Subido por Artemic Raziel

mc-34755b3900380ad1d5b33a03630407c8

Anuncio
ÁREA DE NEGOCIO
Norma Específica
3P de Normas
Corporativas
Vinculantes
(NCVs)
ÁREA DE COMPLIANCE
ÁREA DE COMPLIANCE
1. Propietario
Director Corporativo de Compliance
2. Ámbito y Alcance
2.1. Alcance material
• Estas NCV se aplican a los TID y el Tratamiento realizado por los importadores de datos como
resultado de dichos TID. También se aplicarán en adelante Transferencias a Entidades NCV y
al Tratamiento que estas realicen como consecuencia de tales Traslados.
2.2. Alcance Geográfico
2.2.1. Entidades y personal sujetos a las NCV
• Estas NCV son vinculantes para todas las Entidades de NCV y su personal. La lista actualizada
de Entidades del NCV se adjunta como Anexo 1.
• La
estructura
del
grupo
PROSEGUR
https://www.prosegur.com/en/about.
se
proporciona
en
la
URL
Datos de contacto del Entidades NCV se proporcionan, por país, en las URL
https://www.prosegur.com/en/legal-notice y https://www.prosegur.com/en/privacy-policy.
• El incumplimiento de cualquiera de las obligaciones contenidas en las presentes NCVs, por
parte del Personal, se considerará un incumplimiento de las instrucciones de PROSEGUR y/o
de las Entidades NCVs en su calidad de empleador o empresario, reservándose PROSEGUR
y/o las Entidades NCVs el derecho de ejercitar las acciones legales que correspondan
(incluyendo, a título enunciativo y no limitativo, de carácter laboral, civil, administrativo y/o
penal), con motivo del daño y/o perjuicio causado como consecuencia de dicho incumplimiento,
de conformidad con lo regulado en el convenio colectivo y/o en las cláusulas contractuales
aplicables.
2.2.2. Datos personales y actividades de Tratamiento sujetas a
las NCV
• Las actividades de Datos personales, TID y Tratamiento sujetas a las NCV son las que se
enumeran en el Mapa internacional de transferencia de datos adjunto como Anexo 2.
3. Objeto
SISTEMA 3P
• En el marco de las relaciones comerciales entre las distintas empresas que forman parte del
Grupo PROSEGUR, Tramitación de Datos personales, respecto de los cuales PROSEGUR se
compromete firmemente a cumplir y respetar la privacidad leyes, y al respeto de la protección
de los Datos personales que son tratados en el curso de su actividad, con el objetivo principal
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 1
ÁREA DE COMPLIANCE
de proteger los derechos y libertades fundamentales de las personas físicas, en particular su
derecho a la intimidad y confidencialidad.
• Para cumplir con este compromiso y sus obligaciones en materia de protección de datos,
PROSEGUR ha establecido estas Normas Corporativas Vinculantes (en adelante, las "NCVs")
como parte integral del Contrato de NCVs, que tiene como objetivo regular las TID que puedan
tener lugar dentro de las entidades bajo su alcance y que se detallan en el Anexo 1 de estas
NCV.
4. Elaboración y Aprobación
Elaborado por:
Delegado de Protección de Datos
Revisado por:
Área Legal Global
Oficina de Transformación de Procesos
Javier Aparicio Alfaro
Diego Rioja Pérez
Director Corporativo de Compliance
Aprobado por:
Sustituye a:
Comité de Protección de Datos
NE_GLO_LEG_05_Norma Específica
3P de Normas Corporativas
Vinculantes (NCVs)
Edición:
02
Fecha:
13/05/2021
Fecha:
17/11/2020
5. Desarrollo
5.1. Introducción
• Prosegur Compañía de Seguridad España, SA (en adelante, PROSEGUR) es la empresa
matriz de un grupo de empresas, siendo líder mundial en el sector de la seguridad privada. Con
nuestras cuatro líneas comerciales: alarmas, seguridad, administración de efectivo y
subcontratación de procesos comerciales, denominadas AVOS, brindamos a las empresas y
hogares una seguridad en la que puede confiar, basada en las soluciones más avanzadas
disponibles en el mercado.
• Alarmas: Prosegur Alarmas dispone de una amplia gama de productos que ayudan a mejorar
la seguridad y tranquilidad de familias y empresas. Las alarmas de Triple Seguridad de Prosegur
proporcionan los sistemas más avanzados del mercado. La gama de la empresa va desde
sistemas de alarma con verificación por video hasta la automatización de espacios interiores y
exteriores, productos que siempre están personalizados y nos convierten en un referente de
seguridad global.
• Seguridad: Prosegur Security ofrece servicios de seguridad integrales y de alto valor añadido
mediante la combinación de la última tecnología y los mejores profesionales. La empresa está
permanentemente enfocada en la innovación tecnológica, integrándola en la cadena de valor
de cada segmento de negocio.
SISTEMA 3P
El negocio de la seguridad incluye tanto la vigilancia tradicional tripulada como los servicios
auxiliares, como la ciberseguridad.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 2
ÁREA DE COMPLIANCE
Estos servicios son el resultado de la experiencia y el conocimiento de las áreas de riesgo de
los clientes.
• Gestión de efectivo: Prosegur Cash cubre todo el ciclo de caja y procesa más de 450.000
millones de euros al año. Opera en más de 500 centros en quince países y gestiona más de
100.000 cajeros automáticos.
Prosegur Cash es líder mundial en la prestación de servicios de logística y gestión de efectivo,
así como en la subcontratación de servicios a instituciones financieras, establecimientos
minoristas, agencias gubernamentales y bancos centrales, casas de moneda, joyerías y otras
actividades comerciales en todo el mundo. Principalmente en los sectores de banca y
distribución.
• AVOS: Prosegur AVOS es la rama de actividad centrada en la externalización de soluciones
empresariales, el diseño de soluciones innovadoras y la apuesta por las nuevas capacidades
tecnológicas.
• En Prosegur AVOS ayudamos a nuestros socios a mejorar sus operaciones y a adelantarse al
mercado, acometiendo los procesos más complejos y mejorando la experiencia del cliente.
Hemos diseñado una propuesta de valor diferencial cuyo principal objetivo es aprovechar el
conocimiento adquirido a lo largo de los años y adaptarlo a las nuevas tendencias en tecnología
y digitalización. Por eso, en Prosegur AVOS, nuestro objetivo es proporcionar a nuestros clientes
la máxima agilidad, trazabilidad y visibilidad en todas las tareas que se desarrollan en el puesto
de trabajo.
• Estamos presentes en 25 países de los cinco continentes, donde el desafío es brindar servicios
con más valor agregado y ocupar una posición destacada en el sector de la seguridad privada
en cada mercado.
• Para ello, apuntamos a una sólida implantación geográfica basada en un modelo de negocio de
probada eficacia. Además de nuestra concepción global, también actuamos localmente.
Operamos de acuerdo a las particularidades de cada mercado, ya que nuestro sector está
altamente regulado y varía según la legislación de cada país.
• Además de ser líder mundial en la prestación de servicios de seguridad privada, PROSEGUR
tiene un firme compromiso con la sociedad y con los más desfavorecidos, por lo que contamos
con una entidad sin ánimo de lucro, la Fundación Prosegur, que plasma el compromiso de
PROSEGUR de contribuir al progreso. de las regiones más desprotegidas en las que opera.
Apoya la educación como motor indiscutible de cambio, la discapacidad intelectual y promueve
acciones de voluntariado que canalicen la solidaridad de los profesionales de nuestra empresa.
Los proyectos solidarios que se llevan a cabo a través de la Fundación Prosegur, en los campos
de la educación, la inclusión social, el voluntariado corporativo y la cultura, se implementan de
forma progresiva en los diferentes países donde operamos, teniendo en cuenta criterios de
sostenibilidad, transparencia y buenas prácticas replicadas.
SISTEMA 3P
• El carácter global de la compañía lleva a PROSEGUR a poner todo su esfuerzo en la
regularización de las transferencias internacionales de datos que puedan producirse entre las
distintas entidades del grupo ubicadas en varias regiones - Europa, Latam, USA y Resto del
Mundo - mediante Normas Corporativas Vinculantes (en adelante, NCV) definidos para el
propósito.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 3
ÁREA DE COMPLIANCE
5.2. Definiciones
Para los propósitos de este documento, los siguientes términos tienen los significados aquíen.
