Mantenemos esta Política de Privacidad de Datos detallando nuestros principios, normas y prácticas de privacidad y cómo protegemos todos los Datos Personales como parte de nuestras operaciones, tanto si procesamos Datos Personales para nuestros propios fines como para las necesidades de nuestros clientes.

Los términos en mayúsculas se definen en el Apéndice 1 del presente documento.

Principios

Como organización global de servicios de consultoría de negocio y TI, CGI se compromete a mantener niveles de protección de los Datos Personales alineados con las mejores prácticas,la Legislación Aplicable de Protección de Datos y las obligaciones contractuales de CGI.

CGI recoge y/o utiliza los Datos Personales para sus propias necesidades.

CGI también podrá tratar Datos Personales en nombre y por instrucciones de un cliente, incluyendo las medidas técnicas y organizativas necesarias para evitar la destrucción, pérdida, alteración, divulgación o acceso accidental o ilícito a los Datos Personales. Cualquier compromiso relativo a estas responsabilidades y medidas deberá reflejarse expresamente en cualquier acuerdo suscrito entre CGI y nuestros clientes.

La propuesta de valor de CGI incluye la protección de datos y la prevención de la exposición al riesgo de datos. CGI orienta y asiste a sus clientes sobre cómo gestionar y proteger sus Datos Personales para cumplir los requisitos de conformidad. Siguiendo las instrucciones del cliente, CGI implementará medidas de seguridad efectivas para salvaguardar los Datos Personales y evitar violaciones de datos.

Ámbito de aplicación y cumplimiento

La presente Política de Privacidad de Datos forma parte integrante de CGI Management Foundation y es vinculante para todas las Entidades Legales y empleados de CGI "Asociados y Asociadas de CGI" (en adelante en la web “Asociado/s”), independientemente de su ubicación, así como para Terceros Proveedores contratados por CGI. En la medida permitida por la ley, cualquier violación de esta Política de Privacidad de Datos puede resultar en acciones administrativas y/o disciplinarias por parte de CGI (incluyendo sanciones monetarias, suspensión o terminación).

Los Asociados de CGI reconocen estos requisitos y confirman anualmente la aceptación de esta Política de Privacidad de Datos como parte de su compromiso con el Código Ético. Además de esta Política de Privacidad de Datos, los Asociados de CGI también deben cumplir con otras obligaciones aplicables de confidencialidad y privacidad, incluyendo aquellas establecidas en la Legislación Aplicable de Protección de Datos, sus acuerdos de empleo, la Fundación de Gestión de CGI y/o las instrucciones del cliente.

Cualquier Tercero Proveedor que Procese Datos Personales en nombre de CGI está obligado a implementar las medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de los principios y requisitos de esta Política de Privacidad de Datos. Cuando CGI procesa datos personales en nombre de un cliente, cualquier compromiso contractual u otra obligación de CGI hacia su cliente debe transmitirse a todos los proveedores externos contratados. Cualquier compromiso u obligación debe reflejarse expresamente en los acuerdos celebrados entre CGI y los Proveedores Terceros.

¿Qué categorías de Datos Personales procesa CGI como parte de sus operaciones?

Sujeto a la Legislación de Protección de Datos Aplicable, CGI y cualquier Tercero Proveedor pueden Procesar la siguiente lista no exhaustiva de categorías de Datos Personales:

  • Demografía e Información sobre la vida privada (por ejemplo, edad, sexo, rasgos físicos, fecha de nacimiento, domicilio, estado civil, afiliaciones, preferencias, intereses)
  • Localización, inicio de sesión, tráfico y seguimiento (por ejemplo, dirección IP, huella digital del navegador, registros)
  • Económicos y financieros (por ejemplo, número de cuenta, salud financiera, acciones, situación fiscal, salario, transacciones financieras)
  • Datos personales sensibles (por ejemplo, número de la seguridad social, datos biométricos, información sanitaria)
  • Identidad e información de contacto (por ejemplo, nombre, dirección de correo electrónico, número de teléfono, foto, nacionalidad, números de DNI y pasaporte)
  • Vida profesional e información empresarial (por ejemplo, empleador, departamento, cargo, historial laboral, actuaciones, entrevistas, títulos y certificaciones, facturación, dirección de entrega)

