>> Ver todos los acuerdos legales
Normas corporativas sobre usuarios de PayPal
El Grupo PayPal pretende aplicar normas de privacidad y protección de datos uniformes, adecuadas y globales para la gestión de todos los Datos personales de usuarios en todo el Grupo PayPal. Estas Normas corporativas sobre usuarios se aplican a todos los Datos personales de usuarios Procesados por Miembros del Grupo en todo el mundo.
Los usuarios de todo el mundo facilitan sus Datos personales a los Miembros del Grupo para utilizar los servicios que ofrece el Grupo. La mayoría de los Datos personales de usuario se recopilan y almacenan en Estados Unidos. Para llevar a cabo sus actividades globales, PayPal debe compartir los Datos personales de usuario con otras entidades de PayPal en Estados Unidos y en todo el mundo donde PayPal esté presente en la actualidad o donde planee estar.
En este momento, los Empleados ubicados en los siguientes países del Espacio Económico Europeo (EEE) pueden tener acceso a Datos personales de usuario: Alemania, Bélgica, España, Francia, Irlanda, Italia, Luxemburgo, Países Bajos, Polonia y Suecia.
Los Empleados ubicados actualmente en los siguientes países no pertenecientes a la Unión Europea (UE) también pueden tener acceso a Datos personales de usuario: Estados Unidos de América, Taiwán, Turquía, Islas Vírgenes Británicas, Australia, Canadá, China, Hong Kong, la India, Indonesia, Israel, Japón, la República de Corea, Malasia, Mauricio, Filipinas, Rusia, Singapur, Suiza, Reino Unido, Argentina, Brasil y México.
PayPal se compromete a proteger debidamente la información de los Usuarios, independientemente de dónde residan los Datos personales, y a proporcionar una protección adecuada a los Datos personales de usuario cuando se transfieran fuera del EEE.
Esta lista de países puede cambiar a medida que la empresa crezca.
1. Responsabilidades y estructura de la gestión de la privacidad
Las normas corporativas sobre usuarios se establecen legalmente vinculantes en virtud de un acuerdo (el "IGA") entre PayPal (Europe) S.à r.l. & Cie, S.C.A. ("Miembro principal del Grupo") y otras entidades del grupo PayPal. El IGA exige que los Miembros del Grupo cumplan estas Normas corporativas sobre usuarios. Los Miembros del Grupo exigen a sus Empleados que cumplan con estas Normas corporativas sobre usuarios al procesar Datos personales de usuario.
Los gestores y directivos del Grupo PayPal son responsables de hacer cumplir estas Normas corporativas sobre usuarios, lo cual incluye garantizar que los Empleados conozcan estas Normas corporativas sobre usuarios y las cumplan.
El responsable de cumplimiento de privacidad impulsa el programa de privacidad de PayPal. Ocupa un alto cargo en PayPal Holdings, Inc. y depende directamente del responsable ejecutivo de cumplimiento o del director ejecutivo de más alto rango en relación con la función de cumplimiento normativo en PayPal. El responsable de cumplimiento de privacidad supervisa el Equipo global de privacidad de PayPal e interactúa con otras organizaciones u otros equipos internos, como los de operaciones, seguridad de la información, cumplimiento normativo, riesgos y auditoría interna con el fin de ayudar a garantizar que las comunicaciones, las prácticas y las políticas de privacidad sean coherentes en todo el Grupo PayPal. El Equipo de cumplimiento de privacidad global de PayPal desarrolla y coordina la aplicación de su estrategia de cumplimiento normativo en todo el Grupo PayPal y se asegura de que las normas se cumplan. El Equipo de cumplimiento de privacidad global de PayPal tiene representantes directos e indirectos en todo el Grupo PayPal, quienes, entre otras cosas, ayudan a garantizar el cumplimiento de las Normas corporativas sobre usuarios y las leyes de protección de datos aplicables.
El responsable legal de privacidad supervisa el Equipo legal de privacidad global de PayPal y depende directamente del director general legal o del director ejecutivo de máximo rango dentro de los cargos legales de PayPal. El responsable legal de privacidad define las obligaciones de la empresa conforme a las leyes de protección de datos aplicables y a estas Normas corporativas sobre usuarios. El responsable legal de privacidad y el Equipo legal de privacidad global de PayPal trabajan en estrecha coordinación con el responsable de cumplimiento de privacidad y el Equipo de cumplimiento de privacidad global de PayPal, e interactúa con otras organizaciones y otros equipos como los del departamento legal, operaciones, seguridad de la información y riesgos para proporcionar asesoramiento legal e interpretar las implicaciones legales y normativas de las cuestiones relativas a la privacidad en evolución en todo el Grupo PayPal en todo el mundo.
Colectivamente, el Equipo de cumplimiento de privacidad global de PayPal y el Equipo legal de privacidad global de PayPal conforman el Equipo de privacidad global de PayPal.