• “Acuerdo NCVs”: documento que tiene como objetivo establecer el marco legal común para
regular los TDI que puedan tener lugar entre las entidades que se encuentran bajo su ámbito
de aplicación.
• "Autoridad de Control”: autoridad pública independiente, establecida por un miembro del
Espacio Económico Europeo, responsable de supervisar la implementación de la Ley de
Protección de Datos Europea.
• "Categorías Especiales de Datos": datos personales que se refieren a la ideología de una
persona, afiliación sindical, religión, creencias, origen racial o étnico, salud (física o mental,
incluida la prestación de servicios de atención médica, que revelan información sobre el estado
de salud de una persona) o vida sexual. Esta categoría especial también incluye datos genéticos
(relacionados con las características genéticas heredadas o adquiridas de una persona física
que brindan información única sobre la fisiología o salud de esa persona, obtenida
particularmente del análisis de una muestra biológica de la persona) y datos biométricos
(obtenidos provenientes de un Tratamiento técnico específico, relacionado con las
características físicas, fisiológicas o de comportamiento de una persona física que permitan o
confirmen la identificación única de la persona, como imágenes faciales o datos de huellas
dactilares).
• “Datos personales” o “Datos”: cualquier información relativa a personas físicas identificadas o
identificables ("Interesados").
• “Delegado de Protección de Datos”: persona responsable de asesorar a los Responsables del
tratamiento y Encargados del tratamiento sobre sus obligaciones en virtud de las leyes de
protección de datos aplicables, supervisar el cumplimiento de estas obligaciones y actuar como
punto de contacto para las Autoridades de supervisión.
• "Destinatario": persona física o jurídica, autoridad pública, agencia u otro organismo al que se
divulgan los Datos personales.
• “Personal”: toda persona, con dedicación exclusiva o temporal, interna o externa, que preste
servicios y / o desarrolle una actividad profesional en el ámbito de una empresa del Grupo
PROSEGUR.
• “Entidad NCV”: entidad perteneciente al GRUPO PROSEGUR bajo el alcance de aplicabilidad
del Acuerdo NCVs.
• "Encargado del Tratamiento”: persona física o jurídica, autoridad pública, servicio o cualquier
otro organismo que, solo o junto con otros, procesa Datos personales en nombre del
Responsable.
• “Espacio Económico Europeo” o “EEE”: comprende los Estados miembros de la Unión
Europea, junto con Liechtenstein, Islandia y Noruega.
SISTEMA 3P
• “Estados Miembros”: los países miembros de la Unión Europea.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 4
ÁREA DE COMPLIANCE
• “Exportador(a) de Datos”: Entidad NCV establecida en el Espacio Económico Europeo que
realiza una TID.
• “Importador(a) de Datos”: Entidad NCV establecida o ubicada en un tercer país.
• “Interesado”: la persona que es el titular de los Datos personales que se procesan.
• "Normativa Europea”: la ley de la Unión Europea y de los Estados miembros.
• “Normativa Europea de Protección de Datos”: RGPD y las leyes de protección de datos
aplicables en los Estados miembros.
• Normas corporativas vinculantes “NCVs” o “BCRs”: son instrumentos, consistentes en
políticas jurídicamente vinculantes dentro de un grupo de empresas o una unión de empresas,
con la finalidad de ofrecer garantías suficientes cuando los Datos personales van a ser
transferidos.
• "PROSEGUR”: Prosegur Compañía de Seguridad España, SA, la entidad matriz del Grupo
Prosegur.
• "Grupo PROSEGUR”: Es el conjunto de entidades que forman parte del grupo de empresas
PROSEGUR, estén o no bajo el alcance del Acuerdo NCVs.
• “RGPD” o “Reglamento general de protección de datos”: Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de las personas
físicas con respecto al Tratamiento de Datos personales y sobre la libre circulación de los
mismos datos y deroga la Directiva 95/46 / CE (Reglamento general de protección de datos).
• “Responsable del tratamiento” o “Responsable”: persona física o jurídica, de carácter público
o privado, servicio o cualquier otro organismo que, solo o conjuntamente con otros, determine
los fines y medios del Tratamiento.
• "Tercer(os) País(es)": Países situados fuera del Espacio Económico Europeo.
• “Tratamiento”: cualquier operación o conjunto de operaciones que se realice sobre Datos
personales, tales como recogida, registro, organización, estructuración, conservación,
adecuación, modificación, consulta, uso, divulgación o destrucción, entre otros.
• "Transferencias internacionales de datos" o "TID": Comunicación de Datos personales de un
exportador de datos a un Importador de Datos.
• "Transferencia(s) Ulterior(es)”: Divulgar de Datos personales desde un Importador de Datos a
destinatarios, que pueden pertenecer o no al Grupo PROSEGUR.
• “Brecha(s) de seguridad de los Datos personales”: evento que ocasione la destrucción,
pérdida o alteración accidental o ilícita de Datos personales transmitidos, conservados o
tratados de otra forma, o la Comunicación o acceso no autorizado a dichos Datos.
SISTEMA 3P
• "Evaluación del Impacto en Privacidad" o "Evaluación del Impacto de Protección de
Datos": es un análisis detallado de una o más operaciones de tratamiento de Datos personales
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 5
ÁREA DE COMPLIANCE
similares, con la finalidad de identificar y evaluar los riesgos asociados al Tratamiento y
determinar las medidas a tomar para evitarlos o mitigarlos.
5.3. Garantía en el Tratamiento de Datos personales
5.3.1. Principios aplicables al tratamiento de Datos personales
• El Tratamiento de Datos personales debe realizarse de acuerdo con los siguientes principios:
5.3.1.1
Principio de legalidad
• Los Datos personales deben recopilarse y procesarse legalmente. El Tratamiento debe ser lícito
y cumplir al menos las siguientes condiciones:
a) Los interesados deben haber dado su consentimiento para el Tratamiento de sus Datos
personales para uno o más fines específicos.
b) el Tratamiento debe ser necesario para la ejecución de un contrato en el que el Interesado
sea parte, o para la aplicación de medidas precontractuales a solicitud del Interesado
(para mantener una relación comercial, laboral o administrativa);
c) el Tratamiento debe ser necesario para el cumplimiento de una obligación legal aplicable
al Responsable del tratamiento. La obligación legal debe ser clara y precisa y su
aplicación previsible para los destinatarios.
d) el Tratamiento debe ser necesario para los fines de los intereses legítimos perseguidos
por el Responsable del Tratamiento o por un tercero, siempre que estos intereses no
estén subordinados a los intereses o derechos y libertades fundamentales del Interesado
que requieran Protección de Datos personales, en particular donde el sujeto de datos es
un niño.
5.3.1.2
Lealtad y transparencia
• La recogida y el Tratamiento de Datos personales deben llevarse a cabo de manera justa y
transparente para los interesados. Los Interesados deben ser informados de las circunstancias
relativas al Tratamiento de sus Datos personales de forma accesible y comprensible, utilizando
un lenguaje claro y sencillo, de acuerdo con las disposiciones de la Normativa Europea de
Protección de Datos.
5.3.1.3
Principio de limitación de la finalidad:
SISTEMA 3P
• Los Datos personales deben ser recogidos y tratados de conformidad con fines determinados,
explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos
fines. Solo se recopilarán y procesarán para fines específicos y explícitos y fines legítimos, y
deberá no ser procesados posteriormente de ninguna manera que sea incompatible con tales
fines.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 6
ÁREA DE COMPLIANCE
5.3.1.4
Principio de minimización de datos:
• Sólo deben recogerse y tratarse aquellos datos personales que sean adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son recabados. La minimización
de los Datos deberá aplicarse teniendo en cuenta la cantidad de Datos recogidos, el alcance de
su Tratamiento y su período de conservación. El acceso a los Datos deberá minimizarse
también, de forma que solo el Personal o Destinatario que necesite conocerlos para el
cumplimiento de sus obligaciones tenga acceso a los mismos (“need to know basis”).
5.3.1.5
Principio de exactitud:
• Los datos personales procesados deben ser precisos y, si es necesario, actualizados. Se
tomarán todas las medidas necesarias para garantizar que los Datos personales que sean
inexactos, con respecto a los fines que justifiquen su Tratamiento, sean eliminados o rectificados
sin demora.
