Normas Corporativas Vinculantes de American Express (EU NCV)
Tabla De Contenido
- Introducción
- Naturaleza Vinculante de las NCV
- Ámbito de Aplicación de Nuestras NCV
- ¿Cómo American Express Protege sus Datos Personales?
- Red del Delegado de Protección de Datos de American Express
- Formación y Concienciación
- Auditoria y Control
- Cumplimiento, Ejecución y Responsabilidad
- ¿Cómo Puede Interponer una Queja y Hacer Valer las NCV?
- Deber de Colaboración con las Autoridades de Control
- ¿Cómo Gestionamos Posibles Conflictos de Ley?
- Actualizaciones de las NCV
- Naturaleza y Finalidades de los Datos Transferidos en el ámbito de las NCV
- Localización de las Entidades NCV de American Express
- Glosario
1.1. Reseña
American Express valora su confianza y respeta su privacidad.
La protección de datos y la seguridad de la información son una de las principales prioridades para nuestra compañía. Como organización multinacional estamos comprometidos con la protección de la información personal, con independencia de donde sea utilizada, y que toda la información personal que American Express recopile sea gestionada conforme con nuestros Principios de Protección de Datos y Privacidad.
En el año 2012 American Express fue una de las principales compañías en publicar sus Normas Corporativas Vinculantes (NCV), aprobadas por el “Information Commissioner’s Office-ICO”. Hoy en día, estas NCV continúan siendo nuestro marco de compromiso con la privacidad y promueven una cultura de cumplimiento para toda la empresa.
Entre otras cosas, nuestras NCV gobiernan las Transferencias de Datos Personales a través de las Entidades NCV de American Express de acuerdo con la Legislación de Protección de Datos Aplicable, asegurando de esta forma que sus Datos Personales estén siempre adecuadamente protegidos sin perjuicio de a donde sean transferidos.
1.2. Accesibilidad a las NCV
Nuestras NCV están disponibles en las páginas europeas de American Express. Usted también puede solicitar una copia de nuestras NCV, en un formato alternativo, a nuestro Delegado de Protección de Datos en la dirección que se encuentra al final de este documento o a la entidad local de American Express que es responsable de sus Datos Personales.
Tenga en cuenta que la Autoridad de Control de nuestras NCV es la Agencia Española de Protección de Datos (AEPD).
Nuestras NCV son legalmente vinculantes para las Entidades NCV de American de Express y sus empleados a través de un Acuerdo Intragrupo entre American Express Company y American Express Europe, S.A. (AEESA), la entidad legalmente representante de American Express en el EEE.
Cada Entidad NCV de American Express y los empleados de éstas sólo podrán Tratar Datos Personales de conformidad con estas NCV. Los empleados que infrinjan el contenido de las NCV pueden ser objeto de acciones disciplinarias.
3.1. Ámbito de aplicación geográfico
Nuestras NCV aplican a todos los Tratamientos de Datos Personales sujetos a la Legislación Aplicable de Protección de Datos. Es decir, a los Datos Personales de un Individuo que son o han sido Tratados en el contexto de las actividades de una Entidad NCV de American Express establecidas en el EEE, e incluso si el Tratamiento es llevado a cabo por una Entidad NCV de American Express fuera del EEE.
3.2. Ámbito de aplicación material
En su condición de Responsable del tratamiento, American Express Trata los Datos Personales pasados, presentes y futuros de empleados, ejecutivos, personal externo, consultores individuales, empleados vinculados laboralmente con American Express, bien a tiempo completo, o parcial, así como empleados ya retirados y los Datos Personales pasados, presentes y futuros de solicitantes de productos o servicios de American Express-consumidores-, y personas físicas que trabajan para clientes corporativos, proveedores y socios de American Express (“Clientes”)
Las finalidades por las que American Express Trata Datos Personales están esencialmente vinculadas a consumidores, clientes corporativos, establecimientos, seguros, viajes, reuniones y eventos, redes de servicios y también recursos humanos.
Para que American Express pueda desarrollar de manera efectiva sus actividades globales, los Tratamientos de Datos Personales por parte de las Entidades NCV de American Express en relación con las finalidades identificadas en estas NCV, podrán conllevar Transferencias internacionales de Datos Personales desde cualquiera Entidad NCV de American Express a cualquier otra Entidad NCV de American Express fuera del EEE (incluyendo, desde países del EEE a Estados Unidos, donde los principales servidores de American Express se encuentran localizados), así como cualquier otra Transferencia posterior de los Datos Personales recibidos a una tercera parte fuera del grupo American Express.
Para una visión más completa de las actividades de Tratamiento de American Express, por favor visite el Anexo 1. Para ver donde las Entidades NCV de American Express se encuentran localizadas, por favor revise el Anexo 2.
En lo que se refiere al Tratamiento de sus Datos Personales, las Entidades NCV de American Express se comprometen a cumplir con los robustos principios de protección de datos (sección 4.1.) y a respetar sus derechos de protección de datos (sección 4.2).
4.1. Principios de protección de datos
4.1.1. Transparencia y lealtad
Las Entidades NCV de American Express obtendrán y Tratarán sus Datos Personales de manera transparente y por medios legítimos.
Nos aseguraremos de que Usted disponga de un acceso sencillo a la información relativa a nuestras actividades de Tratamientos conforme a lo establecido en el Reglamento General de Protección de Datos (RGPD). Esta información se le facilita de manera concisa, transparente, inteligible y de fácil acceso, usando un lenguaje claro y sencillo, y se encuentra disponible en las principales Declaraciones de Privacidad de American Express, aplicables a la relación que mantiene con nosotros. Estos avisos y los términos y condiciones pueden contener disposiciones adicionales, que pueden ser relevantes a los efectos de los Tratamientos de Datos Personales, conforme con la ley y regulación nacional aplicable.
