Las Normas corporativas vinculantes (o BCR, por sus siglas en inglés) son un mecanismo legalmente vinculante que permite a cualquier entidad de CGI transferir datos personales de residentes de la Unión Europea a cualquier otra entidad de CGI fuera del Espacio Económico Europeo.

CGI tiene 2 tipos de BCRs:

  • BCR como Responsable (Controller BCRs) cuando CGI actúa como responsable del tratamiento de datos; y
  • BCR como Encargado (Processor BCRs) cuando CGI actúa como encargado del tratamiento de datos de acuerdo con las instrucciones de un cliente de la UE.

Las Normas Corporativas Vinculantes del Responsable (BCR-C) se aplican cuando CGI actúa como Responsable del tratamiento de Datos y cuando CGI actúa como Encargado del tratamiento de Datos en nombre de CGI, también conocido como Encargado Interno del tratamiento de Datos.

Descargar BCR-C

1 – Definiciones

A los efectos de estas Reglas Corporativas Vinculantes del Responsable (BCR-C), se aplican las siguientes definiciones:

Legislación de protección de datos aplicable” se refiere a (i) el Reglamento General de Protección de Datos 2016/679 relativo al tratamiento de datos personales y (ii) cualquier ley de aplicación del Reglamento de Protección de Datos de la UE.

CGI” se refiere, según sea el caso, a una, varias o todas las entidades legales participadas, controladas o propiedad de CGI Inc., así como a las unidades de negocio estratégicas y unidades de negocio que actúan en su nombre, que procesan datos personales y cuya adhesión a estas BCR-C no viola o es inconsistente con cualquier ley, reglamento, estatuto, orden judicial, normas obligatorias o compromisos vinculantes locales. Las entidades participadas por CGI se enumeran en el Apéndice A. Esta lista puede actualizarse de vez en cuando.

Responsable del tratamiento” se refiere a cualquier entidad legal que, sola o conjuntamente con otros Responsables de datos, determina los fines y medios para el tratamiento de datos personales.

Encargado del tratamiento” se refiere a cualquier entidad legal que actúe en nombre de un Responsable de datos.

Interesado o titular de los datos” se refiere a una persona física identificada o identificable cuyos datos personales son procesados por CGI, incluido cualquier Miembro de CGI, consultor externo de CGI o empleados o usuarios finales de un cliente de CGI.

Espacio Económico Europeo” or “EEE” se refiere a los Estados miembros de la UE (Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, República Checa, Rumanía y Suecia), así como a Noruega, Liechtenstein e Islandia, en lo sucesivo también denominados "Estados miembros".

RGPD” significa el Reglamento Europeo 2016/679 titulado Reglamento General de Protección de Datos.

Encargado del tratamiento de datos interno” se refiere a cualquier entidad de CGI enumerada en el Anexo A que actúe como Encargado de datos en nombre de otra entidad de CGI enumerada en el Anexo A que actúe como Responsable de datos.

Legislación local” tiene el significado atribuido a dicha expresión en la Sección 13.5 de este documento.

Miembro”, "Miembros” se refiere a Empleado(s) de CGI.

Datos personales” se refiere a cualquier información relacionada a una persona física que pueda identificarla, directa o indirectamente, en particular por referencia a un identificador como un nombre, número de identificación, datos de ubicación, identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. Los datos personales incluyen datos personales Sensibles.

"Tratamiento", "tratar" o "Tratado" se refiere a cualquier operación o conjunto de operaciones realizadas en datos personales, ya sea por medios automatizados o no, como recopilar, registrar, organizar, estructurar, almacenar, adaptar, alterar, recuperar, consultar (incluido el acceso remoto), usar, divulgar transmitiendo, difundiendo o poniendo a disposición, alineando o combinando, restringiendo, borrando o destruyendo.

Datos personales sensibles” se refiere a categorías específicas de datos personales que revelan el origen racial o étnico, la opinión política, las creencias religiosas o filosóficas o la afiliación sindical, así como el procesamiento de datos genéticos o biométricos con el fin de identificar de manera única a una persona física, los datos de salud y los datos relacionados con la vida sexual u orientación sexual de una persona física.

Tercero/s” se refiere a los proveedores y subcontratistas de CGI, así como a cualquier otra entidad u organismo público al que se puedan divulgar datos personales.

Transferencia de Datos Personales” se refiere a la transferencia de datos personales ubicados en el Espacio Económico Europeo (EEE) a un país ubicado fuera del EEE.

2 – Alcance

2.1 Actividades cubiertas

Estas Reglas Corporativas Vinculantes de Responsable(BCR-C) se aplican cuando CGI actúa como Responsable del tratamiento de Datos y cuando CGI actúa como Encargado del tratamiento de Datos en nombre de CGI, también conocido como Encargado Interno del tratamiento.

Las categorías de tratamiento, interesados y datos personales cubiertos por estas BCR-C se establecen en el Apéndice B.

2.2 2.2 Territorios cubiertos

Los principios contenidos en el presente documento se aplican a la Transferencia de datos personales en los siguientes casos:

  • Desde una entidad CGI ubicada en el EEE a una entidad CGI ubicada fuera del EEE.
  • Desde una entidad CGI ubicada fuera del EEE a una entidad CGI ubicada dentro o fuera del EEE, pero sólo en la medida en la que se traten datos personales de interesados que se encuentran en el EEE.
  • Desde una entidad CGI ubicada en el EEE a terceros ubicados fuera del EEE
  • De terceros ubicados fuera del EEE a una entidad CGI ubicada en el EEE, pero sólo en la medida en la que se traten datos personales de interesados que se encuentran en el EEE.
3 – Cumplimiento y responsabilidad con la Política de Privacidad de Datos

3.1 Responsabilidad de CGI

Estas BCR-C son vinculantes para CGI, incluidas todas las entidades legales participadas por CGI enumeradas en el Apéndice A.

Cada entidad CGI enumerada en el Apéndice A, actuando como Responsable del tratamiento de Datos o como Encargado Interno del tratamiento, será responsable de demostrar su cumplimiento con respecto a estas BCR-C.

3.2 Cumplimiento por los Miembros

Todos los Miembros de CGI (empleados) están obligados por estas BCR-C a través de la obligación, en todos los contratos de trabajo, de cumplir con las obligaciones de confidencialidad y privacidad aplicables, así como las políticas, procesos y estándares de CGI, según lo cubierto por el Código de Ética de CGI. Los Miembros de CGI, cuando corresponda, reconocerán anualmente estas BCR-C junto con el Código de Ética.

Como se detalla con más detalle en las Secciones 13.1 y 14 de las BCR-C, los Miembros de CGI son informados de las BCR a través de los canales de comunicación interna y mediante la formación correspondiente. Los miembros de CGI también son conscientes del hecho de que el incumplimiento del Código de Ética y, en este caso específico, de las BCR-C puede dar lugar a sanciones de acuerdo con las leyes locales aplicables.

3.3 Cumplimiento relacionado con proveedores y subcontratistas de CGI y otros terceros

Cualquier tercero que trate datos personales en nombre de CGI debe implementar las medidas organizativas adecuadas para garantizar el cumplimiento de los principios y requisitos de estas BCR-C.

Una entidad de CGI que actúe como Responsable del tratamiento de datos o como Encargado interno del tratamiento sólo permitirá que otras entidades de CGI o Terceros traten datos personales en su nombre cuando exista un contrato de encargo de tratamiento entre ellos que comprenda los requisitos establecidos en el Artículo 28.3 del RGPD.

4 – Principios básicos CGI del tratamiento de datos personales

4.1 El cumplimiento de los siguientes principios no sólo satisface o supera lo dispuesto por la legislación aplicable en materia de protección de datos, sino que también cumple con los más altos estándares y prácticas del mercado para el tratamiento de datos personales. Principios aplicables cuando CGI actúa como Responsable del tratamiento de datos

(i) Transparencia, equidad y legalidad

CGI tratará los datos personales de manera legal, justa y transparente en relación con interesado, de acuerdo con los requisitos de estas BCR-C y, en particular, las Secciones 4.1 y 13.

(ii) Definición de un propósito

Cualquier Tratamiento de datos personales por parte de CGI, en particular la recogida de los mismos, irá precedido de la identificación de la finalidad específica de dicho Tratamiento. Tal propósito debe ser explícito y legítimo. Los datos personales no pueden procesarse de manera incompatible con dicho propósito.

(iii) Minimización de datos

Una vez que se haya establecido el propósito para el tratamiento de datos personales, CGI solo recopilará datos personales en la medida requerida para lograr dicho propósito. Cada detalle del tratamiento se revisa como parte de las fases tempranas de diseño de la solución y se incluye dentro del proceso de revisión de privacidad o equivalente a fin de garantizar que los datos personales sean adecuados, relevantes y limitados a lo necesario en relación con el propósito para el que se tratan.

(iv) Calidad de los datos personales

A lo largo del ciclo de vida de cualquier tratamiento, CGI se asegurará de que los datos personales recogidos se mantengan correctos y actualizados. A tales efectos, se tomarán todas las medidas razonables para garantizar que los datos personales incorrectos sean borrados o rectificados sin demora, incluyendo, entre otras, opciones de autoservicio para los interesados. En particular, CGI proporcionará los medios adecuados a los interesados para informar a CGI en caso de cualquier cambio en sus datos personales.

CGI implementará auditorías no programadas, tal como se define más adelante en la Sección 15.

(v) Limitación en la retención de datos

CGI se asegurará de no retener los datos personales durante un período más largo del estrictamente necesario para el propósito para el cual se recogen los datos personales. En consecuencia, CGI determinará un período de retención apropiado antes de comenzar el tratamiento. Al hacerlo, CGI considerará el tiempo durante el cual los datos personales son necesarios para lograr el propósito del tratamiento, teniendo en cuenta los siguientes factores:

  • Período después del cual el mantenimiento de dichos datos personales puede tener un impacto en derecho al olvido del interesado;
  • Cualquier obligación legal que imponga un período mínimo de retención de datos, como se puede definir en la Política de retención de registros de CGI y en el Programa de retención de registros o equivalente.

(vi) Medidas de seguridad

CGI implementará medidas operativas y técnicas apropiadas, equivalentes a las prescritas en las políticas y estándares de seguridad de CGI, para protegerse contra el acceso ilegal, pérdida, destrucción, alteración y / o tratamiento de sus datos personales.