El Responsable de protección de datos europeo, ubicado en Luxemburgo, ha sido designado por y depende de la dirección de PayPal (Europe) S.à r.l. et Cie, S.C.A.. El Responsable de protección de datos europeo actúa como contacto principal ante las autoridades de protección de datos del EEE y tiene, entre otras, las siguientes funciones: informar y aconsejar a los Miembros del Grupo y a sus empleados, que procesan datos personales, sobre sus obligaciones según la legislación sobre privacidad para garantizar el cumplimiento de estas Normas corporativas sobre usuarios; colaborar con el Equipo de privacidad global de PayPal para supervisar el cumplimiento de la legislación sobre privacidad y las políticas relacionadas de los Miembros del Grupo; y ofrecer asesoramiento legal a los Miembros del Grupo cuando se le solicite en relación con las evaluaciones del impacto de la protección de datos y su aplicación.
2. Principios del procesamiento de Datos personales de usuario
Los Miembros del Grupo deben respetar los siguientes principios relativos a los Datos personales de usuario.
2.1 Limitación de la finalidad
Solo es posible procesar los Datos personales de usuario con fines específicos, explícitos y legítimos. En concreto, es posible procesar Datos personales de usuario para:
- Ofrecer y facilitar la prestación de Servicios como respuesta a las solicitudes de los Usuarios, incluida la apertura de una cuenta
- Mejorar los Servicios y desarrollar Servicios nuevos
- Resolver disputas, gestionar litigios, solucionar problemas y proporcionar servicios de atención al cliente
- Llevar a cabo la gestión de riesgos
- Procesar transacciones y cobrar las tarifas debidas
- Comprobar la solvencia crediticia y la solvencia en general
- Valorar el interés de los Usuarios en los Servicios, así como sus opiniones y comentarios acerca de estos, e informar a los Usuarios sobre ofertas, Servicios y novedades por Internet y en otros ámbitos
- Personalizar la experiencia de los usuarios
- Detectar y proteger frente a errores, fraudes y otras actividades delictivas
- Cumplir las obligaciones legales, contractuales o normativas del Grupo PayPal
- Hacer cumplir las condiciones del Servicio y cualquier otra condición que se les especifique a los Usuarios en el momento del cobro y en la política de privacidad del Servicio
- Proteger la seguridad, integridad y disponibilidad de los Servicios y de la red del Grupo PayPal
- Proteger los derechos e intereses legales del Grupo PayPal, como por ejemplo emprender y ejercer acciones legales, así como defenderse frente a ellas
El procesamiento de Datos personales de usuario con otros fines está sujeto a aprobación previa del Equipo legal de privacidad global de PayPal. En caso de duda, los Miembros del Grupo deberán consultar con el Equipo legal de privacidad global de PayPal.
Los Datos personales de usuario no se procesarán posteriormente de ningún modo que sea incompatible con los fines arriba indicados, a menos que exista una base legal para hacerlo conforme a la legislación aplicable al Miembro del Grupo del EEE responsable de la recopilación o la transferencia de los Datos personales de usuario.
2.2 Calidad y proporcionalidad de los datos
Los Datos personales de usuario deberán ser:
- Correctos y, cuando sea necesario, actualizados
- Adecuados, pertinentes y no excesivos en relación con los fines para los que se Procesan
- Conservados exclusivamente el tiempo necesario para lograr los fines para los cuales se recopilaron originalmente o se procesaron posteriormente.
Los Datos personales de usuario que ya no sean necesarios para los fines para los que se hayan Procesado deberán ser eliminados, borrados, destruidos o anonimizados, a menos que haya una base legal para continuar con su Procesamiento o retención conforme a la legislación aplicable.
2.3 Bases legales del Procesamiento
Los Miembros del Grupo se asegurarán de que los Datos personales de usuario se procesen de forma justa y legal y, en particular y como mínimo, en virtud de una de las siguientes bases legales:
- El consentimiento inequívoco del usuario
- El procesamiento necesario para la ejecución de un contrato del cual el Usuario sea parte o con el fin de emprender acciones a petición del Usuario antes de formalizar un contrato;
- El procesamiento necesario para garantizar el cumplimiento de una obligación legal a la que los Miembros del Grupo estén sujetos;
- El procesamiento necesario para proteger los intereses vitales del Usuario;
- El procesamiento necesario para la ejecución de una tarea de interés público o en el ejercicio de la autoridad oficial otorgada a los Miembros del Grupo o a Terceros a quienes se deban revelar los datos; o
- El procesamiento necesario para fines con intereses legítimos por parte del Miembro del Grupo o por parte del Tercero o de las Partes a quienes se revelen los datos, excepto en casos en que los derechos y libertades del Usuario tengan prioridad frente a dichos intereses.