En particular, cuando los Datos Personales son proporcionados directamente por el Titular de los Datos, la siguiente información será facilitada en el momento en el que los Datos Personales son obtenidos:
- la identidad y datos de contacto del Responsable del tratamiento y, cuando sea aplicable, la de su representante;
- los datos de contacto del Delegado de Protección de Datos;
- las finalidades del Tratamiento para las cuales los Datos Personales están destinados, así como las causas que legitiman estos Tratamientos;
- los destinatarios o categorías de destinatarios de los Datos Personales, si hubiera;
- la existencia de Transferencias internacionales de Datos Personales a países sin un adecuado nivel de protección y las garantías adoptadas para asegurar el mismo nivel de protección exigido por el RGPD;
- el periodo por el cual los Datos Personales serán retenidos, o si esto no fuera posible, los criterios utilizados para determinar ese periodo; así como la existencia de los derechos de los Titulares reconocidos por el RGPD.
Cuando los Datos Personales no hayan sido obtenidos directamente del Interesado, la información previa, así como las categorías de Datos Personales que se traten y la fuente de las que proceden los Datos Personales, deberá ser puntualmente facilitadas (salvo que; el Individuo ya contase con esa información; o que el hecho de facilitar esa información devengue imposible o implique esfuerzos desproporcionados; o que la obtención o comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros; o cuando los Datos Personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesionales por el Derecho de la Unión o de los Estados miembros, incluida una obligación de naturaleza estatutaria).
Nuestras NCV también le facilitan información sobre los derechos que se le otorgan para hacerlos valer frente a AEESA u otra Entidad NCV de American Express en calidad de tercero beneficiario en relación con los Tratamientos de sus Datos Personales bajo estas NCV (“Tercero Beneficiario de los Derechos”) y sobre los medios para ejercitar estos derechos (ver sección 8). Además, estas NCV le facilitarán información sobre los principios de protección de datos que aplicamos cuando tratamos sus NCV. Una versión pública estará disponible en las páginas web de las Entidades NCV de American Express del EEE, así como en nuestra intranet en
el supuesto de que fuera un empleado.Datos Personales (tal y como se expone en la sección 4) y sobre la responsabilidad que las Entidades NCV de American Express asumen en el supuesto de un incumplimiento del contenido de las NCV (ver sección 8).
Además, siempre podrá obtener, bajo previa solicitud, una copia de nuestras NCV. Una versión pública estará disponible en las páginas web de las Entidades NCV de American Express del EEE, así como en nuestra intranet en el supuesto de que fuera un empleado.
4.1.2. Licitud del Tratamiento
Sus Datos Personales y Categorías Especiales de Datos son obtenidos y Tratados de manera lícita y legal de conformidad con la Legislación de Protección de Datos Aplicable. Las causas que legitiman los tratamientos de sus Datos Personales se encuentran descritas con mayor detalle en las Declaraciones de Privacidad de American Express más relevantes, según corresponda a su relación con American Express.
• Tratamientos de Datos Personales
Sus Datos Personales son obtenidos y Tratados únicamente cuando concurre una causa legal que legitime dicho Tratamiento:
- cuando Usted ha dado su Consentimiento explícito (por ejemplo, para mandarle comunicaciones por correo electrónico que contienen anuncios, promociones y ofertas de los productos y servicios de American Express);
- cuando el Tratamiento es necesario para el cumplimiento del contrato del que Usted es parte o bajo su petición a efectos de adoptar las medidas precontractuales necesarias (por ejemplo, para administrar nuestra relación contractual con Usted o para procesar su solicitud de tarjeta, cuenta u otro producto, o para gestionar su cuenta actual);
- cuando el Tratamiento es necesario para cumplir con una obligación legal (por ejemplo, para denunciar ciertas transacciones sospechosas a las autoridades competentes bajo la normativa contra el blanqueo de capitales o conforme a lo establecido por una norma para cumplimentar las medidas de diligencia debida sobre Clientes antes de aprobar su solicitud); o
- cuando el Tratamiento es necesario para los fines del interés legítimo perseguido por una Entidad NCV de American Express o por una/s tercera/as parte/s (por ejemplo, entrega de productos o servicios, anunciar y promocionar productos y servicios, llevar a cabo investigaciones y análisis, y gestionar nuestros riesgos de fraude y crédito), siempre y cuando estos intereses no prevalezcan sobre sus intereses o derechos fundamentales y libertades.
• Tratamientos de Categorías Especiales de Datos
Podríamos tratar Categorías Especiales de Datos incluidos datos relativos a la salud, datos biométricos, orientación sexual o raza/origen étnico. Estos datos son obtenidos y Tratados para cumplir con requerimientos legales, para finalidades esenciales de gestión de la relación de empleo o cuando el Consentimiento explícito ha sido facilitado, y sólo si así es permitido por la ley aplicable.
En ocasiones, Usted podrá facilitarnos este tipo de datos para gestionar y mejorar su viaje con nosotros (por ejemplo, para informarnos sobre sus necesidades alimenticias o solicitud de asistencia especial durante un vuelo).
En las contadas ocasiones en las que Categorías Especiales de Datos son obtenidos, éstos sólo serán Tratados bajo una de las causas legales mencionadas con anterioridad y concurriendo una de las condiciones que apliquen al tratamiento de las Categorías Especiales de Datos, por ejemplo, cuando:
Usted ha dado su Consentimiento explícito para el Tratamiento;
- el Tratamiento es necesario para llevar a cabo obligaciones y derechos específicos de American Express en el campo del empleo y seguridad social y normas de protección social;
- el Tratamiento está vinculado a Categorías Especiales de Datos que Usted ha hecho manifiestamente públicas;
- el Tratamiento es necesario para el establecimiento, ejercicio o defensa de reclamaciones legales;
- el Tratamiento es necesario por motivos de interés público sustancial, en base al derecho de la Unión o de un Estado miembro.
Además, las Entidades NCV de American Express adoptarán medidas reforzadas para Tratar Categorías Especiales de Datos, conforme a lo requerido por la Legislación de Protección de Datos Aplicable.
4.1.3. Minimización, exactitud y limitación del plazo de conservación de los datos
Las Entidades NCV de American Express utilizan tecnología apropiada y tienen implementadas practicadas laborales para Tratar sus Datos Personales de manera adecuada y correcta.