En particular, CGI otorgará a los Miembros acceso a los datos personales sólo cuando sea necesario para realizar las tareas asignadas de acuerdo con el propósito para el cual se tratan esos datos personales.

En caso de acceso y/o tratamiento ilícito, CGI cumplirá con su Política de Seguridad de la Información y procedimientos relacionados.

(vii) (vii) Definición de una base jurídica

Además de los principios indicados, el tratamiento sólo puede realizarse cuando:

  • Éste sea necesario para cumplir con una obligación legal aplicable a CGI (por ejemplo, informar datos a las autoridades fiscales); o
  • Éste sea necesario en el cumplimiento de un contrato con un interesado (por ejemplo, contrato de trabajo); o
  • En ausencia de contrato con un interesado, el tratamiento sea necesario para el interés legítimo de CGI, el cual se evaluará teniendo en cuenta los intereses del interesado. Existe un interés legítimo si:
    1. El tratamiento es necesario para conseguir el interés legítimo perseguido por CGI sin afectar negativamente los intereses del interesado,
    2. El interés de CGI no sea anulado por los derechos o intereses fundamentales de los interesados, y
    3. CGI cumpla con la legislación aplicable y sus obligaciones de una manera transparente.

Por lo tanto, dicho interés legítimo se determinará a la luz de la actividad principal de CGI y de la legislación aplicable, así como de cualquier impacto negativo en la privacidad de los interesados.

  • Cuando el tratamiento no recaiga bajo ninguno de las anteriores bases de legitimación, CGI deberá obtener el consentimiento previo del interesado antes de tratar sus Datos Personales. El consentimiento es válido cuando:

    • Es dado libremente mediante una clara declaración afirmativa;
    • Representa una indicación específica, informada e inequívoca del acuerdo del interesado respecto del Tratamiento de sus datos personales.

El Tratamiento de datos personales por parte de CGI se considera lícito cuando dicho Tratamiento es necesario para el interés vital del interesado o cuando el Tratamiento es necesario para el desempeño de una actividad realizada en aras interés público, siguiendo la Legislación de Protección de Datos Aplicable.

5 – Tratamiento de datos personales sensibles

El Tratamiento de datos personales Sensibles requiere que se implementen garantías reforzadas, como se describe a continuación.

CGI tratará datos personales sensibles sólo cuando sea estrictamente necesario. Al tratar datos personales sensibles en su propio nombre, CGI se asegurará de que se cumpla al menos una de las siguientes condiciones:

  • El interesado ha dado su consentimiento previo;
  • El tratamiento es necesario para el propósito de cumplir con las obligaciones y ejercer los derechos específicos del Responsable o del interesado en el campo del derecho laboral y de seguridad social y previsión de riesgos laborales;
  • Si el interesado no está en situación de dar su consentimiento (por ejemplo, por razones médicas), el tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona;
  • El tratamiento es necesario en el contexto de la medicina preventiva o el diagnóstico médico por un profesional de la salud según la legislación nacional;
  • El interesado ya ha puesto manifiestamente los datos personales Sensibles en el dominio público;
  • El tratamiento es esencial para el propósito de establecer, ejercer o defender reclamos legales, siempre que no haya motivos para suponer que el interesado tiene un interés legítimo primordial en garantizar que dichos datos personales Sensibles no sean tratados; o
  • El tratamiento está explícitamente permitido por las leyes del EEE / Estados miembros (por ejemplo, registro / protección de grupos minoritarios).

En cualquier caso, CGI tratará los datos personales sensibles de acuerdo con la legislación de protección de datos aplicable. Cuando dicha ley requiera condiciones específicas de alojamiento y tratamiento, CGI obtendrá la certificación o calificación requerida o utilizará un tercero ya certificado o calificado para tal fin.

6 – Transferencia de datos personales a terceros países

Una transferencia de datos personales ocurre cuando una entidad ubicada fuera del EEE está involucrada en el tratamiento realizado por una entidad ubicada en el EEE.

Una transferencia de datos personales puede requerir garantías o condiciones adicionales, como se describe a continuación.

6.1 Transferencia de datos personales dentro de CGI

Estas BCR-C proporcionan las salvaguardas adecuadas con respecto a cualquier Transferencia de datos personales que se realicen:

  • Desde una entidad CGI ubicada en el EEE actuando como Responsable del tratamiento de Datos a una entidad CGI ubicada fuera del EEE actuando como Responsable del tratamiento de Datos o como Encargado Interno del tratamiento;
  • Desde una entidad CGI ubicada fuera del EEE que actúa como Responsable del tratamiento de datos y trata datos personales que caen dentro del alcance de estas BCR-C, a una entidad CGI que actúa como Responsable del tratamiento de datos o como Encargado Interno del tratamiento de datos, donde sea que se encuentre.

Los propósitos esperados de dicha Transferencia de datos personales se definen en la Sección 2.1 anterior.

6.2 Transferencia de Datos Personales fuera de CGI

Cuando se produzca una Transferencia de datos personales entre una entidad CGI ubicada en el EEE y un Tercero ubicado fuera del EEE, la Transferencia de datos personales incluirá una de las siguientes salvaguardas apropiadas, según corresponda:

  • La adopción por ambas partes de las cláusulas modelo de la UE resultantes de la Decisión de Ejecución (UE) 2021/914 de la Comisión de la UE, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
  • Cualquier otra salvaguarda apropiada reconocida por la Legislación de Protección de Datos Aplicable que requiera el mismo nivel de protección de datos personales uno o superior al contemplado en el Reglamento Europeo de Protección de Datos 2016/679, como una decisión de adecuación, un código de conducta aprobado o un mecanismo de certificación adecuado.

Cualquier otro flujo de información personal que no sea un dato personal y que no proceda de una entidad ubicada en el EEE no se considera una transferencia de datos personales en virtud de estas BCR-C. En consecuencia, dicha transferencia no está sujeta a los requisitos contenidos en el presente documento. Sin embargo, la entidad CGI involucrada en dichas transferencias implementará todas las medidas técnicas y organizativas necesarias y razonables acordes con los riesgos asociados a dicho tratamiento, de acuerdo con estas BCR-C y las políticas de seguridad de CGI aplicables.

7 – Derechos de terceros beneficiarios

7.1 Cuando CGI actúa como Responsable del tratamiento de datos

En caso de incumplimiento de estas BCR-C por parte de CGI, los interesados tienen derecho a hacer cumplir las siguientes disposiciones de estas BCR-C como terceros beneficiarios:

  • Section 4: PRINCIPIOS BÁSICOS DE CGI AL TRATAR DATOS PERSONALES
  • Section 5: TRATAMIENTO DE DATOS PERSONALES SENSIBLES
  • Section 6: TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES
  • Section 7: DERECHOS DE TERCEROS BENEFICIARIOS
  • Section 8: RESPONSABILIDAD DE CGI EN CASO DE INCUMPLIMIENTO DE LA POLÍTICA DE PRIVACIDAD DE DATOS
  • Section 9: SOLICITUDES DE INTERESADOS Y PROCEDIMIENTO DE GESTIÓN DE RECLAMACIONES
  • Section 10: DERECHOS DE LOS INTERESADOS
  • Section 11 : PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO
  • Section 13.1: (TRANSPARENCIA) RESPECTO A LA POLÍTICA DE PRIVACIDAD DE DATOS
  • Section 13.4 : COOPERACIÓN CON LAS AUTORIDADES DE PROTECCIÓN DE DATOS
  • Section 13.5 : DÓNDE LA LEY LOCAL TIENE PRECEDENCIA SOBRE ESTAS BCR-C

En caso de violación de cualquier derecho garantizado por estas BCR-C, los titulares de los datos y CGI pueden buscar una solución amistosa en el marco de un acuerdo celebrado de conformidad con la Sección 9 de estas BCR-C ("Proceso de gestión de solicitudes y reclamaciones de titulares de los datos").

Los interesados también tienen derecho a presentar una reclamación directamente ante la Autoridad de Protección de Datos competente del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, o a recurrir directamente a los tribunales del Estado miembro contra CGI France SAS donde CGI tenga un establecimiento o donde el interesado tenga su residencia habitual, por cualquier infracción de los derechos garantizados en virtud de las presentes BCR-C y, según proceda, tendrán derecho a recibir una indemnización por cualquier daño material o moral resultante de dicha infracción. No obstante, CGI anima a los interesados a utilizar este procedimiento específico de tramitación de reclamaciones mientras sigan siendo libres de no recurrir a él.

7.2 Jurisdicción

  • Cuando un interesado tenga la intención de presentar una queja de acuerdo con la Sección 7.1 anterior por una violación de cualquiera de los derechos otorgados en virtud de estas BCR-C y relacionados con el tratamiento que cae dentro del alcance de este BCR-C, las siguientes autoridades o tribunales tendrán jurisdicción:

    • Cuando la violación se origine en el tratamiento realizado por una entidad de CGI ubicado en el EEE, el interesado tiene derecho a presentar una queja contra CGI ante una de las siguientes autoridades:
    • Ante la Autoridad de protección de datos del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la presunta infracción;
    • Ante los órganos jurisdiccionales del Estado miembro en el que el interesado tenga su residencia habitual;
    • Ante los tribunales del Estado miembro donde CGI, como exportador de datos, tiene un establecimiento.
  • Cuando la violación se origine en el Procesamiento realizado por CGI ubicado fuera del EEE, el interesado tiene derecho a presentar una queja contra CGI France SAS directamente ante la Autoridad de Protección de Datos competente en la UE de su lugar de residencia, lugar de trabajo o lugar de la presunta infracción; o ante el Tribunal del Estado miembro donde el interesado tiene su lugar de residencia; o donde CGI tiene un establecimiento.
8 – Responsabilidad de CGI en caso de incumplimiento de la Política de Privacidad de Datos

En caso de violación de estas BCR-C por parte de una entidad de CGI ubicada fuera del EEE, CGI France SAS será responsable por dicha violación y desplegará las acciones necesarias para remediar el incumplimiento, así como pagar una compensación por los daños acreditados que resulten de dicha violación. CGI France SAS también tendrá la carga de la prueba para demostrar que CGI no es responsable de ninguna presunta violación del BCR-C.

