Normas Corporativas Vinculantes (BCR)

Las Normas Corporativas Vinculantes del Responsable (BCR-C) se aplican cuando CGI actúa como Responsable del tratamiento de Datos y cuando CGI actúa como Encargado del tratamiento de Datos en nombre de CGI, también conocido como Encargado Interno del tratamiento de Datos.

Descargar BCR-C

1 – Definiciones

A los efectos de estas Reglas Corporativas Vinculantes del Responsable (BCR-C), se aplican las siguientes definiciones:

“Legislación de protección de datos aplicable” se refiere a (i) el Reglamento General de Protección de Datos 2016/679 relativo al tratamiento de datos personales y (ii) cualquier ley de aplicación del Reglamento de Protección de Datos de la UE.

“CGI” se refiere, según sea el caso, a una, varias o todas las entidades legales participadas, controladas o propiedad de CGI Inc., así como a las unidades de negocio estratégicas y unidades de negocio que actúan en su nombre, que procesan datos personales y cuya adhesión a estas BCR-C no viola o es inconsistente con cualquier ley, reglamento, estatuto, orden judicial, normas obligatorias o compromisos vinculantes locales. Las entidades participadas por CGI se enumeran en el Apéndice A. Esta lista puede actualizarse de vez en cuando.

“Responsable del tratamiento” se refiere a cualquier entidad legal que, sola o conjuntamente con otros Responsables de datos, determina los fines y medios para el tratamiento de datos personales.

“Encargado del tratamiento” se refiere a cualquier entidad legal que actúe en nombre de un Responsable de datos.

“Interesado o titular de los datos” se refiere a una persona física identificada o identificable cuyos datos personales son procesados por CGI, incluido cualquier Miembro de CGI, consultor externo de CGI o empleados o usuarios finales de un cliente de CGI.

“Espacio Económico Europeo” or “EEE” se refiere a los Estados miembros de la UE (Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, República Checa, Rumanía y Suecia), así como a Noruega, Liechtenstein e Islandia, en lo sucesivo también denominados "Estados miembros".

“RGPD” significa el Reglamento Europeo 2016/679 titulado Reglamento General de Protección de Datos.

“Encargado del tratamiento de datos interno” se refiere a cualquier entidad de CGI enumerada en el Anexo A que actúe como Encargado de datos en nombre de otra entidad de CGI enumerada en el Anexo A que actúe como Responsable de datos.

“Legislación local” tiene el significado atribuido a dicha expresión en la Sección 13.5 de este documento.

“Miembro”, "Miembros” se refiere a Empleado(s) de CGI.

“Datos personales” se refiere a cualquier información relacionada a una persona física que pueda identificarla, directa o indirectamente, en particular por referencia a un identificador como un nombre, número de identificación, datos de ubicación, identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. Los datos personales incluyen datos personales Sensibles.

"Tratamiento", "tratar" o "Tratado" se refiere a cualquier operación o conjunto de operaciones realizadas en datos personales, ya sea por medios automatizados o no, como recopilar, registrar, organizar, estructurar, almacenar, adaptar, alterar, recuperar, consultar (incluido el acceso remoto), usar, divulgar transmitiendo, difundiendo o poniendo a disposición, alineando o combinando, restringiendo, borrando o destruyendo.

“Datos personales sensibles” se refiere a categorías específicas de datos personales que revelan el origen racial o étnico, la opinión política, las creencias religiosas o filosóficas o la afiliación sindical, así como el procesamiento de datos genéticos o biométricos con el fin de identificar de manera única a una persona física, los datos de salud y los datos relacionados con la vida sexual u orientación sexual de una persona física.

“Tercero/s” se refiere a los proveedores y subcontratistas de CGI, así como a cualquier otra entidad u organismo público al que se puedan divulgar datos personales.

“Transferencia de Datos Personales” se refiere a la transferencia de datos personales ubicados en el Espacio Económico Europeo (EEE) a un país ubicado fuera del EEE.

2 – Alcance

2.1 Actividades cubiertas

Estas Reglas Corporativas Vinculantes de Responsable(BCR-C) se aplican cuando CGI actúa como Responsable del tratamiento de Datos y cuando CGI actúa como Encargado del tratamiento de Datos en nombre de CGI, también conocido como Encargado Interno del tratamiento.

Las categorías de tratamiento, interesados y datos personales cubiertos por estas BCR-C se establecen en el Apéndice B.

2.2 2.2 Territorios cubiertos

Los principios contenidos en el presente documento se aplican a la Transferencia de datos personales en los siguientes casos:

• Desde una entidad CGI ubicada en el EEE a una entidad CGI ubicada fuera del EEE.
• Desde una entidad CGI ubicada fuera del EEE a una entidad CGI ubicada dentro o fuera del EEE, pero sólo en la medida en la que se traten datos personales de interesados que se encuentran en el EEE.
• Desde una entidad CGI ubicada en el EEE a terceros ubicados fuera del EEE
• De terceros ubicados fuera del EEE a una entidad CGI ubicada en el EEE, pero sólo en la medida en la que se traten datos personales de interesados que se encuentran en el EEE.