Adoptamos todas las medidas razonables para que asegurar que sus Datos Personales son:
- Exactos y están actualizados teniendo en cuenta las finalidades para las que son Tratados (exactitud de los datos). Los Datos Personales que no son correctos son suprimidos y rectificados sin dilación alguna;
- Adecuados, relevantes y no excesivos en relación con la finalidad para la cual los Datos Personales han sido son obtenidos y Tratados (minimización de los datos);
- Mantenidos de forma que se permita la identificación de los interesados por no más tiempo del necesario para cumplir con las finalidades para las que los Datos Personales son Tratados , y solo mantenidos por un período superior por motivos de archivo o por lo permitido o requerido por la normativa aplicable, y sólo cuando se hayan adoptadas medidas adecuadas de carácter administrativo, técnico y organizativo.
4.1.4. Limitación de la finalidad
Las Entidades NCV de American Express sólo obtendrán Datos Personales para finalidades específicas y legítimas. Trataremos sus Datos Personales de manera legitima y sólo para las finalidades que le hemos indicado, las finalidades que usted haya permitido o por aplicación de la Legislación de Protección de Datos. Nos aseguraremos de que sus Datos Personales no son objeto de Tratamientos adicionales e incompatibles con esas finalidades.
4.1.5. Seguridad de los datos y confidencialialidad
American Express tiene implementado y se compromete a mantener un programa integral y documentado de seguridad de la información que cumple con la normativa(s) y con la Legislación de Protección de Datos Aplicable.
Las Entidades NCV de American Express tienen implementadas medidas administrativas, técnicas y organizativas para proteger sus Datos Personales de destrucciones accidentales o maliciosas, pérdidas, alteraciones, divulgación no autorizada, o acceso a los datos personales trasmitidos, almacenados o de cualquier forma Tratados . Mantendremos sus Datos Personales confidenciales y con acceso limitado únicamente para aquellos que específicamente los necesiten para llevar a cabo sus actividades de negocio, excepto cuando la normativa aplicable determine otra cosa.
Estas medidas aseguran un nivel de seguridad adecuado al riesgo y tienen en consideración el estado del arte, los costes de implementación y la naturaleza, alcance, contexto y finalidades del Tratamiento, así como la probabilidad de riesgos sobre los derechos y libertades de los Individuos . Entre las cuales se pueden encontrar:
- la seudonomización y el cifrado de los Datos Personales
- las medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de los Individuos de forma rápida en caso de incidente físico o técnico; y
- un proceso para comprobar, revisar y evaluar regularmente la efectividad de las medidas técnicas y organizativas a efectos de garantizar la seguridad de los Tratamientos .
También requerimos la implementación de medidas administrativas, técnicas y organizativas a aquellas terceras partes que están autorizadas por nosotros para Tratar sus Datos Personales en nuestro nombre y con Encargados del tratamiento internos y externos con los que tenemos compromisos contractuales para cumplir con las garantías exigidas por el RGPD.
En concreto, los Tratamientos llevados a cabo por un Encargado del tratamiento deberán estar regidos por un contrato, vinculante para el Encargado del tratamiento en su relación con el Responsable del tratamiento que regula las actividades del Tratamiento y su duración, así como la naturaleza y finalidades, la tipología de Datos Personales y categoría de Individuos , y las obligaciones y derechos del Responsable.
Las siguientes obligaciones también deberán estar previstas en el contrato y obligan al Encargado del tratamiento a:
- Tratar los Datos Personales únicamente bajo las instrucciones documentadas del Responsable del tratamiento o asegurar que las personas autorizadas para Tratar los Datos Personales se han comprometido con el deber de confidencialidad o están sujetos a pertinentes obligaciones legales de confidencialidad;
- adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel adecuado de seguridad;
- no contratar a otro Encargado del tratamiento (“sub-encargado”), sin la autorización previa y específica o por escrito del Responsable del tratamiento , siempre y cuando las mismas obligaciones de protección de datos establecidas en el contrato entre el Responsable y Encargado del tratamiento se establezcan también con el sub-encargado;
- asistir al Responsable del tratamiento con las medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los Interesados;
- ayudar al Responsable a garantizar el cumplimiento de sus obligaciones relativas a la seguridad de los Tratamientos , brechas de seguridad y Evaluaciones de Impacto relativas a la protección de datos;
- a elección del Responsable, eliminar o devolver todos los Datos Personales al Responsable tras la finalización de los servicios del Tratamiento y eliminar las copias existentes salvo que la normativa aplicable requiera la conservación de los Datos Personales;
- poner a disposición del Responsable toda la información necesaria para demostrar cumplimiento con todas las obligaciones del artículo 28 del RGPD en relación con los Encargado del tratamiento, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, llevadas a cabo por parte del Responsable o de otro auditor autorizado por el Responsable.
Además, las Entidades NCV de American Express tienen implementadas medidas administrativas, técnicas y organizativas para detectar, investigar, escalar y remediar violaciones de datos personales. Las Entidades NCV de American Express, pondrán en conocimiento del Delegado de Protección de American Express, sin dilación alguna, la existencia de una brecha de datos personales para que éste pueda determinar si el incidente debe ser notificado a la Autoridad de Control competente y a los Individuos impactados de acuerdo con los requerimientos del RGPD . Cualquier violaciones de datos personales estará documentada (conteniendo una referencia a los hechos relativos al incidente, sus efectos, y las acciones de remediación adoptadas) y esta documentación se pondrá a disposición de la Autoridad de Control cuando así sea solicitada por ésta.
4.1.6. Transferencias posteriores
Cuando sus Datos Personales sean transferidos a través de las Entidades NCV de American Express y posteriormente con terceras partes, con independencia de a donde sean transferidos, siempre se dotará de un mismo nivel de protección para el Tratamiento conforme a lo establecido en la Legislación de Protección de Datos Aplicable.
Este flujo de datos se encuentra legitimado por nuestras NCV, las cuales nos permiten transferir Datos Personales desde el EEE a Entidades NCV de American Express que se encuentra fuera del EEE.