Como práctica general, los Miembros del Grupo no recopilan Datos personales confidenciales de usuarios. Siempre que dicha recopilación de datos sea necesaria o que los Usuarios proporcionen dicha información voluntariamente, los Miembros del Grupo garantizarán que los Datos personales confidenciales de usuarios solo se procesen basándose en al menos uno de los siguientes motivos:
- El consentimiento expreso del Usuario
- El procesamiento necesario para proteger los intereses vitales del Usuario o de otra persona en los casos en que el Usuario esté física o legalmente incapacitado para otorgar su consentimiento
- El procesamiento está relacionado con Datos personales de usuario hechos públicos de forma manifiesta por el propio Usuario
- El procesamiento necesario para emprender y ejercer acciones legales o defenderse frente a ellas
En los casos en los que el Procesamiento implique la toma de decisiones automática ("Decisiones automáticas"), los Miembros del Grupo pondrán las medidas necesarias para salvaguardar los intereses legítimos del Usuario, por ejemplo, proporcionando al Usuario la oportunidad de que un representante del Servicio de Atención al Cliente revise la decisión individualmente y permita al Usuario aportar su punto de vista. Si el Usuario sigue estando en desacuerdo con la Decisión automática, el representante del Servicio de Atención al Cliente deberá trasladar el asunto al Responsable de protección de datos en la Unión Europea. Cuando proceda, se consultará con el Responsable legal de privacidad y se informará al Responsable de cumplimiento de privacidad.
2.4 Transparencia
Al recopilar Datos personales de usuario, los Miembros del Grupo informarán a los Usuarios de lo siguiente:
- El nombre y la dirección del Miembro del Grupo encargado de la recopilación original y del Procesamiento
- Las categorías de Datos personales de usuario de que se trata
- La finalidad prevista del Procesamiento
- Las categorías de los Procesadores y Terceros que recibirán los Datos personales de usuario
- Si las respuestas a las preguntas son obligatorias o voluntarias, así como las posibles consecuencias de no responder
- La existencia de derechos del Usuario
- En caso de toma de decisiones automática, la lógica empleada
Los Miembros del Grupo pueden proporcionar la información en una Política de privacidad del servicio accesible mediante un vínculo o presentada en un lugar destacado del sitio web de cada Servicio o aplicación y durante el registro. La obligación de informar a los Usuarios no es aplicable para los usuarios que ya tengan constancia de la información.
En los casos en que se demuestre que es imposible proporcionar la información o que proporcionarla implique un esfuerzo desproporcionado, los Miembros del Grupo podrán abstenerse de proporcionar la información. Estos casos se limitan exclusivamente a situaciones en las que los Datos personales de usuario no se hayan obtenido directamente del Usuario.
En circunstancias excepcionales, es posible posponer u omitir la provisión de información específica, por ejemplo, en el contexto de investigaciones de conductas negligentes, para cumplir con la legislación aplicable o cuando el hecho de proporcionar la información pueda poner en riesgo la integridad de la investigación.
2.5 Confidencialidad y seguridad
Los Miembros del Grupo utilizan controles de seguridad físicos, técnicos y organizativos en consonancia con la cantidad y la confidencialidad de los Datos personales de usuario para evitar Procesamientos no autorizados, lo cual incluye, entre otros, el acceso no autorizado, la recopilación y el uso, la pérdida, la destrucción o los daños que afecten a los Datos personales de usuario. Los Miembros del Grupo utilizan cifrado, cortafuegos, controles de accesos, estándares y otros procedimientos para proteger la Información del usuario frente a accesos no autorizados. El acceso físico y lógico a los archivos electrónicos e impresos también está restringido en función de las responsabilidades laborales y las necesidades de la empresa.
2.6 Opciones y derechos de los Usuarios
Los Usuarios tienen la posibilidad de acceder a la mayoría de los Datos personales de usuario relacionados con ellos conservados por los Miembros del Grupo y corregirlos utilizando herramientas de Internet adecuadas o procesos en régimen de autoservicio puestos a su disposición a través del sitio web o la aplicación del Servicio.
En todos los casos, los Usuarios, en calidad de interesados, tienen derecho a presentar una solicitud de acceso para visualizar o recibir una copia de sus Datos personales de usuario que no estén accesibles mediante el sitio web o la aplicación del Servicio. Los Usuarios deben ponerse en contacto con el Servicio de Atención al Cliente siguiendo las instrucciones proporcionadas mediante el sitio web o la aplicación del Servicio. Los Miembros del Grupo cumplirán con las solicitudes dentro de los plazos estipulados por la legislación aplicable, excepto si la legislación aplicable proporciona una excepción a tal obligación. Los Usuarios pueden tener que proporcionar una prueba de identidad y pueden estar sujetos a una tarifa por servicio según lo permita la legislación aplicable.
Los Usuarios también pueden solicitar la rectificación de sus datos si están incompletos o son inexactos. Los Miembros del Grupo cumplirán con dicha solicitud e informarán a los Usuarios en cuanto se hayan rectificado sus datos. Los Miembros del Grupo notificarán a los terceros a quienes se hayan revelado los datos del Usuario cualquier rectificación realizada, a menos que esto sea imposible o implique un esfuerzo desproporcionado.
Por motivos legítimos y apremiantes, los Usuarios pueden oponerse al Procesamiento de sus Datos personales de usuario. Los Miembros del Grupo atenderán dichas solicitudes, a menos que la ley aplicable requiera la conservación de los Datos personales de usuario o que estos se necesiten para defender al Grupo PayPal frente a reclamaciones legales. Se informará a los Usuarios del resultado de su solicitud y de las medidas adoptadas por los Miembros del Grupo.
