Responsable del Tratamiento haya tenido constancia de la Quiebra de la Seguridad de Datos personales. Deberá igualmente comunicarse a los Interesados, sin dilación indebida, cuando sea probable que la Quiebra de la Seguridad de Datos personales implique un alto riesgo para sus derechos y libertades. • Cuando una Entidad NCV, implicada en la Quiebra de la Seguridad de Datos personales, tenga la consideración de Encargado del Tratamiento, deberá informar al Delegado de Protección de Datos del Grupo, siendo éste último quien notificará al Responsable del Tratamiento, lo más pronto posible, para que se pueda proceder a las notificaciones requeridas por la Normativa Europea de Protección de Datos, en caso de que procedan. 5.3.7. Registro de actividades de Tratamiento (RAT) • Las Entidades NCVs deberán disponer de un Registro de las Actividades del Tratamiento (RAT) de Datos personales efectuadas bajo su responsabilidad y mantenerlo actualizado. Dicho RAT deberá contener información sobre: a) el nombre y los datos de contacto del Responsable del tratamiento, el representante del responsable y el Delegado de Protección de Datos Local o del Grupo; b) Los fines del Tratamiento; c) una descripción de las categorías de sujetos de datos y las categorías de Datos personales; d) las categorías de destinatarios a los que los Datos personales están divulgado, incluidos los destinatarios en terceros países y organizaciones internacionales; e) en su caso, las Comunicaciones de Datos fuera del Espacio Económico Europeo, incluida la identificación del Tercer País u organización internacional de destino de los Datos y, en su caso, la documentación de garantías adecuadas; SISTEMA 3P f) cuando sea posible, los plazos previstos para la eliminación de las diferentes categorías de datos; Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 11 ÁREA DE COMPLIANCE g) cuando sea posible, una descripción general de las medidas de seguridad técnicas y organizativas a las que se hace referencia en la Cláusula 5.3.4 de estas NCV. 5.3.8. Evaluaciones de impacto en la privacidad • Las Entidades NCV llevarán a cabo una Evaluación de Impacto de Protección de Datos (en adelante, "EIPD") antes de iniciar el Tratamiento de Datos personales, cuando un tipo particular de Tratamiento implique un alto riesgo para los derechos y libertades de los Interesados. • Dichas evaluaciones deberán ser elaboradas según la metodología establecida por PROSEGUR, con el asesoramiento del Delegado de Protección de Datos del Grupo o Local, cuando haya sido designado. Su finalidad es evaluar la necesidad y proporcionalidad del Tratamiento, identificar los riesgos y establecer las medidas necesarias para mitigarlos. • Para tal efecto, las Entidades NCVs deberán observar y cumplir con el Protocolo de Gestión EIPD de PROSEGUR, que se adjunta como Anexo 7. • Cuando, después de realizar una EIPD, una Entidad NCV identifique un riesgo alto que no pueda ser mitigado, deberá consultar a la Autoridad de Control correspondiente, antes de realizar el Tratamiento previsto. La Autoridad de Control correspondiente podrá emitir recomendaciones o ejercer cualquier otro de los poderes que la normativa aplicable le confiera; incluido, entre otros, el de limitar o prohibir el Tratamiento en cuestión. 5.4. Requisitos para la divulgación de Datos personales 5.4.1. Transferencias internacionales de datos • Los exportadores de datos no pueden realizar TID antes de asegurarse de que: o el Importador de Datos está sujeto y puede cumplir con estas NCV; y / o o el TID está permitido por la Protección de Datos Europea Leys, y el TID cumple con dichas normas. 5.4.2. Transferencias Ulteriores 5.4.2.1 Cuando el Destinatario sea una Entidad NCV • Con carácter general, deberán cumplirse y observarse los requisitos establecidos en la Cláusula 5.4.1 anterior. En caso de duda, el Importador de Datos deberá informar y recabar la autorización expresa por parte del Exportador de Datos. 5.4.2.2 Cuando el destinatario no es una entidad NCV SISTEMA 3P • Con carácter general, el Importador de Datos deberá informar, recabar la autorización expresa por parte del Exportador de Datos y formalizar las Cláusulas Contractuales Tipo para la Transferencia de Datos personales, adoptadas por la Comisión Europea. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 12 ÁREA DE COMPLIANCE 5.4.3. Relaciones con el Encargado del Tratamiento • Cuando los datos divulgaciones se basan en una relación de Encargado del Tratamiento, esta relación deberá ser ejecutado en escrito, basado en el PROSEGUR´s Plantilla de acuerdo de Encargado del Tratamiento y teniendo en cuenta la Política de Selección y Evaluación de Proveedores, que se adjunta como Anexo 5. 