5.3.1.6
Principio de limitación en el plazo de conservación:
• Los datos personales deben conservarse en un formato que permita la identificación de los
Interesados y por un período no mayor al necesario para lograr los fines para los cuales fueron
recabados, evitando abusos que pudieran violar los demás principios relacionados con el
Tratamiento.
5.3.1.7
Principio de integridad y confidencialidad
• Se deben adoptar las medidas de seguridad adecuadas para proteger los datos personales que
están sujetos a Tratamiento, incluida su protección contra el acceso no autorizado o ilegal y
contra su pérdida, destrucción o daño accidental.
5.3.1.8
Principio de responsabilidad proactiva:
• Las Entidades NCVs deberán responsabilizarse, de forma proactiva, del cumplimiento y
aplicación de todos los principios, derechos y obligaciones previstos en la Normativa Europea
de Protección de Datos, definiendo los medios para su consecución en función de los riesgos
que los Tratamientos puedan suponer para los derechos y libertades de los Interesados.
Asimismo, deberán ser capaces de demostrar el cumplimiento de dichos principios, derechos y
obligaciones.
5.3.1.9
Protección de datos desde el diseño y por defecto
• Teniendo en cuenta el principio de protección de datos por diseño y por defecto, el Tratamiento
debe, desde el principio, incorporar las medidas técnicas y organizativas que permitan los
principios recogidos en la Protección de Datos Europea. Ley para ser aplicado de manera
efectiva, sus requisitos que deben cumplirse y los derechos de los Interesados a ser protegidos.
SISTEMA 3P
• Medidas deberá También se implementará para brindar, por defecto, una mayor protección de
la privacidad. Tales medidas deberán garantizar que, de forma predeterminada, solo se
procesen realmente los Datos personales necesarios para cada uno de los fines específicos del
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 7
ÁREA DE COMPLIANCE
Tratamiento, teniendo en cuenta la cantidad de Datos personales recopilados, el alcance de su
Tratamiento, su período de retención y su accesibilidad. También deben asegurarse de que, por
defecto, los Datos personales no sean accesibles, sin la intervención del individuo, a un número
indefinido de personas físicas.
• En otras palabras, desde la concepción de un nuevo proyecto, sistema, herramienta o proceso
en que se prevea el Tratamiento de Datos personales, las Entidades NCVs deberán tener en
cuenta la protección de los mismos, adoptando decisiones e implantando medidas que
garanticen el cumplimiento de la Normativa Europea de Protección de Datos y restrinjan el
Tratamiento de los Datos a lo estrictamente necesario.
5.3.2. Tratamiento de Categorías Especiales de Datos
• Se prohíbe el Tratamiento de categorías de datos especiales, a menos que:
a) el Interesado haya dado su consentimiento para el Tratamiento de sus Datos para uno o
varios fines específicos, excepto cuando la Normativa Europea establezca que la
prohibición del Tratamiento de los referidos Datos no puede ser levantada por el
Interesado;
b) El tratamiento es necesario para el cumplimiento de las obligaciones y el ejercicio de
derechos específicos del Responsable del tratamiento o del Interesado en el ámbito del
empleo, la seguridad social y la ley de protección social establecida en la Normativa
Europea o en un acuerdo de negociación colectiva, y dicha ley prevé las salvaguardias
adecuadas;
c) El Tratamiento es necesario para el establecimiento, ejercicio o defensa de acciones
legales y / o reclamaciones;
d) El Tratamiento sea necesario para fines de medicina preventiva o laboral y/o evaluación
de la capacidad laboral del trabajador, sobre la base de la Normativa Europea o en virtud
de un contrato con un profesional y cuando los Datos personales sean tratados por un
profesional o bajo su responsabilidad o por cualquier otra persona sujeta a la obligación
de secreto profesional según la Normativa Europea o las normas establecidas por los
organismos nacionales competentes;
e) El Tratamiento sea necesario por razones de interés público en el ámbito de la salud
pública, sobre la base de la Normativa Europea que establezca medidas adecuadas y
específicas para proteger los derechos y libertades del Interesado, en particular el secreto
profesional;
5.3.3. Medidas para garantizar la seguridad de los datos
SISTEMA 3P
• Las Entidades NCVs implementarán y aplicarán las medidas técnicas y organizativas
apropiadas para garantizar un nivel adecuado de seguridad, teniendo en cuenta el estado de la
técnica, los costos de aplicación, la naturaleza, alcance, contexto y propósitos del Tratamiento,
así como la los riesgos a los que están expuestos los Tratamientos y el impacto que éste pueda
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 8
ÁREA DE COMPLIANCE
tener sobre los derechos y libertades de las personas físicas, ya sean derivados de la acción
humana o del medio físico o natural.
• Las siguientes medidas, entre otras, deberá se aplicado:
a) seudonimización y cifrado de Datos personales;
b) capacidad para asegurar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de Tratamiento;
c) capacidad para restaurar la disponibilidad y el acceso a los Datos personales
rápidamente en caso de incidentes físicos o técnicos;
d) Verificación, evaluación y valoración periódicas de la eficacia de las medidas técnicas y
organizativas para garantizar la seguridad del Tratamiento.
• Asímismo, las Entidades NCVs deberán adoptar medidas para garantizar que cualquier persona
que actúe bajo su responsabilidad y tenga acceso a los Datos personales sólo pueda tratar
dichos Datos siguiendo instrucciones del Responsable del Tratamiento, salvo que esté obligada
a ello en virtud de la Normativa Europea.
• Al evaluar la idoneidad del nivel de seguridad, se deberán tener en cuenta los riesgos vinculados
al Tratamiento de Datos personales, en particular como resultado de la destrucción, pérdida o
alteración accidental o ilícita de los Datos personales transmitidos, almacenado o procesado de
otra manera, o no autorizado divulgar de o acceso a dichos datos.
• La Política de Seguridad de la Información de PROSEGUR, adjunta como Anexo 3, constituye
el marco para la definición, gestión, administración e implementación de los mecanismos y
procedimientos necesarios para establecer niveles de seguridad adecuados para los activos de
información de PROSEGUR y sus clientes.
5.3.4. Modelo de Gobierno de Cumplimiento en Protección de
Datos
• PROSEGUR ha nombrado un Delegado de Protección de Datos Corporativo a nivel de Grupo
PROSEGUR (“Delegado de Protección de Datos Corporativo del Grupo”), Delegados de
Protección de Datos locales en los países del Espacio Económico Europeo en los que el Grupo
PROSEGUR está presente y en Brasil (“Delegado(s) de Protección de Datos Local(es)”.
• Dichos profesionales integran y reciben el soporte (i) del Comité de Protección de Datos; (ii) del
Comité de Privacidad (Ejecutivo); (iii) de los Responsables Oficiales del Tratamiento; (iv) de los
Responsables Operativos del Tratamiento, (v) Responsables de la evaluación de medidas
técnicas (Control Tester), tal y como se establece en el Modelo de Gobierno de Cumplimiento
en Protección de Datos, adjunto como Anexo 4.
SISTEMA 3P
• PROSEGUR también ha nombrado Oficiales de Cumplimiento en todos los países en que está
presente, y se encuentren incluidos dentro del proceso de adhesión a las NCVs, los cuales
actuarán a modo de interlocutores y responsables de gestionar las reclamaciones por
incumplimientos del procedimiento de las NCVs a nivel local (“Oficiales de Cumplimiento
Locales”).
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 9
ÁREA DE COMPLIANCE
5.3.5. Subcontratación
• Cuando una Entidad NCV que actúa como Responsable del Tratamiento desee subcontratar la
prestación de servicios a un Encargado del Tratamiento (ya sea una Entidad NCV o no), en
primer lugar se utilizará solo Procesadores de datos que brinden garantías suficientes para
implementar las medidas técnicas y organizativas apropiadas en tal de manera que el
Tratamiento cumpla con los requisitos del RGPD y garantice la protección de los derechos de
los Interesados.
Dicho Tratamiento por parte del Encargado del Tratamiento, en nombre del Responsable del
Tratamiento, se regirá por un contrato u otro acto legal conforme a las leyes europeas, que sea
vinculante para el Encargado del Tratamiento con respecto al Responsable del Tratamiento y
que establezca el objeto y duración del Tratamiento, la naturaleza y el propósito del Tratamiento,
el tipo de Datos personales y categorías de sujetos de datos y las obligaciones y derechos del
Responsable del Tratamiento. Ese contrato, que puede basarse, total o parcialmente,sobre
cláusula contractual estándars, estipulará, al menos, las obligaciones establecidas en Política
de PROSEGUR sobre Selección y Evaluación de Proveedores, adjunta como Anexo 5.