En todos los casos de Transferencias posteriores (por ejemplo, Datos Personales que inicialmente han sido Transferidos desde una Entidad NCV de American Express situada en el EEE a otra Entidad NCV de American Express fuera del EEE, que a su vez transfiere a una tercera parte no cubierta por NCV), las Entidades NCV de American Express se asegurarán de que se suscribe un acuerdo por escrito con esa tercera parte que contenga todas las disposiciones que garanticen que los Datos Personales estén protegidos al menos bajo los mismos estándares de confidencialidad y seguridad contemplados en las NCV, o se utilice otro instrumento legalmente válido que asegure que la Transferencia es legítima y contiene las garantías adecuadas con arreglo al artículo 46 del RGPD.
4.1.7. Responsabilidad proactiva
Todas las Entidades NCV de American Express son responsables y deben demostrar que cumplen con estas NCV. El cumplimiento con estos requerimientos incluye:
- el mantenimiento de registros electrónicos de las actividades del Tratamiento, que estarán a disposición de las Autoridades de Control previa solicitud, y que contendrán la información requerida por el RGPD , como son el nombre y detalles de contacto del Responsable del tratamiento , las finalidades del tratamiento, las categorías de los Titulares de los datos y los Datos Personales, los receptores de los Datos Personales, las Transferencias a países fuera del EEE, los periodos de plazo para proceder a la supresión de las categorías de Datos Personales y la descripción de las medidas de seguridad aplicadas;
- la realización de Evaluaciones de Impacto de Protección de Datos (a llevar a cabo cuando sea probable que la actividad de tratamiento pueda entrañar un alto riesgo para los derechos y libertades de los individuos); y
- consulta con la Autoridad de Control relevante cuando se requiera demostrar este cumplimiento.
Además, la Entidades NCV de American Express tienen implementadas medidas administrativas, técnicas y organizativas diseñadas para implementar los principios de protección de datos y para facilitar el cumplimiento con los requerimientos establecidos por estas NCV (protección de datos por defecto y por diseño).
4.2. Derechos del Interesado
• Derecho de acceso, restricción, oposición, rectificación, supresión, retirada del consentimiento y a la portabilidad
Las Entidades NCV de American Express darán respuesta a sus solicitudes de ejercicio de derechos. Más específicamente nos aseguraremos de que pueda ejercitar su derecho a:
- acceder a sus Datos Personales (derecho de acceso);
- restringir y/u oponerse al Tratamiento de sus Datos Personales (derecho de restricción al Tratamiento y derecho de oposición al Tratamiento);
- rectificar sus Datos Personales (derecho a la rectificación);
- suprimir sus Datos Personales (derecho a la supresión);
- retirar el consentimiento que previamente haya facilitado a un Tratamiento, y
- recibir sus Datos Personales en un formato estructurado, de uso común y lectura mecánica y/o trasmitir esos datos a otro Responsable del tratamiento ( derechos a la portabilidad):
Las Entidades NCV de American Express están sujetas a políticas sobre la gestión de estas solicitudes y que aseguran que se pongan a su disposición todos los medios para que pueda ejercitar estos derechos. Si quisiera ejercitar alguno de estos derechos, puede ponerse en contacto con nuestro Delegado de Protección de Datos a través de DPO-Europe@aexp.com.
• Decisiones automatizadas
Las Entidades NCV de American Express aseguran que Usted no sea objeto de decisiones basadas únicamente en un Tratamiento automatizado, incluyendo la elaboración de perfiles, que produzcan efectos jurídicos sobre usted o que afecten significativamente de modo similar, salvo que el Tratamiento sea:
- necesario para la celebración o cumplimiento de un contrato entre usted y American Express;
- autorizado por el Derecho de la Unión o de los Estados miembros y que establezca asimismo medidas adecuadas para salvaguardas los derechos y libertadas y legítimos intereses; o
- se base en su Consentimiento explícito para ese Tratamiento.
De acuerdo con la normativa aplicable, implementaremos las medidas adecuadas para salvaguardar sus derechos y libertades y legítimos intereses, como mínimo el derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.
En cumplimiento con estas restricciones, podremos utilizar procesos automatizados que nos ayuden a tomar ciertas decisiones, como, por ejemplo, detectar y gestionar el fraude (nos ayuda a detectar si su cuenta ha sido utilizada fraudulentamente o para finalidades contra el blanqueo de capitales o detectar si los estafadores han tenido acceso a su cuenta); o para procesar su solicitud de tarjeta y analizar riesgos de crédito y de seguridad. Estos métodos son regularmente analizados para asegurarnos que se mantienen justos, efectivos y objetivos.
Usted podrá contactar con nuestro Delegado de Protección de Datos a través de DPO-Europe@aexp.com para ejercitar su derecho a solicitar una revisión manual a ciertas actividades de Tratamiento automatizadas si impactan a sus derechos o derechos contractuales o que le afecten significativamente de modo similar.
American Express tiene nombrado un Delegado de Protección de Datos que controla el cumplimiento de estas NCV. El Delegado de Protección de Datos asume las siguientes responsabilidades:
- informa y asesora a las entidades de American Express y a sus empleados de sus obligaciones bajo la Legislación de Protección de Datos Aplicable;
- vigila el cumplimiento de la Legislación de Protección de Datos Aplicable a través del análisis de indicadores de riesgo y controles. El Delegado de Protección de Datos informa del resultado de estas actividades a los más altos órganos de gobierno de la organización a través de sus respectivos fórums,
- facilita asesoramiento en relación con las Evaluaciones de Impacto de Protección de Datos y controla su cumplimiento;
- coopera con las Autoridades de Control; y
- actúa como punto de contacto para las Autoridad de control
El Delegado de Protección de Datos, es designado en virtud de sus cualidades profesionales, y reporta al “Chief Privacy Officer” de American Express. El Delegado de Protección de Datos ha sido nombrado por las entidades europeas de American Express en los Consejos de Administración de AEESA y de American Express Payments Europe, SA, que son las principales entidades emisoras y adquirentes- respectivamente- del grupo en Europa.
El nombramiento de éste es comunicado a las Autoridad de control de los países europeos donde American Express se encuentra establecida.