Estas categorías de Datos Personales se refieren a la siguiente lista no exhaustiva de individuos:

  • Candidatos a empleo, becarios y estudiantes,
  • Asoociados de CGI y antiguos empleados, así como sus familiares,
  • Empleados y antiguos empleados de los clientes, y sus familiares,
  • Pacientes, clientes o ciudadanos,
  • Empleados y clientes de clientes potenciales,
  • Visitantes de sitios web CGI,
  • Accionistas,
  • Empleados y trabajadores autónomos de terceros proveedores.

Encontrará información más detallada en los correspondientes avisos de información sobre privacidad.

¿Con quién comparte CGI sus Datos Personales?

As part of its operations, CGI may disclose Personal Data to CGI Legal Entities, clients and prospects, Third-Party Suppliers, and/or other third parties (including banks and financial advisors, external advisors, and auditors), as well as administrative, judicial, or governmental authorities, state agencies or public bodies in accordance with Applicable Data Protection Legislation.

¿Cómo protege CGI los datos personales procesados para sus propias necesidades?

CGI es responsable de la protección de los Datos Personales manejados como parte de sus operaciones.

En consecuencia, los Asociados de CGI cumplen los siguientes principios básicos:

  • 01 Transparencia, equidad y legalidad
    Los datos personales se procesan de forma legal, justa y transparente en relación con el individuo, de acuerdo con los requisitos de esta política de privacidad de datos. CGI proporciona información detallada sobre el Tratamiento de datos a los individuos pertinentes, en un formato fácilmente comprensible y accesible, a través de avisos de información sobre privacidad.
  • 02 Finalidad, limitación
    Todo Tratamiento de Datos Personales va precedido de la identificación de la finalidad específica de dicho Tratamiento, que debe ser explícita y legítima y ajustarse a lo que razonablemente esperaría una persona.
  • 03 Minimización de datos
    Los Datos Personales sólo se recopilan y utilizan en la medida necesaria para cumplir la finalidad para la que se tratan. Los Datos Personales deben ser adecuados, pertinentes y limitados a lo estrictamente necesario en relación con dicha finalidad.
  • 04 Precisión
    Los Datos Personales recogidos deben ser exactos y estar actualizados. Deben tomarse medidas razonables para asegurar que cualquier Dato Personal inexacto sea borrado o rectificado sin demora, incluyendo opciones para el propio individuo. Se deben proporcionar los medios adecuados para que los individuos informen a CGI de cualquier cambio en sus Datos Personales.
  • 05 Limitación de almacenamiento
    Los Datos Personales no deben conservarse durante más tiempo del estrictamente necesario para alcanzar el fin para el que se recogen. En consecuencia, CGI debe determinar el periodo de conservación de datos requerido de acuerdo con el Programa de Conservación de Registros de CGI y la Legislación de Protección de Datos Aplicable.
  • 06 Integridad y Confidencialidad
    Deben implementarse medidas técnicas y organizativas apropiadas, según lo prescrito en el Marco de Gestión de Seguridad Empresarial (ESMF) de CGI, para proteger contra el acceso ilegal y/o el Procesamiento de Datos Personales.

¿Sobre qué base legal procesa CGI los datos personales para sus propias necesidades?

Por lo general, CGI puede procesar datos personales en las siguientes circunstancias:

  • Cuando CGI necesite cumplir con una obligación legal.
  • Cuando sea necesario para la ejecución de un contrato con un particular.
  • Cuando CGI tenga un interés legítimo en hacerlo como parte de sus operaciones.

Puede haber algunas ocasiones en las que sea necesario que CGI procese datos personales para proteger los intereses de los individuos o con el consentimiento previo de los mismos.