3 – Cumplimiento y responsabilidad con la Política de Privacidad de Datos

3.1 Responsabilidad de CGI

Estas BCR-C son vinculantes para CGI, incluidas todas las entidades legales participadas por CGI enumeradas en el Apéndice A.

Cada entidad CGI enumerada en el Apéndice A, actuando como Responsable del tratamiento de Datos o como Encargado Interno del tratamiento, será responsable de demostrar su cumplimiento con respecto a estas BCR-C.

3.2 Cumplimiento por los Miembros

Todos los Miembros de CGI (empleados) están obligados por estas BCR-C a través de la obligación, en todos los contratos de trabajo, de cumplir con las obligaciones de confidencialidad y privacidad aplicables, así como las políticas, procesos y estándares de CGI, según lo cubierto por el Código de Ética de CGI. Los Miembros de CGI, cuando corresponda, reconocerán anualmente estas BCR-C junto con el Código de Ética.

Como se detalla con más detalle en las Secciones 13.1 y 14 de las BCR-C, los Miembros de CGI son informados de las BCR a través de los canales de comunicación interna y mediante la formación correspondiente. Los miembros de CGI también son conscientes del hecho de que el incumplimiento del Código de Ética y, en este caso específico, de las BCR-C puede dar lugar a sanciones de acuerdo con las leyes locales aplicables.

3.3 Cumplimiento relacionado con proveedores y subcontratistas de CGI y otros terceros

Cualquier tercero que trate datos personales en nombre de CGI debe implementar las medidas organizativas adecuadas para garantizar el cumplimiento de los principios y requisitos de estas BCR-C.

Una entidad de CGI que actúe como Responsable del tratamiento de datos o como Encargado interno del tratamiento sólo permitirá que otras entidades de CGI o Terceros traten datos personales en su nombre cuando exista un contrato de encargo de tratamiento entre ellos que comprenda los requisitos establecidos en el Artículo 28.3 del RGPD.

4 – Principios básicos CGI del tratamiento de datos personales

4.1 El cumplimiento de los siguientes principios no sólo satisface o supera lo dispuesto por la legislación aplicable en materia de protección de datos, sino que también cumple con los más altos estándares y prácticas del mercado para el tratamiento de datos personales. Principios aplicables cuando CGI actúa como Responsable del tratamiento de datos

(i) Transparencia, equidad y legalidad

CGI tratará los datos personales de manera legal, justa y transparente en relación con interesado, de acuerdo con los requisitos de estas BCR-C y, en particular, las Secciones 4.1 y 13.

(ii) Definición de un propósito

Cualquier Tratamiento de datos personales por parte de CGI, en particular la recogida de los mismos, irá precedido de la identificación de la finalidad específica de dicho Tratamiento. Tal propósito debe ser explícito y legítimo. Los datos personales no pueden procesarse de manera incompatible con dicho propósito.

(iii) Minimización de datos

Una vez que se haya establecido el propósito para el tratamiento de datos personales, CGI solo recopilará datos personales en la medida requerida para lograr dicho propósito. Cada detalle del tratamiento se revisa como parte de las fases tempranas de diseño de la solución y se incluye dentro del proceso de revisión de privacidad o equivalente a fin de garantizar que los datos personales sean adecuados, relevantes y limitados a lo necesario en relación con el propósito para el que se tratan.

(iv) Calidad de los datos personales

A lo largo del ciclo de vida de cualquier tratamiento, CGI se asegurará de que los datos personales recogidos se mantengan correctos y actualizados. A tales efectos, se tomarán todas las medidas razonables para garantizar que los datos personales incorrectos sean borrados o rectificados sin demora, incluyendo, entre otras, opciones de autoservicio para los interesados. En particular, CGI proporcionará los medios adecuados a los interesados para informar a CGI en caso de cualquier cambio en sus datos personales.

CGI implementará auditorías no programadas, tal como se define más adelante en la Sección 15.

(v) Limitación en la retención de datos

CGI se asegurará de no retener los datos personales durante un período más largo del estrictamente necesario para el propósito para el cual se recogen los datos personales. En consecuencia, CGI determinará un período de retención apropiado antes de comenzar el tratamiento. Al hacerlo, CGI considerará el tiempo durante el cual los datos personales son necesarios para lograr el propósito del tratamiento, teniendo en cuenta los siguientes factores:

• Período después del cual el mantenimiento de dichos datos personales puede tener un impacto en derecho al olvido del interesado;
• Cualquier obligación legal que imponga un período mínimo de retención de datos, como se puede definir en la Política de retención de registros de CGI y en el Programa de retención de registros o equivalente.

(vi) Medidas de seguridad

CGI implementará medidas operativas y técnicas apropiadas, equivalentes a las prescritas en las políticas y estándares de seguridad de CGI, para protegerse contra el acceso ilegal, pérdida, destrucción, alteración y / o tratamiento de sus datos personales.

En particular, CGI otorgará a los Miembros acceso a los datos personales sólo cuando sea necesario para realizar las tareas asignadas de acuerdo con el propósito para el cual se tratan esos datos personales.

En caso de acceso y/o tratamiento ilícito, CGI cumplirá con su Política de Seguridad de la Información y procedimientos relacionados.