Además, los Usuarios pueden solicitar el cierre de sus cuentas conforme a las instrucciones proporcionadas por el sitio web o la aplicación del Servicio. Los Miembros del Grupo eliminarán o anonimizarán la información del Usuario de un Servicio tan pronto como sea razonablemente posible en función de la actividad de la cuenta. En algunos casos, los Miembros del Grupo podrán retrasar el cierre de una cuenta o conservar Datos personales de usuario para llevar a cabo una investigación o si la legislación aplicable lo exige. Los Miembros del Grupo también podrán retener Información de Usuario correspondiente a cuentas cerradas para detectar y prevenir el fraude, cobrar tarifas debidas, resolver disputas, solucionar problemas, colaborar en cualquier investigación, gestionar riesgos, cumplir con las condiciones de un Servicio, cumplir con requisitos legales o normativos y realizar otras acciones permitidas por la legislación aplicable de cualquier otro modo. La forma de almacenamiento de los datos permitirá la identificación de los interesados solo mientras sean necesarios con los fines para los cuales se recopilaron o se procesaron posteriormente y se eliminarán en cuanto el motivo subyacente de su conservación se haya abordado o solucionado.
A excepción de los Usuarios que hayan optado por no recibir ciertas comunicaciones, los Miembros del Grupo podrán utilizar los Datos personales de usuario para enviar comunicaciones a los Usuarios en función de sus intereses conforme a la legislación aplicable. Los Usuarios que no deseen recibir comunicaciones de marketing del Grupo PayPal dispondrán de un medio de fácil acceso para oponerse a recibir más publicidad, por ejemplo, en la configuración de su cuenta o siguiendo unas instrucciones proporcionadas por correo electrónico o mediante un vínculo en la comunicación.
Los Usuarios pueden ejercer los derechos anteriores poniéndose en contacto con el Servicio de Atención al Cliente. Si resulta difícil verificar la identidad de un Usuario, los Miembros del Grupo podrán pedir al Usuario que proporcione pruebas adicionales de identificación.
2.7 Revelación de datos personales
Los Miembros del Grupo pueden compartir Datos personales de usuario en el desarrollo normal y dentro del alcance de su actividad de negocio con otros Miembros del Grupo en todo el mundo para los fines identificados en la sección 2.1.
Conforme a las leyes, los tratados o las convenciones internacionales aplicables, los Miembros del Grupo pueden compartir Datos personales con agencias de seguridad pública y autoridades reguladoras cuando sea necesario en una sociedad democrática para proteger la seguridad nacional, la defensa y la seguridad pública o para colaborar en la prevención, investigación, detección y persecución de delitos y, en particular para cumplir con las sanciones establecidas en los instrumentos de cumplimiento nacionales o internacionales, con los requisitos de notificación fiscal o con los requisitos de notificación relativos al blanqueo de dinero.
Los Miembros del Grupo no venderán ni arrendarán los Datos personales de usuario a Terceros para sus propios fines de marketing sin consentimiento inequívoco y expreso del usuario. Los Miembros del Grupo pueden revelar Información de usuario a Terceros conforme a instrucciones o consentimientos del Usuario (siempre que la legislación aplicable lo permita).
Al transferir Datos personales de usuario a un Procesador, se deberá someter al Procesador a una evaluación de riesgos sobre privacidad, protección de datos y seguridad de la información antes de iniciar el trabajo y antes de cualquier transferencia de Datos personales de usuario. El alcance de la evaluación dependerá de la confidencialidad de los Datos personales de usuario que se vayan a procesar. Los Procesadores, lo que incluye a un Miembro del Grupo que actúe como Procesador, deben establecer un acuerdo con los correspondientes Miembros del Grupo para proporcionar medidas adecuadas de privacidad, protección de datos y seguridad de la información. Dicho acuerdo incluye cláusulas que garantizan el uso apropiado de Datos personales de usuario y medidas de seguridad en consonancia con la cantidad, la naturaleza y la confidencialidad de los Datos personales de usuario de que se trate. Como mínimo, las protecciones contractuales deben abarcar los siguientes aspectos:
- Los requisitos para cumplir con la ley y para Procesar Datos personales de usuario solo conforme a las condiciones del acuerdo y solo según las instrucciones de los Miembros del Grupo involucrados
- Las medidas técnicas y organizativas adecuadas adaptadas a la confidencialidad de los Datos personales de usuario y al Procesamiento involucrado
- El derecho a auditar el cumplimiento de las garantías contractuales por parte del Procesador
- Las obligaciones de notificación de infracciones de seguridad
- Las disposiciones sobre la corrección en caso de incumplimiento de las obligaciones legales o contractuales por parte del Procesador
Los acuerdos deben contener disposiciones que garanticen que el incumplimiento de las condiciones del acuerdo pueda provocar la suspensión o rescisión del acuerdo, entre otras compensaciones identificadas en las condiciones de uso.