Datos personales sensibles tratados para las propias necesidades de CGI

CGI no procesará Datos Personales Sensibles a menos que se cumpla una de las siguientes condiciones:

  1. La persona ha dado su consentimiento previo, o
  2. El tratamiento es necesario para el cumplimiento de las obligaciones y el ejercicio de derechos específicos de CGI o de la persona en el ámbito de la legislación laboral, de seguridad social y de protección social, o bien
  3. Si la persona no puede dar su consentimiento (por ejemplo, por razones médicas), el tratamiento es necesario para proteger los intereses vitales de la persona o de otra persona, o bien
  4. El tratamiento es necesario en el contexto de la medicina preventiva o el diagnóstico médico por un profesional de la salud en virtud de la legislación local, o
  5. La persona ya ha puesto manifiestamente los Datos Personales Sensibles pertinentes en el dominio público, o
  6. El Tratamiento es esencial para el establecimiento, ejercicio o defensa de reclamaciones legales, a menos que la persona tenga un interés legítimo preponderante en garantizar que dichos Datos Personales Sensibles no sean Tratados, o
  7. El tratamiento está explícitamente permitido por la legislación local.

¿Cómo protege CGI los Datos Personales de sus clientes?

Cuando CGI procesa Datos Personales de clientes, CGI garantiza que son procesados para los únicos fines expresos del cliente, y de acuerdo con las instrucciones escritas del cliente, incluyendo la duración, establecidas en los términos y condiciones acordados entre CGI y el cliente.

El cliente es el único responsable de asegurar que existe una base legal válida para el procesamiento realizado por CGI y que las instrucciones dadas a CGI con respecto al procesamiento cumplen con la legislación de protección de datos aplicable, incluido el periodo de conservación que debe aplicarse. No obstante, CGI informará inmediatamente al cliente si, en su opinión, cualquiera de dichas instrucciones contraviene la Legislación Aplicable sobre Protección de Datos.

A menos que el cliente indique lo contrario, CGI aplicará (como mínimo) la línea de base de seguridad de CGI según lo prescrito en el Marco de Gestión de Seguridad Empresarial de CGI (ESMF). Cualquier desviación de esta línea de base requiere revisiones de riesgo relevantes y la aprobación de los equipos de Privacidad y Seguridad de CGI de acuerdo con la Fundación de Gestión de CGI.

CGI, sujeto a las condiciones financieras, técnicas y organizativas acordadas por escrito, proporcionará asistencia razonable al cliente para apoyarlo en el cumplimiento de sus obligaciones bajo la Legislación Aplicable de Protección de Datos.

Privacidad desde el diseño y Privacidad por defecto

Para garantizar que los principios definidos en la presente Política de Privacidad de Datos se tengan efectivamente en cuenta cuando CGI procese Datos Personales, CGI identificará y abordará las limitaciones de protección de datos al inicio de cualquier nuevo proyecto interno u oportunidad de cliente, de modo que los principios aquí contenidos se reflejen en el diseño del proyecto y se implementen adecuadamente. Por lo tanto, CGI ha implementado procesos de revisión de Privacidad y Seguridad de Datos, así como un Código de Prácticas de Privacidad por Diseño y varios marcos (por ejemplo, Uso Responsable de Datos, Uso Responsable de Inteligencia Artificial y Uso Responsable de Tecnología en la Nube) aplicables a todos los proyectos internos de CGI y oportunidades de clientes que impliquen el Procesamiento de Datos Personales y que ayuden a cada Asoociad de CGI a analizar y abordar los riesgos de privacidad de datos.

De acuerdo con la legislación aplicable en materia de protección de datos, CGI llevará a cabo una evaluación del impacto sobre la privacidad de los datos en todos los proyectos internos de CGI en los que la actividad de tratamiento de Datos Personales pueda suponer un alto riesgo para los derechos y libertades de las personas, y determinará las medidas correctoras que deban aplicarse para garantizar la mitigación de los riesgos.