El Delegado de Protección de Datos trabaja junto a una red de expertos en protección de datos y abogados de cumplimiento que se encuentran localizados en cada uno de los mercados europeos y quienes vigilan el cumplimiento de la Legislación Aplicable de Protección de Datos en su región. El Delegado de Protección de datos está apoyado en sus funciones por la “Global Privacy Office” dirigida por el “Chief Privacy Officer” de American Express.
Todas las Entidades NCV de American Express facilitan formación adecuada a través de materiales y cursos a todos sus empleados, y en particular a los empleados que obtienen, Tratan, y tienen acceso regular o permanente a Datos Personales o que están involucrados en el desarrollo de herramientas utilizadas para Tratar Datos Personales, todo ello a efectos de asegurar que están concienciados sobre sus obligaciones bajo la Legislación de Protección de Datos Aplicable y estas NCV. Estos cursos son de obligado cumplimiento y su realización es objeto de control.
American Express tiene implementado un programa de cumplimiento que facilita controles regulares sobre el grado de cumplimiento y audita las operaciones de las Entidades NCV de American Express (llevadas a cabo por auditores internos, o externos cuando así es necesario) a efectos de asegurar que las NCV y las políticas y procedimientos vinculados a éstas son observadas y actualizadas.
Las auditorias de protección de datos cubren todos los aspectos de las NCV, incluidas las medidas para asegurar que las acciones correctivas necesarias tengan lugar.
El Delegado de Protección de Datos bajo su propia iniciativa o por petición de una Entidad NCV de American Express puede solicitar la realización de auditorías adicionales de Protección de Datos. El grupo interno de auditorios de American Express, como órgano de control independiente, analizará la oportunidad de llevar a cabo esas solicitudes de auditoria en base a su programa de análisis de riesgos.
Los resultados de esas comprobaciones del grado de cumplimiento serán comunicados al “Global Privacy Office” de American Express, al Delegado de Protección de Datos, a la Autoridad de Control relevante ( si así lo solicitase) y los pondrá a disposición del Comité de Auditora del Consejo de Administración de American Express Company .
Cuando se detecten incumplimientos, la Entidad NCV de American Express deberá seguir las instrucciones y directrices del Delegado de Protección de Datos. En caso de que estas directrices no pudieran ser cumplidas, la Entidad NCV de American Express en cuestión, deberá documentar los motivos para ello.
American Express también cooperará con cualquier otra acción llevada a cabo por una Autoridad de Control y que tenga por objeto comprobar el grado de cumplimiento, bien se haya iniciado como respuesta a la reclamación de un Individuo o por propia iniciativa de la Autoridad de Control.
8.1. Responsabilidad de las Entidades NCV de American Express
Las Entidades NCV de American Express son responsables de cumplir con las NCV. Además de la responsabilidad individual de las Entidades NCV de American Express, AEESA asumirá responsabilidad por cualquier incumplimiento de las NCV por parte de una de las Entidades NCV de American Express situada fuera del EEE y que trate Datos Personales conforme con la Legislación de Protección de Datos Aplicable. AEESA estará legitimada para adoptar cualquier acción necesaria para remediar las acciones u omisiones de cualquiera de las Entidades NCV de American Express que Trate Datos Personales incumpliendo las NCV.
AEESA será responsable de hacer frente a la compensación que se origine por cualquier daño material o inmaterial sufrido por los Titulares de los datos y nacido del incumplimiento de las NCV. La indemnización deberá ser acordada por el Delegado de Protección de Datos antes de que realice una oferta de compensación o el pago. Todas las indemnizaciones abonadas deberán satisfacer plenamente la reclamación del Titulares de los datos contra la Entidad NCV de American Express. A efectos aclaratorios, la responsabilidad de AEESA se extiende a los actos u omisiones de cualquier Entidad NCV de American Express que no esté situada en el EEE y que infrinja las NCV.
Si una Entidad NCV de American Express (incluso cuando dicha entidad esté situada fuera del EEE) infringe las NCV, los tribunales europeos competentes tendrán jurisdicción en relación con dicha infracción. En la medida en la que una Entidad NCV de American Express infrinja la NCV, los Titulares de los datos, las Autoridades de Control y los tribunales de las jurisdicciones aplicables podrán ejercer sus derechos y presentar una reclamación contra AEESA como si dicha conducta hubiere sido realizada por AEESA en el EEE (para más información sobre cómo presentar una reclamación, consulte la sección 9).
8.2. Terceras partes beneficiarias de los derechos
Todo Titulares de datos puede hacer valer frente a AEESA o cualquier otra Entidad NCV de American Express, los contenidos de las siguientes previsiones de las NCV como Tercera Parte Beneficiaria;
- principios de protección de datos (Sección 4.1);
- transparencia y accesibilidad a las NCV (Sección 1.2. y 4.1.1);
- derechos de los Individuos (Sección 4.2);
- cumplimiento, ejecución y responsabilidad (Sección 8);
- derecho a presentar reclamación a través del mecanismo interno de reclamaciones de American Express (Sección 9);
- derecho a interponer una reclamación ante la Autoridad de Control y ante el tribunal europeo competente (Sección 9);
- cooperación con las Autoridades de Control (Sección10); y
- conflicto de leyes (Sección 11.1).
8.3. Carga de la prueba
AEESA tiene la carga de probar y demostrar que las Entidades NCV de American Express situadas fuera del EEE no son responsables de presuntos incumplimientos de las NCV que den lugar a las reclamaciones de compensación por daños. Cuando AEESA pueda probar que una Entidad NCV de American Express fuera del EEE no es responsable de los hechos que han originado el daño, tanto AEESA como la citada entidad podrán eximirse de la citada responsabilidad.
Si Usted quiere interponer una queja o reclamación y ejercitar algunos de sus derechos en relación con estas NCV, le animamos a que se ponga en contacto con el Delegado de Protección de Datos en cualquier momento, bien por escrito al domicilio social de AEESA: American Express Europe SA, Avenida del Partenón 12-14, 28041 Madrid, España, o bien vía correo electrónico a DPO-Europe@aexp.com
Nuestro Delegado de Protección de Datos gestionará su queja a la mayor brevedad posible, y en todo caso dentro del plazo de un mes. Cuando debido a la complejidad y número de solicitudes recibidas el plazo de un mes se podrá extender a un plazo de dos meses adicionales, en cualquier caso, se le mantendrá informado al respecto.