La evaluación de la privacidad, la protección de datos y la seguridad de la información no es obligatoria en el caso de Procesadores que ya han sido objeto de esta evaluación, a menos que las actividades de Procesamiento involucren actividades de alto riesgo, teniendo en cuenta la naturaleza y la cantidad de Datos personales y el tipo de actividades de Procesamiento de que se trate.
Sin perjuicio de lo anterior, en los casos en que los Miembros del Grupo transfieran Datos personales de usuarios del EEE a Terceros o Procesadores que no sean Miembros del Grupo: (i) ubicados en países que no faciliten niveles de protección adecuados (en el sentido de la Directiva 95/46/CE), (ii) no cubiertos por normativas corporativas vinculantes aprobadas, o (iii) no cubiertos por otros acuerdos que cumplan los requisitos de idoneidad de la UE, el Miembro del Grupo deberá garantizar, en relación con:
- Terceros: que aplicarán controles contractuales adecuados, como las cláusulas contractuales modelo aprobadas por la Comisión Europea, que proporcionen niveles de protección en consonancia con estas Normas corporativas sobre usuarios o que, alternativamente, garanticen que la transferencia (i) tiene lugar con el consentimiento inequívoco del usuario, (ii) es necesaria para celebrar o ejecutar un contrato con el Usuario, (iii) es necesaria u obligatoria legalmente por motivos públicos de importancia, o (iv) es necesaria para proteger intereses vitales del Usuario
- Los Procesadores: que aplicarán controles contractuales adecuados, como las cláusulas contractuales modelo aprobadas por la Comisión Europea, que proporcionen niveles de protección en consonancia con estas Normas corporativas sobre usuarios.
3. Mecanismo de reclamación
Si un Usuario cree que sus Datos personales de usuario se han procesado infringiendo las Normas corporativas sobre usuarios, puede informar de posibles problemas al Servicio de Atención al Cliente del Miembro del Grupo que corresponda mediante el sitio web del servicio pertinente, por correo electrónico o de cualquier otro modo indicado en las condiciones aplicables. Los Usuarios en general pueden encontrar respuestas a las preguntas y las preocupaciones más frecuentes sobre privacidad escribiendo la palabra "privacidad" en la sección de ayuda del servicio correspondiente, lo cual, por lo general, dirigirá al Usuario a una página o una política específica de privacidad. La sección de "ayuda" del servicio correspondiente es el punto de entrada único para las consultas de todos los Usuarios en relación con su privacidad o con el procesamiento de su Información de usuario y proporciona al Usuario la oportunidad de ponerse en contacto con el Servicio de Atención al Cliente.
En caso de duda sobre el canal que se debe utilizar para comunicar cuestiones relacionadas con la privacidad, los Usuarios pueden ponerse en contacto por Internet con el Responsable de protección de datos europeo.
El Servicio de Atención al Cliente investiga e intenta resolver las preocupaciones de los Usuarios. Los empleados responsables de tratar con cuestiones relacionadas con la privacidad trabajan en estrecha colaboración con el Equipo de privacidad global de PayPal y responde a los Usuarios de acuerdo con las políticas, los procedimientos y las directrices de PayPal. Si un Usuario considera que su consulta no ha sido atendida correctamente o no ha recibido ninguna respuesta, puede solicitar que su consulta se remita al Responsable de protección de datos europeo. Se consultará con el Responsable legal de privacidad y se notificará al Responsable de cumplimiento de privacidad. Se determinarán las rutas de remisión en función de la naturaleza y el alcance de la consulta, que se remitirá al equipo adecuado sin demora. Se proporcionará una respuesta al Usuario acerca de la reclamación en un plazo razonable y, en cualquier caso, en un plazo de tres (3) meses a partir de la fecha de la consulta, excepto en circunstancias inusuales o preguntas complejas, en cuyo caso se informará al Usuario de que la respuesta podría tardar más de tres (3) meses.
El mecanismo de gestión de reclamaciones no afecta al derecho del Usuario a presentar reclamaciones ante los tribunales o las Autoridades de protección de datos competentes.
4. Responsabilidad y derechos de terceros beneficiarios
Los Usuarios del EEE que sospechen de un incumplimiento de las Normas corporativas sobre usuarios fuera del EEE tienen derecho a reclamar el cumplimiento de las Normas corporativas sobre usuarios como terceros beneficiarios de las secciones 2, 3, 4, 7 y 8 de las Normas corporativas sobre usuarios frente a las autoridades competentes en materia de protección de datos, ante los tribunales del Miembro principal del Grupo o ante los tribunales del Miembro del Grupo que haya actuado como exportador de los datos. Estos derechos de cumplimiento no excluyen otras compensaciones ni otros derechos garantizados por PayPal o por la legislación aplicable.
Aunque no es necesario, se anima a los Usuarios del EEE a, en primer lugar, informar de su preocupación directamente al Miembro del Grupo en lugar de a las Autoridades de protección de datos o a los tribunales. Esto permite obtener una respuesta rápida y eficaz del Grupo PayPal y reduce al mínimo los posibles retrasos en los procedimientos de las Autoridades de protección de datos o de los tribunales.