La organización de Privacidad de CGI revisa y aprueba los aspectos de Privacidad de las propuestas y/o servicios desarrollados para los clientes, así como de cualquier Propiedad Intelectual de CGI o nuevo proyecto interno, tal y como se define en la Fundación de Gestión de CGI. El Asociado de CGI responsable de la solución, servicio y/o proyecto conserva la evidencia del cumplimiento de los requisitos de aprobación de la organización de Privacidad de CGI.

¿Cuáles son los derechos de las personas y cómo pueden ejercerlos?

Los derechos de las personas sobre sus Datos Personales difieren de un país a otro. CGI actúa de conformidad con la legislación aplicable en materia de protección de datos.

Dependiendo de las jurisdicciones, la legislación aplicable en materia de protección de datos puede otorgar a las personas los siguientes derechos:

  • Tener acceso a sus Datos Personales y a la información sobre cómo se procesan,
  • Solicitar la rectificación o supresión de los Datos Personales inexactos o incompletos que le conciernan,
  • Revocar el consentimiento u oponerse por motivos legítimos al Tratamiento de sus Datos Personales, salvo que dicho Tratamiento venga impuesto por ley,
  • Solicitar restricciones al Tratamiento cuando los Datos Personales ya no sean exactos o necesarios, o el Tratamiento sea ilícito,
  • No ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos que les conciernan o que les afecte de forma similar y significativa
  • Recibir sus Datos Personales en un formato estructurado, de uso común y lectura mecánica, y
  • Designar a una persona para que ejerza sus derechos en caso de fallecimiento o incapacidad.

Las personas que deseen ejercer estos derechos y/u obtener información sobre el Tratamiento de sus Datos Personales pueden enviar una solicitud según lo establecido en la sección "Preguntas y recursos" que figura a continuación. 

Cuando el CGI trate Datos Personales para sus propias necesidades: CGI comunica cualquier rectificación o supresión de Datos Personales o restricción del Tratamiento llevada a cabo de conformidad con la Legislación Aplicable de Protección de Datos a cada destinatario al que se hayan revelado los Datos Personales, a menos que esto resulte imposible o suponga un esfuerzo desproporcionado. CGI garantiza que tramita las solicitudes sin demoras indebidas de conformidad con el proceso de solicitud de derechos individuales de CGI.

Cuando CGI procesa los datos personales de sus clientes: Si CGI recibe una queja o solicitud de individuos que desean ejercer sus derechos, CGI comunicará rápidamente toda la información relevante al cliente e indicará expresamente al individuo que es responsabilidad del cliente gestionar dicha queja o solicitud. CGI sólo es responsable de tramitar las quejas o solicitudes de acuerdo con las instrucciones del cliente.

¿Cómo gestiona CGI las violaciones de datos personales?

CGI cuenta con un proceso de respuesta y gestión de incidentes de seguridad maduro y basado en estándares, diseñado para manejar todas las fases de un incidente de seguridad, incluyendo incidentes con impacto en la privacidad. Las responsabilidades de los Asociados de CGI están claramente definidas a todos los niveles. Se siguen normas de evaluación y priorización de incidentes para garantizar niveles de compromiso adecuados y una resolución oportuna.

Los registros de incidentes se mantienen y se comunican a la alta dirección de CGI según sea necesario. Todos los incidentes se gestionan a través del Centro Global de Operaciones de Seguridad (SOC) 24x7 de CGI, donde profesionales altamente cualificados y a tiempo completo coordinan los esfuerzos de respuesta. El equipo de Privacidad de CGI participa inmediatamente en el proceso de gestión de incidentes siempre que se sospeche o se sepa que están implicados Datos Personales.

Si CGI cree razonablemente que se ha producido una violación de la seguridad que conduzca a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales transmitidos, almacenados o procesados de cualquier otra forma, CGI proporcionará notificación de incidentes de seguridad y actualizaciones de estado a la Autoridad de Protección de Datos pertinente, a los individuos y/o clientes (según sea el caso), de acuerdo con la Legislación Aplicable de Protección de Datos, así como a la Fundación de Gestión de CGI.