En caso de violación de estas BCR-C por parte de una entidad de CGI ubicada en el EEE, CGI France SAS será responsable por dicha violación y tomará las medidas necesarias para remediar la violación, así como pagar una compensación por los daños demostrados resultantes de la misma. Cualquier compensación de este tipo que deba pagar CGI France SAS será respaldada por CGI Inc., la entidad controladora de todas las subsidiarias operativas de CGI, confirmando así que CGI France SAS ha aceptado la responsabilidad por los actos de las subsidiarias operativas de CGI vinculadas por esta Política fuera de la UE y tiene activos suficientes para pagar una compensación por los daños resultantes del incumplimiento de esta Política. CGI France SAS también tendrá la carga de la prueba para demostrar que CGI no es responsable de ninguna presunta violación del BCR-C.

En cada una de las situaciones anteriores, los interesados tienen derecho a presentar una queja de acuerdo con las condiciones definidas en la Sección 7.1 anterior.

9 – Proceso de solicitudes y gestión de quejas presentadas por el interesado

El procedimiento establecido en esta Sección se aplica a la queja presentada por un interesado o ante una solicitud de aquél a fin de ejercer algunos de sus derechos a acceder, actualizar o eliminar sus datos personales.

Los interesados pueden presentar una queja o una solicitud relacionada con el Procesamiento de Datos Personales si consideran que CGI está infringiendo estas BCR-C. La queja o solicitud puede hacerse contra la entidad de CGI que cree que está en incumplimiento o, cuando es probable que el incumplimiento sea el resultado de un acto de una entidad de CGI ubicada fuera del EEE, el interesado tiene derecho a presentar la queja o presentar una solicitud directamente contra CGI France SAS.

Dicha queja o solicitud debe presentarse ante el área de Enterprise Data Privacy utilizando los datos de contacto disponibles en la intranet y el sitio web de CGI. La queja o solicitud será manejada por Enterprise Data Privacy con la asistencia de las áreas relevantes, sin demora indebida y dentro de un plazo máximo de un mes desde que se recibió la queja o solicitud.

10 – Derechos del Titular o interesado

Cuando CGI actúa como Responsable del tratamiento de Datos, los interesados también pueden en cualquier momento:

  • Acceder a los datos personales relacionados con ellos y tratados por CGI;
  • Solicitar la rectificación o eliminación de cualquier Dato Personal inexacto o incompleto relacionado con ellos, o que ya no se procese para un propósito válido o apropiado;
  • Objetar el tratamiento de sus datos personales en cualquier momento, a menos que dicho tratamiento sea requerido por la ley aplicable del EEE / Estado miembro, siempre que el interesado demuestre que tiene una razón para objetar en lo que respecta a su situación particular (por ejemplo, un interesado se opone con el argumento de que el tratamiento le está causando daños o dificultades sustanciales, como pérdidas financieras; un miembro de CGI le pide a CGI que elimine su fotografía de un organigrama porque tergiversa su apariencia).
  • Tener derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos que le conciernan o que le afecte significativamente de manera similar.
  • Solicitar la restricción del tratamiento cuando los datos personales ya no son precisos o necesarios, el tratamiento es ilegal o el interesado se ha opuesto al tratamiento mientras el Responsable del tratamiento de Datos verifica la base legal para el tratamiento; o
  • Recibir sus datos personales en un formato estructurado, de uso común y legible por máquina, cuando los datos personales se hayan recopilado con el consentimiento del interesado o como parte de un contrato con este último.

CGI se asegurará de que maneja dichas solicitudes sin demoras indebidas y de acuerdo con el proceso de manejo de quejas.

11 – Privacidad desde el diseño y por defecto

En línea con los principios contenidos en estas BCR-C, CGI proporcionará el nivel adecuado de protección a los datos personales que procesa.

Para garantizar que dichos principios se tomen en cuenta de manera efectiva cuando CGI procese datos personales, CGI identificará e implementará restricciones de protección de datos durante los ciclos de vida de desarrollo y entrega de cualquier proyecto o servicio que implique el procesamiento de datos personales.

12 – Evaluación del impacto en la privacidad

CGI es responsable de supervisar el cumplimiento del tratamiento con la legislación de protección de datos aplicable. En consecuencia, CGI ha implementado un procedimiento de evaluación de impacto en la privacidad que le permite:

(i) Identificar qué Tratamiento presenta algún riesgo específico para la protección de datos personales;
(ii) Evaluar el nivel de cumplimiento de los principios de procesamiento de la legislación de protección de datos aplicable;
(iii) Evaluar el nivel de gravedad o probabilidad de riesgo asociado con el Tratamiento; y;
(iv) Determinar las medidas correctivas a implementar para garantizar que los datos personales se procesen de conformidad con la Legislación de Protección de Datos Aplicable y se mitiguen los riesgos.

Si, después de la mitigación, los riesgos para los interesados siguen siendo significativos, se consultará a la Autoridad de Protección de Datos competente antes del inicio del tratamiento previsto.

13 – Transparencia

13.1 Con respecto a la Política de privacidad de datos

CGI creará conciencia sobre estas BCR-C para fomentar su cumplimiento. CGI comunicará a los interesados, cuyos datos personales sean tratados por CGI, la información requerida por los Artículos 13 y 14 GDPR (enumerados en la Sección 13.2 a continuación), información sobre sus derechos como beneficiarios de terceros en relación con el tratamiento de sus datos personales y sobre los medios para ejercitar esos derechos, la cláusula relativa a la responsabilidad, así como las cláusulas relativas a los principios de protección de datos (es decir, los requisitos clave de estas BCR-C a los que se hace referencia en las Secciones 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13.4, 13.5) y hará que dicha información sea accesible, en su totalidad, a través de la publicación en la intranet corporativa de CGI y en el sitio web público para otros interesados, según sea el caso.

13.2 Sobre el tratamiento de datos

Al actuar como Responsable del Tratamiento, CGI proporcionará a los interesados información relevante sobre el tratamiento de sus Datos Personales según lo exija la Legislación de Protección de Datos Aplicable, incluyendo lo siguiente:

  • Identidad y datos de contacto del responsable del tratamiento de los datos;
  • Datos de contacto del Delegado de Protección de Datos y de su equipo;
  • Finalidades del Tratamiento, así como la base jurídica para el mismo;
  • Entidades a las que se divulgan y/o se hacen accesibles los datos personales;
  • Cuando corresponda, la existencia de transferencia de datos personales fuera del EEE, los países a los que se transfieren los datos personales y las medidas implementadas para garantizar un nivel adecuado de protección;
  • Período de retención de datos;
  • Derechos de los interesados, tal como se definen en la Sección 10 anterior;
  • Derecho a presentar una queja ante la Autoridad de Protección de Datos; y
  • Si el Tratamiento se basa en un interés legítimo de CGI, explicaciones sobre dicho interés legítimo;
  • Si el Tratamiento se basa en el consentimiento, la existencia del derecho a retirar el consentimiento en cualquier momento;
  • Si el suministro de datos personales es un requisito legal o contractual, o un requisito para celebrar un contrato, así como si el interesado está obligado a proporcionar los datos personales y de las posibles consecuencias de no proporcionar dichos datos;
  • Cuando CGI tenga la intención de seguir tratando los datos personales para un propósito distinto de aquel para el que se recopilaron los datos personales, CGI proporcionará a los interesados, antes del tratamiento, información sobre ese otro propósito y cualquier información adicional relevante como se detalla anteriormente en este artículo.

Además de lo anterior, lo siguiente aplica si la información no se recopila directamente del interesado.

  • Las categorías de datos personales tratados;
  • La fuente de la que proceden los datos personales y, en su caso, si proceden de una fuente de acceso público;
  • Dentro de un período razonable desde de la obtención de los datos personales, no superior a un mes, teniendo en cuenta las circunstancias específicas en las que se tratan los Datos personales;
  • Si los datos personales se van a utilizar para la comunicación con el interesado, a más tardar en el momento de la primera comunicación a ese interesado; o
  • Si se prevé una divulgación a otro destinatario, a más tardar cuando se divulguen los datos personales por primera vez.

CGI proporcionará dicha información en una forma fácilmente comprensible y accesible en general, en el momento de la recogida de los datos personales, y en una breve descripción con un enlace al aviso de privacidad en la intranet corporativa de CGI, y en su web pública para otros interesados, según sea el caso. En el caso de algunos de los sistemas informáticos, se proporciona una breve descripción en el momento del acceso con un enlace al aviso de privacidad detallado para ese sistema informático.

13.3 Notificación de violación de datos personales

De acuerdo con las políticas y estándares de seguridad de CGI, en caso de identificarse un incidente de seguridad que provoque la destrucción accidental o ilegal, la pérdida, alteración, divulgación no autorizada o el acceso no autorizado a los datos personales transmitidos, almacenados o procesados de alguna otra manera, CGI, sin demora indebida y, en la medida de lo posible, en un plazo máximo de 72 horas desde de haber tenido conocimiento de la violación; proporcionará una notificación del incidente de seguridad y las actualizaciones de estado a la Autoridad de Protección de Datos competente y a los interesados y / o al Responsable del tratamiento, según lo exija la legislación de Protección de Datos Aplicable y / o según lo acordado en el acuerdo correspondiente. Del mismo modo y para mayor claridad, en caso de que se produzca una violación de datos personales fuera del EEE que involucre datos personales transferidos desde el EEE, CGI France SAS será notificada y los interesados, cuando sea probable que la violación de los datos personales suponga un alto riesgo para sus derechos y libertades. Todas las violaciones de datos personales se documentarán y se pondrán a disposición de las autoridades de control que lo soliciten.

13.4 Cooperación con las Autoridades de Protección de Datos

CGI busca mantener relaciones sólidas con las Autoridades de Protección de Datos. CGI cooperará con las Autoridades de Protección de Datos competentes en relación con cualquiera de sus solicitudes enviadas de acuerdo con la legislación de protección de datos aplicable, incluidas las solicitudes de auditoría. CGI también cumplirá con las recomendaciones emitidas por las Autoridades de Protección de Datos competentes en relación con el Tratamiento de Datos Personales llevado a cabo por CGI como Responsable.

13.5 Cuando la legislación local tenga precedencia sobre estas BCR-C

Antes de que se lleve a cabo una transferencia de datos, la entidad exportadora de datos junto con la ayuda de la entidad importadora de datos, teniendo en cuenta las circunstancias de la transferencia, evaluará si la legislación local, los reglamentos, los estatutos, las órdenes judiciales o las normas obligatorias (en adelante, "Legislación local") impedirán que CGI cumpla con sus obligaciones en virtud de las BCR-C y determinará las medidas complementarias requeridas que deben tomarse.