PayPal (Europe) S.à r.l. et Cie, S.C.A., una sociedad de responsabilidad limitada con sede en Luxemburgo, acepta la responsabilidad del cumplimiento de las Normas corporativas sobre usuarios por parte de los Miembros del Grupo y acepta supervisar dicho cumplimiento. El Miembro principal del Grupo se compromete a (i) adoptar las medidas necesarias para corregir las infracciones cometidas por Miembros del Grupo fuera del EEE, y (ii) pagar a los Usuarios del EEE las compensaciones que conceda la Autoridad de protección de datos o los tribunales de Luxemburgo por cualquier daño resultante directamente de la infracción de las Normas corporativas sobre usuarios por parte de Miembros del Grupo fuera del EEE, si el Miembro del Grupo correspondiente no pudiese o no estuviese dispuesto a pagar la compensación o cumplir con la orden correspondiente.
El Miembro principal del Grupo reconoce y acepta que la carga de la prueba recae sobre él con respecto a un supuesto incumplimiento de las Normas corporativas sobre usuarios.
El Miembro principal del Grupo (o cualquier Miembro del Grupo) no será responsable si demuestra razonablemente, en función de los datos disponibles y teniendo en cuenta los comentarios del Usuario, que el Miembro del Grupo de fuera del EEE no ha infringido las Normas corporativas sobre usuarios o no es responsable de cualquier daño alegado por el Usuario.
5. Formación
Los Miembros del Grupo se asegurarán de que todos los Empleados que procesen Datos personales de usuario, así como los Empleados que participen en el diseño de herramientas que se vayan a utilizar para recopilar o procesar Datos personales de usuario, reciban formación sobre privacidad y para la concienciación sobre la seguridad de la información con el fin de hacer hincapié e informar a los Empleados de la necesidad de proteger los Datos personales de usuario de forma coherente con estas Normas corporativas sobre usuarios.
Cada año, los Empleados deben realizar cursos de formación sobre cumplimiento en Internet centrados en el Código de conducta y ética empresarial, lo cual incluye una sección sobre la protección de datos. Los Empleados nuevos están obligados a realizar cursos de formación en Internet sobre cumplimiento antes de empezar a trabajar.
Además de esta formación sobre cumplimiento en Internet, el Equipo de privacidad global de PayPal y el Responsable de protección de datos europeo ofrecerán formación sobre privacidad y concienciación sobre la seguridad de la información con el fin de hacer hincapié e informar a los Empleados de la necesidad de proteger los Datos personales. Estos cursos de formación se realizan una vez al año o con mayor frecuencia si las circunstancias lo requieren.
Los cursos para Empleados estarán adaptados a sus niveles de acceso a Datos personales de usuario y los empleados con mayores niveles de acceso recibirán formación adicional.
Los Miembros del Grupo informarán a los Empleados de que el incumplimiento de estas Normas corporativas sobre usuarios puede acarrear medidas disciplinarias y otras acciones permitidas por la legislación aplicable. Todos los Empleados pueden acceder en cualquier momento a una copia de estas Normas corporativas sobre usuarios y a otros procedimientos y políticas relacionados con la privacidad y la seguridad a través Intranet de la empresa. Las Normas corporativas sobre usuarios también forman parte del Código de conducta y ética empresarial que todos los empleados están obligados a leer, aceptar y acatar.
6. Auditorías y supervisión
Para ayudar a garantizar el cumplimiento de estas Normas corporativas sobre usuarios, el Equipo de cumplimiento de privacidad global de PayPal revisa periódicamente las actividades y las prácticas de procesamiento de Datos personales. Estas actividades están coordinadas en estrecha colaboración con el Responsable de protección de datos europeo.
El equipo de Auditoría interna es un asesor independiente y objetivo para la administración y la Junta directiva que, a través del comité de auditorías, comunica los resultados de las auditorías a la Junta directiva, a los responsables de privacidad y al Responsable de protección de datos europeo.
El equipo de Auditoría interna puede llevar a cabo revisiones periódicas de las actividades o las prácticas identificadas por el Equipo de privacidad global. En caso necesario, el equipo de Auditoría interna, los responsables de privacidad y el Responsable de protección de datos europeo exigirán la ejecución de un plan de acción para garantizar el cumplimiento de las normas corporativas vinculantes. En la medida en que los grupos internos no solucionen las cuestiones de forma adecuada, el Grupo puede designar a auditores externos independientes para una resolución definitiva.
El Responsable de protección de datos europeo, el Equipo de cumplimiento de privacidad global de PayPal o los equipos de auditoría interna y los auditores externos desarrollan planes y programas de auditoría detallados en función de los riesgos del Procesamiento.
Los resultados de las auditorías de privacidad se pondrán a disposición de las autoridades de protección de datos competentes. PayPal se reserva el derecho a ocultar determinados fragmentos de los informes de auditoría para garantizar la confidencialidad de datos que son propiedad de la empresa o de otros datos confidenciales.