Del mismo modo, en caso de que se identifique una violación de Datos Personales por parte de un Tercero Proveedor contratado por CGI, el Tercero Proveedor deberá informar a CGI según lo acordado en el contrato correspondiente y de conformidad con la Legislación Aplicable de Protección de Datos.

Comunicación y formación

CGI promueve continuamente una cultura de protección de datos dentro de su organización. CGI despliega un programa anual de aprendizaje sobre privacidad de datos, actualizado regularmente para reflejar los cambios tecnológicos y legislativos. Dicha formación es obligatoria para todos los Asociados de CGI, subcontratistas y trabajadores autónomos de CGI. Todos los líderes de CGI deben asegurarse de que los Asociados de CGI que dependen de ellos realicen la formación.

En la plataforma de aprendizaje de CGI también hay disponibles cursos de aprendizaje específicos adaptados a varias funciones dentro de la organización y cursos de seguridad. 

También se puede proporcionar información adicional a los Asociados de CGI a través de varios canales, entre los que se incluyen sesiones informativas específicas sobre privacidad, seminarios web, reuniones individuales, boletines informativos, sesiones "Know How", campañas de concienciación sobre seguridad y comunicaciones anuales globales del Día de la Privacidad de Datos.

Estos proporcionan a los Asociados de CGI la conciencia de los principios fundamentales contenidos en esta Política de Privacidad de Datos y las mejores prácticas asociadas para ayudar a proteger a CGI y a sus partes interesadas contra el acceso no autorizado y el manejo inadecuado de Datos Personales.

Auditoría

CGI integra en su programa de auditoría interna una revisión del cumplimiento de esta Política de Privacidad de Datos. El programa de auditoría interna define:

  • Un calendario con arreglo al cual se llevarán a cabo las auditorías,
  • El alcance previsto de la auditoría, y
  • El equipo responsable de la auditoría.

El programa de auditoría interna de toda la empresa incluye la verificación a nivel de entrega, funcional y corporativo. Los programas de auditoría pueden revisarse periódicamente. Sin embargo, CGI realizará auditorías internas de forma regular a través de equipos de auditoría cualificados. Dichos programas serán iniciados por los departamentos de auditoría de CGI correspondientes a cada nivel.

Los resultados de la auditoría serán comunicados a la organización CGI Privacy y las acciones resultantes serán definidas y priorizadas, permitiendo a la organización CGI Privacy determinar un cronograma para la implementación de medidas correctivas y preventivas.

Las autoridades competentes en materia de protección de datos, así como los clientes, pueden solicitar el acceso a los resultados de la auditoría (en este último caso, con sujeción a las obligaciones contractuales, tal como se definen en el Marco de Gestión de Contratos). Dicha comunicación está sujeta a un acuerdo de confidencialidad y los resultados de la auditoría no incluyen ninguna información confidencial de otros clientes de CGI o de áreas de negocio internas de CGI. La divulgación de dichos resultados está sujeta a la aprobación de la organización de Privacidad y Servicios Jurídicos de CGI.

Como parte de la certificación ISO27701:2019 de CGI, auditores externos independientes de CGI actúan como una línea adicional de cumplimiento. Proporcionan supervisión y garantía de nuestra implementación de ISO27701:2019 en toda la organización y realizan auditorías anuales. Los resultados de dichas auditorías se tratan como todos los resultados de auditoría, y las medidas correctivas y preventivas recomendadas se priorizan en todas las áreas de la empresa.

Organización para la privacidad de CGI

CGI ha designado un Chief Privacy Officer ("CPO") y una red de Privacy Business Partners que también pueden ser nombrados Data Protection Officers, de acuerdo con la legislación aplicable en materia de protección de datos, y especialistas en gestión de registros. La organización de Privacidad de CGI se define con más detalle en la página de Privacidad de la intranet corporativa de CGI.