5.5. Derechos de los interesados 5.5.1. Los Interesados tienen obligación de información hacia el Objetos de Datos personales, como aparece aquí detallado: a) Cuando se recopilen Datos personales del interesado, en el momento en que se obtengan los Datos personales, Los interesados deberán recibir toda la siguiente información: (i) la identidad y los datos de contacto del Responsable y, en su caso, del representante del Responsable; (ii) los datos de contacto del Delegado de Protección de Datos, en su caso; (iii) los fines del Tratamiento para los que están destinados los Datos personales, así como la base legal para el Tratamiento; (iv) cuando el Tratamiento se base en el interés legítimo, los intereses legítimos perseguidos por el Controlador o por un Tercero; (v) los destinatarios o categorías de destinatarios de los Datos personales, si los hubiera; (vi) cuando corresponda, Además de la información anterior, el controlador deberá, en el momento en que se obtengan los Datos personales, proporcionar al interesado la siguiente información adicional necesaria para garantizar un Tratamiento justo y transparente: (i) el período durante el cual se almacenarán los Datos personales, o si eso no es posible, los criterios utilizados para determinar ese período; (ii) la existencia del derecho a solicitar al Responsable el acceso y la rectificación o supresión de los Datos personales o la restricción del tratamiento en relación con el interesado u oponerse al tratamiento, así como el derecho a la portabilidad de los datos; (iii) cuando el tratamiento se base en el legítimo interés del consentimiento del Interesado, la existencia del derecho a retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento basado en el consentimiento antes de su retirada; (iv) el derecho a presentar una denuncia ante una Autoridad supervisora; (v) si el suministro de Datos personales es un requisito legal o contractual, o un requisito necesario para celebrar un contrato, así como si el interesado está obligado a proporcionar los Datos personales y las posibles consecuencias de no proporcionarlos datos; (vi) cuando aplicable, la existencia de toma de decisiones automatizada, incluida la elaboración de perfiles y, al menos en esos casos, información significativa sobre la lógica involucrada, así como la importancia y las consecuencias previstas de dicho Tratamiento para el Interesado. SISTEMA 3P Finalmente, cuando el Controlador tenga la intención de seguir procesando los Datos personales para un propósito diferente al que se recopilaron los Datos personales, el Controlador proporcionará al Sujeto de datos antes de ese Tratamiento adicional información Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 13 ÁREA DE COMPLIANCE sobre ese otro propósito y cualquier información adicional relevante como referido anteriormente. b) Dónde están los Datos personales no recopilados del interesado, Los interesados deberán recibir toda la siguiente información: (i) la identidad y los datos de contacto del Responsable y, en su caso, del representante del Responsable; (ii) los datos de contacto del Delegado de Protección de Datos, en su caso; (iii) los fines del Tratamiento para los que están destinados los Datos personales, así como la base legal para el Tratamiento; (iv)la categorías de Datos personales preocupado; (v) los destinatarios o categorías de destinatarios de los Datos personales, si los hubiera; (vi) en su caso, el hecho de que el Responsable tiene la intención de transferir Datos personales a un tercer país o organización internacional y la existencia o ausencia de una decisión de adecuación o la referencia a las salvaguardias apropiadas o adecuadas y los medios por los cuales obtener una copia de las mismas o donde se hayan puesto a disposición. Además de la información anterior, el controlador deberá, en el momento en que se obtengan los Datos personales, proporcionar al interesado la siguiente información adicional necesaria para garantizar un Tratamiento justo y transparente: (i) el período durante el cual se almacenarán los Datos personales, o si eso no es posible, los c riterios utilizados para determinar ese período; (ii) cuando el Tratamiento se base en el interés legítimo del Responsable, el intereses legítimos perseguidos por el Responsable o por un Tercero (IIi) la existencia del derecho a solicitar al Responsable el acceso y la rectificación o supresión de los Datos personales o la restricción del tratamiento en relación con el interesado u oponerse al tratamiento, así como el derecho a la portabilidad de los datos; (iv) cuando el tratamiento se basa en el legítimo interés o consentimiento del Interesado, la existencia del derecho a retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento basado en el consentimiento antes de su retirada; (v) el derecho a presentar una denuncia ante una Autoridad supervisora;(vi) de qué fuente se originan los Datos personales y, si corresponde, si provienen de fuentes