(vii) (vii) Definición de una base jurídica

Además de los principios indicados, el tratamiento sólo puede realizarse cuando:

• Éste sea necesario para cumplir con una obligación legal aplicable a CGI (por ejemplo, informar datos a las autoridades fiscales); o
• Éste sea necesario en el cumplimiento de un contrato con un interesado (por ejemplo, contrato de trabajo); o
• En ausencia de contrato con un interesado, el tratamiento sea necesario para el interés legítimo de CGI, el cual se evaluará teniendo en cuenta los intereses del interesado. Existe un interés legítimo si:
  1. El tratamiento es necesario para conseguir el interés legítimo perseguido por CGI sin afectar negativamente los intereses del interesado,
  2. El interés de CGI no sea anulado por los derechos o intereses fundamentales de los interesados, y
  3. CGI cumpla con la legislación aplicable y sus obligaciones de una manera transparente.

Por lo tanto, dicho interés legítimo se determinará a la luz de la actividad principal de CGI y de la legislación aplicable, así como de cualquier impacto negativo en la privacidad de los interesados.

• Cuando el tratamiento no recaiga bajo ninguno de las anteriores bases de legitimación, CGI deberá obtener el consentimiento previo del interesado antes de tratar sus Datos Personales. El consentimiento es válido cuando:
  • Es dado libremente mediante una clara declaración afirmativa;
  • Representa una indicación específica, informada e inequívoca del acuerdo del interesado respecto del Tratamiento de sus datos personales.

El Tratamiento de datos personales por parte de CGI se considera lícito cuando dicho Tratamiento es necesario para el interés vital del interesado o cuando el Tratamiento es necesario para el desempeño de una actividad realizada en aras interés público, siguiendo la Legislación de Protección de Datos Aplicable.

5 – Tratamiento de datos personales sensibles

El Tratamiento de datos personales Sensibles requiere que se implementen garantías reforzadas, como se describe a continuación.

CGI tratará datos personales sensibles sólo cuando sea estrictamente necesario. Al tratar datos personales sensibles en su propio nombre, CGI se asegurará de que se cumpla al menos una de las siguientes condiciones:

• El interesado ha dado su consentimiento previo;
• El tratamiento es necesario para el propósito de cumplir con las obligaciones y ejercer los derechos específicos del Responsable o del interesado en el campo del derecho laboral y de seguridad social y previsión de riesgos laborales;
• Si el interesado no está en situación de dar su consentimiento (por ejemplo, por razones médicas), el tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona;
• El tratamiento es necesario en el contexto de la medicina preventiva o el diagnóstico médico por un profesional de la salud según la legislación nacional;
• El interesado ya ha puesto manifiestamente los datos personales Sensibles en el dominio público;
• El tratamiento es esencial para el propósito de establecer, ejercer o defender reclamos legales, siempre que no haya motivos para suponer que el interesado tiene un interés legítimo primordial en garantizar que dichos datos personales Sensibles no sean tratados; o
• El tratamiento está explícitamente permitido por las leyes del EEE / Estados miembros (por ejemplo, registro / protección de grupos minoritarios).

En cualquier caso, CGI tratará los datos personales sensibles de acuerdo con la legislación de protección de datos aplicable. Cuando dicha ley requiera condiciones específicas de alojamiento y tratamiento, CGI obtendrá la certificación o calificación requerida o utilizará un tercero ya certificado o calificado para tal fin.

6 – Transferencia de datos personales a terceros países

Una transferencia de datos personales ocurre cuando una entidad ubicada fuera del EEE está involucrada en el tratamiento realizado por una entidad ubicada en el EEE.

Una transferencia de datos personales puede requerir garantías o condiciones adicionales, como se describe a continuación.

6.1 Transferencia de datos personales dentro de CGI

Estas BCR-C proporcionan las salvaguardas adecuadas con respecto a cualquier Transferencia de datos personales que se realicen:

• Desde una entidad CGI ubicada en el EEE actuando como Responsable del tratamiento de Datos a una entidad CGI ubicada fuera del EEE actuando como Responsable del tratamiento de Datos o como Encargado Interno del tratamiento;
• Desde una entidad CGI ubicada fuera del EEE que actúa como Responsable del tratamiento de datos y trata datos personales que caen dentro del alcance de estas BCR-C, a una entidad CGI que actúa como Responsable del tratamiento de datos o como Encargado Interno del tratamiento de datos, donde sea que se encuentre.

Los propósitos esperados de dicha Transferencia de datos personales se definen en la Sección 2.1 anterior.

6.2 Transferencia de Datos Personales fuera de CGI

Cuando se produzca una Transferencia de datos personales entre una entidad CGI ubicada en el EEE y un Tercero ubicado fuera del EEE, la Transferencia de datos personales incluirá una de las siguientes salvaguardas apropiadas, según corresponda:

• La adopción por ambas partes de las cláusulas modelo de la UE resultantes de la Decisión de Ejecución (UE) 2021/914 de la Comisión de la UE, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
• Cualquier otra salvaguarda apropiada reconocida por la Legislación de Protección de Datos Aplicable que requiera el mismo nivel de protección de datos personales uno o superior al contemplado en el Reglamento Europeo de Protección de Datos 2016/679, como una decisión de adecuación, un código de conducta aprobado o un mecanismo de certificación adecuado.