Para más información sobre el proceso de gestión de quejas de American Express y como presentar una reclamación por favor visite nuestra Política de Privacidad Online.
Si la queja no ha sido resuelta favorablemente a su favor, también podrá:
- presentar una queja frente a la Autoridad de Control del estado miembro donde mantiene su residencia habitual, lugar de trabajo o donde se ha producido la infracción;
- interponer su reclamación ante el tribunal europeo competente donde la Entidad NCV de American Express se encuentra establecida o donde Usted tiene su residencia habitual, y si fuera apropiado, obtener una compensación por los daños sufridos como resultado del incumplimiento previamente mencionado en calidad de Tercera Parte Beneficiaria de Derechos.
Todas las Entidades NCV de American Express deberán cooperar con, y aceptar ser auditas, cualquier Autoridad de Control y deberán cumplir con las directrices de éstas en cualquier asunto relativo a la aplicación de la Legislación de Protección de Datos Aplicable.
Si la Autoridad de Control considera que una de las Entidades NCV de American Express ha infringido alguno de los derechos ofrecidos a los Individuos bajo las NCV, esta Entidad NCV de American Express deberá atenerse a la resolución de la Autoridad de Control, sin perjuicio del derecho a recurrir ésta.
11.1. Normativa nacional que impide el cumplimiento de las NCV
En el supuesto en el que una Entidad NCV de American Express tenga indicios para creer que no puede asegurar el cumplimiento de las NCV o que posiblemente pueda existir un efecto sustancial sobre las garantías establecidas por las NCV, la Entidad NCV de American Express informará al Delegado de Protección de Datos de AEESA, a menos que esté prohibido por una norma aplicable. Cuando sea necesario, el Delegado de Protección Datos notificará a la Autoridad de Control competente sobre el conflicto de ley, salvo que ello no estuviera permitido por normativa aplicable.
Si una Entidad NCV de American Express recibe una solicitud sobre Datos Personales por parte de alguna autoridad o cuerpo estatal de seguridad nacional, el Delegado de Protección de Datos deberá informar a la Autoridad de Control competente sobre esta solicitud ( incluyendo información sobre los datos solicitados, el ente solicitante, y las causas legales para esa revelación). Si, en casos específicos, la notificación a la Autoridad de Control competente está prohibida por la(s) ley(es) aplicable(s), American Express hará todo lo posible para evitar el cumplimiento de esta prohibición y comunicar rápidamente toda la información a la Autoridad de Control competente, y poder demostrar que lo hizo.
Si, en los casos anteriores, a pesar de haber realizado esfuerzos razonables, la Entidad NCV de American Express no está en condiciones de notificar a la Autoridad de Control competente, le proporcionará anualmente información general sobre las solicitudes que haya recibido (como el número de solicitudes de información, el tipo de Datos Personales solicitados, el nombre del solicitante si es posible, etc.).
En cualquier caso, las Transferencias de Datos Personales por parte de una Entidad NCV de American Express a cualquier autoridad pública no serán masivas, desproporcionadas e indiscriminadas. Esta limitación se aplicará a cualquier solicitud de revelación de Datos Personales legalmente vinculante por parte de una autoridad policial o de un cuerpo de seguridad del Estado.
11.2. Relación entre la normativa nacional y las NCV
Cuando la Legislación de Protección de Datos Aplicable requiera un nivel más alto de protección sobre los Datos Personales, este nivel de protección prevalecerá sobre estas NCV.
Podremos actualizar el contenido de nuestras NCV, por ejemplo, teniendo en cuenta cambios en el entorno regulatorio o estructura de nuestra compañía. Nos comprometemos a poner en conocimiento de todas nuestras Entidades NCV de American Express y de la AEPD, sin dilación alguna, cualquier cambio material sobre estas. Las modificaciones sobre las NCV o sobre el listado de Entidades NCV de American Express será reportado anualmente a las Autoridades de Control relevantes, vía Autoridad Competente Supervisora, con una breve explicación sobre las razones que justifican la citada actualización. Cuando una modificación pudiera afectar al nivel de protección ofrecido por las NCV o afectará significativamente a estas, será comunicado sin dilación a las relevantes Autoridades de Control, a través de la Autoridad Competente Supervisora.
American Express cuenta con un equipo que mantiene actualizado el listado de Entidades NCV de American Express y registra cualquier actualización de los contenidos, además facilita la información necesaria a las solicitudes de los Individuos y de las Autoridades Supervisoras. Las Entidades NCV de American Express no llevarán a cabo ninguna Transferencia a una nueva Entidad NCV de American Express hasta que esta nueva entidad quede vinculada efectivamente a estas NCV y pueda cumplir con las mismas.
• Descripción de la tipología y finalidad de las actividades de tratamiento
American Express es una compañía de pagos globales integrales y de viajes. Cuatro son los sectores esenciales de su actividad; i) Servicios de pago para clientes, ii) servicios para establecimientos, iii) red de servicios u operaciones, y iv) servicios de viajes, reuniones y eventos. Nuestras actividades de Tratamiento se llevan a cabo en el contexto de estas actividades, tal y como se describe a continuación.
i) Servicios de pago para clientes
American Express puede emitir un amplio rango de servicios de pago (tales como tarjetas de pago y tarjetas de crédito) para individuos, cada uno de ellos con servicios adjuntos (tales como programas de fidelización, programas de afiliación, y mediación de seguros).
- Para ello Tratamos los Datos Personales de los titulares principalmente para administrar nuestra relación contractual; gestión de beneficios, seguros y cualquier otro programa en el que Usted se haya suscrito; entrega de productos y servicios; llevar a cabo investigaciones y análisis para mejorar nuestros productos y servicios; comprender mejor a nuestros clientes y poder facilitarles servicios más personalizados; gestionar nuestros riesgos de fraude y crédito; promocionar nuestros productos y servicios (sujeto a Consentimiento cuando así lo requiera la Legislación Aplicable de Protección de Datos ); o para cumplir con la normativa aplicable.