• Las Entidades NCVs sólo contratarán Subencargados que ofrezcan las garantías suficientes
para implantar las medidas técnicas y organizativas adecuadas de forma que el Tratamiento
cumpla con los requisitos establecidos en la Normativa Europea de Protección de Datos y en
las presentes NCVs, asegurando la protección de los derechos de los Interesados.
Adicionalmente, dicho Subencargado del Tratamiento, al igual que el Encargado del
Tratamiento, no tratará ni almacenará los Datos fuera del Espacio Económico Europeo sin
contar con las garantías adecuadas establecidas en la Normativa Europea de Protección de
Datos.
A los efectos anteriores, las Entidades NCVs deberán observar y dar cumplimiento a las normas
de PROSEGUR en materia de Selección y Evaluación de Proveedores, adjunta como Anexo 5.
• Adicionalmente, Entidades NCV, Encargadas del Tratamiento, serán responsables ante el
Responsable del Tratamiento, y responderán del efectivo cumplimiento de las obligaciones en
materia de protección de datos por parte del Subencargado del Tratamiento.
• La Encargado del Tratamiento es responsable ante el Responsable del tratamiento y es
responsable del cumplimiento por parte del Subencargado del Tratamiento con las obligaciones
de protección de datos.
• El Encargado del Tratamiento se compromete a notificar al Responsable del Tratamiento, con
anticipación y por medios certificables, de cualquier cambio planificado en términos de agregar
o reemplazar Procesadores de datos, dando al Responsable del Tratamiento la oportunidad de
oponerse a dichos cambios.
• Para los fines anteriores, las Entidades de las NCV deberán observar y cumplir con la Política
de Selección y Evaluación de Proveedores de PROSEGUR, que se adjunta como Anexo 5.
También se deberá observar lo dispuesto en la Cláusula 5.4 de estas NCV.
5.3.6. Violaciones de seguridad de Datos personales
SISTEMA 3P
• En caso de que se produzca o se sospeche que se haya producido una Violación de Seguridad
que pueda afectar a los Datos personales, la persona que la haya detectado deberá ponerlo en
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 10
ÁREA DE COMPLIANCE
conocimiento inmediato del Delegado de Protección de Datos del Grupo, de conformidad con lo
establecido en el Protocolo de Gestión y Notificación de Brechas de Seguridad, adjunto como
Anexo 6.
• Entre otras obligaciones, toda violación de la seguridad de datos personales deberá ser
documentada por escrito, quedando a disposición de la(s) Autoridad(es) de Control
competente(s).
• Las Entidades NCVs que actúen como Responsables del Tratamiento deberán notificar las
Quiebras de la Seguridad de Datos personales a la Autoridad de Control competente, a menos
que sea improbable que dichas Quiebras de la Seguridad de Datos personales constituyan un
riesgo para los derechos y libertades de las personas físicas. La notificación deberá ser
realizada sin dilación indebida y, de ser posible, en el plazo de 72 horas desde que el
Responsable del Tratamiento haya tenido constancia de la Quiebra de la Seguridad de Datos
personales. Deberá igualmente comunicarse a los Interesados, sin dilación indebida, cuando
sea probable que la Quiebra de la Seguridad de Datos personales implique un alto riesgo para
sus derechos y libertades.
• Cuando una Entidad NCV, implicada en la Quiebra de la Seguridad de Datos personales, tenga
la consideración de Encargado del Tratamiento, deberá informar al Delegado de Protección de
Datos del Grupo, siendo éste último quien notificará al Responsable del Tratamiento, lo más
pronto posible, para que se pueda proceder a las notificaciones requeridas por la Normativa
Europea de Protección de Datos, en caso de que procedan.
5.3.7. Registro de actividades de Tratamiento (RAT)
• Las Entidades NCVs deberán disponer de un Registro de las Actividades del Tratamiento (RAT)
de Datos personales efectuadas bajo su responsabilidad y mantenerlo actualizado. Dicho RAT
deberá contener información sobre:
a) el nombre y los datos de contacto del Responsable del tratamiento, el representante del
responsable y el Delegado de Protección de Datos Local o del Grupo;
b) Los fines del Tratamiento;
c) una descripción de las categorías de sujetos de datos y las categorías de Datos
personales;
d) las categorías de destinatarios a los que los Datos personales están divulgado, incluidos
los destinatarios en terceros países y organizaciones internacionales;
e) en su caso, las Comunicaciones de Datos fuera del Espacio Económico Europeo, incluida
la identificación del Tercer País u organización internacional de destino de los Datos y,
en su caso, la documentación de garantías adecuadas;
SISTEMA 3P
f) cuando sea posible, los plazos previstos para la eliminación de las diferentes categorías
de datos;
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 11
ÁREA DE COMPLIANCE
g) cuando sea posible, una descripción general de las medidas de seguridad técnicas y
organizativas a las que se hace referencia en la Cláusula 5.3.4 de estas NCV.
5.3.8. Evaluaciones de impacto en la privacidad
• Las Entidades NCV llevarán a cabo una Evaluación de Impacto de Protección de Datos (en
adelante, "EIPD") antes de iniciar el Tratamiento de Datos personales, cuando un tipo particular
de Tratamiento implique un alto riesgo para los derechos y libertades de los Interesados.
• Dichas evaluaciones deberán ser elaboradas según la metodología establecida por
PROSEGUR, con el asesoramiento del Delegado de Protección de Datos del Grupo o Local,
cuando haya sido designado. Su finalidad es evaluar la necesidad y proporcionalidad del
Tratamiento, identificar los riesgos y establecer las medidas necesarias para mitigarlos.
• Para tal efecto, las Entidades NCVs deberán observar y cumplir con el Protocolo de Gestión
EIPD de PROSEGUR, que se adjunta como Anexo 7.
• Cuando, después de realizar una EIPD, una Entidad NCV identifique un riesgo alto que no pueda
ser mitigado, deberá consultar a la Autoridad de Control correspondiente, antes de realizar el
Tratamiento previsto. La Autoridad de Control correspondiente podrá emitir recomendaciones o
ejercer cualquier otro de los poderes que la normativa aplicable le confiera; incluido, entre otros,
el de limitar o prohibir el Tratamiento en cuestión.
5.4. Requisitos para la divulgación de Datos personales
5.4.1. Transferencias internacionales de datos
• Los exportadores de datos no pueden realizar TID antes de asegurarse de que:
o el Importador de Datos está sujeto y puede cumplir con estas NCV; y / o
o el TID está permitido por la Protección de Datos Europea Leys, y el TID cumple con dichas
normas.
5.4.2. Transferencias Ulteriores
5.4.2.1
Cuando el Destinatario sea una Entidad NCV
• Con carácter general, deberán cumplirse y observarse los requisitos establecidos en la Cláusula
5.4.1 anterior. En caso de duda, el Importador de Datos deberá informar y recabar la
autorización expresa por parte del Exportador de Datos.
5.4.2.2
Cuando el destinatario no es una entidad NCV
SISTEMA 3P
• Con carácter general, el Importador de Datos deberá informar, recabar la autorización expresa
por parte del Exportador de Datos y formalizar las Cláusulas Contractuales Tipo para la
Transferencia de Datos personales, adoptadas por la Comisión Europea.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 12
ÁREA DE COMPLIANCE
5.4.3. Relaciones con el Encargado del Tratamiento
• Cuando los datos divulgaciones se basan en una relación de Encargado del Tratamiento, esta
relación deberá ser ejecutado en escrito, basado en el PROSEGUR´s Plantilla de acuerdo de
Encargado del Tratamiento y teniendo en cuenta la Política de Selección y Evaluación de
Proveedores, que se adjunta como Anexo 5.