de acceso público; (vii) la existencia de una toma de decisiones automatizada, incluida la elaboración de perfiles y, al menos en esos casos, información significativa sobre la lógica involucrada, así como la importancia y las consecuencias previstas de dicho Tratamiento para el Interesado. El controlador proporcionará la información en los párrafos anteriores: (a) dentro de un período razonable después de obtener los Datos personales, pero a más tardar dentro de un mes, teniendo en cuenta las circunstancias específicas en las que se procesan los Datos personales; (b) si los Datos personales se van a utilizar para la comunicación con el Sujeto de datos, a más tardar en el momento de la primera comunicación a ese Sujeto de datos; o (c) si se prevé una divulgación a otro destinatario, a más tardar cuando se divulguen por primera vez los Datos personales. SISTEMA 3P Cuando el controlador tenga la intención de procesar los Datos personales para un propósito distinto al que se obtuvieron, el controlador proporcionará al sujeto de los datos antes de Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 14 ÁREA DE COMPLIANCE ese Tratamiento adicional información sobre ese otro propósito y cualquier información adicional relevante como se indica. a en el segundo párrafo de esta sección 5.5.1.B). Los párrafos anteriores de esta sección 5.5.1.b) no se aplicará cuando y en la medida en que: (i) el Interesado ya tenga la información; (ii) el suministro de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el Tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos o en la medida en que la obligación mencionada en el primer párrafo del Es probable que esta sección b) haga imposible o perjudique gravemente el logro de los objetivos de ese Tratamiento. En tales casos, el Controlador tomará las medidas adecuadas para proteger los derechos y libertades y los intereses legítimos del Interesado, incluida la puesta a disposición del público de la información; (iii) la obtención o divulgación está expresamente establecida por la Normativa Europea, que está sujeto al controlador y que proporciona las medidas adecuadas para proteger los intereses legítimos del interesado; o (iv) cuando los Datos personales se mantendrán confidenciales sujetos a una obligación de secreto profesional regulada por la Normativa Europa incluida como una obligación legal de secreto. 5.5.2. Los interesados pueden ejercer los siguientes derechos: (i) Acceso: confirme si se están procesando o no los Datos personales que les conciernen, y solicite información sobre qué Datos personales específicos sobre ellos están involucrados, qué Tratamiento se lleva a cabo y cuál es la fuente de los datos. (ii) Rectificación: exigir corrección, cumplimentación y / o actualización de datos inexactos o incompletos. (iii) Supresión: exigir la supresión de los Datos personales que les conciernen, sin dilación indebida en los casos autorizados por la Protección de Datos Europea. Ley. (iv) Objeción: exigir la terminación del Tratamiento de sus Datos personales, en cualquier momento, por motivos relacionados con su situación particular, cuando se produzca dicho Tratamiento, ya sea por la necesidad de llevar a cabo una misión de interés público o en el ejercicio de los poderes públicos, o por la necesidad de satisfacer un interés legítimo del Responsable del tratamiento. (v) Restricción al Tratamiento: exigir límites al Tratamiento de sus datos en los casos autorizados por la Protección de Datos Europea. Ley. SISTEMA 3P (vi) Portabilidad de datos: recibir Datos personales en un formato estructurado, de uso común y legible mecánicamente, y transmitirlos a otro responsable del tratamiento, sin obstáculos. El interesado puede almacenar estos datos para un uso profesional posterior o solicitar que se transmitan directamente de responsable a responsable, cuando sea técnicamente posible. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 15 ÁREA DE COMPLIANCE 5.5.3. Los interesados deberán no ser objeto de una decisión basada únicamente en el Tratamiento automatizado de sus Datos personales, como la creación de perfiles, que tenga efectos legales sobre ellos o les afecte significativamente de forma similar ("decisiones individuales automatizadas"), salvo que sea aplicable cualquiera de los siguiente excepciones: la decisión (i) la decisión es necesaria para celebrar o ejecutar un contrato entre el interesado y un responsable del tratamiento; (ii) la decisión está autorizada por la Ley europea a la que está sujeto el Responsable y que también establece las medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado; o (iii) la decisión se basa en el consentimiento explícito del Interesado. En las excepciones mencionadas en los puntos (i) y (iii) anteriores, el Responsable del Tratamiento implementará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del