American Express también ofrece productos y servicios corporativos a negocios (incluyendo pagos corporativos, servicios de gestión de gastos y productos de préstamos).
- Para ello, Tratamos los Datos Personales de los clientes principalmente para administrar y dar servicio a nuestra relación contractual; para suministrar productos y servicios comerciales; para permitir a los clientes elaborar informes que les permitan mantener políticas de adquisición, políticas y procedimientos de viaje eficaces; para desarrollar políticas, modelos y procedimientos de gestión de riesgos y/o para tomar decisiones sobre la forma en que gestionamos las cuentas de los clientes; para intercambiar información con organismos de prevención del fraude, localizar potenciales deudores, recuperación de las deudas, prevenir el fraude, gestionar las cuentas o las pólizas de seguro; para tomar decisiones sobre la oferta de productos como el crédito y los servicios relacionados; o para cumplir con la legislación aplicable.
ii) Servicios para establecimientos
American Express opera un negocio global de servicios para establecimientos, que incluye el acuerdo con los establecimientos para la aceptación de tarjetas de American Express y otros productos financieros de sus clientes como medio de pago, así como permitir a American Express llevar a cabo el procesamiento y la liquidación de las transacciones de tarjeta con esos establecimientos.
Como parte de esta actividad de servicios a establecimientos, American Express asiste especialmente a los establecimientos que aceptan tarjetas American Express proporcionándoles conocimientos analíticos y de consultoría para identificar nuevas tendencias, permitir la innovación de productos y posibilitar la expansión y las mejoras en la comercialización mediante un uso más eficaz de la infraestructura de datos de American Express. Las actividades de Tratamiento llevadas a cabo para estos fines crearán bases de datos desidentificadas o agregadas cuando sea apropiado.
- Con este fin, Tratamos los Datos Personales principalmente para administrar y dar servicio a nuestra relación contractual con los establecimientos; para intercambiar información con las agencias de referencia de crédito para prevenir el fraude o identificar potenciales deudores o con el fin de verificar identidades; para desarrollar nuestros productos y/o, con sujeción al Consentimiento cuando así lo exija la Legislación Aplicable de Protección de Datos , para ofrecer productos y servicios; o para cumplir la(s) ley(es) aplicable(s), incluida la normativa contra el blanqueo de capitales y la financiación del terrorismo.
iii) Red de servicios y de operaciones
La red de American Express autentifica, compensa y liquida las transacciones con tarjeta y proporciona programas y herramientas de marketing multicanal, servicios y análisis de datos. Gestiona y hace evolucionar la fiabilidad, la seguridad y las capacidades de procesamiento de la red de pagos de American Express para facilitar el comercio en todo el mundo. Además, la red de American Express gestiona una variedad de herramientas que permiten los pagos a través de nuevas formas o canales, a la vez que implementa una política para gobernar las múltiples partes que participan en esta red.
- Para ello, Tratamos los Datos Personales principalmente para administrar las transacciones de los clientes de American Express con los comercios que aceptan American Express. Las actividades de Tratamiento incluyen medidas para prevenir el fraude y para cumplir con la(s) ley(es) aplicable(s), incluyendo las leyes contra el blanqueo de capitales y contra la financiación del terrorismo.
iv) Viajes, reuniones y servicios de eventos
American Express es uno de los mayores negocios de agencias de viajes del mundo y realiza anualmente millones de reservas de viajes para consumidores y empleados de clientes corporativos y, de forma excepcional, para sus acompañantes de viaje, que pueden desear viajar a cualquier parte del mundo.
American Express Global Business Travel (GBT) también lleva a cabo gestiones de viajes para clientes corporativos y asiste a los clientes en la organización de reuniones y eventos a nivel mundial. Los detalles sobre las actividades de procesamiento de GBT se pueden encontrar aquí - https://privacy.amexgbt.com/.
American Express también proporciona servicios de viajes a consumidores individuales, pero principalmente a aquellos que son titulares de una tarjeta de American Express.
- Para ello, Tratamos los Datos Personales de los Clientes principalmente para gestionar la relación comercial; para prestar servicios, para realizar investigaciones y análisis con el fin de mejorar nuestros productos y servicios; para comprender mejor a nuestros Clientes y prestar un servicio más personalizado; para promocionar nuestros productos y servicios (sujeto a Consentimiento cuando así lo requiera la Legislación de Protección de Datos Aplicable); o para cumplir con la(s) ley(es) aplicable(s).
v) Recursos Humanos
Las Entidades NCV de American Express también Tratan Datos Personales de sus empleados principalmente con el fin de administrar y cumplir con su relación laboral (por ejemplo, nombramientos o ceses, comprobación de antecedentes, gestión del rendimiento, gestión del trabajo u otros asuntos de personal relacionados con la gestión de las relaciones con los Empleados); y así como para cumplir con las políticas internas y la(s) ley(es) aplicable(s).
• Descripción de las tipologías de datos personales
Las tipologías de Datos Personales Tratados se encuentran descritas en las distintas Declaraciones de Privacidad de American Express , según corresponda a la relación de los Titulares de los Datos con American Express, y en general se pueden describir como:
i) Datos Personales de los clientes.
Los Datos Personales de los Clientes pueden incluir detalles personales (como el nombre, la dirección y otra información de contacto), información relativa a los productos y servicios utilizados y adquiridos; la solvencia crediticia; la actividad en línea, incluida, por ejemplo, la información que recopilamos cuando los Clientes acceden a nuestros servicios de cuenta en línea o a través de cookies y tecnologías similares; información relativa al estilo de vida y las circunstancias sociales; etc. Para llevar a cabo los servicios relacionados con viajes, reuniones y eventos, American Express debe Tratar los Datos Personales relativos al viajero, incluyendo la nacionalidad, los datos del pasaporte, el sexo, la fecha de nacimiento, la ubicación y las preferencias de viaje (todo ello los "Datos Personales de los Clientes").