Antes de la entrada en vigor cualquier legislación local actualizada cuando la transferencia ya tenga lugar, la entidad exportadora de datos, con la ayuda de la entidad importadora de datos, evaluará si la legislación local actualizada impedirá a CGI cumplir con sus obligaciones en virtud de estas BCR-C y determinará las medidas complementarias necesarias que deben adoptarse. El Director de Privacidad, el Director Jurídico y CGI France SAS revisarán y aprobarán la investigación documentada y cualquier medida complementaria propuesta.

Cuando la Legislación Local requiera un nivel de protección superior al contemplado en estas BCR-C, dicha Legislación Local tendrá prioridad sobre estas BCR-C, y el Tratamiento se realizará de acuerdo con la Legislación Local.

Cuando el resultado de la evaluación de la legislación local demuestre la necesidad de aplicar medidas complementarias, CGI las aplicará. Sin embargo, si no se pueden establecer medidas complementarias, CGI deberá suspender la transferencia.

El resultado de la evaluación y las medidas complementarias propuestas se documentarán adecuadamente y se mantendrán a disposición de la(s) Autoridad(es) de Protección de Datos.

Cuando una entidad de CGI tenga razones para creer que cualquier requisito legal al que CGI está o puede estar sujeta en un tercer país impide o puede impedir que CGI cumpla con sus obligaciones en virtud de las BCR-C o tiene o puede tener un efecto sustancial en las garantías proporcionadas por la Legislación de Protección de Datos Aplicable, incluida cualquier solicitud legalmente vinculante de divulgación de datos personales por parte de una autoridad policial u organismo de seguridad del estado, el Delegado de Protección de Datos y CGI France SAS serán informados de inmediato (excepto cuando lo prohíba una autoridad policial, como la prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial). En casos específicos en los que la notificación mencionada anteriormente esté prohibida, la entidad CGI pertinente hará todo lo posible para que se renuncie a dicha prohibición. Si, a pesar de sus esfuerzos, la entidad CGI requerida no está en condiciones de notificar a la(s) Autoridad(es) de Protección de Datos competente(s), proporcionará anualmente información general sobre las solicitudes que recibió a la(s) Autoridad(es) de Protección de Datos competente(s).

En cualquier caso, las cesiones de Datos Personales por parte de una entidad de CGI sujeta a estas BCR-C a cualquier autoridad pública no pueden ser masivas, desproporcionadas e indiscriminadas de forma que vayan más allá de lo necesario en una sociedad democrática.

Transferencias o divulgaciones no autorizadas por el Derecho de la Unión

Para las entidades CGI ubicadas en el EEE, cualquier sentencia de un tribunal judicial y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un responsable o encargado de tratamiento transfiera o divulgue datos personales sólo podrá ser reconocida o ejecutable de cualquier manera si se basa en un acuerdo internacional, como un tratado de asistencia judicial mutua en vigor entre el tercer país solicitante y la Unión Europea o un Estado miembro, sin perjuicio de otros motivos de transferencia con arreglo al capítulo V del RGPD.

14 – Formación

CGI adoptará e implementará un programa de formación en privacidad para que sus miembros conozcan los principios y procedimientos contenidos en estas BCR-C.

El programa de formación proporcionará a los miembros de CGI lo siguiente:

  • Conocimiento básico común sobre los principios aplicables al tratar datos personales;
  • Buena comprensión de los procedimientos existentes y su aplicación;
  • Formación específica adaptada a las diferentes funciones dentro de la organización.

Este programa de formación tiene como objetivo garantizar que se brinde una capacitación adecuada a los miembros cuyas funciones requieren el tratamiento de datos personales.

Además de implementar la formación adecuada en protección de datos, CGI continuará promoviendo una cultura de protección de datos dentro de su organización. Para este propósito, CGI llevará a cabo acciones de comunicación específicas, incluidas campañas de concientización, materiales relacionados con la privacidad, seminarios web y foros, para proporcionar orientación y responder a consultas sobre cualquier asunto relacionado con estas BCR-C.

La formación en privacidad es obligatoria para los miembros cuyas funciones requieren el procesamiento de datos personales.

15 – Auditoría

CGI integrará en su programa de auditoría interna una revisión del cumplimiento por CGI de todos los aspectos de estas BCR-C.

El proceso de auditoría interna definirá lo siguiente:

  • Calendario en virtud del cual se llevarán a cabo las auditorías;
  • Alcance previsto de la auditoría;
  • Equipo responsable de la auditoría.

El proceso de auditoría interna podrá revisarse periódicamente. Sin embargo, CGI realizará auditorías internas de forma regular a través de un equipo de auditoría calificado. Dicho programa será iniciado por el departamento de auditoría interna de CGI.

Los resultados de la auditoría se comunicarán a la sede de CGI, así como al departamento de Privacidad, y se definirán y priorizarán las acciones resultantes, lo que permitirá al área de Privacidad determinar un cronograma para la implementación de medidas correctivas y preventivas.

Las Autoridades competentes en materia de protección de datos podrán solicitar el acceso a los resultados de la auditoría.

16 – Oficina de Privacidad

La implementación de la Política de Privacidad de Datos requiere que todas las entidades CGI participantes enumeradas en el Apéndice A participen plenamente en su aplicación. En cualquier caso, siguen siendo plenamente responsables de su propio cumplimiento de estas BCR-C.

CGI establecerá una organización interna de Privacidad responsable de definir políticas, procesos y estándares apropiados que cubran todas las entidades CGI participantes, y de monitorear el cumplimiento de estas BCR-C.

En particular, CGI designará un Director de Privacidad (Chief Data Privacy Officer - CDPO) cuya Oficina estará integrada por un equipo de Delegados de Protección de Datos y Socios de Privacidad para las diferentes regiones y unidades de negocio, de acuerdo con la Legislación de Protección de Datos Aplicable.

El CDPO reporta directamente al Chief Legal Officer (Director Jurídico), quien depende directamente del CEO. En lo que respecta a esta Política, el CDPO tiene principalmente las siguientes tareas:

  • Definir la estrategia del Grupo en términos de implementación de esta Política y los procedimientos a implementar en toda la organización para garantizar que cada Unidad Estratégica de Negocio (SBU) y Unidad de Negocio (BU) cumpla con esta Política;
  • Definir el programa de formación;
  • Definir la estrategia de auditoría para monitorear la aplicación efectiva de esta Política;
  • Asesorar a las SBUs cuando sea necesario.

Para cada Unidad de Negocio Estratégica de cada región del Grupo (SBU), hemos designado Delegados de Protección de Datos regionales que dan soporte a las Unidades Estratégicas, apoyándose en sus equipos de Socios de Privacidad designados a nivel local y/o de Unidad de Negocio. Los Delegados de Protección de Datos de cada SBU se asegurarán de que esta Política se implemente debidamente a nivel de SBU y que cualquier queja planteada a este nivel, incluidas las quejas de los interesados, se maneje de manera adecuada y, en particular, de acuerdo con el proceso descrito en esta Política. También supervisarán, junto con los equipos locales de Privacidad, que las transferencias de datos y los compromisos se implementen realmente.

En cualquier caso, los interesados recibirán un dato de contacto clave y con la experiencia pertinente en caso de que tengan preguntas y / o quejas.

17 – Registro de actividades de Tratamiento

CGI mantendrá un Registro de las actividades de tratamiento llevadas a cabo como Responsable de los datos personales (el "Inventario de actividades de tratamiento") que contiene toda la siguiente información:

  • El nombre y los datos de contacto del Responsable del tratamiento y, en su caso, del responsable conjunto del tratamiento, del representante del responsable del tratamiento y del delegado de protección de datos;
  • Los fines del tratamiento;
  • Una descripción de las categorías de interesados y de las categorías de datos personales;
  • Las categorías de destinatarios a los que se han comunicado o se divulgarán los datos personales, incluidos los destinatarios de terceros países u organizaciones internacionales;
  • Cuando proceda, transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y la documentación de las garantías adecuadas;
  • En la medida de lo posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  • En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas.

CGI se asegurará de que cualquier nuevo tratamiento de Datos Personales sea registrado en el Inventario de Procesamiento de Datos con información relevante sobre el contexto de cada actividad de tratamiento. CGI pondrá el registro, o registros, del tratamiento a disposición de las autoridades de supervisión que lo soliciten.

18 – Actualización de la Política de privacidad de datos

Estas BCR-C pueden ser modificadas de vez en cuando, según sea necesario y de acuerdo con un procedimiento específico. Cuando las modificaciones afecten significativamente a las BCR o al nivel de protección ofrecido, CGI informará sin demora a la Autoridad de Protección de Datos competente y a todas las entidades de CGI enumeradas en el Apéndice A. Para cualquier otro cambio en las BCR-C, CGI, al menos una vez al año, se comunicará con todos los siguientes grupos:

  • Cada entidad CGI participante enumerada en el Apéndice A;
  • Miembros de CGI;
  • Sujetos de datos para los que CGI actúa como responsable del tratamiento de datos; y
  • Autoridades de Protección de Datos pertinentes, a través de la Autoridad de Protección de Datos competente junto con una breve explicación de las razones que justifican la actualización.

CGI mantendrá una lista actualizada de las entidades vinculadas por estas BCR-C y la Oficina de Privacidad realizará un seguimiento y registrará cualquier actualización de las reglas, se asegurará de que la información se comunique a su debido tiempo a las partes interesadas mencionadas anteriormente y proporcionará la información necesaria a los interesados o a las Autoridades de Protección de Datos Relevantes que lo soliciten.

CGI se compromete a no transferir datos personales a una nueva entidad de CGI que no esté efectivamente vinculada por estas BCR-C de acuerdo con el procedimiento definido en la Sección 3.

Cuando una entidad CGI no perteneciente al EEE enumerada en el Apéndice A deje de formar parte del grupo de Entidades CGI vinculadas por las BCR-C en el futuro, debe garantizarse que seguirá aplicando los requisitos de las BCR-C al tratamiento de los datos personales que se le transfieran mediante las BCR, a menos que, en el momento de abandonar este grupo, el antiguo miembro eliminara o devolviera la totalidad de estos datos a las entidades a las que aún se aplican las BCR-C.