5.5. Derechos de los interesados
5.5.1. Los Interesados tienen obligación de información hacia el
Objetos de Datos personales, como aparece aquí detallado:
a) Cuando se recopilen Datos personales del interesado, en el momento en que se obtengan
los Datos personales, Los interesados deberán recibir toda la siguiente información:
(i) la identidad y los datos de contacto del Responsable y, en su caso, del representante del
Responsable; (ii) los datos de contacto del Delegado de Protección de Datos, en su caso;
(iii) los fines del Tratamiento para los que están destinados los Datos personales, así como
la base legal para el Tratamiento; (iv) cuando el Tratamiento se base en el interés legítimo,
los intereses legítimos perseguidos por el Controlador o por un Tercero; (v) los destinatarios
o categorías de destinatarios de los Datos personales, si los hubiera; (vi) cuando
corresponda,
Además de la información anterior, el controlador deberá, en el momento en que se
obtengan los Datos personales, proporcionar al interesado la siguiente información adicional
necesaria para garantizar un Tratamiento justo y transparente: (i) el período durante el cual
se almacenarán los Datos personales, o si eso no es posible, los criterios utilizados para
determinar ese período; (ii) la existencia del derecho a solicitar al Responsable el acceso y
la rectificación o supresión de los Datos personales o la restricción del tratamiento en
relación con el interesado u oponerse al tratamiento, así como el derecho a la portabilidad
de los datos; (iii) cuando el tratamiento se base en el legítimo interés del consentimiento del
Interesado, la existencia del derecho a retirar el consentimiento en cualquier momento, sin
afectar la licitud del tratamiento basado en el consentimiento antes de su retirada; (iv) el
derecho a presentar una denuncia ante una Autoridad supervisora; (v) si el suministro de
Datos personales es un requisito legal o contractual, o un requisito necesario para celebrar
un contrato, así como si el interesado está obligado a proporcionar los Datos personales y
las posibles consecuencias de no proporcionarlos datos; (vi) cuando aplicable, la existencia
de toma de decisiones automatizada, incluida la elaboración de perfiles y, al menos en esos
casos, información significativa sobre la lógica involucrada, así como la importancia y las
consecuencias previstas de dicho Tratamiento para el Interesado.
SISTEMA 3P
Finalmente, cuando el Controlador tenga la intención de seguir procesando los Datos
personales para un propósito diferente al que se recopilaron los Datos personales, el
Controlador proporcionará al Sujeto de datos antes de ese Tratamiento adicional información
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 13
ÁREA DE COMPLIANCE
sobre ese otro propósito y cualquier información adicional relevante como referido
anteriormente.
b) Dónde están los Datos personales no recopilados del interesado, Los interesados deberán
recibir toda la siguiente información:
(i) la identidad y los datos de contacto del Responsable y, en su caso, del representante del
Responsable; (ii) los datos de contacto del Delegado de Protección de Datos, en su caso;
(iii) los fines del Tratamiento para los que están destinados los Datos personales, así como
la base legal para el Tratamiento; (iv)la categorías de Datos personales preocupado; (v) los
destinatarios o categorías de destinatarios de los Datos personales, si los hubiera; (vi) en su
caso, el hecho de que el Responsable tiene la intención de transferir Datos personales a un
tercer país o organización internacional y la existencia o ausencia de una decisión de
adecuación o la referencia a las salvaguardias apropiadas o adecuadas y los medios por los
cuales obtener una copia de las mismas o donde se hayan puesto a disposición.
Además de la información anterior, el controlador deberá, en el momento en que se
obtengan los Datos personales, proporcionar al interesado la siguiente información adicional
necesaria para garantizar un Tratamiento justo y transparente: (i) el período durante el cual
se almacenarán los Datos personales, o si eso no es posible, los c riterios utilizados para
determinar ese período; (ii) cuando el Tratamiento se base en el interés legítimo del
Responsable, el intereses legítimos perseguidos por el Responsable o por un Tercero (IIi) la
existencia del derecho a solicitar al Responsable el acceso y la rectificación o supresión de
los Datos personales o la restricción del tratamiento en relación con el interesado u oponerse
al tratamiento, así como el derecho a la portabilidad de los datos; (iv) cuando el tratamiento
se basa en el legítimo interés o consentimiento del Interesado, la existencia del derecho a
retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento basado
en el consentimiento antes de su retirada; (v) el derecho a presentar una denuncia ante una
Autoridad supervisora;(vi) de qué fuente se originan los Datos personales y, si corresponde,
si provienen de fuentes de acceso público; (vii) la existencia de una toma de decisiones
automatizada, incluida la elaboración de perfiles y, al menos en esos casos, información
significativa sobre la lógica involucrada, así como la importancia y las consecuencias
previstas de dicho Tratamiento para el Interesado.
El controlador proporcionará la información en los párrafos anteriores: (a) dentro de un
período razonable después de obtener los Datos personales, pero a más tardar dentro de
un mes, teniendo en cuenta las circunstancias específicas en las que se procesan los Datos
personales; (b) si los Datos personales se van a utilizar para la comunicación con el Sujeto
de datos, a más tardar en el momento de la primera comunicación a ese Sujeto de datos; o
(c) si se prevé una divulgación a otro destinatario, a más tardar cuando se divulguen por
primera vez los Datos personales.
SISTEMA 3P
Cuando el controlador tenga la intención de procesar los Datos personales para un propósito
distinto al que se obtuvieron, el controlador proporcionará al sujeto de los datos antes de
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 14
ÁREA DE COMPLIANCE
ese Tratamiento adicional información sobre ese otro propósito y cualquier información
adicional relevante como se indica. a en el segundo párrafo de esta sección 5.5.1.B).
Los párrafos anteriores de esta sección 5.5.1.b) no se aplicará cuando y en la medida en
que: (i) el Interesado ya tenga la información; (ii) el suministro de dicha información resulte
imposible o suponga un esfuerzo desproporcionado, en particular para el Tratamiento con
fines de archivo en interés público, fines de investigación científica o histórica o fines
estadísticos o en la medida en que la obligación mencionada en el primer párrafo del Es
probable que esta sección b) haga imposible o perjudique gravemente el logro de los
objetivos de ese Tratamiento. En tales casos, el Controlador tomará las medidas adecuadas
para proteger los derechos y libertades y los intereses legítimos del Interesado, incluida la
puesta a disposición del público de la información; (iii) la obtención o divulgación está
expresamente establecida por la Normativa Europea, que está sujeto al controlador y que
proporciona las medidas adecuadas para proteger los intereses legítimos del interesado; o
(iv) cuando los Datos personales se mantendrán confidenciales sujetos a una obligación de
secreto profesional regulada por la Normativa Europa incluida como una obligación legal de
secreto.
5.5.2. Los interesados pueden ejercer los siguientes derechos:
(i) Acceso: confirme si se están procesando o no los Datos personales que les conciernen,
y solicite información sobre qué Datos personales específicos sobre ellos están
involucrados, qué Tratamiento se lleva a cabo y cuál es la fuente de los datos.
(ii) Rectificación: exigir corrección, cumplimentación y / o actualización de datos inexactos o
incompletos.
(iii) Supresión: exigir la supresión de los Datos personales que les conciernen, sin dilación
indebida en los casos autorizados por la Protección de Datos Europea. Ley.
(iv) Objeción: exigir la terminación del Tratamiento de sus Datos personales, en cualquier
momento, por motivos relacionados con su situación particular, cuando se produzca dicho
Tratamiento, ya sea por la necesidad de llevar a cabo una misión de interés público o en el
ejercicio de los poderes públicos, o por la necesidad de satisfacer un interés legítimo del
Responsable del tratamiento.
(v) Restricción al Tratamiento: exigir límites al Tratamiento de sus datos en los casos
autorizados por la Protección de Datos Europea. Ley.
SISTEMA 3P
(vi) Portabilidad de datos: recibir Datos personales en un formato estructurado, de uso
común y legible mecánicamente, y transmitirlos a otro responsable del tratamiento, sin
obstáculos. El interesado puede almacenar estos datos para un uso profesional posterior o
solicitar que se transmitan directamente de responsable a responsable, cuando sea
técnicamente posible.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 15
ÁREA DE COMPLIANCE
5.5.3. Los interesados deberán no ser objeto de una decisión basada únicamente en el
Tratamiento automatizado de sus Datos personales, como la creación de perfiles, que tenga
efectos legales sobre ellos o les afecte significativamente de forma similar ("decisiones
individuales automatizadas"), salvo que sea aplicable cualquiera de los siguiente
excepciones: la decisión (i) la decisión es necesaria para celebrar o ejecutar un contrato
entre el interesado y un responsable del tratamiento; (ii) la decisión está autorizada por la
Ley europea a la que está sujeto el Responsable y que también establece las medidas
adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado;
o (iii) la decisión se basa en el consentimiento explícito del Interesado.