Cualquier otro flujo de información personal que no sea un dato personal y que no proceda de una entidad ubicada en el EEE no se considera una transferencia de datos personales en virtud de estas BCR-C. En consecuencia, dicha transferencia no está sujeta a los requisitos contenidos en el presente documento. Sin embargo, la entidad CGI involucrada en dichas transferencias implementará todas las medidas técnicas y organizativas necesarias y razonables acordes con los riesgos asociados a dicho tratamiento, de acuerdo con estas BCR-C y las políticas de seguridad de CGI aplicables.

7 – Derechos de terceros beneficiarios

7.1 Cuando CGI actúa como Responsable del tratamiento de datos

En caso de incumplimiento de estas BCR-C por parte de CGI, los interesados tienen derecho a hacer cumplir las siguientes disposiciones de estas BCR-C como terceros beneficiarios:

• Section 4: PRINCIPIOS BÁSICOS DE CGI AL TRATAR DATOS PERSONALES
• Section 5: TRATAMIENTO DE DATOS PERSONALES SENSIBLES
• Section 6: TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES
• Section 7: DERECHOS DE TERCEROS BENEFICIARIOS
• Section 8: RESPONSABILIDAD DE CGI EN CASO DE INCUMPLIMIENTO DE LA POLÍTICA DE PRIVACIDAD DE DATOS
• Section 9: SOLICITUDES DE INTERESADOS Y PROCEDIMIENTO DE GESTIÓN DE RECLAMACIONES
• Section 10: DERECHOS DE LOS INTERESADOS
• Section 11 : PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO
• Section 13.1: (TRANSPARENCIA) RESPECTO A LA POLÍTICA DE PRIVACIDAD DE DATOS
• Section 13.4 : COOPERACIÓN CON LAS AUTORIDADES DE PROTECCIÓN DE DATOS
• Section 13.5 : DÓNDE LA LEY LOCAL TIENE PRECEDENCIA SOBRE ESTAS BCR-C

En caso de violación de cualquier derecho garantizado por estas BCR-C, los titulares de los datos y CGI pueden buscar una solución amistosa en el marco de un acuerdo celebrado de conformidad con la Sección 9 de estas BCR-C ("Proceso de gestión de solicitudes y reclamaciones de titulares de los datos").

Los interesados también tienen derecho a presentar una reclamación directamente ante la Autoridad de Protección de Datos competente del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, o a recurrir directamente a los tribunales del Estado miembro contra CGI France SAS donde CGI tenga un establecimiento o donde el interesado tenga su residencia habitual, por cualquier infracción de los derechos garantizados en virtud de las presentes BCR-C y, según proceda, tendrán derecho a recibir una indemnización por cualquier daño material o moral resultante de dicha infracción. No obstante, CGI anima a los interesados a utilizar este procedimiento específico de tramitación de reclamaciones mientras sigan siendo libres de no recurrir a él.

7.2 Jurisdicción

• Cuando un interesado tenga la intención de presentar una queja de acuerdo con la Sección 7.1 anterior por una violación de cualquiera de los derechos otorgados en virtud de estas BCR-C y relacionados con el tratamiento que cae dentro del alcance de este BCR-C, las siguientes autoridades o tribunales tendrán jurisdicción:
  • Cuando la violación se origine en el tratamiento realizado por una entidad de CGI ubicado en el EEE, el interesado tiene derecho a presentar una queja contra CGI ante una de las siguientes autoridades:
  • Ante la Autoridad de protección de datos del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la presunta infracción;
  • Ante los órganos jurisdiccionales del Estado miembro en el que el interesado tenga su residencia habitual;
  • Ante los tribunales del Estado miembro donde CGI, como exportador de datos, tiene un establecimiento.
• Cuando la violación se origine en el Procesamiento realizado por CGI ubicado fuera del EEE, el interesado tiene derecho a presentar una queja contra CGI France SAS directamente ante la Autoridad de Protección de Datos competente en la UE de su lugar de residencia, lugar de trabajo o lugar de la presunta infracción; o ante el Tribunal del Estado miembro donde el interesado tiene su lugar de residencia; o donde CGI tiene un establecimiento.

8 – Responsabilidad de CGI en caso de incumplimiento de la Política de Privacidad de Datos

En caso de violación de estas BCR-C por parte de una entidad de CGI ubicada fuera del EEE, CGI France SAS será responsable por dicha violación y desplegará las acciones necesarias para remediar el incumplimiento, así como pagar una compensación por los daños acreditados que resulten de dicha violación. CGI France SAS también tendrá la carga de la prueba para demostrar que CGI no es responsable de ninguna presunta violación del BCR-C.

En caso de violación de estas BCR-C por parte de una entidad de CGI ubicada en el EEE, CGI France SAS será responsable por dicha violación y tomará las medidas necesarias para remediar la violación, así como pagar una compensación por los daños demostrados resultantes de la misma. Cualquier compensación de este tipo que deba pagar CGI France SAS será respaldada por CGI Inc., la entidad controladora de todas las subsidiarias operativas de CGI, confirmando así que CGI France SAS ha aceptado la responsabilidad por los actos de las subsidiarias operativas de CGI vinculadas por esta Política fuera de la UE y tiene activos suficientes para pagar una compensación por los daños resultantes del incumplimiento de esta Política. CGI France SAS también tendrá la carga de la prueba para demostrar que CGI no es responsable de ninguna presunta violación del BCR-C.

