Como organización global de servicios de consultoría de TI y de negocio, CGI se compromete a mantener niveles de protección de datos personales alineados con las mejores prácticas de la industria que, como mínimo, cumplan con los requisitos de la legislación de protección de datos aplicable y las obligaciones contractuales de CGI.

Como parte de este compromiso, CGI requiere que sus Miembros y cualquier tercero contratado por CGI o que proporcione bienes y/o servicios a CGI (incluidos terceros proveedores, subcontratados y autónomos) tomen las medidas adecuadas para salvaguardar los Datos personales en el desempeño de sus funciones.

Siendo transparente sobre los datos que usamos, CGI ha diseñado esta Política de privacidad de datos ("Política") para informarle sobre cómo y por qué recopilamos y procesamos sus Datos personales, las prácticas de privacidad de CGI y sus derechos como Sujetos de datos con respecto al Procesamiento de sus Datos Personales.

Esta Política establece el estándar general que CGI ha implementado al Procesar Datos Personales. Esta Política se aplica cuando CGI actúa como Responsable o como Encargado del tratamiento de datos. Se aplica al tratamiento de todos los Datos personales, independientemente de la naturaleza o categoría de los Datos personales, independientemente del medio en el que se almacenen esos datos.

Los detalles adicionales para actividades de procesamiento específicas están disponibles en los avisos de información de privacidad relevantes.

CGI se compromete a tratar los Datos Personales con el mismo nivel de protección, independientemente de si Procesa Datos Personales para sus propias necesidades o para las necesidades de sus clientes o de cualquier tercero. La implementación de esta Política de Privacidad de Datos requiere que todos los Miembros de las Entidades de CGI y cualquier tercero contratado por CGI participen plenamente en su aplicación, sin ninguna excepción.

Descargar Política de Privacidad

PROPÓSITO

Como parte de una organización global de servicios de consultoría de TI y de negocios, CGI Information Systems and Management Consultants España S.A. se compromete a mantener niveles de protección de Datospersonales alineados con las mejores prácticas de la industria que, como mínimo, cumplen con los requisitos de la Legislación de Protección de Datos Aplicable y las obligaciones contractuales de CGI. Como parte de este compromiso, CGI exige a sus miembros y a cualquier tercero contratado por CGI o que proporcione bienes y/o servicios a CGI (incluidos terceros proveedores, subcontratistas y trabajadores autónomos) que tomen las medidas adecuadas para salvaguardar los Datospersonales en la ejecución de sus funciones.

Siendo transparentes sobre los datosque utilizamos, CGI ha emitido esta Política de Privacidad de Datos ("Política") para informarle sobre cómo y por qué recogemos y procesamos sus datos personales, las prácticas de privacidad de CGI y sus derechos como sujetos de datos con respecto al tratamiento de sus datos personales.

1 – Definiciones

A los efectos de esta política, se aplican las siguientes definiciones:

"Legislación aplicable en materia de protección de datos" se refiere a (i) el Reglamento Europeo de Protección de Datos 2016/679 relativo al Tratamiento de datos personales y (ii) cualquier ley de aplicación del Reglamento de Protección de Datos de la UE y (iii) cualquier ley local aplicable relativa al Tratamiento de datos personales.

"Entidades legales de CGI" se refiere a todas las entidades legales controladas directa o indirectamente por CGI Inc. que manejan Datos personales, excluyendo cualquier entidad legal que esté dentro del ámbito operativo de CGI Federal.

"Responsable del tratamiento" se refiere a cualquier entidad (es decir, persona física o jurídica, autoridad pública, agencia u otro organismo) que, sola o conjuntamente con otros responsables del tratamiento, determina los fines y los medios del tratamiento de los datos personales.

"Encargado del tratamiento" se refiere a cualquier entidad (es decir, persona física o jurídica, autoridad pública, agencia u otro organismo) que actúe en nombre y bajo las instrucciones de un Responsable o de otro Encargado para tratar datos personales.

"Sujeto de los datos" se refiere a una persona física identificada o identificable cuyos datos personales son procesados, lo que podría incluir, por ejemplo, un miembro de CGI o un consultor externo en un contexto interno de CGI, o los empleados o usuarios finales de un cliente en un contexto comercial.

"EEE" se refiere al Espacio Económico Europeo, que está formado por los países miembros de la Unión Europea (UE), así como por Islandia, Liechtenstein y Noruega, en adelante también denominados "Estados miembros".

"Empleado": a los efectos de esta Política únicamente, significa un empleado, miembro del personal, trabajador, consultor individual, agente, funcionario o director, y "empleo" se interpretará en consecuencia. Los empleados de CGI se denominan "Miembro" o "Miembros".

"Legislación local" significa reglamentos, estatutos, órdenes judiciales o normas obligatorias locales.

"Datos personales" se refiere a cualquier información relativa a una persona física identificada o identificable, siendo una persona física identificable aquella que puede ser identificada, directa o indirectamente, en particular por referencia a identificadores tales como el nombre de la persona física, el número de identificación, los datos de localización, el identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física. Los datos personales incluyen los datos personales sensibles.

"Tratamiento" se refiere a cualquier operación o conjunto de operaciones realizadas sobre los Datos personales, ya sea por medios automatizados o no, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación, alteración, recuperación, consulta (incluido el acceso remoto), utilización, divulgación mediante la transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.