Sujeto de datos, al menos el derecho a obtener la intervención humana por parte del Controlador, para expresar su punto de vista y impugnar la decisión. Además, las decisiones en virtud de las excepciones (i) a (iii) no se basarán en categorías de datos especiales, a menos que existan medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado y se aplique cualquiera de las siguientes condiciones: (a ) el interesado ha dado su consentimiento explícito para el Tratamiento de esos Datos personales para uno o más fines específicos, excepto cuando la legislación europea disponga que el interesado no puede levantar la prohibición; o (b) el Tratamiento es necesario por razones de interés público sustancial, sobre la base del Derecho europeo, que será proporcionado al objetivo perseguido, respetará la esencia del derecho a la protección de datos y preverá medidas adecuadas y específicas para salvaguardar los derechos e intereses del Interesado. 5.5.4. Los interesados tienen derecho a presentar una reclamación ante la Autoridad de Control competente, si consideran que el tratamiento de sus datos personales infringe la Ley Europea de Protección de Datos. El interesado puede elegir la Autoridad de Control (i) en el Estado miembro de su residencia habitual; (ii) en el Estado miembro donde tiene el lugar de trabajo; o (iii) en el Estado miembro donde se produjo la presunta infracción. 5.5.5. Los interesados tienen derecho a interponer un recurso judicial efectivo en relación con: (i) Autoridades de supervisión: relacionadas con una decisión legalmente vinculante que les afecta., emitidas por dichas autoridades, o cuando estas autoridades no tramiten una reclamación o no informen al Interesado sobre el proceso o el resultado de la reclamación, de conformidad con las disposiciones de la Protección de Datos Europea Ley. Las acciones se interpondrán ante los tribunales del Estado miembro en el que el De supervisor Se establece la autoridad. SISTEMA 3P (ii) Procesadores o controladores de datos: cuando Sujetos de los datos considerar que los derechos amparados por la protección de datos europea Ley han sido violados como resultado del Tratamiento de sus Datos personales y sin perjuicio de cualquier recurso administrativo o extrajudicial disponible. Se iniciarán procedimientos contra un Responsable del Tratamiento o un Encargado del Tratamiento, a elección del Interesado, a nte los Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 16 ÁREA DE COMPLIANCE tribunales del Estado miembro en el que el responsable del tratamiento o el encargado del tratamiento tiene un establecimiento o ante los tribunales del Estado miembro donde el interesado tiene su/su residencia habitual. 5.5.6. Los interesados podrán ejercer los derechos indicados en los apartados 5.5.2 y 5.5.3 mediante solicitud escrita, dirigida a la dirección postal de la entidad BCR que actúa como responsable del tratamiento, o a la dirección de correo electrónico [email protected]. Si el Responsable del Tratamiento tiene dudas razonables sobre la identidad del Titular de los Datos que realiza la solicitud, podrá solicitar que se le facilite la información adicional necesaria para confirmar la identidad del Titular de los Datos (por ejemplo, una copia de su DNI/pasaporte u otra documentación que acredite su identidad). Los interesados deben recibir una respuesta a los derechos que ejercen en el plazo de un (1) mes desde la recepción de la solicitud. Este plazo podrá prorrogarse por otros dos (2) meses, cuando sea necesario, en función de la complejidad y el número de solicitudes recibidas. El interesado deberá ser informado de dicha prórroga en el plazo de un (1) mes a partir de la recepción de la solicitud, indicando los motivos del retraso. 5.6. Derechos de terceros beneficiarios • Las Entidades NCVs expresamente estar de acuerdo y aceptar que los interesados tener el derecho de hacer cumplir esta cláusula y las cláusulas 5.3.1, 5.3.2, 5.3.3, 5.3.5, 5.3.6, 5.4, 5.5, 5.6, 5.7, 5.8.5, 5.9, 5.10 y 5.11 de estas NCV como terceros-beneficiarios del partido. 5.7. Reclamación(es) • Sin perjuicio de lo dispuesto en la Cláusula 7 de estas NCV, los Interesados pueden ejercer sus derechos o presentar una reclamación con respecto al Tratamiento de sus Datos por las Entidades de las NCV, enviando una solicitud por escrito a la dirección de correo electrónico [email protected]. Si el Responsable del Tratamiento tiene dudas razonables con respecto a la identidad del sujeto de datos que realiza la solicitud, entonces el Responsable del Tratamiento puede solicitar el suministro de información adicional necesaria para confirmar la identidad del sujeto de datos (por ejemplo, una copia de su identificación / pasaporte u otra documentación en prueba de su identidad). SISTEMA 3P • Las Entidades del BCRs tramitarán