En cada una de las situaciones anteriores, los interesados tienen derecho a presentar una queja de acuerdo con las condiciones definidas en la Sección 7.1 anterior.

9 – Proceso de solicitudes y gestión de quejas presentadas por el interesado

El procedimiento establecido en esta Sección se aplica a la queja presentada por un interesado o ante una solicitud de aquél a fin de ejercer algunos de sus derechos a acceder, actualizar o eliminar sus datos personales.

Los interesados pueden presentar una queja o una solicitud relacionada con el Procesamiento de Datos Personales si consideran que CGI está infringiendo estas BCR-C. La queja o solicitud puede hacerse contra la entidad de CGI que cree que está en incumplimiento o, cuando es probable que el incumplimiento sea el resultado de un acto de una entidad de CGI ubicada fuera del EEE, el interesado tiene derecho a presentar la queja o presentar una solicitud directamente contra CGI France SAS.

Dicha queja o solicitud debe presentarse ante el área de Enterprise Data Privacy utilizando los datos de contacto disponibles en la intranet y el sitio web de CGI. La queja o solicitud será manejada por Enterprise Data Privacy con la asistencia de las áreas relevantes, sin demora indebida y dentro de un plazo máximo de un mes desde que se recibió la queja o solicitud.

10 – Derechos del Titular o interesado

Cuando CGI actúa como Responsable del tratamiento de Datos, los interesados también pueden en cualquier momento:

• Acceder a los datos personales relacionados con ellos y tratados por CGI;
• Solicitar la rectificación o eliminación de cualquier Dato Personal inexacto o incompleto relacionado con ellos, o que ya no se procese para un propósito válido o apropiado;
• Objetar el tratamiento de sus datos personales en cualquier momento, a menos que dicho tratamiento sea requerido por la ley aplicable del EEE / Estado miembro, siempre que el interesado demuestre que tiene una razón para objetar en lo que respecta a su situación particular (por ejemplo, un interesado se opone con el argumento de que el tratamiento le está causando daños o dificultades sustanciales, como pérdidas financieras; un miembro de CGI le pide a CGI que elimine su fotografía de un organigrama porque tergiversa su apariencia).
• Tener derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos que le conciernan o que le afecte significativamente de manera similar.
• Solicitar la restricción del tratamiento cuando los datos personales ya no son precisos o necesarios, el tratamiento es ilegal o el interesado se ha opuesto al tratamiento mientras el Responsable del tratamiento de Datos verifica la base legal para el tratamiento; o
• Recibir sus datos personales en un formato estructurado, de uso común y legible por máquina, cuando los datos personales se hayan recopilado con el consentimiento del interesado o como parte de un contrato con este último.

CGI se asegurará de que maneja dichas solicitudes sin demoras indebidas y de acuerdo con el proceso de manejo de quejas.

11 – Privacidad desde el diseño y por defecto

En línea con los principios contenidos en estas BCR-C, CGI proporcionará el nivel adecuado de protección a los datos personales que procesa.

Para garantizar que dichos principios se tomen en cuenta de manera efectiva cuando CGI procese datos personales, CGI identificará e implementará restricciones de protección de datos durante los ciclos de vida de desarrollo y entrega de cualquier proyecto o servicio que implique el procesamiento de datos personales.

12 – Evaluación del impacto en la privacidad

CGI es responsable de supervisar el cumplimiento del tratamiento con la legislación de protección de datos aplicable. En consecuencia, CGI ha implementado un procedimiento de evaluación de impacto en la privacidad que le permite:

(i) Identificar qué Tratamiento presenta algún riesgo específico para la protección de datos personales;
(ii) Evaluar el nivel de cumplimiento de los principios de procesamiento de la legislación de protección de datos aplicable;
(iii) Evaluar el nivel de gravedad o probabilidad de riesgo asociado con el Tratamiento; y;
(iv) Determinar las medidas correctivas a implementar para garantizar que los datos personales se procesen de conformidad con la Legislación de Protección de Datos Aplicable y se mitiguen los riesgos.

Si, después de la mitigación, los riesgos para los interesados siguen siendo significativos, se consultará a la Autoridad de Protección de Datos competente antes del inicio del tratamiento previsto.

13 – Transparencia

13.1 Con respecto a la Política de privacidad de datos

CGI creará conciencia sobre estas BCR-C para fomentar su cumplimiento. CGI comunicará a los interesados, cuyos datos personales sean tratados por CGI, la información requerida por los Artículos 13 y 14 GDPR (enumerados en la Sección 13.2 a continuación), información sobre sus derechos como beneficiarios de terceros en relación con el tratamiento de sus datos personales y sobre los medios para ejercitar esos derechos, la cláusula relativa a la responsabilidad, así como las cláusulas relativas a los principios de protección de datos (es decir, los requisitos clave de estas BCR-C a los que se hace referencia en las Secciones 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13.4, 13.5) y hará que dicha información sea accesible, en su totalidad, a través de la publicación en la intranet corporativa de CGI y en el sitio web público para otros interesados, según sea el caso.