"Datos personales sensibles" se refiere a categorías específicas de datos personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la pertenencia a un sindicato, así como el tratamiento de datos genéticos o biométricos con el fin de identificar de forma única a una persona física, los datos de salud y los datos relativos a la vida sexual o la orientación sexual de una persona física.

2 – Alcance

Esta política establece la norma general que CGI ha implementado al tratar datos personales y es de aplicación tanto cuando CGI actúa como Responsable del tratamiento de datos o cuando lo hace como Encargado. Esta política abarca el tratamiento de todos los datos personales, independientemente de la naturaleza o categoría de los mismos, sin importar el medio en el que se almacenen dichos datos.

En los respectivos avisos de información sobre la protección de la privacidad se ofrecen más detalles sobre las actividades de tratamiento específicas. Dicha información puede abarcar, entre otras cosas, los derechos específicos de los interesados, los datos personales compartidos, los períodos de conservación de los datos o la base jurídica específica. CGI se compromete a tratar los datos personales con el mismo nivel de protección, independientemente de si los trata datos personales para sus propias necesidades o para las necesidades de sus clientes o de cualquier tercero. La aplicación de esta Política de Privacidad de Datos requiere que todos los Miembros de las Entidades Legales de CGI y cualquier tercero contratado por CGI participen plenamente en su aplicación, sin excepción alguna.

3 – Categorías de titulares de datos o interesados

Como parte de sus operaciones, CGI recogerá y procesará datos personales relacionados con:

  • Candidatos a empleo;
  • Empleados y ex empleados;
  • Clientes públicos y privados y clientes potenciales (prospects);
  • Accionistas;
  • Shareholders,
  • Prestadores de servicios, asesores profesionales, proveedores, contratistas y subcontratistas;
  • Cualquier otro tercero.
4 – ¿Qué datos personales utilizamos sobre usted?

Sujeto a la legislación aplicable en materia de protección de datos, algunas o todas las siguientes categorías de datos personales pueden ser tratadas por CGI y por cualquier tercero contratado por CGI para la prestación de bienes y/o servicios a CGI:

  • Información de identidad y contacto (por ejemplo, nombre, apellido, título, nombre de usuario o identificador similar);
  • Información de la vida profesional/empresarial (por ejemplo, dirección de correo electrónico, empleador, departamento, cargo, números de teléfono, dirección de facturación o de entrega);
  • Información personal (por ejemplo, fecha de nacimiento, datos personales de contacto, biografías, afiliaciones, conflictos de intereses declarados, datos de salud, información sobre diversidad);
  • Datos económicos y financieros;
  • Datos relacionados con la localización, el registro, el tráfico y el seguimiento y datos demográficos.

4.1 Datos personales de nuestros miembros o antiguos empleados

Cuando tratemos datos personales relativos a nuestros miembros o antiguos empleados, actuando como responsables del tratamiento de datos, cumpliremos con las leyes de protección de datos aplicables (incluyendo, cuando sea necesario, cualquier requisito para obtener el consentimiento de un titular o interesado, o del órgano competente de representación de los empleados, por ejemplo, el comité de empresa). Además de esta política, los contratos de trabajo de CGI, las políticas aplicables y las comunicaciones a los miembros pueden especificar los fines precisos y detallados para los que CGI puede, de vez en cuando, recoger y procesar datos personales.

Las principales finalidades del tratamiento de los datos personales (incluidos los datos personales sensibles) relativos a los Miembros pueden ser las siguientes:

Nómina, pensión, finanzas y acciones: CGI puede compartir los datos personales pertinentes con administradores de planes de pensiones y acciones, proveedores de planes, compañías de seguros, autoridades fiscales y otros proveedores de servicios similares en relación con las obligaciones laborales y los beneficios de los miembros. CGI también procesará datos personales con el fin de identificar y pagar a los miembros, así como datos personales sensibles, siempre y cuando lo exija la legislación local aplicable (por ejemplo, origen racial o étnico, creencias religiosas o filosóficas o datos de salud).

Administración y gestión comercial: CGI puede utilizar los datos personales para gestionar sus actividades comerciales, como el pago de facturas, la comunicación con sus socios comerciales y potenciales socios comerciales, la organización de reuniones, los viajes de negocios, la solicitud de visados, la gestión de activos y el cumplimiento y la gestión de las obligaciones contractuales de los socios comerciales (incluida la colocación/asignación de miembros con los clientes).

Administración y gestión de empleados: CGI puede tratar datos personales (incluyendo, cuando proceda, y con sujeción a la presente política y a la legislación aplicable en materia de protección de datos, datos personales sensibles) sobre los miembros y (cuando proceda) sus dependientes y familiares, con fines relacionados con su empleo en CGI. Esto puede incluir la contratación, la gestión general, la gestión del rendimiento, el desarrollo de la carrera profesional, el cumplimiento de las normas de salud y seguridad, la provisión de un seguro de salud, un seguro de vida, seguimiento/cumplimiento de las normas en caso de enfermedad, el control de la diversidad, los procedimientos disciplinarios, los controles de seguridad (si y cuando se requieran), las solicitudes de visado y otros requisitos de inmigración, las comunicaciones hacia y desde los miembros, los directorios de contactos de los miembros, los controles de acceso a las áreas sensibles/seguras, la administración y la gestión del sistema de TI, el pago de impuestos, el procesamiento de gastos y los beneficios de los miembros. De vez en cuando, y sujeto a los requisitos locales, CGI puede ofrecer a sus miembros una serie de beneficios y descuentos que ha negociado con otras empresas y puede suministrar los datos personales pertinentes a organizaciones de terceros cuidadosamente seleccionadas para ofrecer y proporcionar dichos beneficios.