las solicitudes recibidas e investigarán las cuestiones alegadas en las mismas, debiendo proporcionar a los Titulares de los Datos una respuesta a su solicitud en el plazo de un (1) mes desde su recepción. Este plazo podrá prorrogarse por otros dos (2) meses, cuando sea necesario, en función de la complejidad y el número de solicitudes recibidas. El interesado deberá ser informado de dicha prórroga en el plazo de un (1) mes a partir de la recepción de la solicitud, indicando los motivos de la misma.Los interesados. Se proporcionará a los interesados una respuesta, aceptando o rechazando la solicitud. Asimismo, se informará a los interesados de que, en caso de no estar satisfechos con la respuesta recibida, tienen derecho a presentar una reclamación ante la Autoridad de Control competente, así como Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 17 ÁREA DE COMPLIANCE a interponer un recurso judicial efectivo, tal como se explica en las cláusulas 5.5.4 y 5.5.5.ii) anteriores. • Las Entidades NCVs deberán cumplir con las disposiciones del Protoc olo de Gestión de Reclamaciones y Solicitudes de NCV, que se adjunta como Anexo 8. 5.8. Acciones para aplicar NCV 5.8.1. Formación de personal • Como parte del compromiso del Grupo PROSEGUR con el cumplimiento de la privacidad, anualmente se realizan cursos de formación y sensibilización al personal. • Las Entidades NCV y los Delegados Locales de Protección de Datos, con el apoyo del Delegado de Protección de Datos del Grupo, son los responsables de definir el formato de los cursos de formación y sensibilización (presenciales u online), así como la frecuencia de los cursos de formación. • Específicamente, anualmente, se llevan a cabo las siguientes sesiones de capacitación y concientización: (i) una sesión general sobre temas de privacidad; y (ii) una sesión específica sobre NCV. La sesión general sobre temas de privacidad cubre, entre otros, cómo la privacidad impacta la actividad de PROSEGUR y sus empleados y las políticas y reglas aprobadas dentro del Grupo PROSEGUR. La sesión específica sobre cuestiones de NCV cubre el contenido de estas NCV, incluidos los anexos pertinentes. • Las sesiones de formación y sensibilización se realizan a través de la Plataforma Online de la Universidad Prosegur, accesible a través de la Intranet del Grupo PROSEGUR. Los contenidos de las sesiones de formación y sensibilización son una mezcla de teoría y práctica, incluido un cuestionario de evaluación que se debe aprobar (por ejemplo, respuestas correctas 7 de 10) para considerar el curso "asistido y completado". A través de la plataforma online, la Universidad Prosegur gestiona las solicitudes a los empleados para asistir al curso, los recordatorios, los asistentes y los que han realizado cada curso. • Además, el personal es dado acceso a las políticas internas de PROSEGUR sobre protección de Datos personales y seguridad de la información, así como al contenido de estas NCV. Esta informaciones incluidos en los materiales entregados al personal en el momento de la incorporación, publicados en la intranet de las Entidades PROSEGUR y NCV y promocionados a través de notificaciones. 5.8.2. Monitoreo de cumplimiento de NCV SISTEMA 3P • El Delegado de Protección de Datos del Grupo y el Protección de Datos Comité están responsable de supervisar la implementación de estas NCV, con el apoyo del Delegado de Protección de Datos Local/Local Oficial de cumplimiento y es apoyado en esta tarea por los órganos de dirección de las Entidades del NCV. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 18 ÁREA DE COMPLIANCE • El designado Datos locales Oficiales de protección/Local Oficiales de cumplimiento tendré, entre otros, los siguientes deberes: (i) Informar y asesorar a las NCV Entidades y personal que llevan a cabo el Tratamiento sobre sus obligaciones bajo las NCV y la Protección de Datos Europea. Ley. El delegado local de protección de datos/Local Oficial de cumplimiento es Responde directamente al más alto nivel jerárquico de las Entidades de las NCV. (ii) monitor la cumplimiento de las disposiciones de las NCV y de la Protección de Datos Europea Ley, y con las políticas de PROSEGUR, incluyendo la asignación de responsabilidades, sensibilización y capacitación del personal involucrado en las operaciones de Tratamiento. (iii) actuar como punto de contacto con el De supervisor Autoridades en temas relacionados con las operaciones de Tratamiento de Datos y la implementación de NCV, así como la cooperación con las investigaciones realizadas por las autoridades mencionadas. (iv) revisar los informes de auditoría de protección de datos y supervisar la implementación de las medidas correctivas propuestas allí en. (v) atender las solicitudes y quejas realizadas por los Interesados. • El responsable de protección de datos del Grupo es responsable de mantener actualizadas estas BCR y de informar de las actualizaciones a la(s) Autoridad(es) de Control pertinente(s), así como de informar anualmente del estado de aplicación de las BCR. Los responsables locales de protección de datos/responsables locales de cumplimiento informarán trimestralmente al responsable de protección de datos del Grupo sobre las medidas adoptadas a nivel local. 