13.2 Sobre el tratamiento de datos

Al actuar como Responsable del Tratamiento, CGI proporcionará a los interesados información relevante sobre el tratamiento de sus Datos Personales según lo exija la Legislación de Protección de Datos Aplicable, incluyendo lo siguiente:

• Identidad y datos de contacto del responsable del tratamiento de los datos;
• Datos de contacto del Delegado de Protección de Datos y de su equipo;
• Finalidades del Tratamiento, así como la base jurídica para el mismo;
• Entidades a las que se divulgan y/o se hacen accesibles los datos personales;
• Cuando corresponda, la existencia de transferencia de datos personales fuera del EEE, los países a los que se transfieren los datos personales y las medidas implementadas para garantizar un nivel adecuado de protección;
• Período de retención de datos;
• Derechos de los interesados, tal como se definen en la Sección 10 anterior;
• Derecho a presentar una queja ante la Autoridad de Protección de Datos; y
• Si el Tratamiento se basa en un interés legítimo de CGI, explicaciones sobre dicho interés legítimo;
• Si el Tratamiento se basa en el consentimiento, la existencia del derecho a retirar el consentimiento en cualquier momento;
• Si el suministro de datos personales es un requisito legal o contractual, o un requisito para celebrar un contrato, así como si el interesado está obligado a proporcionar los datos personales y de las posibles consecuencias de no proporcionar dichos datos;
• Cuando CGI tenga la intención de seguir tratando los datos personales para un propósito distinto de aquel para el que se recopilaron los datos personales, CGI proporcionará a los interesados, antes del tratamiento, información sobre ese otro propósito y cualquier información adicional relevante como se detalla anteriormente en este artículo.

Además de lo anterior, lo siguiente aplica si la información no se recopila directamente del interesado.

• Las categorías de datos personales tratados;
• La fuente de la que proceden los datos personales y, en su caso, si proceden de una fuente de acceso público;
• Dentro de un período razonable desde de la obtención de los datos personales, no superior a un mes, teniendo en cuenta las circunstancias específicas en las que se tratan los Datos personales;
• Si los datos personales se van a utilizar para la comunicación con el interesado, a más tardar en el momento de la primera comunicación a ese interesado; o
• Si se prevé una divulgación a otro destinatario, a más tardar cuando se divulguen los datos personales por primera vez.

CGI proporcionará dicha información en una forma fácilmente comprensible y accesible en general, en el momento de la recogida de los datos personales, y en una breve descripción con un enlace al aviso de privacidad en la intranet corporativa de CGI, y en su web pública para otros interesados, según sea el caso. En el caso de algunos de los sistemas informáticos, se proporciona una breve descripción en el momento del acceso con un enlace al aviso de privacidad detallado para ese sistema informático.

13.3 Notificación de violación de datos personales

De acuerdo con las políticas y estándares de seguridad de CGI, en caso de identificarse un incidente de seguridad que provoque la destrucción accidental o ilegal, la pérdida, alteración, divulgación no autorizada o el acceso no autorizado a los datos personales transmitidos, almacenados o procesados de alguna otra manera, CGI, sin demora indebida y, en la medida de lo posible, en un plazo máximo de 72 horas desde de haber tenido conocimiento de la violación; proporcionará una notificación del incidente de seguridad y las actualizaciones de estado a la Autoridad de Protección de Datos competente y a los interesados y / o al Responsable del tratamiento, según lo exija la legislación de Protección de Datos Aplicable y / o según lo acordado en el acuerdo correspondiente. Del mismo modo y para mayor claridad, en caso de que se produzca una violación de datos personales fuera del EEE que involucre datos personales transferidos desde el EEE, CGI France SAS será notificada y los interesados, cuando sea probable que la violación de los datos personales suponga un alto riesgo para sus derechos y libertades. Todas las violaciones de datos personales se documentarán y se pondrán a disposición de las autoridades de control que lo soliciten.

13.4 Cooperación con las Autoridades de Protección de Datos

CGI busca mantener relaciones sólidas con las Autoridades de Protección de Datos. CGI cooperará con las Autoridades de Protección de Datos competentes en relación con cualquiera de sus solicitudes enviadas de acuerdo con la legislación de protección de datos aplicable, incluidas las solicitudes de auditoría. CGI también cumplirá con las recomendaciones emitidas por las Autoridades de Protección de Datos competentes en relación con el Tratamiento de Datos Personales llevado a cabo por CGI como Responsable.

13.5 Cuando la legislación local tenga precedencia sobre estas BCR-C

Antes de que se lleve a cabo una transferencia de datos, la entidad exportadora de datos junto con la ayuda de la entidad importadora de datos, teniendo en cuenta las circunstancias de la transferencia, evaluará si la legislación local, los reglamentos, los estatutos, las órdenes judiciales o las normas obligatorias (en adelante, "Legislación local") impedirán que CGI cumpla con sus obligaciones en virtud de las BCR-C y determinará las medidas complementarias requeridas que deben tomarse.

Antes de la entrada en vigor cualquier legislación local actualizada cuando la transferencia ya tenga lugar, la entidad exportadora de datos, con la ayuda de la entidad importadora de datos, evaluará si la legislación local actualizada impedirá a CGI cumplir con sus obligaciones en virtud de estas BCR-C y determinará las medidas complementarias necesarias que deben adoptarse. El Director de Privacidad, el Director Jurídico y CGI France SAS revisarán y aprobarán la investigación documentada y cualquier medida complementaria propuesta.