Seguridad empresarial y control de calidad: CGI proporciona a sus miembros ordenadores, portátiles y teléfonos (móviles) que permiten el acceso a Internet, al correo electrónico y a las redes sociales, a la Intranet de CGI y a diversas aplicaciones y herramientas de software. Además de estos equipos digitales, CGI también puede proporcionar coches y espacios de trabajo físicos (todos ellos propiedad de la empresa). CGI confía en que cada miembro actúe de forma responsable y legal cuando utilice la propiedad de la empresa y cumpla estrictamente con todos los códigos de conducta aplicables que se emitan al respecto como, por ejemplo, el Código de Ética y Conducta Empresarial, la Política de Seguridad y Uso Aceptable y la política que rige el uso de software de terceros. Sólo por razones de seguridad, CGI podrá vigilar sus instalaciones con cámaras. CGI puede tener razones válidas y legalmente justificables para monitorear el uso de equipos/dispositivos digitales y el tráfico digital a través de los equipos y dispositivos utilizados por los miembros, tomando en consideración la necesidad de monitoreo y la privacidad del miembro. Las investigaciones incidentales sólo se llevarán a cabo por razones sustanciales en situaciones específicas y CGI Global Security siempre participará en dichas investigaciones, teniendo en cuenta los procesos de investigación y notificación de incidentes de seguridad. La supervisión y el registro del historial de uso de Internet y de la correspondencia electrónica en toda la organización de CGI sólo se aplicarán tras un proceso de consulta colectiva con el Comité de Empresa.

Finanzas corporativas, fusiones y adquisiciones - De vez en cuando, CGI compra, vende y/o transfiere empresas del grupo, activos comerciales, instrumentos financieros/acuerdos y contratos. En relación con dichas oportunidades, operaciones y acuerdos, CGI puede compartir los datos personales relevantes con los potenciales compradores, vendedores, asesores profesionales y autoridades reguladoras (incluyendo la presentación de informes regulatorios ante las autoridades gubernamentales pertinentes), sujeto a las obligaciones de confidencialidad y a las restricciones legales locales.

Requisitos reglamentarios, profesionales y de afiliación: CGI puede procesar los datos personales de los miembros y transferirlos a los organismos reguladores pertinentes, a las autoridades gubernamentales y a las organizaciones profesionales/comerciales/industriales en relación con las solicitudes de afiliación y las renovaciones, los requisitos reglamentarios (incluidos los requisitos de seguridad, de información reglamentaria/legal), las normas profesionales, etc.

Salud, seguridad, leyes y seguros: CGI puede tratar y transferir datos personales a terceros apropiados (incluidos los administradores de las instalaciones de CGI, organizadores de eventos, aseguradoras, asesores y socios comerciales) para cumplir con requerimientos de salud, seguridad, legales, de seguros, de viaje y de emergencia.

Cumplimiento de los requisitos legales locales y de las prácticas acordadas: CGI puede tratar y transferir datos personales a otras entidades dentro del Grupo CGI y/o a terceros apropiados, siempre y cuando las leyes locales lo requieran o lo permitan o cuando las prácticas locales hayan sido acordadas con los Miembros, los representantes de los empleados, los responsables de la protección de datos y/o las autoridades/reguladores de la protección de datos.

4.2 Datos personales de nuestros clientes

Cuando tratemos los datos personales en nombre de nuestros clientes para prestar un servicio o ejecutar un proyecto, actuaremos como Encargados del tratamiento siguiendo las respectivas instrucciones de los clientes, debidamente documentadas, y para los propósitos definidos, como por ejemplo:

Gestión de proyectos y servicios para clientes en sectores tales como banca, servicios públicos, manufactura o fabricación, seguros, administración pública, comercio minorista, servicios y consumo, ciencias de la salud y la vida, transporte y logística, petróleo y gas o comunicaciones y medios de comunicación, incluida la introducción, corrección y consolidación de datos personales, el almacenamiento, el mantenimiento de registros y las copias de seguridad, la gestión y el análisis de datos, la gestión de consultas individuales, la gestión de aplicaciones e infraestructuras, el desarrollo y las pruebas, la correspondencia, la administración de sistemas informáticos delegados/consolidados/externalizados, el alojamiento y la gestión, incluido el control de acceso y la auditoría, la gestión de activos, el procesamiento de gastos, el marketing y el análisis de investigación.

Cuando actuemos como responsables del tratamiento de datos, trataremos los datos personales para:

La gestión de gobierno, entrega y cierre de los proyectos y servicios de los clientes, incluidas las operaciones de contratación, la formación, la gestión de proveedores y subcontratistas, la facturación, los informes y las actividades de auditoría;

Los comunicados de prensa o la información de marketing como parte de nuestra comunicación corporativa y la creación y el mantenimiento de las listas de correo relacionadas, requieren el tratamiento de los siguientes datos personales: nombre, dirección de correo electrónico, dirección y potencialmente información adicional como números de teléfono. Este tratamiento se basa en el Art. 6 (1) lit. a) y f) del RGPD, es decir, el consentimiento o el interés legítimo de CGI en relación con una comunicación corporativa eficiente y adecuada. Los datos personales se almacenarán durante el tiempo que sea necesario para los fines de la comunicación corporativa o se eliminarán antes en caso de que nos haya informado de que no desea seguir recibiendo información de CGI.