Registro de actividades de tratamiento

CGI mantiene un registro de las actividades de Procesamiento llevadas a cabo como parte de sus operaciones (el "Inventario de Procesamiento de Datos"). CGI se asegurará de que cualquier nuevo Procesamiento de Datos Personales sea registrado en el Inventario de Procesamiento de Datos con información relevante respecto al contexto de cada Procesamiento de Datos Personales. CGI pondrá a disposición de la autoridad de control, a petición de ésta, un registro o registros de Procesamiento.

Actualizaciones de la Política de Protección de Datos

Esta Política de Privacidad de Datos puede ser modificada de vez en cuando, según sea necesario, y CGI emitirá las comunicaciones pertinentes relativas a dichos cambios a su debido tiempo.

Preguntas, peticiones y recursos

Preguntas y solicitudes: En caso de preguntas relacionadas con la interpretación u operación de esta Política, o solicitudes relacionadas con sus Datos Personales Procesados por CGI, por favor:

  • envíe un correo electrónico a privacy@cgi.com , o
  • póngase en contacto con el Director de Privacidad de CGI en París - Carré Michelet, 10-12 Cours Michelet, 92800 Puteaux, Francia, o
  • rellene el siguiente formulario en línea.

Mecanismo de recurso independiente:   Si cree que tiene pruebas de una conducta indebida que podría perjudicar a CGI, Asociados de CGI, sus clientes o accionistas, debe denunciarlo a través de la Línea Directa de Ética de CGI

CGI busca mantener relaciones sólidas con las autoridades de protección de datos y cooperar con ellas en cualquier asunto relevante, incluyendo cualquier solicitud de auditoría. CGI también considerará cuidadosamente las recomendaciones emitidas por las autoridades competentes de protección de datos en relación con el Procesamiento de Datos Personales llevado a cabo por CGI como parte de sus operaciones.

Si tiene alguna pregunta o solicitud relacionada con sus Datos Personales que no haya sido atendida por CGI de conformidad con la Legislación Aplicable sobre Protección de Datos o requiere asistencia de alguna autoridad competente en materia de protección de datos, puede presentar una queja o dirigirse a la autoridad pertinente. A continuación encontrará recursos útiles:

Tribunal de Revisión de Protección de Datos: De acuerdo con el Marco de Privacidad de Datos UE-EE.UU. (DPF UE-EE.UU.), validado por la Comisión Europea el 10 de julio de 2023, el Tribunal de Revisión de Protección de Datos es el segundo nivel de un mecanismo de reparación de dos niveles que prevé la revisión de las quejas cualificadas de los individuos, presentadas a través de las autoridades públicas apropiadas en países extranjeros designados u organizaciones regionales de integración económica, alegando ciertas violaciones de la ley de los Estados Unidos en relación las actividades de inteligencia.

Titular de la póliza

Director de Privacidad de CGI

Autoridad competente

 Ejecutivo de la CGI Management Foundation

Fecha de entrada en vigor

1 de enero de 2025

Anexo 1

Glosario de privacidad

A efectos de la presente Política de Privacidad de Datos, se utilizan los siguientes términos con sus definiciones asociadas:

Términos

Definiciones

Legislación aplicable en materia de protección de datos

Todas las leyes que sean aplicables al Tratamiento de Datos Personales, incluyendo, sin limitación y según corresponda
(i) el Reglamento Europeo de Protección de Datos 2016/679 (Reglamento General de Protección de Datos, "RGPD") relativo al Tratamiento de Datos Personales,
(ii) cualquier Legislación Local aplicable.

BCR

Normas Corporativas Vinculantes según se detalla en el Apéndice 2 "Transferencia de Datos Personales".

Entidades jurídicas de CGI

Todas las entidades jurídicas controladas directa o indirectamente por CGI Inc, excluidas CGI Federal Inc y sus filiales.

Asociado(s) de CGI

Empleado(s) de entidades legales de CGI.

CPO

Director de Privacidad según se detalla en la sección "Organización de Privacidad de CGI".

Controlador de datos

Cualquier entidad que determine los fines y medios del Tratamiento de Datos Personales. El cliente es el Controlador de Datos cuando CGI procesa Datos Personales en su nombre como parte de un proyecto del cliente. CGI puede actuar como Controlador de Datos cuando implementa para sus propias necesidades, una nueva solución interna de Procesamiento de Datos Personales.