En las excepciones mencionadas en los puntos (i) y (iii) anteriores, el Responsable del
Tratamiento implementará las medidas adecuadas para salvaguardar los derechos y
libertades y los intereses legítimos del Sujeto de datos, al menos el derecho a obtener la
intervención humana por parte del Controlador, para expresar su punto de vista y impugnar
la decisión.
Además, las decisiones en virtud de las excepciones (i) a (iii) no se basarán en categorías
de datos especiales, a menos que existan medidas adecuadas para salvaguardar los
derechos y libertades y los intereses legítimos del interesado y se aplique cualquiera de las
siguientes condiciones: (a ) el interesado ha dado su consentimiento explícito para el
Tratamiento de esos Datos personales para uno o más fines específicos, excepto cuando la
legislación europea disponga que el interesado no puede levantar la prohibición; o (b) el
Tratamiento es necesario por razones de interés público sustancial, sobre la base del
Derecho europeo, que será proporcionado al objetivo perseguido, respetará la esencia del
derecho a la protección de datos y preverá medidas adecuadas y específicas para
salvaguardar los derechos e intereses del Interesado.
5.5.4. Los interesados tienen derecho a presentar una reclamación ante la Autoridad de Control
competente, si consideran que el tratamiento de sus datos personales infringe la Ley
Europea de Protección de Datos. El interesado puede elegir la Autoridad de Control (i) en el
Estado miembro de su residencia habitual; (ii) en el Estado miembro donde tiene el lugar de
trabajo; o (iii) en el Estado miembro donde se produjo la presunta infracción.
5.5.5. Los interesados tienen derecho a interponer un recurso judicial efectivo en relación con:
(i) Autoridades de supervisión: relacionadas con una decisión legalmente vinculante que les
afecta., emitidas por dichas autoridades, o cuando estas autoridades no tramiten una
reclamación o no informen al Interesado sobre el proceso o el resultado de la reclamación,
de conformidad con las disposiciones de la Protección de Datos Europea Ley. Las acciones
se interpondrán ante los tribunales del Estado miembro en el que el De supervisor Se
establece la autoridad.
SISTEMA 3P
(ii) Procesadores o controladores de datos: cuando Sujetos de los datos considerar que los
derechos amparados por la protección de datos europea Ley han sido violados como
resultado del Tratamiento de sus Datos personales y sin perjuicio de cualquier recurso
administrativo o extrajudicial disponible. Se iniciarán procedimientos contra un Responsable
del Tratamiento o un Encargado del Tratamiento, a elección del Interesado, a nte los
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 16
ÁREA DE COMPLIANCE
tribunales del Estado miembro en el que el responsable del tratamiento o el encargado del
tratamiento tiene un establecimiento o ante los tribunales del Estado miembro donde el
interesado tiene su/su residencia habitual.
5.5.6. Los interesados podrán ejercer los derechos indicados en los apartados 5.5.2 y 5.5.3
mediante solicitud escrita, dirigida a la dirección postal de la entidad BCR que actúa como
responsable
del
tratamiento,
o
a
la
dirección
de
correo
electrónico
[email protected]. Si el Responsable del Tratamiento tiene dudas
razonables sobre la identidad del Titular de los Datos que realiza la solicitud, podrá solicitar
que se le facilite la información adicional necesaria para confirmar la identidad del Titular de
los Datos (por ejemplo, una copia de su DNI/pasaporte u otra documentación que acredite
su identidad).
Los interesados deben recibir una respuesta a los derechos que ejercen en el plazo de un
(1) mes desde la recepción de la solicitud. Este plazo podrá prorrogarse por otros dos (2)
meses, cuando sea necesario, en función de la complejidad y el número de solicitudes
recibidas. El interesado deberá ser informado de dicha prórroga en el plazo de un (1) mes a
partir de la recepción de la solicitud, indicando los motivos del retraso.
5.6. Derechos de terceros beneficiarios
• Las Entidades NCVs expresamente estar de acuerdo y aceptar que los interesados tener el
derecho de hacer cumplir esta cláusula y las cláusulas 5.3.1, 5.3.2, 5.3.3, 5.3.5, 5.3.6, 5.4, 5.5,
5.6, 5.7, 5.8.5, 5.9, 5.10 y 5.11 de estas NCV como terceros-beneficiarios del partido.
5.7. Reclamación(es)
• Sin perjuicio de lo dispuesto en la Cláusula 7 de estas NCV, los Interesados pueden ejercer sus
derechos o presentar una reclamación con respecto al Tratamiento de sus Datos por las
Entidades de las NCV, enviando una solicitud por escrito a la dirección de correo electrónico
[email protected].
Si el Responsable del Tratamiento tiene dudas razonables con respecto a la identidad del
sujeto de datos que realiza la solicitud, entonces el Responsable del Tratamiento puede
solicitar el suministro de información adicional necesaria para confirmar la identidad del
sujeto de datos (por ejemplo, una copia de su identificación / pasaporte u otra documentación
en prueba de su identidad).
SISTEMA 3P
• Las Entidades del BCRs tramitarán las solicitudes recibidas e investigarán las cuestiones
alegadas en las mismas, debiendo proporcionar a los Titulares de los Datos una respuesta a su
solicitud en el plazo de un (1) mes desde su recepción. Este plazo podrá prorrogarse por otros
dos (2) meses, cuando sea necesario, en función de la complejidad y el número de solicitudes
recibidas. El interesado deberá ser informado de dicha prórroga en el plazo de un (1) mes a
partir de la recepción de la solicitud, indicando los motivos de la misma.Los interesados. Se
proporcionará a los interesados una respuesta, aceptando o rechazando la solicitud. Asimismo,
se informará a los interesados de que, en caso de no estar satisfechos con la respuesta recibida,
tienen derecho a presentar una reclamación ante la Autoridad de Control competente, así como
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 17
ÁREA DE COMPLIANCE
a interponer un recurso judicial efectivo, tal como se explica en las cláusulas 5.5.4 y 5.5.5.ii)
anteriores.
• Las Entidades NCVs deberán cumplir con las disposiciones del Protoc olo de Gestión de
Reclamaciones y Solicitudes de NCV, que se adjunta como Anexo 8.
5.8. Acciones para aplicar NCV
5.8.1. Formación de personal
• Como parte del compromiso del Grupo PROSEGUR con el cumplimiento de la privacidad,
anualmente se realizan cursos de formación y sensibilización al personal.
• Las Entidades NCV y los Delegados Locales de Protección de Datos, con el apoyo del Delegado
de Protección de Datos del Grupo, son los responsables de definir el formato de los cursos de
formación y sensibilización (presenciales u online), así como la frecuencia de los cursos de
formación.
• Específicamente, anualmente, se llevan a cabo las siguientes sesiones de capacitación y
concientización: (i) una sesión general sobre temas de privacidad; y (ii) una sesión específica
sobre NCV.
La sesión general sobre temas de privacidad cubre, entre otros, cómo la privacidad impacta
la actividad de PROSEGUR y sus empleados y las políticas y reglas aprobadas dentro del
Grupo PROSEGUR.
La sesión específica sobre cuestiones de NCV cubre el contenido de estas NCV, incluidos
los anexos pertinentes.
• Las sesiones de formación y sensibilización se realizan a través de la Plataforma Online de la
Universidad Prosegur, accesible a través de la Intranet del Grupo PROSEGUR. Los contenidos
de las sesiones de formación y sensibilización son una mezcla de teoría y práctica, incluido un
cuestionario de evaluación que se debe aprobar (por ejemplo, respuestas correctas 7 de 10)
para considerar el curso "asistido y completado". A través de la plataforma online, la Universidad
Prosegur gestiona las solicitudes a los empleados para asistir al curso, los recordatorios, los
asistentes y los que han realizado cada curso.
• Además, el personal es dado acceso a las políticas internas de PROSEGUR sobre protección
de Datos personales y seguridad de la información, así como al contenido de estas NCV. Esta
informaciones incluidos en los materiales entregados al personal en el momento de la
incorporación, publicados en la intranet de las Entidades PROSEGUR y NCV y promocionados
a través de notificaciones.