4.3 Datos personales relativos a otros interesados

CGI también puede procesar datos personales relativos a otros Titulares de datos o interesados (por ejemplo, solicitantes, visitantes del sitio web, contactos de marketing/negocios, posibles candidatos, visitantes de las oficinas de CGI) para los fines descritos a continuación:

  • Planificación y administración,
  • Recursos humanos y contratación,
  • Finanzas,
  • Informática/Seguridad
  • Comunicación/Marketing,
  • Ingeniería empresarial y operaciones
  • Legal

CGI actuará normalmente como Responsable de los datos en relación con dichas operaciones de tratamiento, y cualquier tercero contratado por CGI o prestador de bienes y/o servicios a CGI actuará normalmente como Encargado.

5 – ¿Por qué utilizamos sus datos personales?

CGI procesará los datos personales sólo cuando sea estrictamente necesario y aplicará los siguientes principios, en función de si CGI actúa como Responsable o como Encargado.

5.1 Principios cuando CGI actúa como Responsable del tratamiento

Transparencia, equidad y legalidad: CGI tratará los datos personales de forma lícita, justa y transparente en relación con el Titular de los mismos, de acuerdo con los requisitos de esta Política mediante el uso de avisos de privacidad que establezcan claramente la información necesaria para el cumplimiento de la Legislación de Protección de Datos aplicable.

Definición de una finalidad: todo tratamiento de datos personales por parte de CGI, en particular su recogida, irá precedido de la identificación de la finalidad específica de dicho tratamiento. Dicha finalidad debe ser explícita y legítima. Los datos personales no pueden ser tratados de forma incompatible con dicha finalidad.

Minimización de los datos: una vez que se ha establecido la finalidad del tratamiento de los datos personales, CGI sólo recopilará los datos personales en la medida necesaria para cumplir dicha finalidad. Cada instancia del tratamiento de datos deberá ser revisada como parte de las primeras fases de diseño de la solución e incluida en el proceso de revisión y aprobación de Privacidad y Seguridad de los Datos, según proceda, con el fin de garantizar que los datos personales sean adecuados, relevantes y limitados a lo necesario en relación con el propósito para el que se procesan.

Calidad de los datos personales: a lo largo del ciclo de vida de cualquier tratamiento de datos personales, CGI se asegurará de que los datos personales recopilados sean precisos y estén actualizados. Se tomarán todas las medidas razonables para garantizar que los datos personales que sean inexactos sean borrados o rectificados sin demora, incluyendo, sin limitación, opciones de autoservicio para los Titulares de datos. En particular, CGI proporcionará los medios adecuados para que los titulares o interesados informen a CGI en caso de cualquier cambio en sus datos personales.

Limitación de la conservación de datos: CGI se asegurará de no conservar datos personales durante un periodo de tiempo superior al estrictamente necesario para lograr la finalidad para la que se recogen. En consecuencia, CGI definirá, antes de la realización del tratamiento, un período de conservación adecuado. Para ello, CGI considerará el tiempo durante el cual los datos personales son necesarios para alcanzar la finalidad del tratamiento, teniendo en cuenta los siguientes factores:

  • Periodo tras el cual el mantenimiento de dichos datos personales puede tener un impacto en el derecho al olvido de los interesados; y
  • Cualquier obligación legal que imponga un periodo mínimo de conservación de datos, tal y como puede definirse en la Política de Conservación de Registros de CGI y en el Calendario de Conservación de Registros, según corresponda.

Definición de una base legal: además de los principios anteriores, cualquier tratamiento sólo podrá realizarse cuando se encuentre en una de las circunstancias identificadas a continuación o en la presente política de privacidad:

  • Es necesario para cumplir con una obligación legal aplicable a CGI (por ejemplo, informar de los datos a las autoridades fiscales) (Art. 6 para. 1 lit. c) RGPD); o
  • Es necesario para la ejecución de un contrato (por ejemplo, un acuerdo de servicios con un cliente o acuerdos de comité de empresa) (art. 6, apartado 1, letra b) y art. 88, apartado 2). 88 para. 1 RGPD); o
  • Es necesario para el interés legítimo de CGI, entendiéndose que este interés legítimo de CGI debe ser evaluado frente a los intereses de los Titulares de los Datos (Art. 6 para. 1 lit. f) RGPD):
    • El tratamiento es necesario para lograr el interés perseguido por CGI sin perjudicar el interés y/o la privacidad del interesado;
    • El interés de CGI se determinará a la luz de la actividad principal de CGI, pero cumplirá con cualquier legislación de protección de datos aplicable de manera transparente;y
    • CGI’s interest shall be determined in light of CGI’s core business but shall comply with any Applicable Data Protection Legislation in a transparent manner;
  • Es necesario para el interés vital del sujeto de los datos (Art. 6 para. 1 lit. d) RGPD), o
  • Es necesario para el cumplimiento de una tarea realizada en interés público (Art. 6 para. 1 lit. e) RGPD).