7. Relación entre las Normas corporativas sobre usuarios y la legislación nacional
Puesto que los requisitos legales relativos a la protección de datos suelen ser distintos en cada país, el uso de Normas corporativas sobre usuarios sirve para establecer un conjunto coherente de requisitos que garantice un Procesamiento correcto de los Datos personales de usuario. Si bien las Normas corporativas sobre usuarios crean unos requisitos de referencia que los Miembros del Grupo deben cumplir, los Miembros del Grupo deberán ajustarse a la legislación aplicable, que puede imponer un estándar más estricto que el establecido en estas Normas corporativas.
Ningún contenido de estas Normas corporativas sobre usuarios afecta a las obligaciones de los Miembros del Grupo según la legislación bancaria aplicable, en concreto en relación con el secreto bancario. Si hubiese algún conflicto entre la legislación aplicable y estas Normas corporativas sobre usuarios que pueda impedir a un Miembro del Grupo cumplir sus obligaciones en virtud de las Normas corporativas sobre usuarios, el Miembro del Grupo deberá notificarlo inmediatamente al Responsable de protección de datos europeo, excepto si la legislación aplicable o la autoridad encargada de aplicarla prohíben proporcionar dicha información. El Responsable de protección de datos europeo, los responsables de privacidad y el Miembro del Grupo deberán determinar el curso de acción apropiado y, en caso de duda, consultarlo con la Autoridad competente en materia de protección de datos.
8. Asistencia mutua y colaboración con las Autoridades de protección de datos
Los Miembros del Grupo cooperarán y se ayudarán unos a otros para gestionar las solicitudes o reclamaciones de Usuarios en relación con estas Normas corporativas sobre usuarios.
Los Miembros del Grupo responderán con diligencia y de manera apropiada a las solicitudes de las Autoridades de protección de datos en relación con las Normas corporativas sobre usuarios. Si un empleado recibe una solicitud de este tipo de una Autoridad de protección de datos, deberá notificárselo de inmediato al Responsable de protección de datos europeo.
Los Miembros del Grupo colaborarán en las consultas, aceptarán auditorías de las Autoridades de protección de datos competentes del EEE en relación con el cumplimiento de estas Normas corporativas sobre usuarios y respetarán sus decisiones, acorde con la legislación aplicable y los derechos procesales debidos.
9. Actualizaciones del Contenido de estas Normas corporativas sobre usuarios y Lista de los miembros vinculados
PayPal se reserva el derecho de modificar estas Normas corporativas sobre usuarios siempre que sea necesario, por ejemplo, para adaptarse a modificaciones en las leyes, los reglamentos y las normativas aplicables, o en las prácticas, los procedimientos y las estructuras organizativas propias de PayPal así como para ajustarse a los requisitos impuestos por las autoridades competentes en materia de protección de datos.
El Equipo legal de privacidad global de PayPal (bajo la dirección del responsable legal de privacidad) propondrá los cambios necesarios en estas Normas corporativas sobre usuarios. El Equipo de cumplimiento de privacidad global de PayPal (bajo la dirección del responsable de cumplimiento de privacidad) y el Responsable de protección de datos europeo deben autorizar todos los cambios en las Normas corporativas sobre usuarios y deberán realizar un seguimiento de todas las modificaciones a dichas Normas, así como cualquier cambio en la lista de los Miembros del Grupo. Los Miembros del Grupo informarán a las Autoridades de protección de datos competentes sobre los cambios realizados en las Normas corporativas sobre usuarios para su aprobación formal y según lo exija la legislación aplicable.
El Miembro principal del Grupo consultará con la Autoridad principal de protección de datos acerca de los cambios materiales en las Normas corporativas sobre usuarios que puedan afectar al cumplimiento de la protección de datos o al funcionamiento de las Normas corporativas sobre usuarios. El Miembro principal del Grupo comunicará los cambios materiales en las Normas corporativas sobre usuarios y en la Lista de los Miembros del Grupo al menos una vez al año a la Autoridad principal de protección de datos. El Equipo de privacidad global de PayPal colaborará para apoyar al Responsable de protección de datos europeo que, en particular, coordinará las respuestas y reaccionará con prontitud a los comentarios, las sugerencias o las objeciones frente a los cambios procedentes de la Autoridad principal de protección de datos en nombre de PayPal. Todos los comentarios, sugerencias u objeciones que planteen otras Autoridades de protección de datos se comunicarán al Responsable de protección de datos europeo por parte de la Autoridad principal de protección de datos, que actuará en nombre de las demás Autoridades de protección de datos.
Los cambios en las Normas corporativas sobre usuarios se aplicarán a todos los Miembros del Grupo en la fecha de entrada en vigor de la implementación. Los Miembros del Grupo notificarán los cambios materiales en las Normas corporativas sobre usuarios a los Usuarios de acuerdo con las preferencias del Servicio del Usuario, ya sea mediante un mensaje de correo electrónico masivo o mediante la publicación en el sitio web, con tiempo suficiente, de una advertencia clara para los Usuarios sobre el cambio en las Normas que se refieren a los Usuarios. Los Miembros del Grupo deberán publicar las Normas corporativas sobre usuarios revisadas en sitios web externos seleccionados o en aplicaciones accesibles para los Usuarios. Las modificaciones de las Normas corporativas sobre usuarios entran en vigor dos meses después de que los Miembros del Grupo se las hayan notificado a los Usuarios y hayan publicado las Normas corporativas sobre usuarios revisadas.