Cuando la Legislación Local requiera un nivel de protección superior al contemplado en estas BCR-C, dicha Legislación Local tendrá prioridad sobre estas BCR-C, y el Tratamiento se realizará de acuerdo con la Legislación Local.

Cuando el resultado de la evaluación de la legislación local demuestre la necesidad de aplicar medidas complementarias, CGI las aplicará. Sin embargo, si no se pueden establecer medidas complementarias, CGI deberá suspender la transferencia.

El resultado de la evaluación y las medidas complementarias propuestas se documentarán adecuadamente y se mantendrán a disposición de la(s) Autoridad(es) de Protección de Datos.

Cuando una entidad de CGI tenga razones para creer que cualquier requisito legal al que CGI está o puede estar sujeta en un tercer país impide o puede impedir que CGI cumpla con sus obligaciones en virtud de las BCR-C o tiene o puede tener un efecto sustancial en las garantías proporcionadas por la Legislación de Protección de Datos Aplicable, incluida cualquier solicitud legalmente vinculante de divulgación de datos personales por parte de una autoridad policial u organismo de seguridad del estado, el Delegado de Protección de Datos y CGI France SAS serán informados de inmediato (excepto cuando lo prohíba una autoridad policial, como la prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial). En casos específicos en los que la notificación mencionada anteriormente esté prohibida, la entidad CGI pertinente hará todo lo posible para que se renuncie a dicha prohibición. Si, a pesar de sus esfuerzos, la entidad CGI requerida no está en condiciones de notificar a la(s) Autoridad(es) de Protección de Datos competente(s), proporcionará anualmente información general sobre las solicitudes que recibió a la(s) Autoridad(es) de Protección de Datos competente(s).

En cualquier caso, las cesiones de Datos Personales por parte de una entidad de CGI sujeta a estas BCR-C a cualquier autoridad pública no pueden ser masivas, desproporcionadas e indiscriminadas de forma que vayan más allá de lo necesario en una sociedad democrática.

Transferencias o divulgaciones no autorizadas por el Derecho de la Unión

Para las entidades CGI ubicadas en el EEE, cualquier sentencia de un tribunal judicial y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un responsable o encargado de tratamiento transfiera o divulgue datos personales sólo podrá ser reconocida o ejecutable de cualquier manera si se basa en un acuerdo internacional, como un tratado de asistencia judicial mutua en vigor entre el tercer país solicitante y la Unión Europea o un Estado miembro, sin perjuicio de otros motivos de transferencia con arreglo al capítulo V del RGPD.

14 – Formación

CGI adoptará e implementará un programa de formación en privacidad para que sus miembros conozcan los principios y procedimientos contenidos en estas BCR-C.

El programa de formación proporcionará a los miembros de CGI lo siguiente:

• Conocimiento básico común sobre los principios aplicables al tratar datos personales;
• Buena comprensión de los procedimientos existentes y su aplicación;
• Formación específica adaptada a las diferentes funciones dentro de la organización.

Este programa de formación tiene como objetivo garantizar que se brinde una capacitación adecuada a los miembros cuyas funciones requieren el tratamiento de datos personales.

Además de implementar la formación adecuada en protección de datos, CGI continuará promoviendo una cultura de protección de datos dentro de su organización. Para este propósito, CGI llevará a cabo acciones de comunicación específicas, incluidas campañas de concientización, materiales relacionados con la privacidad, seminarios web y foros, para proporcionar orientación y responder a consultas sobre cualquier asunto relacionado con estas BCR-C.

La formación en privacidad es obligatoria para los miembros cuyas funciones requieren el procesamiento de datos personales.

15 – Auditoría

CGI integrará en su programa de auditoría interna una revisión del cumplimiento por CGI de todos los aspectos de estas BCR-C.

El proceso de auditoría interna definirá lo siguiente:

• Calendario en virtud del cual se llevarán a cabo las auditorías;
• Alcance previsto de la auditoría;
• Equipo responsable de la auditoría.

El proceso de auditoría interna podrá revisarse periódicamente. Sin embargo, CGI realizará auditorías internas de forma regular a través de un equipo de auditoría calificado. Dicho programa será iniciado por el departamento de auditoría interna de CGI.

Los resultados de la auditoría se comunicarán a la sede de CGI, así como al departamento de Privacidad, y se definirán y priorizarán las acciones resultantes, lo que permitirá al área de Privacidad determinar un cronograma para la implementación de medidas correctivas y preventivas.

Las Autoridades competentes en materia de protección de datos podrán solicitar el acceso a los resultados de la auditoría.

16 – Oficina de Privacidad

La implementación de la Política de Privacidad de Datos requiere que todas las entidades CGI participantes enumeradas en el Apéndice A participen plenamente en su aplicación. En cualquier caso, siguen siendo plenamente responsables de su propio cumplimiento de estas BCR-C.

CGI establecerá una organización interna de Privacidad responsable de definir políticas, procesos y estándares apropiados que cubran todas las entidades CGI participantes, y de monitorear el cumplimiento de estas BCR-C.