Si no se aplica ninguna de las bases legales anteriores, CGI buscará y retendrá el consentimiento previo de los Titulares de los datos (Art. 6 para. 1 lit. a) RGPD) antes de tratar sus datos personales, entendiéndose que el consentimiento del Titular es válido cuando (i) se da libremente mediante un acto afirmativo claro; y (ii) representa una indicación específica, informada e inequívoca del acuerdo del Titular con el Tratamiento de sus datos personales.

Medidas técnicas y organizativas: CGI implementará las medidas técnicas y organizativas apropiadas para evitar el acceso y/o el tratamiento ilegítimo de los datos personales, incluyendo la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación o acceso no autorizados a los datos personales transmitidos, almacenados o procesados de otra manera. En particular, CGI otorgará acceso a los datos personales sólo cuando sea necesario para cumplir con las tareas asignadas, consistentes con el propósito para el cual los datos personales son procesados. Cuando CGI recurra a un tercero para realizar el tratamiento en su nombre, se asegurará de que dicho tercero adopte medidas equivalentes mediante acuerdos contractuales. En caso de acceso y/o tratamiento ilegal, CGI cumplirá con su política de seguridad de la información y los procedimientos relacionados.

Evaluación del impacto de la protección de datos (DPIA): CGI será responsable de supervisar el cumplimiento del tratamiento de datos con la legislación aplicable en materia de protección de datos. Cuando un tipo de tratamiento, en particular el que utiliza nuevas tecnologías, y teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, pueda suponer un riesgo elevado para la protección de sus datos, CGI aplicará un procedimiento de evaluación de impacto sobre la protección de datos que le permitirá:

  • identificar qué tratamiento presenta un riesgo específico para la protección de los datos personales;
  • evaluar el nivel de cumplimiento de los principios de tratamiento de la legislación aplicable en materia de protección de datos;
  • evaluar el nivel de gravedad o probabilidad del riesgo asociado al tratamiento; y
  • determinar las medidas correctoras a aplicar para garantizar que el Tratamiento de datos personales se realice con riesgos mitigados y de conformidad con la Legislación de Protección de Datos aplicable. Si, tras la mitigación, los riesgos para los interesados siguen siendo significativos y cuando lo exija la legislación aplicable en materia de protección de datos, se consultará a la Autoridad de Protección de Datos competente antes de iniciar el tratamiento previsto.

Para cumplir con nuestra obligación de rendición de cuentas según el Art. 5 párr. 2 del RGPD, los documentos de evaluación del impacto sobre la privacidad de los datos se conservarán al menos durante el tiempo que dure el tratamiento de datos al que se apliquen.

5.2 Principios cuando el CGI actúa como Encargado del tratamiento de datos

CGI se asegurará de tratar los datos personales únicamente de acuerdo con las instrucciones documentadas del Responsable del tratamiento.

En particular, dicho tratamiento será:

  • Para los fines expresos definidos por el Responsable del tratamiento;
  • Realizado en las condiciones acordadas entre CGI y el Responsable del Tratamiento;
  • Por un tiempo no superior al prescrito expresamente por el Responsable del tratamiento; y
  • De acuerdo con las instrucciones escritas y comunicadas por el Responsable del tratamiento, tal y como se establece en el contrato de encargo de tratamiento de datos personales suscrito entre CGI y el Responsable del tratamiento.

El Responsable es el único responsable de asegurar una base legal válida para el Tratamiento realizado por CGI y que éste cumple con la Legislación de Protección de Datos aplicable, incluyendo el período de retención definido. No obstante, CGI informará sin demora al Responsable del Tratamiento si, en su opinión, una instrucción de este último infringe la Legislación de Protección de Datos aplicable.

A menos que el Responsable del tratamiento de datos indique lo contrario, CGI aplicará (como mínimo) la misma línea de base de seguridad que aplica cuando actúa como Responsable del tratamiento de datos.

CGI proporcionará asistencia razonable al Responsable para apoyarlo en el cumplimiento de sus obligaciones bajo la Legislación de Protección de Datos aplicable. La asistencia que prestará CGI al Responsable para fines de cumplimiento de acuerdo con esta sección estará sujeta a las condiciones financieras, técnicas y organizativas acordadas entre CGI y el Responsable en el acuerdo pertinente. Tras la finalización del correspondiente contrato de encargo de tratamiento de datos, CGI y cualquier tercero contratado por ésta destruirán o devolverán todos los datos personales al cliente, de acuerdo con sus instrucciones y la legislación de protección de datos aplicable. En caso de destrucción, CGI certificará al Responsable de los datos que dicha eliminación tuvo lugar. En caso de devolución, CGI garantizará la confidencialidad de los datos personales transferidos al Responsable de los datos adhiriéndose a las instrucciones del cliente.

Para evitar dudas, nada en esta Política limita el derecho de CGI a conservar los datos personales a efectos de los litigios existentes o para presentar o defender futuras reclamaciones, de acuerdo con los estatutos legales de limitación aplicables a CGI.

5.3 Principios cuando CGI procesa datos personales sensibles

CGI, cuando actúa como Responsable del tratamiento de datos, tratará datos personales sensibles si y sólo si es estrictamente necesario.