5.8.3. Verificación del cumplimiento de NCV • PROSEGUR ha adoptado un Programa de Auditoría, descrito en el Anexo 9, para verificar el cumplimiento de estas NCV por parte de las Entidades de las NCV. Este programa establece la frecuencia y periodos de revisión y auditorías, su alcance, acciones involucradas y medios, entre otros aspectos. • Los informes de los resultados de las revisiones y auditorías son notificados al Delegado de Protección de Datos del Grupo y, en su caso, a el delegado local de protección de datos/ LoOficial de cumplimiento de cal y el órgano de administración de la Entidad NCV de que se trate. Finalmente, los informes se notifican al Comité de Protección de Datos. • En caso de incumplimiento de las NCV, los informes incluyen recomendaciones y medidas correctivas a ser implementadas por la Entidad NCV correspondiente, dentro del plazo específico previsto en las mismas. Si las recomendaciones y medidas correctivas no se implementan debidamente, este hecho se informa al Consejo de Administración de PROSEGUR, para que adopte las decisiones pertinentes; incluyendo, entre otros, la exclusión de la Entidad NCV del alcance de las NCV. SISTEMA 3P • De supervisor Las autoridades pueden requerir acceso a informes de auditoría y pueden realizar auditorías de protección de datos en cualquiera de las Entidades de NCV. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 19 ÁREA DE COMPLIANCE 5.8.4. Actualización de las NCV • NCV están revisado y actualizado, cuando se produzcan cambios, ya sea en la protección de datos europea Leyo en cualquiera de los contenidos de las NCV (incluidos sus Anexos). Delegado de Protección de Datos del Grupo es responsable de revisar periódicamente las NCV y realizar los cambios necesarios para mantenerlas actualizadas, y para ello debe hacer lo siguiente: (i) Mantener un registro actualizado de las Entidades NCV y las actualizaciones de la NCV y mostrar dichos detalles en las NCV; (ii) monitorear los cambios regulatorios, registrándolos y agregándolos al NCV; (iii) proporcionar la información necesaria a los interesados y/o De supervisor Autoridades, según sea necesario. • Los cambios en las NCV (que incluyen, entre otros, la lista de Entidades NCV) se informan a todas las Entidades NCV sin demora indebida. • Los cambios en las NCV o en la lista de Entidades de NCV se informan a las Autoridades de Supervisión, a través de la Autoridad de Supervisión Principal, una vez al año junto con una explicación de las razones. Cuando los cambios en las NCV posiblemente afecten el nivel de protección ofrecido por las NCV o afecten significativamente a las NCV, dichos cambios deben notificarse de inmediato a las Autoridades de Supervisión competentes, a través de la Autoridad de Supervisión Principal. 5.8.5. Información a los Interesados • Las NCVs serán informadas a los Interesados a través de los siguientes medios: (i) publicación en los páginas web oficiales de las Entidades PROSEGUR y NCV; (ii) publicación en la intranet de las Entidades PROSEGUR y NCVs; (iii) inclusión de referencias a NCV en cláusulas de información sobre protección de datos con relación a contratos, formularios, políticas, manuales y anuncios. Los documentos contenidos proporcionados a los interesados están: (i) el Política sobre NCV; y (ii) Anexos 1 y 8. • Todos los sujetos de datos que se benefician de los derechos de terceros beneficiarios están proporcionado con la información detallado en la cláusula 5.5.1, donde aparece información sobre sus derechos como tercero beneficiario en relación con el Tratamiento de sus Datos personales y sobre los medios para ejercerlos, la cláusula relativa a la responsabilidad y las cláusulas relativas a los principios de protección de datos. SISTEMA 3P La información anterior se proporcionará en su totalidad y un resumen no es suficiente. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 20 ÁREA DE COMPLIANCE • Asimismo, los Interesados podrán solicitar una copia de las presentes NCVs mediante solicitud por escrito, remitida a la siguiente dirección: [email protected]. 