19 – Comunicación

Para los miembros de CGI: cualquier pregunta, solicitud u orientación en relación con estas BCR-C debe enviarse a la siguiente dirección: enterprisedataprivacy@cgi.com

Para interesados que no sean miembros de CGI: cualquier pregunta, solicitud u orientación en relación con estas BCR-C debe enviarse a la siguiente dirección: privacy@cgi.com

 

Las Reglas Corporativas Vinculantes de Encargado (BCR-P) se aplican cuando CGI actúa como Encargado del tratamiento de Datos de acuerdo con las instrucciones de un Responsable del tratamiento de Datos que no está establecido en la UE.

Descargar BCR-P

1 – Definiciones

A los efectos de estas Reglas Corporativas Vinculantes del (BCR-C), se aplican las siguientes definiciones:

“Legislación de protección de datos aplicable"se refiere a (i) el Reglamento General de Protección de Datos 2016/679 relativo al tratamiento de datos personales y (ii) cualquier ley de aplicación del Reglamento de Protección de Datos de la UE.

"CGI" se refiere, según sea el caso, a una, varias o todas las entidades legales participadas, controladas o propiedad de CGI Inc., así como a las unidades de negocio estratégicas y unidades de negocio que actúan en su nombre, que procesan datos personales y cuya adhesión a estas BCR-C no viola o es inconsistente con cualquier ley, reglamento, estatuto, orden judicial, normas obligatorias o compromisos vinculantes locales. Las entidades participadas por CGI se enumeran en el Apéndice A. Esta lista puede actualizarse de vez en cuando.

"Responsable del tratamiento" se refiere a cualquier entidad legal que, sola o conjuntamente con otros Responsables de datos, determina los fines y medios para el tratamiento de datos personales.

"Encargado del tratamiento" se refiere a cualquier entidad legal que actúe en nombre de un Responsable de datos.

"Interesado o titular de los datos" se refiere a una persona física identificada o identificable cuyos datos personales son procesados por CGI, incluido cualquier Miembro de CGI, consultor externo de CGI o empleados o usuarios finales de un cliente de CGI.

"Espacio Económico Europeo" o "EEE" se refiere a los Estados miembros de la UE (Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Irlanda, Italia, Letonia, Lituania, Luxemburgo, Malta, Países Bajos, Polonia, Portugal, República Checa, Rumanía y Suecia), así como a Noruega, Liechtenstein e Islandia, en lo sucesivo también denominados "Estados miembros".

"RGPD" significa el Reglamento Europeo 2016/679 titulado Reglamento General de Protección de Datos.

"Legislación local" tiene el significado atribuido a dicha expresión en la Sección 13.5 de este documento.

"Miembro", "Miembros" se refiere a Empleado(s) de CGI.

"Datos personales" se refiere a cualquier información relacionada a una persona física que pueda identificarla, directa o indirectamente, en particular por referencia a un identificador como un nombre, número de identificación, datos de ubicación, identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. Los datos personales incluyen datos personales Sensibles.

"Tratamiento", "tratar" o "Tratado" se refiere a cualquier operación o conjunto de operaciones realizadas en datos personales, ya sea por medios automatizados o no, como recopilar, registrar, organizar, estructurar, almacenar, adaptar, alterar, recuperar, consultar (incluido el acceso remoto), usar, divulgar transmitiendo, difundiendo o poniendo a disposición, alineando o combinando, restringiendo, borrando o destruyendo.

"Datos personales sensibles" se refiere a categorías específicas de datos personales que revelan el origen racial o étnico, la opinión política, las creencias religiosas o filosóficas o la afiliación sindical, así como el procesamiento de datos genéticos o biométricos con el fin de identificar de manera única a una persona física, los datos de salud y los datos relacionados con la vida sexual u orientación sexual de una persona física.

"Tercero/s” se refiere a los proveedores y subcontratistas de CGI, así como a cualquier otra entidad u organismo público al que se puedan divulgar datos personales.

"Transferencia de Datos Personales" se refiere a la transferencia de datos personales ubicados en el Espacio Económico Europeo (EEE) a un país ubicado fuera del EEE.

2 – Alcance

2.1 Actividades cubiertas

Estas BCR-P se aplican cuando CGI actúa como Encargado del tratamiento de datos de acuerdo con las instrucciones de un Responsable del tratamiento de datos que no es CGI.

Las categorías de tratamiento, interesados y datos personales cubiertos por estas BCR-P se establecen en el Apéndice B.

2.2 Territorios cubiertos/h4>

Los principios contenidos en el presente documento se aplican a la Transferencia de datos personales en los siguientes casos:

  • Desde una entidad CGI ubicada en el EEE a una entidad CGI ubicada fuera del EEE.
  • Desde una entidad CGI ubicada fuera del EEE a una entidad CGI ubicada dentro o fuera del EEE, pero sólo en la medida en la que se traten datos personales de interesados que se encuentran en el EEE.
  • Desde una entidad CGI ubicada en el EEE a terceros ubicados fuera del EEE
  • De terceros ubicados fuera del EEE a una entidad CGI ubicada en el EEE, pero sólo en la medida en la que se traten datos personales de interesados que se encuentran en el EEE.
3 – Cumplimiento y responsabilidad con la Política de Privacidad de Datos

3.1 Responsabilidad de CGI

Estas BCR-C son vinculantes para CGI, incluidas todas las entidades legales participadas por CGI enumeradas en el Apéndice A.

Cualquier entidad de CGI que actúe como Encargado del tratamiento de Datos pondrá a disposición del Responsable de los datos toda la información razonable necesaria para demostrar el cumplimiento de sus obligaciones en virtud de estas BCR-P.

3.2 Cumplimiento por los Miembros

Todos los Miembros de CGI (empleados) están obligados por estas BCR-P a través de la obligación, en todos los contratos de trabajo, de cumplir con las obligaciones de confidencialidad y privacidad aplicables, así como las políticas, procesos y estándares de CGI, según lo cubierto por el Código de Ética de CGI. Los Miembros de CGI, cuando corresponda, reconocerán anualmente estas BCR-C junto con el Código de Ética.

Como se detalla con más detalle en las Secciones 13.1 y 14 de las BCR-P, los Miembros de CGI son informados de las BCR a través de los canales de comunicación interna y mediante la formación correspondiente. Los miembros de CGI también son conscientes del hecho de que el incumplimiento del Código de Ética y, en este caso específico, de las BCR-P puede dar lugar a sanciones de acuerdo con las leyes locales aplicables.

3.3 Cumplimiento relacionado con los clientes de CGI y otros Responsables de datos

CGI, actuando como Encargado del tratamiento, se compromete con los clientes, así como con otros Responsables de los datos, a cumplir con estas BCR-P.

CGI, incluidos sus empleados, se compromete a procesar los datos personales de los Responsables de datos únicamente de acuerdo con sus instrucciones y, en particular, con respeto a la naturaleza, el método, el propósito y la duración del procesamiento, así como a las medidas operativas y técnicas necesarias para evitar el acceso ilegal a los datos personales. De conformidad con el artículo 28 del RGPD, dicho compromiso debe reflejarse expresamente en los acuerdos celebrados entre CGI y los Responsables de datos.

3.4 Cumplimiento relacionado con proveedores y subcontratistas de CGI y otros terceros

Cualquier tercero que trate datos personales en nombre de CGI debe implementar las medidas organizativas adecuadas para garantizar el cumplimiento de los principios y requisitos de estas BCR-P junto con todos y cada uno de los demás elementos requeridos que deben figurar en el contrato en virtud del art. 28.3 GDPR.

4 – Principios básicos de CGI del tratamiento de datos personales.

El cumplimiento de los siguientes principios no sólo cumple o excede la Legislación de Protección de Datos aplicable, sino que también cumple con los más altos estándares y prácticas del mercado para el Tratamiento de Datos Personales. Cumplir con los siguientes principios no solo cumple o excede la Legislación de Protección de Datos Aplicable, sino que también cumple con los más altos estándares y prácticas del mercado para el Procesamiento de Datos Personales.

Al actuar como Encargado del Tratamiento de datos, CGI se asegurará de que los datos personales son tratados únicamente de acuerdo con las instrucciones del Responsable de los Datos, que en la mayoría de los casos será un cliente de CGI. En particular, dicho tratamiento debe cumplir con cada una de las siguientes condiciones:

  • Realizado siguiendo solamente los propósitos indicados por el Responsable del Tratamiento;
  • Realizado bajo las condiciones acordadas entre CGI y el Responsable de los Datos; y
  • Realizado sólo durante el período que prescriba expresamente el Responsable de los Datos.

Responsable

En particular, como Encargado del tratamiento, CGI tratará los datos personales de acuerdo con la Legislación de protección de datos aplicable y las instrucciones del Responsable de los datos según lo establecido en el acuerdo celebrado entre CGI y el Responsable. Dicho tratamiento será realizado por CGI de acuerdo con las instrucciones del Responsable de datos y no para ningún otro propósito incompatible, a menos que el Responsable de datos lo autorice expresamente y esté sujeto a la Legislación de Protección de Datos Aplicable. CGI informará inmediatamente al Responsable de datos si, en su opinión, una instrucción de este último infringe la Legislación de Protección de Datos Aplicable.

El Responsable de los datos será responsable de definir el período de retención necesario para lograr los fines del tratamiento y CGI se compromete a este respecto a procesar sólo los datos personales del Responsable de acuerdo con las instrucciones de este último.

CGI procesará los datos personales del Responsable del tratamiento con transparencia de acuerdo con la Sección 12 de estas BCR-P y sólo subcontratará dicho tratamiento a terceros de acuerdo con una autorización previa general o específica del Responsable del tratamiento de datos y de acuerdo con la Sección 6 a continuación. CGI ayudará y proporcionará asistencia razonable al Responsable para cumplir con sus obligaciones en virtud de la Legislación de Protección de Datos Aplicable.

Además, a petición del Responsable del tratamiento Responsable de datos y según sus instrucciones, CGI actualizará, corregirá, anonimizará o eliminará cualquier Dato personal y, según corresponda, instruirá a sus proveedores para que cumplan con dicha solicitud.

CGI, a petición del Responsable, implementará las medidas técnicas y organizativas adecuadas para el cumplimiento de las obligaciones del Responsable en responder a las solicitudes de ejercicios de derechos de los interesados de acuerdo con el procedimiento CGI correspondiente.