En tal caso, el CGI se asegurará de que se cumpla al menos una de las siguientes condiciones:

  • El interesado ha dado su consentimiento previo (art. 9, párr. 2, letra a) del RGPD);
  • El tratamiento es necesario para cumplir con las obligaciones y ejercer los derechos específicos del Responsable o del Titular de los datos en el ámbito del empleo y la seguridad social y la ley de protección social (Art. 9 párrafo 2 lit. b) RGPD);
  • Si el Titular de los datos no está en condiciones de dar su consentimiento (por ejemplo, por razones médicas), el tratamiento es necesario para proteger los intereses vitales del Titular de los datos o de otra persona (Art. 9 para. 2 lit. c) RGPD);
  • El tratamiento es necesario en el contexto de la medicina preventiva o el diagnóstico médico por un profesional de la salud en virtud de la legislación local (Art. 9 párrafo 2 lit. h) RGPD);
  • El Titular de los datos ya ha puesto manifiestamente los datos personales Sensibles pertinentes en el dominio público (Art. 9 para. 2 lit. e) RGPD);
  • El tratamiento es esencial para el establecimiento, el ejercicio o la defensa de reclamaciones legales, siempre que no haya motivos para suponer que el interesado tiene un interés legítimo superior en que no se traten esos datos personales sensibles (art. 9, párr. 2, letra f) del RGPD); o
  • El tratamiento está explícitamente permitido por la legislación local (art. 9, apartado 4 del RGPD en relación con la legislación local correspondiente) (por ejemplo, registro/protección de grupos minoritarios).

Cuando CGI, como Encargado del tratamiento de datos, deba atar datos personales sensibles, seguirá las instrucciones escritas del Responsable y aplicará las medidas acordadas entre las partes, que serán al menos equivalentes a la línea base de seguridad de CGI.

El Responsable del tratamiento deberá garantizar una base jurídica válida para el tratamiento realizado por CGI.

En cualquier caso, CGI tratará los datos personales Sensibles de acuerdo con la legislación aplicable en materia de protección de datos y cumplirá con las condiciones específicas de alojamiento y tratamiento obligatorias.

5.4 Privacidad por diseño/Privacidad por defecto

Tal y como demuestran los compromisos adquiridos en el marco de esta Política, CGI se compromete a proporcionar el nivel adecuado de protección de los datos personales que procesa. Para garantizar que los principios definidos en esta Política se tengan efectivamente en cuenta cuando CGI procese datos personales, CGI identificará y abordará cualquier restricción de protección de datos al comienzo de un nuevo proyecto, de modo que los principios aquí contenidos se reflejen en el diseño del proyecto y se implementen adecuadamente.

Cuando CGI actúe como Encargado del tratamiento de Datos, la Oficina de Privacidad deberá revisar y aprobar los aspectos de Privacidad de la propuesta y/o servicios desarrollados para un cliente. Cuando CGI actúe como Responsable de Datos, la Oficina de Privacidad tendrá que proporcionar la aprobación de cualquier nuevo proyecto interno de CGI antes del comienzo de su desarrollo y posterior implementación.

6 – Gestión de incidentes y violaciones de datos

6.1 Gestión de incidentes

CGI cuenta con un proceso de respuesta y gestión de incidentes de seguridad maduro y basado en estándares, diseñado para manejar todas las fases de un incidente de seguridad. Las responsabilidades de los miembros están claramente definidas en todos los niveles. Se siguen las normas de evaluación y priorización de incidentes para garantizar los niveles de compromiso adecuados y la resolución oportuna. Los registros de incidentes se mantienen y se comunican a la alta dirección según sea necesario. Los incidentes de alta prioridad se gestionan a través del Centro de Operaciones de Seguridad Global (GSOC) 24x7 de CGI, donde profesionales altamente capacitados y a tiempo completo coordinan los esfuerzos de respuesta. El equipo de Privacidad de datos de CGI participa inmediatamente en el proceso de gestión de incidentes siempre que se sospeche que hay datos personales implicados.

6.2 Notificación de la violación de datos personales

Ya sea que actúe como Responsable o como Encargado del tratamiento, si CGI cree razonablemente que se ha producido o es probable que se produzca una violación de la seguridad que conduzca a la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o procesados de otro modo, CGI proporcionará una notificación de incidentes de seguridad y actualizaciones de estado a la Autoridad de Protección de Datos competente, a los Titulares de los datos y/o al Responsable de datos, de acuerdo con lo dispuesto por la Legislación de Protección de Datos vigente o cualquier otra legislación local aplicable.

Del mismo modo, y en aras de la claridad, en el caso de que se identifique una violación de los datos personales por parte de un tercero contratado por CGI, éste deberá informar a CGI según lo acordado en el contrato correspondiente. Todos los demás terceros pueden dirigirse a privacy@cgi.com para informar de una posible o presunta violación.

7 – ¿Con quién compartimos sus datos personales?

Como parte de las operaciones de CGI, podemos recopilar sus datos personales y compartirlos con:

  • Filiales del Grupo CGI cuando se beneficia de nuestra completa gama de soluciones y servicios como parte de nuestro modelo de entrega global;
  • Terceros colaboradores o proveedores de CGI de bienes o servicios (por ejemplo, proveedores, subcontratistas y trabajadores autónomos);
  • Determinados profesionales regulados (por ejemplo, bancos, abogados, notarios y auditores).

CGI compartirá sus datos personales si la divulgación es razonablemente necesaria para proteger los derechos de CGI y ejercer los recursos disponibles, hacer cumplir los términos y condiciones de CGI, investigar el fraude o proteger las operaciones o los usuarios de CGI.