Procesador de datos

Cualquier entidad que actúe en nombre y bajo las instrucciones de un Responsable del Tratamiento. CGI es un procesador de datos cuando procesa datos personales en nombre de sus clientes.

DPF

Marco de Privacidad de Datos, tal y como se detalla en el Apéndice 2 "Transferencia de datos personales"

Legislación local

Todas las leyes aplicables en las geografías en las que opera CGI, incluyendo sin limitación: protección de datos, seguridad, empleo, sectores industriales y legislación sobre consumidores.

Datos personales

Cualquier información relativa a un individuo que pueda ser identificado, directa o indirectamente, en particular por referencia a un identificador como un nombre, número de identificación, datos de localización, identificador en línea, o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. Los Datos Personales incluyen los Datos Personales Sensibles.

Procesar, transformación o tratamiento

Cualquier operación o conjunto de operaciones realizadas con Datos Personales, ya sea por medios automatizados o no, como recopilar, registrar, organizar, estructurar, almacenar, adaptar, alterar, recuperar, consultar (incluido el acceso remoto), utilizar, divulgar mediante transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.

Datos personales sensibles

Categorías específicas de Datos Personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el Tratamiento de datos genéticos, datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud, y datos relativos a la vida sexual o a la orientación sexual de una persona física, así como los antecedentes penales.

Proveedor externo

Cualquier tercero contratado por CGI o que proporcione bienes y/o servicios a CGI, incluidos proveedores, contratistas, subcontratistas y trabajadores autónomos.

Transferencia

Envío de Datos Personales a otra Entidad Legal de CGI o a cualquier otra parte o hacer que los Datos Personales sean accesibles por ella, cuando la otra Entidad Legal de CGI o parte no esté ubicada en el mismo país, provincia o área geográfica, como se detalla en el Apéndice 2 "Transferencia de Datos Personales".

Anexo 2

Transferencia de datos personales

Cualquier Transferencia de Datos Personales debe realizarse de acuerdo con la Legislación Aplicable de Protección de Datos y las disposiciones de este Apéndice 2.

  1. TRANSFERENCIA DENTRO DE CGI

Una entidad legal de CGI involucrada en una transferencia debe garantizar que se implementen las medidas técnicas y organizativas apropiadas, proporcionales a cualquier riesgo de procesamiento, de acuerdo con esta política de privacidad de datos y las políticas, procesos y estándares de seguridad de CGI. Estas medidas técnicas y organizativas apropiadas deben acordarse y establecerse en un acuerdo de procesamiento de datos o cualquier otro equivalente.

(I) NORMAS CORPORATIVAS VINCULANTES

CGI sólo puede Transferir Datos Personales de individuos en la UE de acuerdo con la Legislación Aplicable de Protección de Datos y las Reglas Corporativas Vinculantes ("BCR") de CGI, aprobadas por la autoridad francesa de protección de datos el 22 de julio de 2021, tal y como puedan ser modificadas. Las BCR son aplicables a todas las Entidades Legales de CGI enumeradas en las BCR y cada Entidad Legal de CGI participante es responsable de demostrar su conformidad con las BCR. Todos los Asociados de CGI están obligados por las BCR.

Para obtener más información sobre nuestras BCR, consulte la intranet corporativa de CGI, su sitio web de cara al público y el Registro Europeo del Consejo de Protección de Datos.

(II) MARCO DE PROTECCIÓN DE DATOS ENTRE LA UE Y EE.UU., AMPLIACIÓN AL REINO UNIDO Y MARCO DE PROTECCIÓN DE  ENTRE SUIZA Y EE.UU.

De acuerdo con la aprobación otorgada por el Departamento de Comercio de EE.UU., las siguientes Entidades Legales de CGI están autocertificadas bajo los Marcos de Privacidad de Datos ("DPF") UE-EE.UU., la Extensión del Reino Unido y el DPF Suiza-EE.UU:

-             CGI Technologies and Solutions Inc.