5.8.2. Monitoreo de cumplimiento de NCV
SISTEMA 3P
• El Delegado de Protección de Datos del Grupo y el Protección de Datos Comité están
responsable de supervisar la implementación de estas NCV, con el apoyo del Delegado de
Protección de Datos Local/Local Oficial de cumplimiento y es apoyado en esta tarea por los
órganos de dirección de las Entidades del NCV.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 18
ÁREA DE COMPLIANCE
• El designado Datos locales Oficiales de protección/Local Oficiales de cumplimiento tendré, entre
otros, los siguientes deberes:
(i)
Informar y asesorar a las NCV Entidades y personal que llevan a cabo el Tratamiento
sobre sus obligaciones bajo las NCV y la Protección de Datos Europea. Ley. El delegado
local de protección de datos/Local Oficial de cumplimiento es Responde directamente
al más alto nivel jerárquico de las Entidades de las NCV.
(ii) monitor la cumplimiento de las disposiciones de las NCV y de la Protección de Datos
Europea Ley, y con las políticas de PROSEGUR, incluyendo la asignación de
responsabilidades, sensibilización y capacitación del personal involucrado en las
operaciones de Tratamiento.
(iii) actuar como punto de contacto con el De supervisor Autoridades en temas relacionados
con las operaciones de Tratamiento de Datos y la implementación de NCV, así como la
cooperación con las investigaciones realizadas por las autoridades mencionadas.
(iv) revisar los informes de auditoría de protección de datos y supervisar la implementación
de las medidas correctivas propuestas allí en.
(v)
atender las solicitudes y quejas realizadas por los Interesados.
• El responsable de protección de datos del Grupo es responsable de mantener actualizadas
estas BCR y de informar de las actualizaciones a la(s) Autoridad(es) de Control pertinente(s),
así como de informar anualmente del estado de aplicación de las BCR. Los responsables locales
de protección de datos/responsables locales de cumplimiento informarán trimestralmente al
responsable de protección de datos del Grupo sobre las medidas adoptadas a nivel local.
5.8.3. Verificación del cumplimiento de NCV
• PROSEGUR ha adoptado un Programa de Auditoría, descrito en el Anexo 9, para verificar el
cumplimiento de estas NCV por parte de las Entidades de las NCV. Este programa establece la
frecuencia y periodos de revisión y auditorías, su alcance, acciones involucradas y medios, entre
otros aspectos.
• Los informes de los resultados de las revisiones y auditorías son notificados al Delegado de
Protección de Datos del Grupo y, en su caso, a el delegado local de protección de datos/
LoOficial de cumplimiento de cal y el órgano de administración de la Entidad NCV de que se
trate. Finalmente, los informes se notifican al Comité de Protección de Datos.
• En caso de incumplimiento de las NCV, los informes incluyen recomendaciones y medidas
correctivas a ser implementadas por la Entidad NCV correspondiente, dentro del plazo
específico previsto en las mismas. Si las recomendaciones y medidas correctivas no se
implementan debidamente, este hecho se informa al Consejo de Administración de
PROSEGUR, para que adopte las decisiones pertinentes; incluyendo, entre otros, la exclusión
de la Entidad NCV del alcance de las NCV.
SISTEMA 3P
• De supervisor Las autoridades pueden requerir acceso a informes de auditoría y pueden realizar
auditorías de protección de datos en cualquiera de las Entidades de NCV.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 19
ÁREA DE COMPLIANCE
5.8.4. Actualización de las NCV
• NCV están revisado y actualizado, cuando se produzcan cambios, ya sea en la protección de
datos europea Leyo en cualquiera de los contenidos de las NCV (incluidos sus Anexos).
Delegado de Protección de Datos del Grupo es responsable de revisar periódicamente las NCV
y realizar los cambios necesarios para mantenerlas actualizadas, y para ello debe hacer lo
siguiente:
(i)
Mantener un registro actualizado de las Entidades NCV y las actualizaciones de la NCV
y mostrar dichos detalles en las NCV;
(ii) monitorear los cambios regulatorios, registrándolos y agregándolos al NCV;
(iii) proporcionar la información necesaria a los interesados y/o De supervisor Autoridades,
según sea necesario.
• Los cambios en las NCV (que incluyen, entre otros, la lista de Entidades NCV) se informan a
todas las Entidades NCV sin demora indebida.
• Los cambios en las NCV o en la lista de Entidades de NCV se informan a las Autoridades de
Supervisión, a través de la Autoridad de Supervisión Principal, una vez al año junto con una
explicación de las razones. Cuando los cambios en las NCV posiblemente afecten el nivel de
protección ofrecido por las NCV o afecten significativamente a las NCV, dichos cambios deben
notificarse de inmediato a las Autoridades de Supervisión competentes, a través de la Autoridad
de Supervisión Principal.
5.8.5. Información a los Interesados
• Las NCVs serán informadas a los Interesados a través de los siguientes medios:
(i)
publicación en los páginas web oficiales de las Entidades PROSEGUR y NCV;
(ii) publicación en la intranet de las Entidades PROSEGUR y NCVs;
(iii) inclusión de referencias a NCV en cláusulas de información sobre protección de datos
con relación a contratos, formularios, políticas, manuales y anuncios.
Los documentos contenidos proporcionados a los interesados están: (i) el Política sobre
NCV; y (ii) Anexos 1 y 8.
• Todos los sujetos de datos que se benefician de los derechos de terceros beneficiarios están
proporcionado con la información detallado en la cláusula 5.5.1, donde aparece información
sobre sus derechos como tercero beneficiario en relación con el Tratamiento de sus Datos
personales y sobre los medios para ejercerlos, la cláusula relativa a la responsabilidad y las
cláusulas relativas a los principios de protección de datos.
SISTEMA 3P
La información anterior se proporcionará en su totalidad y un resumen no es suficiente.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 20
ÁREA DE COMPLIANCE
• Asimismo, los Interesados podrán solicitar una copia de las presentes NCVs mediante solicitud
por escrito, remitida a la siguiente dirección: [email protected].
5.9. Responsabilidad
• PROSEGUR es responsable con respecto a los Interesados por cualquier incumplimiento de las
disposiciones de estas NCV, que pueda ocurrir por parte de cualquiera de las Entidades de las
NCV. En todo caso, PROSEGUR se reserva el derecho de reincidencia frente a la Entidad NCV
incumplida y solicitar la indemnización de los daños y perjuicios que pudiera ocasionar.
• Asimismo, cada una de las Entidades de las NCV será responsable de las consecuencias de
cualquier incumplimiento de las obligaciones asumidas en virtud de estas NCV, debiendo asumir
las responsabilidades derivadas de dicho incumplimiento, incluidos los daños ocasionados a los
Interesados y / o PROSEGUR, en su caso. aplicable, de acuerdo con las leyes.
• Sin perjuicio de lo anterior, los exportadores de datos asumirán la plena responsabilidad por
cualquier infracción de estas NCV por parte de los importadores de datos y otras Entidades de
NCV ubicadas en terceros países, con respecto a los TID y Adelante Transferencias realizadas
por ellos y Procesos realizados como consecuencia de dichas transferencias. En este sentido,
los exportadores de datos se comprometen a indemnizar a los interesados por daños, materiales
o inmaterial, derivado de los incumplimientos de las NCV por parte de las Entidades de las NCV
establecidas en Terceros Países, y adoptar las medidas necesarias para remediarlos.
• Exportador de datos están exentos, total o parcialmente, de dicha responsabilidad cuando
pueda ser demostrado que el evento que causó los daños no es, de cualquier manera, bajo la
responsabilidad de el Importador de Datos u otras Entidades NCV en el caso de unnorte
Adelante Transferir. El Exportador de Datos asumirá la carga de probar que las NCV no han
sido violadas o que lasevento Causar el daño no es, de cualquier manera, bajo la
responsabilidad de la entidad o entidades en cuestión.
• Cuando un exportador de datos haya pagado una compensación por el daño causado por otra
entidad NCV, el exportador de datos tendrá derecho a reclamar a esa entidad el monto de la
compensación. ya pagado.
• En los casos en que la infracción de estas NCV haya sido cometida por una Entidad NCV
establecida en un tercer país, los tribunales u otras autoridades competentes de la Unión
Europea tendrán jurisdicción, y el Interesado tendrá los derechos y recursos correspondientes
contra el Exportador de datos. , como si la infracción se hubiera cometido en el Estado miembro
donde está establecido el exportador de datos y no en el país del importador de datos.
En este caso, Los procedimientos contra el exportador de datos se iniciarán, a elección del
interesado, ante los tribunales del Estado miembro donde el exportador de datos tiene un
establecimiento o ante los tribunales del Estado miembro donde el interesado tiene su
residencia habitual.