5.9. Responsabilidad • PROSEGUR es responsable con respecto a los Interesados por cualquier incumplimiento de las disposiciones de estas NCV, que pueda ocurrir por parte de cualquiera de las Entidades de las NCV. En todo caso, PROSEGUR se reserva el derecho de reincidencia frente a la Entidad NCV incumplida y solicitar la indemnización de los daños y perjuicios que pudiera ocasionar. • Asimismo, cada una de las Entidades de las NCV será responsable de las consecuencias de cualquier incumplimiento de las obligaciones asumidas en virtud de estas NCV, debiendo asumir las responsabilidades derivadas de dicho incumplimiento, incluidos los daños ocasionados a los Interesados y / o PROSEGUR, en su caso. aplicable, de acuerdo con las leyes. • Sin perjuicio de lo anterior, los exportadores de datos asumirán la plena responsabilidad por cualquier infracción de estas NCV por parte de los importadores de datos y otras Entidades de NCV ubicadas en terceros países, con respecto a los TID y Adelante Transferencias realizadas por ellos y Procesos realizados como consecuencia de dichas transferencias. En este sentido, los exportadores de datos se comprometen a indemnizar a los interesados por daños, materiales o inmaterial, derivado de los incumplimientos de las NCV por parte de las Entidades de las NCV establecidas en Terceros Países, y adoptar las medidas necesarias para remediarlos. • Exportador de datos están exentos, total o parcialmente, de dicha responsabilidad cuando pueda ser demostrado que el evento que causó los daños no es, de cualquier manera, bajo la responsabilidad de el Importador de Datos u otras Entidades NCV en el caso de unnorte Adelante Transferir. El Exportador de Datos asumirá la carga de probar que las NCV no han sido violadas o que lasevento Causar el daño no es, de cualquier manera, bajo la responsabilidad de la entidad o entidades en cuestión. • Cuando un exportador de datos haya pagado una compensación por el daño causado por otra entidad NCV, el exportador de datos tendrá derecho a reclamar a esa entidad el monto de la compensación. ya pagado. • En los casos en que la infracción de estas NCV haya sido cometida por una Entidad NCV establecida en un tercer país, los tribunales u otras autoridades competentes de la Unión Europea tendrán jurisdicción, y el Interesado tendrá los derechos y recursos correspondientes contra el Exportador de datos. , como si la infracción se hubiera cometido en el Estado miembro donde está establecido el exportador de datos y no en el país del importador de datos. En este caso, Los procedimientos contra el exportador de datos se iniciarán, a elección del interesado, ante los tribunales del Estado miembro donde el exportador de datos tiene un establecimiento o ante los tribunales del Estado miembro donde el interesado tiene su residencia habitual. 5.10. Comunicación y cooperación con De supervisor Autoridades SISTEMA 3P 5.10.1. Relación con el De supervisor Autoridades Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 21 ÁREA DE COMPLIANCE • Las Entidades NCVs se comprometen a colaborar con las Autoridades de Control competentes en todo lo que se refiere a la aplicación de las presentes NCVs y, en particular, a: 1. proporcionar toda la información requerida por las Autoridades de Control con respecto a las NCVs y los Tratamientos sujetos a las mismas; 2. permitir ser auditados por las Autoridades de Control; 3. implementar las recomendaciones hechas por las Autoridades de Control; 4. proporcionar los informes de verificación del cumplimiento de NCV requeridos por las Autoridades de Control; 5. comunicar los cambios en las NCV al De supervisor Autoridad. 5.10.2. Relación con la Normativa Local • Los Datos personales deben ser procesados por las entidades NCV de acuerdo con las leyes que se aplican a ellos. • En ausencia de una protección de datos local ley, o donde tal ley establece un nivel de protección menor al previsto en estas NCV, prevalecerán los derechos y obligaciones estipulados en las NCV. De lo contrario, donde las leyes locales requieran un mayor nivel de protección para los Datos personales, prevalecerá sobre las NCV. • Cuando una Entidad NCV considere que la legislación local aplicable no le permite cumplir con alguna de las obligaciones asumidas bajo las NCV, o tiene un efecto sustancial sobre las garantías otorgadas por las NCV, informará inmediatamente a la PROSEGUR Sede en España y el Delegado de Protección de Datos del Grupo, a menos que una prohibición legal le impida realizar dicha notificación (por ejemplo, para preservar la confidencialidad de una investigación). • Siempre que se produzca cualquier incompatibilidad con la normativa local que pueda derivar en efectos adversos sustanciales sobre la aplicación de las garantías proporcionadas por las NCVs, PROSEGUR deberá notificarlo a las Autoridades de Control competentes, incluyendo cualesquiera solicitudes o requerimientos legalmente vinculantes para la Comunicación de Datos personales por parte de una autoridad u organismo de seguridad del estado del país en cuestión. Las Autoridades Competentes deberán ser claramente informadas sobre la solicitud y, en particular, sobre los Datos solicitados, el