10. Publicación
Se publicarán las Normas corporativas sobre usuarios y se facilitará un vínculo en el sitio web o en las aplicaciones del Servicio. Los Usuarios pueden solicitar una copia al Responsable de protección de datos europeo (DPO), PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburgo o por Internet.
11. Disposiciones finales
Fecha de entrada en vigor: 25 de mayo de 2018
Contacto: los usuarios pueden remitir cualquier consulta en relación con estas Normas corporativas sobre usuarios poniéndose en contacto con:
El Responsable de protección de datos europeo (DPO)
PayPal (Europe) S.à r.l. et Cie , S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburgo.
12. Definiciones
Los Miembros del Grupo interpretarán las Normas corporativas sobre usuarios de la forma más coherente posible con los conceptos básicos de los principios de la Directiva 95/46/CE de la UE o de cualquier directiva o reglamento que la sustituya.
A efectos de las presentes Normas corporativas sobre usuarios, se aplicarán las siguientes definiciones:
Junta directiva se refiere a la junta directiva del Miembro principal del Grupo.
Autoridades de protección de datos se refiere a las autoridades públicas responsables de supervisar y hacer efectiva la aplicación, en su respectivo territorio, de la legislación nacional aprobada por los Estados miembros del EEE, de conformidad con la Directiva sobre protección de datos de la UE (95/46/CE).
EEE significa el Espacio Económico Europeo, que actualmente comprende los Estados miembros de la Unión Europea, Islandia, Liechtenstein y Noruega.
Empleado se refiere a los empleados, trabajadores, becarios y otros miembros del personal, lo que incluye trabajadores provisionales o temporales, mano de obra alternativa o contratistas de un Miembro del Grupo, empleados tanto a jornada parcial como a jornada completa, e independientemente del tipo de empleo o de contratación.
Responsable de protección de datos europeo (DPO) se refiere al empleado designado por y dependiente directamente de la dirección del Miembro principal del Grupo, que también pertenece al Equipo legal de privacidad global de PayPal. El DPO europeo se encuentra en Luxemburgo.
Miembro del Grupo es una entidad del Grupo PayPal que ha firmado una copia del IGA.
IGA son las siglas de "Intra-Group Agreement" (Acuerdo Intragrupo).
Autoridad principal de protección de datos se refiere a la "Commission nationale pour la protection des données" ("CNPD"), ubicada en Luxemburgo.
Miembro principal del Grupo se refiere a PayPal (Europe) S.à r.l. & Cie, S.C.A., una sociedad de responsabilidad limitada de Luxemburgo.
Equipo de privacidad global de PayPal se refiere al equipo coordinado formado por el Equipo de cumplimiento de privacidad global de PayPal y el Equipo legal de privacidad global de PayPal.
Equipo de cumplimiento de privacidad global de PayPal se refiere a los miembros de la organización de cumplimiento normativo que se ocupa específicamente del cumplimiento normativo y el funcionamiento del programa de privacidad de PayPal.
Equipo legal de privacidad de PayPal se refiere a los miembros del departamento legal que tratan específicamente con la privacidad y la protección de datos.
Grupo PayPal se refiere a PayPal Holdings, Inc. ("PayPal") y a cualquier entidad directa o indirectamente controlada por PayPal que procese Información de usuario; en este contexto, "control" se refiere a la titularidad de más del cincuenta por ciento (50 %) de los derechos de voto para elegir a los directores de la empresa o más del cincuenta por ciento (50 %) de los intereses de propiedad de la empresa.
Datos personales se refiere a cualquier información relacionada con una persona física identificada o identificable; una persona "identificable" es aquella que se puede identificar, directa o indirectamente, a partir de un número de identificación o a partir de uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social.
Proceso se refiere a cualquier operación o conjunto de operaciones que se realiza con Datos personales, ya sea de forma automática o no, como la recopilación, el registro, la organización, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la revelación por transmisión, la divulgación o puesta a disposición de cualquier otro modo, la alineación o combinación, el bloqueo, la eliminación o la destrucción.
Procesador se refiere a cualquier persona física o jurídica que Procese Datos personales en nombre de un Miembro del Grupo.
Datos personales confidenciales se refiere a los datos que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, el historial delictivo o información relativa a la salud o la vida sexual.
Servicio se refiere a un sitio web, aplicación u otro producto o servicio ofrecido por el Grupo PayPal para uso por parte de un Usuario.
Tercero se refiere a cualquier persona física o jurídica, autoridad pública, agencia o cualquier otro organismo distinto del Usuario, el Miembro del Grupo, el Procesador y los individuos que, bajo la autoridad directa del Miembro del Grupo o el Procesador, por ejemplo, Empleados, tenga autorización para Procesar Datos personales.
Usuario incluye clientes actuales y pasados, clientes potenciales, inversores, socios empresariales y vendedores.
Datos personales de usuario se refiere a Datos personales relativos a los Usuarios.