Al actuar como Encargado del tratamiento de datos, y a menos que el Responsable indique lo contrario, CGI aplicará la misma línea base de seguridad que aplica cuando actúa como Responsable del tratamiento de datos personales. Según la naturaleza del tratamiento y la información disponible para CGI, proporcionará asistencia razonable al Responsable para garantizar el cumplimiento de sus obligaciones en virtud de los artículos 32 a 36 del RGPD.

Tras la finalización del contrato de Encargo de tratamiento correspondiente Responsable, CGI y sus subcontratistas destruirán o devolverán todos los datos personales al Responsable del tratamiento de acuerdo con sus instrucciones y la legislación de protección de datos aplicable. En tal caso, CGI certificará al Responsable que dicha eliminación y / o devolución tuvo lugar. En caso de devolución, CGI garantizará la confidencialidad de los datos personales transferidos al Responsable de Datos.

La asistencia que CGI proporcionará al Responsable de los datos a los efectos de cumplimiento de esta Sección estará sujeta a las condiciones financieras, técnicas y organizativas acordadas entre CGI y el Responsable del tratamiento en el acuerdo de servicios correspondiente.

Para evitar dudas, nada en estas BCR-P limita el derecho de CGI a conservar los datos personales con el fin de litigios existentes o para presentar o defender reclamaciones futuras, de acuerdo con los estatutos legales de prescripción aplicables a CGI.

El Responsable del tratamiento de datos sigue siendo el único responsable de garantizar que el tratamiento requerido cumpla con la legislación de protección de datos aplicable.

5 – Tratamiento de datos personales sensibles

El Tratamiento de datos personales Sensibles requiere que se implementen garantías reforzadas, como se describe a continuación.

Cuando un Responsable del tratamiento de datos requiera que CGI procese datos personales Sensibles regulados como tales por la legislación de Protección de Datos aplicable, dicho Responsable sigue siendo el único responsable de definir las medidas de seguridad que considere apropiadas para abordar los riesgos subyacentes, de acuerdo con la legislación de Protección de Datos aplicable. Sin embargo, a menos que el Responsable del tratamiento indique lo contrario, CGI procesará los datos personales de acuerdo con las mejores prácticas que normalmente se aplican en circunstancias similares. CGI seguirá, en todo caso, las instrucciones del Responsable y aplicará las medidas acordadas entre las partes.

Cuando CGI realiza el tratamiento de Datos Personales Sensibles como Encargado, CGI no estará obligado a garantizar que el tratamiento se base en una de las bases legales definidas en el art. 9 GDPR.

En cualquier caso, CGI tratará los datos personales sensibles de acuerdo con la legislación de Protección de Datos aplicable. Cuando dicha ley requiera condiciones específicas de alojamiento y tratamiento, CGI obtendrá la certificación o calificación requerida o utilizará un tercero ya certificado o calificado para tal fin.

6 – Transferencia de datos personales a terceros países

Una transferencia de datos personales ocurre cuando una entidad ubicada fuera del EEE está involucrada en el tratamiento realizado por una entidad ubicada en el EEE.

Una transferencia de datos personales puede requerir garantías o condiciones adicionales, como se describe a continuación.

6.1 Transferencia de datos personales dentro de CGI

Estas BCR-P proporcionan las salvaguardas adecuadas con respecto a cualquier Transferencia de datos personales que se realicen:

  • Desde una entidad CGI ubicada en el EEE actuando como Responsable del tratamiento de Datos a una entidad CGI ubicada fuera del EEE actuando como Responsable del tratamiento de Datos o como Encargado Interno del tratamiento;
  • Desde una entidad CGI ubicada fuera del EEE que actúa como Responsable del tratamiento de datos y trata datos personales que caen dentro del alcance de estas BCR-C, a una entidad CGI que actúa como Responsable del tratamiento de datos o como Encargado Interno del tratamiento de datos, donde sea que se encuentre.

Los propósitos esperados de dicha Transferencia de datos personales se definen en la Sección 2.1 anterior.

Al actuar como Encargado del tratamiento, CGI se asegurará de obtener la autorización específica o general por escrito del Responsable antes de realizar cualquier transferencia de datos personales. Si se otorga una autorización general, CGI informará al Responsable del tratamiento sobre cualquier cambio previsto con respecto a la adición o reemplazo de un Subencargado de manera tan oportuna que el Responsable tenga la posibilidad de objetar el cambio o rescindir el contrato antes de cualquier transferencia de datos personales al nuevo Subencargado.

6.2 Transferencia de Datos Personales fuera de CGI

Cuando CGI actúe como Encargado de tratamiento de datos en nombre de un Responsable ubicado en el EEE, y cuando los datos personales del Responsable se transfieran a un Tercero ubicado fuera del EEE, CGI se asegurará de que:

(i) El Responsable del tratamiento de datos otorgue una autorización previa específica o general por escrito para dicha transferencia y;
(ii) Que el Responsable del tratamiento de Datos en el EEE y el Tercero ubicado fuera del EEE enmarquen la Transferencia de datos personales con una de las salvaguardas apropiadas a las que se hace referencia a continuación:

  • La adopción por ambas partes de las cláusulas modelo de la UE resultantes de la Decisión de Ejecución (UE) 2021/914 de la Comisión de la UE, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
  • Cualquier otra salvaguarda apropiada reconocida por la legislación de Protección de Datos aplicable que requiera el mismo nivel de protección de datos personales, o uno superior al contemplado en el Reglamento General de Protección de Datos 2016/679, como una decisión de adecuación, un código de conducta aprobado o un mecanismo de certificación adecuado.

Si se otorga una autorización general, CGI informará al Responsable del tratamiento de datos sobre cualquier cambio previsto con respecto a la adición o reemplazo de un Subencargado externo de manera tan oportuna que el Responsable de datos tenga la posibilidad de objetar el cambio o rescindir el contrato antes de cualquier transferencia de datos personales al nuevo Subencargado externo.

Cualquier otro intercambio de información personal que no sean datos personales y que no se originen en una entidad ubicada en el EEE no se considera una transferencia de datos personales en virtud de estas BCR-P. En consecuencia, dicha transferencia no está sujeta a los requisitos aquí contenidos. Sin embargo, la entidad CGI involucrada en dichas transferencias implementará todas las medidas técnicas y organizativas necesarias y razonables acordes con los riesgos asociados a dicho tratamiento, de acuerdo con estas BCR-P y las políticas de seguridad de CGI aplicables.

7 – Derechos de terceros beneficiarios

7.1 Cuando CGI actúa como Encargado del tratamiento de datos

Cuando CGI actúa como Encargado del tratamiento de Datos, los interesados tienen derecho a hacer cumplir las siguientes disposiciones de estas BCR-P como terceros beneficiarios directamente contra CGI cuando los requisitos en juego estén dirigidos específicamente a los Encargados del tratamiento de Datos de acuerdo con el Reglamento General de Protección de Datos 2016/679:

  • Sección 3.3: CLIENTES CGI RELACIONADOS CON EL CUMPLIMIENTO Y OTROS RESPONSABLEES DE DATOS
  • Sección 4: PRINCIPIOS BÁSICOS DE CGI AL TRATAR DATOS PERSONALES
  • Sección 5: TRATAMIENTO DE DATOS PERSONALES SENSIBLES
  • Sección 6: TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES
  • Sección 7: DERECHOS DE TERCEROS BENEFICIARIOS
  • Sección 8: RESPONSABILIDAD DE CGI EN CASO DE INCUMPLIMIENTO DE LA POLÍTICA DE PRIVACIDAD DE DATOS
  • Sección 9: PROCEDIMIENTO DE SOLICITUD DE DATOS Y GESTIÓN DE RECLAMACIONES
  • Sección 12.1: (TRANSPARENCIA) RESPECTO A LA POLÍTICA DE PRIVACIDAD DE DATOS
  • Sección 12.2: (TRANSPARENCIA) SOBRE EL TRATAMIENTO DE DATOS
  • Sección 12.3: NOTIFICACIÓN DE VIOLACIÓN DE DATOS PERSONALES
  • Sección 12.4 : COOPERACIÓN CON LAS AUTORIDADES DE PROTECCIÓN DE DATOS
  • Sección 12.5: DÓNDE LA LEY LOCAL TIENE PRECEDENCIA SOBRE ESTAS BCR-P

En el caso de que el Responsable de los datos haya desaparecido de hecho, o ya no exista en la ley como entidad legal, o se haya declarado insolvente y que ninguna otra entidad haya asumido las obligaciones legales del Responsable, los interesados tendrán derecho a presentar una reclamación directamente contra CGI para ejercer los derechos contenidos en las BCR-P como terceros beneficiarios.

En tal caso, los interesados y CGI pueden buscar una solución amistosa en el marco de un acuerdo celebrado de conformidad con la Sección 9 de estas BCR-P ("Proceso de gestión de solicitudes y reclamaciones de los interesados)Cuando CGI actúe como Encargado y el Responsable involucrado en un mismo tratamiento sean considerados responsables de cualquier daño causado por dicho tratamiento, los interesados tendrán derecho a recibir una compensación por los daños directos de CGI actuando como Encargado del tratamiento de los Datos o del Responsable.

Si bien CGI alienta a los interesados a utilizar este procedimiento dedicado a la gestión de reclamaciones, los interesados también tienen derecho a presentar una reclamación directamente ante la Autoridad de Protección de Datos competente del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, o a recurrir directamente a los tribunales del Estado miembro contra CGI France SAS donde CGI tenga un establecimiento o donde el interesado tenga su residencia habitual, por cualquier violación de los derechos garantizados en virtud de las presentes BCR-P y, en su caso, tendrá derecho a recibir una indemnización por cualquier daño material o moral resultante de dicha infracción.