-             CGI Information Systems and Management Consultants (Nueva York) Inc.

-             CGI Group Holdings USA Inc.

-             Cuentas por cobrar Automated Solutions Inc.

Estos DPF proporcionan a las Entidades Legales de CGI arriba mencionadas mecanismos fiables para las Transferencias de Datos Personales a los Estados Unidos desde la Unión Europea, el Reino Unido y Suiza, garantizando al mismo tiempo una protección de datos coherente con la Legislación de Protección de Datos Aplicable de la UE, el Reino Unido y Suiza.

CGI cumple con el Marco de Privacidad de Datos UE-EE.UU. (DPF UE-EE.UU.) y la Extensión del Reino Unido al DPF UE-EE.UU., y el Marco de Privacidad de Datos Suiza-EE.UU. (DPF Suiza-EE.UU.) según lo establecido por el Departamento de Comercio de Estados Unidos. CGI ha certificado al Departamento de Comercio de EE.UU. que se adhiere a los Principios del Marco de Privacidad de Datos UE-EE.UU. (Principios DPF UE-EE.UU.) con respecto al procesamiento de datos personales recibidos de la Unión Europea y el Reino Unido en virtud del DPF UE-EE.UU. y la Extensión del Reino Unido al DPF UE-EE.UU.. CGI ha certificado al Departamento de Comercio de EE.UU. que se adhiere a los Principios del Marco de Privacidad de Datos Suiza-EE.UU. (Principios DPF Suiza-EE.UU.) con respecto al procesamiento de datos personales recibidos de Suiza en virtud del DPF Suiza-EE.UU..  En caso de conflicto entre los términos de esta política de privacidad y los Principios DPF UE-EE.UU. y/o los Principios DPF Suiza-EE.UU., prevalecerán los Principios.

Para obtener más información sobre el Programa Marco de Privacidad de Datos (DPF) y consultar nuestra certificación, visite https://www.dataprivacyframework.gov/.

La Comisión Federal de Comercio tiene jurisdicción sobre el cumplimiento de CGI con el Marco de Privacidad de Datos UE-EE.UU. (DPF UE-EE.UU.) y la Extensión del Reino Unido al DPF UE-EE.UU., y el Marco de Privacidad de Datos Suiza-EE.UU. (DPF Suiza-EE.UU.).

En el contexto de una transferencia ulterior, CGI es responsable del tratamiento de los Datos Personales que reciba en virtud de los Principios DPF y que posteriormente transfiera a un Tercero Proveedor que actúe como agente en su nombre. CGI sigue siendo responsable en virtud de los Principios DPF si un Tercero Proveedor contratado por CGI procesa dichos Datos Personales de forma incompatible con los Principios DPF, a menos que CGI demuestre que no es responsable del hecho que ha dado lugar al daño.

Los particulares pueden, en determinadas condiciones, recurrir a un arbitraje vinculante para las reclamaciones relativas al cumplimiento del DPF que no hayan sido resueltas por ninguno de los otros mecanismos del DPF, tal y como se detalla en el ANEXO I del DPF.

  1. TRANSFERENCIA A TERCEROS

De forma regular, CGI lleva a cabo evaluaciones de diligencia debida y de riesgos de privacidad y seguridad de terceros con Proveedores Terceros contratados por CGI, para establecer sus capacidades corporativas y madurez con respecto a la seguridad y protección de datos

Siempre que CGI recurra a Terceros Proveedores para el tratamiento de Datos Personales, CGI se asegurará de que dichos Terceros Proveedores proporcionen un nivel de protección adecuado a los Datos Personales que traten conforme a la Legislación Aplicable en materia de Protección de Datos.

ATENCIÓN: La lengua de la versión original y oficial del documento en cuestión es el inglés. El documento en español es una traducción del documento original. En caso de divergencia entre las versiones inglesa y española, prevalece la versión inglesa.

Descargar la Política de Privacidad de Datos (PDF)