organismo solicitante y la base legal para la Comunicación, salvo que una prohibición legal le impida realizar dicha notificación. SISTEMA 3P • Si en casos específicos se prohíbe la suspensión y/o notificación, las Entidades NCVs que hayan sido requeridas harán todo lo posible para obtener el derecho de renunciar a esta prohibición de comunicación a las Autoridades Competentes tanta información como sea posible, lo antes posible y poder demostrarlo. Cuando en dichos casos, a pesar de haber hecho todo lo posible, las Entidades NCVs no puedan notificar a las Autoridades de Control competentes, las Entidades NCVs se comprometen a proporcionar anualmente a las Autoridades de Control competentes un informe general sobre las solicitudes o requerimientos recibidos, incluyendo la cantidad de solicitudes o requerimientos de Comunicación, los tipos de Datos solicitados y las autoridades u organismos solicitantes, siempre que sea posible. Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 22 ÁREA DE COMPLIANCE • En cualquier caso, las Comunicaciones de Datos personales por parte de una Entidad NCV a autoridades públicas no deberán ser masivas, desproporcionadas o indiscriminadas, de forma que se limiten a lo necesario en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención. 5.11. Gobernante ley y jurisdicción 5.11.1. Derecho aplicable • Las NCV se regirán, aplicarán e interpretarán de conformidad con lo dispuesto en la legislación española. 5.11.2. Controversias entre entidades NCV • La Entidades NCV acuerda expresamente que la resolución de cualquier controversia que surja de o en relación con la interpretación y / o ejecución de estas NCV será resuelta por los tribunales de la ciudad de Madrid de acuerdo con las leyes de España, y renuncian expresamente a cualquier otro fuero que les pueda corresponder en este sentido. 5.11.3. Disputas entre entidades NCV y sujetos de datos • Los interesados pueden buscar recursos judiciales efectivos, a elección del interesado, ante los tribunales del Estado miembro donde el exportador de datos tiene un establecimiento o ante los tribunales del Estado miembro donde el interesado tiene su residencia habitual 5.12. Duración • Las NCV entrarán en vigor el día de su aprobación y tendrán una duración indefinida. SISTEMA 3P 6. Documentos Asociados al proceso Código Nombre NG_GLO_CN_03 Política general de protección de datos DS_GLO_CN_04 Documento de apoyo para el Protocolo sobre el trato con los derechos de los interesados DS_GLO_CN_02 Documento de soporte para el almacenamiento y destrucción de datos DS_GLO_CN_01 Documento de apoyo para la selección y evaluación de proveedores Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 23 SISTEMA 3P ÁREA DE COMPLIANCE DS_GLO_CN_03 Documento de soporte para el protocolo de gestión EIPD DS_GLO_CN_05 Documento de soporte para el Protocolo de Gestión de Reclamaciones y Solicitudes sobre NCV DS_GLO_CN_07 Documento de soporte del Programa de Auditoría Prosegur NCV DS/GLO/LEG/10 Documento soporte Normas Corporativas Vinculantes NG_GLO_SI_01 Política general de seguridad de la información NE/GLO/SI/12 Política específica sobre requisitos de seguridad de la información para proyectos de nuevas tecnologías NE/GLO/SI/08 Política específica sobre el uso del correo electrónico NE/GLO/SI/02 Política específica de uso de Internet NE/GLO/SI/01 Política específica de escritorio limpio NE_GLO_SI_04 Política específica de 3P sobre el uso de contraseñas NE/GLO/SI/03 Política específica de 3P sobre el uso de recursos informáticos NE_GLO_SI_05 Política específica de 3P sobre control de acceso NE/GLO/SI/06 Política 3P específica sobre acceso remoto NE/GLO/SI/07 Política de 3P específica sobre almacenamiento compartido NE_GLO_SI_09 Clasificación de la información NE/GLO/SI/10 Política de 3P específica sobre la creación de cuentas de servicio en Active Directory NE/GLO/SI/11 Política de 3P específica sobre la creación de cuentas Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 24 ÁREA DE COMPLIANCE ADM de Active Directory NG_GLO_TI_03 Política general de 3P sobre desarrollo y mantenimiento de aplicaciones 7. Anexo 7.1. Anexo 1 - Entidades NCV 7.2. Anexo 2 - Mapa de Transferencias Internacionales de Datos 7.3. Anexo 3 - Política de Seguridad de la Información 7.4. Anexo 4 - Modelo de Gobierno de Cumplimiento en Protección de Datos 7.5. Anexo 5 - Política de selección y evaluación de proveedores 7.6. Anexo 6 - Protocolo de Gestión y Notificación de Brechas de Seguridad 7.7. Anexo 7 - Protocolo de gestión EIPDs 7.8. Anexo 8 - Protocolo de Gestión de Reclamaciones y Solicitudes de NCVs SISTEMA 3P 7.9. Anexo 9 - Programa de Auditoría Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos, textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento. Clasificación - Interna NE/GLO/CN//01 Ed.01 13/05/2021 Página 25