En algunos casos, los Datos Personales de los Clientes pueden incluir Categorías Especiales de Datos , como la información biométrica con fines de seguridad (por ejemplo, identificación vocal) o, para servicios relacionados con los viajes los detalles de cualquier discapacidad que pueda afectar a la capacidad de viajar.
ii) Datos de empleados
Los Datos Personales de los empleados suelen incluir, por ejemplo, detalles personales (como nombre, dirección, fecha de nacimiento, número de teléfono), detalles familiares, información relacionada con el estilo de vida y las circunstancias sociales; productos y servicios utilizados; actividad en línea; solvencia crediticia; cargos públicos ocupados; situación de inmigración; y antecedentes de educación y empleo y otra información relacionada con el empleo, como designaciones de rendimiento o talento e información sobre compensación y beneficios (en conjunto, "Datos Personales de los Empleados").
En algunos casos, y cuando lo permita la legislación nacional, los Datos Personales de los empleados pueden incluir Categorías Especiales de Datos , incluida la información sobre el origen racial y étnico, la orientación sexual, la información sobre la salud de los empleados, planes de salud laboral, datos biométricos, el seguimiento de la igualdad de oportunidades, información sobre sindicatos y comités de empresa.
Las Entidades NCV de American Express se encuentran localizadas en los siguientes países:
- Alemania
- Argentina
- Austria
- Australia
- Bélgica
- Canada
- China
- Colombia
- República Checa
- Dinamarca
- Eslovaquia
- España
- Estados Unidos
- Finlandia
- Francia
- Grecia
- Hong Kong
- Hungria
- India
- Irlanda
- Italia
- Japón
- Jersey
- Malasia
- Mexico
- Noruega
- Paises Bajos
- Philippines Filipinas
- Polonia
- Reino Unido
- Rusia
- Singapur
- Suecia
- Suiza
- Taiwan
- Tailandia
“AEESA”- hace referencia a American Express Europe, S.A. situada en la Avenida del Partenón 12-14, Madrid, 28042. AEESA en la compañía europea de American Express que ha asumido la responsabilidad de asegurar que los Datos Personales son Tratados conforme con las NCV. AEESA es parte firmante del Acuerdo Intragrupo.
“Entidad NCV de American Express” o “Entidades NCV de American Express” o “Nosotros” o “Nuestro”- se refiere a la Entidad de American Express o las Entidades que American Express que están vinculadas por las NCV.
“American Express Company”- es American Express Company, con domicilio en el World Financial Center, 200 Vesey St., Nueva York, NY 10285 USA. American Express Company es parte firmante del Acuerdo Intragrupo.
“Declaración de Privacidad de American Express”- hace referencia a la Declaración de Privacidad para Titulares de Tarjeta, la Política de Privacidad Online (para Clientes y usuarios de la página web), la Declaración de Privacidad online de selección (para candidatos a empleos), o la Política de Privacidad para Empleados (para Empleados), así como otras notificaciones, términos y condiciones (tales como para establecimientos y clientes corporativos) los cuales son aplicables a la relación que los Individuos mantiene con American Express y que pueden ser objeto de revisiones periódicas.
“Legislación aplicable de Protección de Datos”- se refiere al RGPD (y a la legislación nacional), la Directiva de Privacidad 2002/58/EC (así como la normativa local que la traspone) y cualquier otra norma y regulación en materia de protección de datos y aplicable en el EEE (todo ello puede ser objeto de modificación y sustitución periódicas).
“Consentimiento”- significa toda manifestación de voluntad libre, específica, informada e inequívoca, realizada a través de una declaración o acción afirmativa clara, por la que le Interesado acepta el Tratamiento de sus Datos Personales.
"Violación de la seguridad de los Datos Personales" o "Violación de Datos Personales" – hace referencia a una brecha de seguridad que conduzca a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales transmitidos, almacenados o sujetos a alguna forma de Tratamiento.
"Responsable del tratamiento" - la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del Tratamiento de Datos Personales.
"Evaluación de impacto relativa a la protección de datos"- hace referencia a la evaluación del impacto de las operaciones de Tratamiento en la protección de Datos Personales cuando es probable que el tratamiento suponga un alto riesgo para los derechos y libertades de los Interesados .
"Titular de los datos" “Interesado” “Individuo” o "Usted" - se refiere a la persona física identificable que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física en el ámbito de estas NCV.
"Encargado del tratamiento" - la persona física o jurídica, la autoridad pública, la agencia o cualquier otro organismo que Trate los Datos Personales por cuenta y bajo las instrucciones del Responsable del tratamiento .
"EEE" - Espacio Económico Europeo, que incluye todos los países de la UE, así como Islandia, Liechtenstein y Noruega.
"RGPD" – hace referencia al Reglamento General de Protección de Datos 2016/679.
"Acuerdo Intragrupo" – se refiere al acuerdo intragrupo que vincula a las Entidades NCV de American Express con las NCV
"Datos Personales" – hace referencia a cualquier información relativa a una persona física identificada o identificable (Titular de los Datos ) que esté dentro del ámbito de estas NCV.
"Tratamiento" o "Proceso" - cualquier operación o conjunto de operaciones que se realicen sobre los Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, supresión o destrucción.
"Elaboración de perfiles" - el Tratamiento automatizado de Datos Personales con el objetivo de analizar, evaluar determinados aspectos personales relativos a los individuos (como su rendimiento en el trabajo, su solvencia, su fiabilidad, su conducta) o a hacer predicciones sobre ellos.
"Categorías Especiales de Datos" – cualquier Dato Personal que revele el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la pertenencia a un sindicato, los datos genéticos o los datos biométricos Tratados con el fin de identificar de forma exclusiva a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o a la orientación sexual de una persona física.
“Autoridad de control”- se refiere a cualquier autoridad pública independiente establecida por un Estado Miembro conforme con el artículo 51 del RGPD .
"Transferencia" - cualquier transferencia de Datos Personales de una empresa sita en el EEE a otra, así como una transferencia posterior que de otro modo estaría restringida por el RGPD . Una transferencia se realiza a través de cualquier comunicación, copia o divulgación de Datos Personales a través de una red, incluido el acceso remoto a una base de datos o la transferencia de cualquier medio a otro.