En particular, CGI designará un Director de Privacidad (Chief Data Privacy Officer - CDPO) cuya Oficina estará integrada por un equipo de Delegados de Protección de Datos y Socios de Privacidad para las diferentes regiones y unidades de negocio, de acuerdo con la Legislación de Protección de Datos Aplicable.

El CDPO reporta directamente al Chief Legal Officer (Director Jurídico), quien depende directamente del CEO. En lo que respecta a esta Política, el CDPO tiene principalmente las siguientes tareas:

• Definir la estrategia del Grupo en términos de implementación de esta Política y los procedimientos a implementar en toda la organización para garantizar que cada Unidad Estratégica de Negocio (SBU) y Unidad de Negocio (BU) cumpla con esta Política;
• Definir el programa de formación;
• Definir la estrategia de auditoría para monitorear la aplicación efectiva de esta Política;
• Asesorar a las SBUs cuando sea necesario.

Para cada Unidad de Negocio Estratégica de cada región del Grupo (SBU), hemos designado Delegados de Protección de Datos regionales que dan soporte a las Unidades Estratégicas, apoyándose en sus equipos de Socios de Privacidad designados a nivel local y/o de Unidad de Negocio. Los Delegados de Protección de Datos de cada SBU se asegurarán de que esta Política se implemente debidamente a nivel de SBU y que cualquier queja planteada a este nivel, incluidas las quejas de los interesados, se maneje de manera adecuada y, en particular, de acuerdo con el proceso descrito en esta Política. También supervisarán, junto con los equipos locales de Privacidad, que las transferencias de datos y los compromisos se implementen realmente.

En cualquier caso, los interesados recibirán un dato de contacto clave y con la experiencia pertinente en caso de que tengan preguntas y / o quejas.

17 – Registro de actividades de Tratamiento

CGI mantendrá un Registro de las actividades de tratamiento llevadas a cabo como Responsable de los datos personales (el "Inventario de actividades de tratamiento") que contiene toda la siguiente información:

• El nombre y los datos de contacto del Responsable del tratamiento y, en su caso, del responsable conjunto del tratamiento, del representante del responsable del tratamiento y del delegado de protección de datos;
• Los fines del tratamiento;
• Una descripción de las categorías de interesados y de las categorías de datos personales;
• Las categorías de destinatarios a los que se han comunicado o se divulgarán los datos personales, incluidos los destinatarios de terceros países u organizaciones internacionales;
• Cuando proceda, transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y la documentación de las garantías adecuadas;
• En la medida de lo posible, los plazos previstos para la supresión de las diferentes categorías de datos;
• En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas.

CGI se asegurará de que cualquier nuevo tratamiento de Datos Personales sea registrado en el Inventario de Procesamiento de Datos con información relevante sobre el contexto de cada actividad de tratamiento. CGI pondrá el registro, o registros, del tratamiento a disposición de las autoridades de supervisión que lo soliciten.

18 – Actualización de la Política de privacidad de datos

Estas BCR-C pueden ser modificadas de vez en cuando, según sea necesario y de acuerdo con un procedimiento específico. Cuando las modificaciones afecten significativamente a las BCR o al nivel de protección ofrecido, CGI informará sin demora a la Autoridad de Protección de Datos competente y a todas las entidades de CGI enumeradas en el Apéndice A. Para cualquier otro cambio en las BCR-C, CGI, al menos una vez al año, se comunicará con todos los siguientes grupos:

• Cada entidad CGI participante enumerada en el Apéndice A;
• Miembros de CGI;
• Sujetos de datos para los que CGI actúa como responsable del tratamiento de datos; y
• Autoridades de Protección de Datos pertinentes, a través de la Autoridad de Protección de Datos competente junto con una breve explicación de las razones que justifican la actualización.

CGI mantendrá una lista actualizada de las entidades vinculadas por estas BCR-C y la Oficina de Privacidad realizará un seguimiento y registrará cualquier actualización de las reglas, se asegurará de que la información se comunique a su debido tiempo a las partes interesadas mencionadas anteriormente y proporcionará la información necesaria a los interesados o a las Autoridades de Protección de Datos Relevantes que lo soliciten.

CGI se compromete a no transferir datos personales a una nueva entidad de CGI que no esté efectivamente vinculada por estas BCR-C de acuerdo con el procedimiento definido en la Sección 3.

Cuando una entidad CGI no perteneciente al EEE enumerada en el Apéndice A deje de formar parte del grupo de Entidades CGI vinculadas por las BCR-C en el futuro, debe garantizarse que seguirá aplicando los requisitos de las BCR-C al tratamiento de los datos personales que se le transfieran mediante las BCR, a menos que, en el momento de abandonar este grupo, el antiguo miembro eliminara o devolviera la totalidad de estos datos a las entidades a las que aún se aplican las BCR-C.

19 – Comunicación

Para los miembros de CGI: cualquier pregunta, solicitud u orientación en relación con estas BCR-C debe enviarse a la siguiente dirección: enterprisedataprivacy@cgi.com

Para interesados que no sean miembros de CGI: cualquier pregunta, solicitud u orientación en relación con estas BCR-C debe enviarse a la siguiente dirección: privacy@cgi.com