CGI también puede revelar sus datos personales a autoridades administrativas, judiciales o gubernamentales, agencias estatales u organismos públicos, estrictamente de acuerdo con la Legislación de Protección de Datos vigente y la Legislación Local aplicable y, después de revisar cuidadosamente, la legalidad de cualquier orden de revelación de datos. CGI impugnará el requerimiento si hay motivos para ello según la legislación del país de destino y le informará sobre una posible orden de acuerdo con la Legislación Local.

8 – Transferencia de datos personales

La transferencia de datos personales de la UE se refiere a los datos personales de los residentes de la UE o de los sujetos de datos situados en la UE que se tratan (por ejemplo, se accede a ellos, se envían, se utilizan, se ven, se copian o se eliminan) en un tercer país fuera del EEE.

8.1 Dentro de CGI

CGI, actuando como Responsable del tratamiento o como Encargado, transferirá los datos personales de la UE de acuerdo con la Legislación de Protección de Datos aplicable y de acuerdo con las Normas Corporativas Vinculantes ("BCR") de CGI, aprobadas bajo el RGPD por la Autoridad de Supervisión Francesa el 22 de julio de 2021. Esto significa que sus derechos como Titular de datos siguen siendo los mismos, independientemente del lugar en el que se procesen sus datos personales.

Si necesita información sobre las BCR de CGI, consulte o el Registro del Consejo Europeo de Protección de Datos.

Cuando CGI actúa como Encargado del tratamiento de datos, se requiere el consentimiento previo, específico o general, en relación con el respectivo mecanismo de transferencia (Art. 44 y siguientes del RGPD) acordado por escrito del Responsable del tratamiento de datos antes de que se inicie dicha transferencia.

Las transferencias de datos personales fuera de la UE se realizarán de acuerdo con la Legislación de Protección de Datos aplicable.

8.2 A terceros

Siempre que CGI recurra a terceros para el tratamiento de los datos personales, CGI se asegurará de que dichos terceros proporcionen un nivel de protección adecuado a los datos personales que traten de acuerdo con la legislación aplicable en materia de protección de datos. Regularmente, CGI lleva a cabo evaluaciones de diligencia debida y de riesgos de privacidad y seguridad de terceros con todos los terceros contratados por CGI, para establecer sus capacidades corporativas y su madurez con respecto a la seguridad y la protección de datos, antes de firmar un acuerdo de tratamiento de datos de acuerdo con el Art. 28 para. 3 del RGPD o el art. 26 del RGPD, cuando sea necesario. Siempre que dicha transferencia implique a países fuera de la UE o del EEE, se alcanzarán acuerdos relativos al mecanismo de transferencia respectivo (Art. 44 y siguientes del RGPD).

9 – ¿Cuáles son sus derechos y cómo puede ejercerlos?

Los titulares de los datos tienen varios derechos en virtud de la Legislación de Protección de Datos aplicable para solicitar el acceso a sus datos personales en poder de CGI y/o información sobre cómo CGI procesa sus datos personales. Si tiene alguna pregunta sobre el tratamiento de sus datos personales, envíe su solicitud formal a wse.privacy.fr@cgi.com.

Cuando actúe como Encargado del tratamiento de datos, si se le solicita, CGI proporcionará a sus clientes la información pertinente que les permita cumplir con sus propias obligaciones hacia los sujetos de datos. A menos que se indique lo contrario en cualquier acuerdo contractual, CGI no estará obligado a informar directamente a los Titulares de los Datos, ya que esto sigue siendo responsabilidad del Responsable del tratamiento.

De acuerdo con la legislación aplicable en materia de protección de datos, cuando CGI actúa como responsable del tratamiento, usted tiene generalmente los siguientes derechos:

  • acceder y conservar una copia de sus datos personales;
  • rectificar o eliminar cualquier dato personal inexacto o incompleto;
  • oponerse por motivos legítimos al Tratamiento de sus datos personales en cualquier momento, a menos que dicho Tratamiento sea requerido por la Legislación de Protección de Datos aplicable o cualquier Legislación Local;
  • restringir el tratamiento de sus datos personales que ya no sean precisos o necesarios;
  • recibir sus datos personales en un formato estructurado, de uso común y legible por máquina;
  • retirar el consentimiento dado para el tratamiento de sus datos personales
  • para presentar una reclamación ante una autoridad de supervisión competente: para CGI Information Systems and Management Consultants España S.A. la principal autoridad de supervisión competente es la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, ubicada en Calle Jorge Juan 6, CP 28001 – Madrid (www.aepd.es).

CGI no someterá sus datos personales a la elaboración de perfiles de acuerdo con el Art. 22 DEL RGPD.

CGI actuará de acuerdo con la legislación aplicable en materia de protección de datos y otras obligaciones legales y contractuales pertinentes en la búsqueda y suministro de datos personales relevantes. CGI exigirá a sus Encargados de tratamiento de datos que hagan lo mismo. Es posible que CGI tenga que hacerle más preguntas en relación con sus datos personales o para verificar su identidad.

Tras la finalización de los contratos de trabajo por cualquier motivo, CGI conservará los datos personales de los antiguos empleados durante el tiempo que esté permitido de acuerdo con las leyes y reglamentos aplicables y que sea necesario para la prestación de los beneficios y servicios apropiados en curso (por ejemplo, planes de acciones de los miembros y administración de pensiones).