7.2 Jurisdicción

Cuando un interesado tenga la intención de presentar una queja de acuerdo con la Sección 7.1 anterior por una violación de cualquiera de los derechos otorgados en virtud de estas BCR-P relacionados con el tratamiento que cae dentro del alcance de este BCR-P, las siguientes autoridades o tribunales tendrán jurisdicción:

  • Cuando la violación se origine en el tratamiento realizado por una entidad de CGI ubicado en el EEE, el interesado tiene derecho a presentar una queja contra CGI ante una de las siguientes autoridades:

    • Ante la Autoridad de protección de datos del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la presunta infracción;
    • Ante los órganos jurisdiccionales del Estado miembro en el que el interesado tenga su residencia habitual;
    • Ante los tribunales del Estado miembro donde CGI, como exportador de datos, Responsable tiene un establecimiento.
  • Cuando la violación se origine en el Procesamiento realizado por CGI ubicado fuera del EEE, el interesado tiene derecho a presentar una queja contra CGI France SAS directamente ante la Autoridad de Protección de Datos competente en la UE de su lugar de residencia, lugar de trabajo o lugar de la presunta infracción; o ante el Tribunal del Estado miembro donde el interesado tiene su lugar de residencia; o donde CGI o el Responsable tiene un establecimiento.
8 – Responsabilidad de CGI en caso de incumplimiento de la Política de Privacidad de Datos

Cuando CGI o un subencargado externo contratado por CGI procesa datos personales en nombre de un Responsable de datos, puede ser considerado responsable de cualquier daño causado por el tratamiento sólo cuando no haya cumplido con sus obligaciones o cuando haya actuado fuera o en contra de las instrucciones legales del Responsable de datos. En el caso de que el Responsable y CGI France SAS estén involucrados en el mismo tratamiento y cuando sean responsables de cualquier daño causado por dicho tratamiento, cada uno de los Responsables y CGI France SAS pueden ser considerados responsables de todos los daños para garantizar una compensación efectiva del interesado.

Cuando CGI trata datos personales en nombre de un Responsable de tratamiento que ha desaparecido de hecho, o ha dejado de existir en la ley como entidad legal, o se ha vuelto insolvente y ninguna entidad sucesora ha asumido la obligación completa de dicho Responsable por contrato o por ministerio de la ley, el interesado o titular de los datos puede hacer valer sus derechos contra la entidad sucesora, si procede, o de otro modo contra CGI France SAS. En tal caso, el interesado tendrá derecho a presentar una queja ante cualquier Tribunal o Autoridad de Protección de Datos competente que hubiera tenido jurisdicción sobre dicho Responsable del tratamiento o que tenga jurisdicción sobre CGI France SAS. En todos los casos, los interesados tendrán derecho a presentar una reclamación directamente ante la autoridad de protección de datos competente del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la presunta infracción o a interponer recursos judiciales ante CGI en el Estado miembro en el que tenga un establecimiento o donde el interesado tenga su residencia habitual, por cualquier violación de los derechos garantizados en virtud de las presente BCR-P y, según proceda, tendrá derecho a recibir una indemnización por cualquier daño material o moral resultante de dicho incumplimiento.

CGI France SAS también tendrá la carga de la prueba para demostrar que CGI o un tercero ubicado fuera del EEE no son responsable de ninguna presunta violación de la Política, Sin embargo, en caso de una violación demostrada en tales circunstancias, CGI France SAS tomará las medidas necesarias para remediar el incumplimiento y pagar una compensación por los daños demostrados resultantes de la misma. Cualquier compensación de este tipo que deba pagar CGI France SAS será respaldada por CGI Inc., la entidad Responsable a de todas las subsidiarias operativas de CGI, confirmando así que CGI France SAS ha aceptado la responsabilidad por los actos de las subsidiarias operativas de CGI vinculadas por esta Política fuera de la UE y tiene activos suficientes para pagar una compensación por los daños resultantes del incumplimiento de esta Política.

Además, el Responsable del tratamiento de datos relevante tiene el derecho de hacer cumplir estas BCR-P contra cualquier entidad de CGI que trata datos personales en su nombre y que infringe estas BCR-P. En caso de que dicha violación involucre a una entidad de CGI o un Subencargado externo contratado por CGI fuera de la UE, el Responsable tiene el derecho de hacer cumplir estas BCR-P contra CGI France SAS aceptando responsabilidad en la UE / EEE, como se describió anteriormente en este artículo. El Responsable del tratamiento tiene derecho a recibir una compensación y recursos judiciales en las condiciones establecidas en el correspondiente acuerdo celebrado entre CGI y dicho Responsable.

9 – Proceso de gestión de solicitudes y reclamaciones presentadas por un titular

El procedimiento establecido en esta Sección también se aplica al ejercicio de derechos a acceder, actualizar o eliminar sus datos personales por parte de un interesado o titular de datos.

Cuando un interesado presenta una reclamación o una solicitud directamente a CGI en su rol de Encargado del tratamiento de datos, CGI informará al Responsable sobre la queja o solicitud, no siendo CGI legalmente responsable de manejarla. CGI será responsable sólo de manejar las solicitudes siguiendo las instrucciones del Responsable. Cuando el Responsable haya desaparecido de hecho, haya dejado de existir o se haya declarado insolvente, CGI manejará dichas solicitudes directamente, en la medida de lo posible, de acuerdo con el procedimiento de CGI correspondiente.

Cualquier queja o solicitud de este tipo será gestionada por CGI a su debido tiempo de acuerdo con el procedimiento pertinente de CGI.

A menos que CGI haya puesto a disposición una solicitud específica o un formulario de queja o contacto como parte de los servicios prestados al Responsable de datos en juego, los grupos de interés pueden enviar sus solicitudes o presentar sus quejas como se indica en la Sección de Comunicación de este BCR-P.

CGI se asegurará de comunicar toda la información relevante que reciba del grupo de interés al Responsable de Datos e indicará expresamente a este último que es responsabilidad del Responsable de Datos manejar dicha queja o solicitud.

10 – Privacidad desde el diseño y por defecto

En línea con los principios contenidos en estas BCR-P, CGI proporcionará el nivel adecuado de protección a los datos personales que procesa.

Para garantizar que dichos principios se tomen en cuenta de manera efectiva cuando CGI procese datos personales, CGI identificará e implementará restricciones de protección de datos durante los ciclos de vida de desarrollo y entrega de cualquier proyecto o servicio que implique el procesamiento de datos personales.

11 – Evaluación del impacto en la privacidad

Al actuar como Encargado del tratamiento de datos, el Responsable de datos puede requerir a CGI que coopere y proporcione información relevante para permitir que el Responsable del tratamiento de datos realice una evaluación de impacto en materia de privacidad. CGI proporcionará al Responsable toda la información relevante que tenga, al tiempo que se asegura de que no brinde ningún asesoramiento legal en la realización de dicha evaluación de impacto.

12 – Transparencia

12.1 Con respecto a la Política de privacidad de datos

CGI creará conciencia sobre estas BCR-P para fomentar su cumplimiento.

CGI se asegurará de que el Responsable del tratamiento de datos pueda acceder fácilmente a estas BCR-P, en particular haciendo que una versión pública sea accesible en su sitio web e incluyéndola por referencia en el acuerdo celebrado con el Responsable.

12.2 Sobre el tratamiento de datos

Al actuar como Encargado del Tratamiento de datos, CGI proporcionará a los Responsables de los datos, previa solicitud, información relevante que les permita cumplir con sus propias obligaciones con los interesados. A menos que se indique lo contrario en cualquier acuerdo contractual, CGI no estará obligado a informar directamente a los interesados de ello, ya que dichas obligaciones siguen siendo responsabilidad de los Responsables

12.3 Notificación de violación de datos personales

De acuerdo con las políticas y estándares de seguridad de CGI, si CGI o cualquier Subencargado externo contratado por CGI identifica un incidente de seguridad que conduzca a la destrucción, accidental o ilegal, pérdida, alteración, divulgación o acceso no autorizados a los datos personales transmitidos, almacenados o procesados de otra manera, CGI, sin demora indebida, proporcionará una notificación del incidente de seguridad y las actualizaciones de estado al Responsable de datos y, cuando se acuerde en el acuerdo pertinente, también a la Autoridad de Protección de Datos y / o titulares de datos / interesados correspondientes cuando la violación de datos personales pueda resultar en un alto riesgo para sus derechos y libertades. Del mismo modo y para mayor claridad, en caso de que un Subencargado externo contratado por CGI identifique una violación de datos personales, el Subencargado informará a CGI según lo acordado en el acuerdo relevante y, en caso de que la violación de datos personales ocurra fuera del EEE que involucre datos personales transferidos desde el EEE, se notificará a CGI France SAS. Todas las violaciones de datos personales se documentarán y se pondrán a disposición de las autoridades de control que lo soliciten.

12.4 Cooperación con las Autoridades de Protección de Datos

CGI busca mantener relaciones sólidas con las Autoridades de Protección de Datos. CGI cooperará con las Autoridades de Protección de Datos competentes para el Responsable de Datos respectiva en relación con cualquiera de sus solicitudes enviadas de acuerdo con la legislación de Protección de Datos aplicable, incluidas las solicitudes de auditoría. CGI también cumplirá con las recomendaciones emitidas por las Autoridades de Protección de Datos competentes en relación con el Tratamiento de Datos Personales llevado a cabo por CGI como Responsable.

12.5 Cuando la legislación local tenga precedencia sobre estas BCR-P

Antes de que se lleve a cabo una Transferencia de datos, la entidad exportadora de datos junto con la ayuda de la entidad importadora de datos, teniendo en cuenta las circunstancias de la transferencia, evaluará si la legislación local, los reglamentos, los estatutos, las órdenes judiciales o las normas obligatorias (en adelante, "Legislación local") impedirán que CGI cumpla con sus obligaciones en virtud de las BCR-P y determinará las medidas complementarias requeridas que deben tomarse.

Antes de la entrada en vigor cualquier legislación local actualizada cuando la transferencia ya tenga lugar, , la entidad exportadora de datos, con la ayuda de la entidad importadora de datos, evaluará si la legislación local actualizada impedirá a CGI cumplir con sus obligaciones en virtud de estas BCR-C y determinará las medidas complementarias necesarias que deben tomarse.

El Director de Privacidad (CDPO), el Director Jurídico y CGI France SAS revisarán y aprobarán la investigación documentada y cualquier medida complementaria propuesta y las presentarán al Responsable de datos para su validación.

Cuando la Legislación Local requiera un nivel de protección superior al contemplado en estas BCR-P, dicha Legislación Local tendrá prioridad sobre estas BCR-P, y el Tratamiento se realizará de acuerdo con la Legislación Local.

Cuando el resultado de la evaluación de la legislación local demuestre la necesidad de implementar medidas complementarias, CGI las implementará después de consultar con el Responsable de datos. Sin embargo, si no se pueden establecer medidas complementarias, CGI notificará de inmediato al Responsable para permitirle la posibilidad de suspender la transferencia y / o rescindir el contrato.

