American ExpressAmerican ExpressAmerican ExpressAmerican ExpressAmerican Express

Las Normas Corporativas Vinculantes de American Express, o NCV, son un medio para transferir datos de carácter personal internacionalmente en el seno del Grupo American Express, adoptadas de acuerdo con la legislación de protección de datos en el Espacio Económico Europeo (EEE). Nuestras NCV consisten en los Principios de Protección de Datos y Privacidad de American Express y estos Principios de Implementación Europeos expuestos a continuación. Nuestras NCV fueron aprobadas por la Autoridad de Protección de Datos local en el Reino Unido (ICO) y han estado en vigor desde el 28 de enero de 2013.

 

Estos Principios de Implementación Europeos proporcionan información sobre cómo American Express asegura del cumplimiento de nuestros Principios de Protección de Datos y Privacidad en el EEE, y sobre cómo presentar una queja relacionada con la privacidad en el EEE.

PRINCIPIOS PARA LA IMPLEMENTACIÓNEN EL ESPACIO ECONÓMICO EUROPEODE LOS PRINCIPIOS DE PROTECCIÓN DE DATOS Y PRIVACIDAD DE AMERICAN EXPRESS

(LOS «PRINCIPIOS DE IMPLEMENTACIÓN EUROPEOS»)

1. Alcance

 

Los Principios para la implementación en el Espacio Económico Europeo de los Principios de Protección de Datos y Privacidad de American Express (los «Principios de Implementación Europeos») solo se aplican a los datos de carácter personal de una persona que sean o hayan sido: (i) tratados en el contexto de las actividades de una compañía American Express establecida en el EEE; (ii) tratados por una compañía American Express establecida fuera del EEE donde las actividades de tratamiento se relacionen específicamente con la oferta de bienes o servicios a personas en el EEE; o (iii) tratados por una compañía American Express establecida fuera del EEE donde las actividades de tratamiento se relacionen específicamente con la supervisión del comportamiento de personas en el EEE (los «Interesados»).

 

Téngase en cuenta que las actividades de tratamiento para los puntos (ii) y (iii) anteriores se limitan a actividades de tratamiento dirigidas específicamente a personas en la UE, ya sea ofreciéndoles bienes o servicios, o supervisando su comportamiento.

 

En particular, los Principios de Implementación Europeos establecen (i) cómo los Principios de Protección de Datos y Privacidad de American Express (los «Principios») deben ser implementados por American Express Company, con sede social en World Financial Center, 200 Vesey St. Nueva York, NY 10285 («American Express» o la «Compañía») y cada compañía del grupo de empresas American Express que trate datos de carácter personal de los Interesados (en conjunto, el «Grupo American Express») y (ii) cómo entrarán en vigor las NCV del Grupo American Express. American Express Services Europe S.A.(«AEESA») es la compañía europea del Grupo American Express que ha asumido la responsabilidad de asegurar que los datos de carácter personal de los Interesados se guarden o se traten de conformidad con los Principios y los Principios de Implementación Europeos.

 

Cualquier Interesado al que los Principios o estos Principios de Implementación Europeos se refieran directamente como titular de un beneficio otorgado por los mismos puede hacer valer dichas disposiciones contra AEESA como tercera parte beneficiaria, tal como se describe a continuación.

 

Para los fines de estos Principios de Implementación Europeos, por «datos de carácter personal» se entenderá cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquélla que puede identificarse, de forma directa o indirecta, en particular haciendo referencia a un identificador tal como un nombre, número de identificación, datos de ubicación, identificador online o uno o más factores específicos a la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

 

2. Disponibilidad

 

Los Principios y los Principios de Implementación Europeos están disponibles en todas las páginas web de American Express en cada país del EEE. También se puede solicitar una copia de los Principios y de los Principios de Implementación Europeos en un formato alternativo al Delegado de Protección de Datos de AEESA en la dirección indicada abajo o a la entidad American Express local responsable de sus datos.

 

Los Principios y estos Principios de Implementación Europeos deben leerse en junto con la Política de Privacidad Online (para clientes) o la Política de Privacidad sobre Procesos de Contratación Online (para posibles empleados) y otros avisos, términos y condiciones que sean aplicables a su relación con American Express. Estos avisos y términos y condiciones pueden contener disposiciones adicionales que son relevantes al tratamiento de datos de carácter personal, conforme a la normativa nacional aplicable.

 

3. Derechos de los Interesados

 

En virtud de los Principios de Implementación Europeos, los Principios de Protección de Datos y Privacidad se modificarán como sigue para cumplir con el Reglamento General de Protección de Datos de la UE («RGPD») en relación con las compañías del Grupo American Express que tratan datos de carácter personal de los Interesados.

3.1. Recogida

Los Datos de carácter personal de los Interesados deberán tratarse de forma legal, justa y transparente para los Interesados. American Express es una empresa global de servicios de pagos y viajes. Puede encontrarse una descripción de los tipos de datos de carácter personal que son procesados (incluyendo posibles categorías especiales de datos ) así como la forma en que se tratan en las políticas de privacidad y otros avisos, términos y condiciones que se le presentan a usted al formalizar un contrato con nosotros.