10 – Cumplimiento de la política

10.1 Cumplimiento por parte de los Miembros

Los Miembros reconocen los requisitos y confirman anualmente la aceptación de esta Política. Además de esta Política, los miembros también deben cumplir con otras obligaciones de confidencialidad y privacidad aplicables, incluidas las establecidas en cualquier legislación de protección de datos aplicable, sus acuerdos de empleo y las políticas, procesos y normas de CGI o las instrucciones del cliente.

Los Miembros deben seguir todos los programas obligatorios de formación y concienciación sobre la privacidad del CGI. Estos incluyen, entre otros temas, la formación obligatoria en materia de privacidad de datos, seguridad de la información, anticorrupción y gestión de registros a través de la web, campañas de comunicación y formaciones específicas adaptadas a las diferentes funciones dentro de la organización.

Estas formaciones y programas de concienciación se actualizan periódicamente para reflejar los cambios en la legislación aplicable en materia de protección de datos.

10.2 Cumplimiento por parte de cualquier tercero contratado por CGI

En caso de que un tercero procese datos personales en nombre de CGI, dicho tercero deberá:

  • Garantizar que el personal que accede a la información confidencial del CGI y que procesa datos personales en nombre del CGI, complete todas las formaciones obligatorias de cumplimiento del CGI (incluidos los cursos electrónicos de concienciación sobre seguridad y privacidad de datos) en los 30 días siguientes a la fecha de entrada en vigor del acuerdo firmado entre el CGI y el tercero;
  • Cumplir con esta Política y con las políticas y normas de seguridad de CGI, además de cualquier otro control de seguridad incluido en los acuerdos contractuales entre CGI y sus clientes y/o socios.
  • Procesar los datos personales de acuerdo con las instrucciones documentadas de CGI y para ningún otro propósito que no sea el expresamente definido por escrito por CGI, a menos que esté obligado a hacerlo en virtud de cualquier ley obligatoria. En tal caso, el tercero deberá informar inmediatamente al CGI de esta obligación legal antes de proceder con dicho tratamiento.
  • Aplicar y mantener medidas técnicas, organizativas y contractuales apropiadas para garantizar un nivel adecuado de protección de los datos personales y para evitar cualquier tratamiento no autorizado o ilegal de los datos personales y cualquier pérdida, destrucción o daño accidental de los datos personales. Dichas medidas deberán (i) tener en cuenta los estándares más elevados y los riesgos que plantean las actividades de Tratamiento, (ii) estar diseñadas para aplicar los principios de protección de datos de manera efectiva y dotar a las actividades de Tratamiento de las garantías necesarias para cumplir con los requisitos de la Legislación de Protección de Datos aplicable.
  • Notificar, en la medida permitida por la ley, a CGI cualquier solicitud de divulgación de los datos personales de CGI que reciba de un tercero, autoridad pública o tribunal, así como cualquier acción y/o medida relativa al tratamiento de los datos personales de CGI que esté siendo investigada por las autoridades;
  • Cumplir con cualquier solicitud de CGI para acceder, rectificar, bloquear, restaurar, eliminar y objetar los datos personales de CGI y garantizar la portabilidad y el derecho a ser olvidado de los datos personales de CGI;
  • Notificar inmediatamente a CGI cualquier cambio que pueda afectar al tratamiento de los datos personales de CGI;
  • Cooperar activamente con CGI para evaluar y documentar el cumplimiento de las condiciones del tratamiento de datos personales por CGI, incluyendo la provisión de cualquier información que CGI pueda necesitar o requerir para cumplir con la Legislación de Protección de Datos aplicable (incluyendo cualquier información requerida para la Evaluación de Impacto de una Transferencia (TIA));
  • Informar inmediatamente a CGI por escrito si, en su opinión, cualquier instrucción de CGI en relación con el Tratamiento de los Datos personales de CGI constituye una violación de la Legislación de Protección de Datos aplicable.
11 – Registro de actividades de tratamiento

CGI mantiene un Registro de las actividades de Tratamiento llevadas a cabo como Responsable o como Encargado. CGI se asegurará de que cualquier nuevo tratamiento de datos personales se registre en dicho inventario con toda la información relevante sobre el contexto de cada tratamiento de datos personales. CGI pondrá a disposición de la Autoridad de control, previa solicitud, el registro de actividad de Tratamiento correspondiente.

12 – Cambios en esta política

Esta Política podrá ser modificada ocasionalmente a fin de cumplir con la Legislación de Protección de Datos vigente y la legislación local aplicable. CGI se asegurará de que los interesados sean notificados de cualquier cambio material en la Política con prontitud, a través de una "actualización" en la web de CGI (www.CGI.com) , por correo electrónico u otro método de comunicación apropiado. En caso de necesitar una actualización de la situación, puede presentar una solicitud enviando un correo electrónico a privacy@cgi.com.

13 – Organización de Protección de Datos - Preguntas

CGI ha designado un Director de Privacidad que supervisa la estrategia global de protección de datos de CGI, las políticas y procedimientos de protección de datos en toda la empresa y el cumplimiento de la normativa de protección de datos, así como una red de Socios de Negocio de Privacidad. Además, CGI también ha designado responsables de la protección de datos, cuando así lo exige la legislación aplicable en materia de protección de datos.

En caso de preguntas o dudas relacionadas con la interpretación o el funcionamiento de esta Política, envíe un correo electrónico a wse.privacy.fr@cgi.com o póngase en contacto con el Delegado de Protección de Datos de CGI en Avenida de Manoteras 10, CP 28050 – Madrid, España.