5.10. Comunicación y cooperación con De supervisor
Autoridades
SISTEMA 3P
5.10.1. Relación con el De supervisor Autoridades
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 21
ÁREA DE COMPLIANCE
• Las Entidades NCVs se comprometen a colaborar con las Autoridades de Control competentes
en todo lo que se refiere a la aplicación de las presentes NCVs y, en particular, a:
1. proporcionar toda la información requerida por las Autoridades de Control con respecto a
las NCVs y los Tratamientos sujetos a las mismas;
2. permitir ser auditados por las Autoridades de Control;
3. implementar las recomendaciones hechas por las Autoridades de Control;
4. proporcionar los informes de verificación del cumplimiento de NCV requeridos por las
Autoridades de Control;
5. comunicar los cambios en las NCV al De supervisor Autoridad.
5.10.2. Relación con la Normativa Local
• Los Datos personales deben ser procesados por las entidades NCV de acuerdo con las leyes
que se aplican a ellos.
• En ausencia de una protección de datos local ley, o donde tal ley establece un nivel de
protección menor al previsto en estas NCV, prevalecerán los derechos y obligaciones
estipulados en las NCV. De lo contrario, donde las leyes locales requieran un mayor nivel de
protección para los Datos personales, prevalecerá sobre las NCV.
• Cuando una Entidad NCV considere que la legislación local aplicable no le permite cumplir con
alguna de las obligaciones asumidas bajo las NCV, o tiene un efecto sustancial sobre las
garantías otorgadas por las NCV, informará inmediatamente a la PROSEGUR Sede en España
y el Delegado de Protección de Datos del Grupo, a menos que una prohibición legal le impida
realizar dicha notificación (por ejemplo, para preservar la confidencialidad de una investigación).
• Siempre que se produzca cualquier incompatibilidad con la normativa local que pueda derivar
en efectos adversos sustanciales sobre la aplicación de las garantías proporcionadas por las
NCVs, PROSEGUR deberá notificarlo a las Autoridades de Control competentes, incluyendo
cualesquiera solicitudes o requerimientos legalmente vinculantes para la Comunicación de
Datos personales por parte de una autoridad u organismo de seguridad del estado del país en
cuestión. Las Autoridades Competentes deberán ser claramente informadas sobre la solicitud
y, en particular, sobre los Datos solicitados, el organismo solicitante y la base legal para la
Comunicación, salvo que una prohibición legal le impida realizar dicha notificación.
SISTEMA 3P
• Si en casos específicos se prohíbe la suspensión y/o notificación, las Entidades NCVs que
hayan sido requeridas harán todo lo posible para obtener el derecho de renunciar a esta
prohibición de comunicación a las Autoridades Competentes tanta información como sea
posible, lo antes posible y poder demostrarlo. Cuando en dichos casos, a pesar de haber hecho
todo lo posible, las Entidades NCVs no puedan notificar a las Autoridades de Control
competentes, las Entidades NCVs se comprometen a proporcionar anualmente a las
Autoridades de Control competentes un informe general sobre las solicitudes o requerimientos
recibidos, incluyendo la cantidad de solicitudes o requerimientos de Comunicación, los tipos de
Datos solicitados y las autoridades u organismos solicitantes, siempre que sea posible.
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 22
ÁREA DE COMPLIANCE
• En cualquier caso, las Comunicaciones de Datos personales por parte de una Entidad NCV a
autoridades públicas no deberán ser masivas, desproporcionadas o indiscriminadas, de forma
que se limiten a lo necesario en una sociedad democrática para proteger intereses específicos
importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el
enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la
protección frente a las amenazas contra la seguridad pública y su prevención.
5.11. Gobernante ley y jurisdicción
5.11.1. Derecho aplicable
• Las NCV se regirán, aplicarán e interpretarán de conformidad con lo dispuesto en la legislación
española.
5.11.2. Controversias entre entidades NCV
• La Entidades NCV acuerda expresamente que la resolución de cualquier controversia que surja
de o en relación con la interpretación y / o ejecución de estas NCV será resuelta por los
tribunales de la ciudad de Madrid de acuerdo con las leyes de España, y renuncian
expresamente a cualquier otro fuero que les pueda corresponder en este sentido.
5.11.3. Disputas entre entidades NCV y sujetos de datos
• Los interesados pueden buscar recursos judiciales efectivos, a elección del interesado, ante los
tribunales del Estado miembro donde el exportador de datos tiene un establecimiento o ante los
tribunales del Estado miembro donde el interesado tiene su residencia habitual
5.12. Duración
• Las NCV entrarán en vigor el día de su aprobación y tendrán una duración indefinida.
SISTEMA 3P
6. Documentos Asociados al proceso
Código
Nombre
NG_GLO_CN_03
Política general de protección de datos
DS_GLO_CN_04
Documento de apoyo para el Protocolo
sobre el trato con los derechos de los
interesados
DS_GLO_CN_02
Documento de soporte para el
almacenamiento y destrucción de datos
DS_GLO_CN_01
Documento de apoyo para la selección y
evaluación de proveedores
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 23
SISTEMA 3P
ÁREA DE COMPLIANCE
DS_GLO_CN_03
Documento de soporte para el protocolo
de gestión EIPD
DS_GLO_CN_05
Documento de soporte para el Protocolo
de Gestión de Reclamaciones y
Solicitudes sobre NCV
DS_GLO_CN_07
Documento de soporte del Programa de
Auditoría Prosegur NCV
DS/GLO/LEG/10
Documento soporte Normas Corporativas
Vinculantes
NG_GLO_SI_01
Política general de seguridad de la
información
NE/GLO/SI/12
Política específica sobre requisitos de
seguridad de la información para
proyectos de nuevas tecnologías
NE/GLO/SI/08
Política específica sobre el uso del correo
electrónico
NE/GLO/SI/02
Política específica de uso de Internet
NE/GLO/SI/01
Política específica de escritorio limpio
NE_GLO_SI_04
Política específica de 3P sobre el uso
de contraseñas
NE/GLO/SI/03
Política específica de 3P sobre el uso
de recursos informáticos
NE_GLO_SI_05
Política específica de 3P sobre control
de acceso
NE/GLO/SI/06
Política 3P específica sobre acceso
remoto
NE/GLO/SI/07
Política de 3P específica sobre
almacenamiento compartido
NE_GLO_SI_09
Clasificación de la información
NE/GLO/SI/10
Política de 3P específica sobre la
creación de cuentas de servicio en
Active Directory
NE/GLO/SI/11
Política de 3P específica
sobre la creación de cuentas
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 24
ÁREA DE COMPLIANCE
ADM de Active Directory
NG_GLO_TI_03
Política general de 3P sobre
desarrollo y mantenimiento de
aplicaciones
7. Anexo
7.1. Anexo 1 - Entidades NCV
7.2. Anexo 2 - Mapa de Transferencias Internacionales de Datos
7.3. Anexo 3 - Política de Seguridad de la Información
7.4. Anexo 4 - Modelo de Gobierno de Cumplimiento en
Protección de Datos
7.5. Anexo 5 - Política de selección y evaluación de
proveedores
7.6. Anexo 6 - Protocolo de Gestión y Notificación de Brechas
de Seguridad
7.7. Anexo 7 - Protocolo de gestión EIPDs
7.8. Anexo 8 - Protocolo de Gestión de Reclamaciones y
Solicitudes de NCVs
SISTEMA 3P
7.9. Anexo 9 - Programa de Auditoría
Todos los contenidos (entendiendo por estos a título meramente enunciativo, información, marcas, nombres comerciales, signos distintivos,
textos, fotografías, gráficos, imágenes, iconos, tecnología, links y demás contenidos audiovisuales o sonoros, así como su di seño gráfico) de
este documento, son propiedad intelectual del Grupo Prosegur o de terceros, sin que puedan entenderse cedidos al destinatario ninguno de
los derechos de explotación reconocidos por la normativa vigente en materia de propiedad intelectual e industrial sobre los m ismos, salvo
aquellos que resulten estrictamente necesarios para la consulta del documento facilitado. Prosegur no asume ningún compromiso de
comprobar la veracidad, exactitud y actualidad de la información suministrada a través del documento.
Clasificación - Interna
NE/GLO/CN//01
Ed.01
13/05/2021
Página 25
Descargar