Las compañías del Grupo American Express solo recogerán datos de carácter personal de los Interesados para fines específicos, expresos y legítimos y deberán asegurar que no se traten adicionalmente de una forma que sea incompatible con dichos fines.

 

3.2. Aviso, equidad y transparencia

Las compañías del Grupo American Express que tienen una obligación de proporcionar a los Interesados información relacionada con el tratamiento en virtud del RGPD deberán ofrecer a los Interesados, de un modo asequible, un derecho de acceso a la información requerida. Esta información deberá ser proporcionada al Interesado en un formato conciso, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo. Esta información está disponible en la Política de Privacidad Online (para clientes) o en la Política de Privacidad sobre Procesos de Contratación Online (para posibles empleados).

 

3.3. Calidad de los datos

Las compañías del Grupo American Express que tratan datos de carácter personal de los Interesados deberán adoptar pasos razonables para asegurarse de que aquellos datos de carácter personal de los Interesados que sean incorrectos o inapropiados en relación a los fines para los que se tratan, sean borrados o rectificados sin demora.

Los datos de carácter personal de los Interesados se guardarán en un formato que no permita la identificación de los Interesados durante más tiempo del necesario para los fines para los que se tratan. Los datos de carácter personal pueden conservarse durante un período más largo para fines de archivo o de otro modo según lo permita el RGPD, o la legislación aplicable, y solo cuando se adopten medidas técnicas y organizativas apropiadas.

 

3.4. Seguridad y confidencialidad

Los requisitos de este principio deberán incluir medidas técnicas y organizativas razonables y apropiadas para proteger los datos de carácter personal de los Interesados frente a un tratamiento no autorizado o ilegal y frente a una pérdida, destrucción o daño accidental.

 

3.5. Apertura y acceso a los datos

Las compañías del Grupo American Express deberán cumplir con los siguientes derechos conferidos a los Interesados: derecho de acceso, derecho de rectificación, derecho al olvido, derecho a la limitación del tratamiento, derecho de oposición al tratamiento, derecho a retirar el consentimiento y derecho a no ser objeto de decisiones basadas únicamente en una toma de decisiones automatizada, incluyendo la elaboración de perfiles.

 

3.6. Transferencias internacionales

Los datos de carácter personal de los Interesados se transfieren por todo el Grupo American Express. El flujo de datos se legitima, según los casos, mediante Normas Corporativas Vinculantes aprobadas por la UE así como mediante contratos de transferencia de datos, incluyendo cláusulas tipo de protección de datos adoptadas por la Comisión Europea. Las categorías especiales de datos personales de los Interesados no se transferirán a menos que el Interesado haya dado su consentimiento a dicha transferencia.

 

3.7. Rendición de cuentas

Todas las compañías del Grupo American Express que tratan datos de carácter personal de los Interesados serán responsables y deberán poder demostrar su cumplimiento con el RGPD, incluyendo el mantenimiento de un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.

 

4. Privacidad por Diseño

 

Las compañías del Grupo American Express que traten datos de carácter personal de los Interesados deberán usar medidas técnicas y organizacionales que estén diseñadas para implementar los principios de protección de datos y facilitar el cumplimiento de los requisitos de estos Principios de Implementación Europeos.

 

5. Programa de cumplimiento

5.1. Cumplimiento

Para garantizar el cumplimiento de los Principios y de los Principios de Implementación Europeos, se ha establecido un programa de cumplimiento que incluye comprobaciones y auditorías regulares de cumplimiento para las operaciones del Grupo American Express. Los resultados de estas comprobaciones y auditorías de cumplimiento se comunicarán a la Oficina Global de Privacidad de American Express, al Delegado de Protección de Datos de AEESA, a las Autoridades de Control correspondientes (si se solicitan) y, cuando corresponda, al Comité de Auditoría del Consejo de Administración de American Express Company. En caso de que se determine una deficiencia de cumplimiento, la compañía pertinente del Grupo American Express en el EEE debe cumplir con cualquier solicitud específica del Delegado de Protección de Datos de AEESA o, cuando las solicitudes no puedan ser cumplidas, documentar la razón de ello. El Grupo American Express también cooperará con cualquier requerimiento de cumplimiento realizada por cualquier autoridad de control con jurisdicción aplicable, ya sea que se haya iniciado en respuesta a una queja de un Interesado, o por iniciativa propia de dicha autoridad de control.

 

5.2. Cooperación

Todas las compañías del Grupo American Express que tratan datos de carácter personal de los Interesados cooperarán con la autoridad de control correspondiente en la gestión de solicitudes, auditorías, consultas y quejas. Si la autoridad de control determinase que una compañía del Grupo American Express ha vulnerado cualquiera de los derechos en virtud de estos Principios de Implementación Europeos, la compañía en cuestión del Grupo American Express acatará sus conclusiones, sin perjuicio de su derecho de impugnar o apelar dichas decisiones.