El resultado de la evaluación y las medidas complementarias propuestas se documentarán adecuadamente y se mantendrán a disposición de la(s) Autoridad(es) de Protección de Datos.

Cuando una entidad de CGI tenga razones para creer que cualquier requisito legal al que CGI está o puede estar sujeta en un tercer país impide o puede impedir que CGI cumpla con las instrucciones del Responsable sus obligaciones según lo establecido en su acuerdo o en virtud de las BCR-P, incluida cualquier solicitud legalmente vinculante de divulgación de datos personales por parte de una autoridad policial u organismo de seguridad del estado, el Director de Privacidad (CDPO) y CGI France SAS serán informados de inmediato (excepto cuando lo prohíba una autoridad policial, como la prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial).Responsable En casos específicos en los que la notificación mencionada anteriormente esté prohibida, la entidad CGI pertinente hará todo lo posible para que se renuncie a dicha prohibición. Si, a pesar de sus esfuerzos, la entidad CGI requerida no está en condiciones de notificar a la(s) Autoridad(es) de Protección de Datos competente(s), proporcionará anualmente información general sobre las solicitudes que recibió a la(s) Autoridad(es) de Protección de Datos competente(s).

En cualquier caso, las cesiones de Datos Personales por parte de una entidad de CGI sujeta a estas BCR-C a cualquier autoridad pública no pueden ser masivas, desproporcionadas e indiscriminadas de forma que vayan más allá de lo necesario en una sociedad democrática.

Transferencias o divulgaciones no autorizadas por el Derecho de la Unión
Para las entidades CGI ubicadas en el EEE, cualquier sentencia de un tribunal judicial y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un Responsable o Encargado de tratamiento transfiera o divulgue datos personales sólo podrá ser reconocida o ejecutable de cualquier manera si se basa en un acuerdo internacional, como un tratado de asistencia judicial mutua en vigor entre el tercer país solicitante y la Unión Europea o un Estado miembro, sin perjuicio de otros motivos de transferencia con arreglo al capítulo V del RGPD.

13 – Formación

CGI adoptará e implementará un programa de formación en privacidad para que sus miembros conozcan los principios y procedimientos contenidos en estas BCR-P.

El programa de formación proporcionará a los miembros de CGI lo siguiente:

  • Conocimiento básico común sobre los principios aplicables al tratar datos personales;
  • Buena comprensión de los procedimientos existentes y su aplicación;
  • Formación específica adaptada a las diferentes funciones dentro de la organización.

Este programa de formación tiene como objetivo garantizar que se brinde una capacitación adecuada a los miembros cuyas funciones requieren el tratamiento de datos personales.

Además de implementar la formación adecuada en protección de datos, CGI continuará promoviendo una cultura de protección de datos dentro de su organización. Para este propósito, CGI llevará a cabo acciones de comunicación específicas, incluidas campañas de concientización, materiales relacionados con la privacidad, seminarios web y foros, para proporcionar orientación y responder a consultas sobre cualquier asunto relacionado con estas BCR-P.

La formación en privacidad es obligatoria para los miembros cuyas funciones requieren el procesamiento de datos personales.

14 – Auditoría

CGI integrará en su programa de auditoría interna una revisión del cumplimiento por CGI de todos los aspectos de estas BCR-P.

El proceso de auditoría interna definirá lo siguiente:

  • Calendario en virtud del cual se llevarán a cabo las auditorías;
  • Alcance previsto de la auditoría;
  • Equipo responsable de la auditoría.

El proceso de auditoría interna podrá revisarse periódicamente. Sin embargo, CGI realizará auditorías internas de forma regular a través de un equipo de auditoría calificado. Dicho programa será iniciado por el departamento de auditoría interna de CGI.

Los resultados de la auditoría se comunicarán a la sede de CGI, así como a la Oficina de Privacidad, y se definirán y priorizarán las acciones resultantes, lo que permitirá al área de Privacidad determinar un cronograma para la implementación de medidas correctivas y preventivas.

Las Autoridades de Protección de Datos competentes, así como los Responsables de Datos cuando CGI actúa como Encargado del tratamiento, pueden solicitar acceso a los resultados de la auditoría.

Además, cuando CGI actúa como Encargado del tratamiento de Datos, el Responsable de Datos puede solicitar que CGI realice auditorías para evaluar el cumplimiento de CGI o de sus subencargados en relación con las obligaciones contractuales correspondientes y con estas BCR-P. Estas auditorías serán realizadas por el Responsable o por un organismo de inspección compuesto por miembros independientes.

15 – Oficina de Privacidad

La implementación de la Política de Privacidad de Datos requiere que todas las entidades CGI participantes enumeradas en el Apéndice A participen plenamente en su aplicación. En cualquier caso, siguen siendo plenamente responsables de su propio cumplimiento de estas BCR-P.

CGI establecerá una organización interna de Privacidad responsable de definir políticas, procesos y estándares apropiados que cubran todas las entidades CGI participantes, y de monitorear el cumplimiento de estas BCR-P.

En particular, CGI designará un Director de Privacidad (Chief Data Privacy Officer - CDPO) cuya Oficina estará integrada por un equipo de Delegados de Protección de Datos y Socios de Privacidad para las diferentes regiones y unidades de negocio, de acuerdo con la Legislación de Protección de Datos Aplicable.

El CDPO reporta directamente al Chief Legal Officer (Director Jurídico), quien depende directamente del CEO. En lo que respecta a esta Política, el CDPO tiene principalmente las siguientes tareas:

  • Definir la estrategia del Grupo en términos de implementación de esta Política y los procedimientos a implementar en toda la organización para garantizar que cada Unidad Estratégica de Negocio (SBU) y Unidad de Negocio (BU) cumpla con esta Política;
  • Definir el programa de formación;
  • Definir la estrategia de auditoría para monitorear la aplicación efectiva de esta Política;
  • Asesorar a las SBUs cuando sea necesario.

Para cada Unidad de Negocio Estratégica de cada región del Grupo (SBU), hemos designado Delegados de Protección de Datos regionales que dan soporte a las Unidades Estratégicas, apoyándose en sus equipos de Socios de Privacidad designados a nivel local y/o de Unidad de Negocio. Los Delegados de Protección de Datos de cada SBU se asegurarán de que esta Política se implemente debidamente a nivel de SBU y que cualquier queja planteada a este nivel, incluidas las quejas de los interesados, se maneje de manera adecuada y, en particular, de acuerdo con el proceso descrito en esta Política. También supervisarán, junto con los equipos locales de Privacidad, que las transferencias de datos y los compromisos se implementen realmente.

En cualquier caso, los interesados y los Responsables de Datos (cuando CGI actúe como Encargado del tratamiento de Datos) recibirán un dato de contacto clave y con la experiencia pertinente en caso de que tengan preguntas y / o quejas.

16 – Registro de las actividades de tratamiento

CGI mantendrá un registro de las actividades de procesamiento llevadas a cabo como Encargado del tratamiento de datos personales (el "Inventario de actividades de tratamiento") que contiene toda la siguiente información:

  • El nombre y los datos de contacto del Encargado/s del tratamiento procesadores de datos y de cada Responsable de datos en nombre del cual actúa el Encargado y, cuando corresponda, del representante del Responsable de datos o del Encargado, y el Delegado de Protección de Datos;
  • Las categorías de tratamiento llevado a cabo en nombre de cada Responsable;
  • Cuando proceda, transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de ese tercer país u organización internacional y la documentación de las garantías adecuadas;
  • En la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas.

CGI se asegurará de que cualquier nuevo tratamiento de Datos Personales sea registrado en el Inventario de Actividades de tratamiento con información relevante sobre el contexto de cada actividad de tratamiento. CGI pondrá el registro, o registros, del tratamiento a disposición de las autoridades de supervisión que lo soliciten.

17 – Actualización de la Política de privacidad de datos

Estas BCR-P pueden ser modificadas de vez en cuando, según sea necesario y de acuerdo con un procedimiento específico. Cuando las modificaciones afecten significativamente a las BCR o al nivel de protección ofrecido, CGI informará sin demora a la Autoridad de Protección de Datos competente y a todas las entidades de CGI enumeradas en el Apéndice A. Para cualquier otro cambio en la Política de privacidad de datos, CGI, al menos una vez al año, se comunicará con todos los siguientes grupos:

  • Cada entidad CGI participante enumerada en el Apéndice A;
  • Miembros de CGI;
  • Autoridades de Protección de Datos pertinentes, a través de la Autoridad de Protección de Datos competente junto con una breve explicación de las razones que justifican la actualización.

Cuando CGI actúe como Encargado del tratamiento, cualquier cambio en estas BCR-P se comunicará de manera oportuna a los Responsables de los datos a fin de permitirles la posibilidad de objetar el cambio o rescindir el contrato antes de que se realice la modificación.

CGI mantendrá una lista actualizada de las entidades vinculadas por estas BCR-P y la Oficina de Privacidad hará seguimiento y registrará cualquier actualización de las reglas, se asegurará de que la información se comunique a su debido tiempo a las partes interesadas mencionadas anteriormente y proporcionará la información necesaria a los Responsables o a las respectivas Autoridades de Protección de Datos que lo soliciten.

CGI se compromete a no transferir datos personales a una nueva entidad de CGI que no esté efectivamente vinculada por estas BCR-P de acuerdo con el procedimiento definido en la Sección 3.

Cuando una entidad CGI no perteneciente al EEE enumerada en el Apéndice A deje de formar parte del grupo de Entidades CGI vinculadas por las BCR-P en el futuro, debe garantizarse que seguirá aplicando los requisitos de las BCR-P al tratamiento de los datos personales que se le transfieran mediante las BCR, a menos que, en el momento de abandonar este grupo, el antiguo miembro eliminara o devolviera la totalidad de estos datos a las entidades a las que aún se aplican las BCR-P.

18 – Comunicación

Para los miembros de CGI: cualquier pregunta, solicitud u orientación en relación con estas BCR-P debe enviarse a la siguiente dirección: enterprisedataprivacy@cgi.com.

Para interesados que no sean miembros de CGI: cualquier pregunta, solicitud u orientación en relación con estas BCR-P debe enviarse a la siguiente dirección: privacy@cgi.com.