 

6. Cumplimiento, aplicación y responsabilidad

 

Todas las compañías del Grupo American Express que tratan datos de carácter personal de los Interesados deben cumplir con las disposiciones de los Principios de Implementación Europeos y otras políticas y procedimientos que sean vinculantes para el Grupo American Express. Las compañías del Grupo American Express se asegurarán de cumplir con las leyes nacionales de protección de datos y privacidad, y cualquier aplicación de las mismas se hará de conformidad con dicha normativa.

6.1. Aplicación

Cada Interesado podrá hacer valer frente a AEESA o cualquier compañía del Grupo American Express que trate datos de carácter personal de los Interesados, los términos de las siguientes disposiciones de los Principios de Implementación Europeos como tercera parte beneficiaria:

 

  1. Derechos de los Interesados (Sección 3);
  2. Conflicto de leyes (Sección 8);
  3. Preguntas o quejas (Sección 9);
  4. Cooperación (Sección 5.2); y
  5. Cumplimiento, aplicación y responsabilidad (Sección 6.1 y 6.2).

 

Los Interesados tendrán derecho a los recursos judiciales oportunos y a obtener una reparación y, cuando corresponda, compensación por el daño efectivo sufrido por el reclamante como consecuencia de la vulneración de los derechos de tercera parte beneficiaria antes mencionados.

 

Los Interesados podrán presentar sus reclamaciones tanto frente al tribunal competente del Estado miembro de la UE donde la compañía en cuestión del Grupo American Express esté establecida como de allí donde el Interesado tenga su residencia habitual.

 

6.2. Responsabilidad

AEESA aceptará responsabilidad por cualquier vulneración de los Principios o de los Principios de Implementación Europeos por parte de una compañía del Grupo American Express fuera de la UE que trate datos de carácter personal de Interesados. AEESA tomará cualquier acción necesaria para remediar los actos u omisiones de compañías del Grupo American Express que tratan datos de carácter personal de Interesados.

 

AEESA asume la responsabilidad de pagar una compensación por cualesquiera que sean los daños materiales o no materiales sufridos por los Interesados que surjan en conexión con cualquier vulneración de los Principios o de los Principios de Implementación Europeos. La compensación deberá ser aceptada por el Delegado de Protección de Datos de AEESA antes de que se realice cualquier ofrecimiento de indemnización o pago. Dicha compensación constituirá plena satisfacción de la reclamación del Interesado contra todas las compañías del Grupo American Express. Para evitar dudas, la responsabilidad de AEESA se extiende a los actos u omisiones de cualquier compañía del Grupo American Express que no esté situada en la UE.

 

Si una compañía del Grupo American Express situada fuera de la UE vulnera los Principios o los Principios de Implementación Europeos, los tribunales u otras autoridades competentes de la UE tendrán jurisdicción en relación con dicha vulneración. En la medida en que una compañía del Grupo American Express que trate datos de carácter personal de los Interesados vulnere los Principios de Implementación Europeos, los Interesados, las autoridades de control y los tribunales de las jurisdicciones aplicables podrán ejercer sus derechos y presentar una demanda contra AEESA como si dicha conducta hubiera sido realizada por AEESA en la UE.

 

AEESA asume la carga probatoria a la hora de demostrar que la compañía del Grupo American Express situada fuera de la UE no es responsable de ninguna supuesta vulneración de los Principios o de los Principios de Implementación Europeos que dé lugar a la reclamación de indemnización por daños y perjuicios por parte del Interesado. Cuando AEESA pueda probar que la Compañía del Grupo American Express fuera de la UE no es responsable del evento que da lugar al daño, ésta y dicha compañía podrán eximirse de la responsabilidad y obligación.

 

7. Formación

 

American Express proporcionará materiales y cursos de formación adecuados para los empleados de American Express que recojan, utilicen o tengan acceso a datos de carácter personal de los Interesados o que desarrollen sistemas que traten datos de carácter personal de los Interesados para garantizar que sean conscientes de las obligaciones que les incumben en virtud de los Principios y de estos Principios de Implementación Europeos.

 

8. Conflicto de leyes

 

En el caso de que una compañía del Grupo American Express tenga motivos para creer que una ley a la que está sujeta impide el cumplimiento de los Principios o los Principios de Implementación Europeos o que pueda tener un efecto sustancial en las garantías establecidas en los Principios o los Principios de Implementación Europeos, el contacto pertinente de la compañía del Grupo American Express informará al Delegado de Protección de Datos de AEESA, a menos que lo prohíban la ley o leyes aplicables. En caso necesario, el Delegado de Protección de Datos lo notificará a la autoridad de control competente, salvo en la medida en que lo prohíba la legislación aplicable.

 

9. Preguntas o quejas

 

Un interesado puede, en cualquier momento, presentar una queja o reclamación y ejercer sus derechos en relación con los Principios o estos Principios de Implementación Europeos. Estos pueden dirigirse al Delegado de Protección de Datos de AEESA en el domicilio social de AEESA sito en la Avenida del Partenón 12-14 de la localidad de Madrid, 28042 . Para obtener más información sobre el proceso de administración de quejas de American Express y cómo presentar una queja, por favor diríjase al siguiente enlace haciendo click aquí.