Políticas y Cláusulas de Relaciones con Contrapartes

La Contraparte, por medio de este acto, declara contar y disponer dentro de su empresa, con los sistemas y controles adecuados tendientes a prevenir la comisión de los delitos tipificados en la Ley Aplicable. En este sentido, la intención del Banco es evitar que la Contraparte incurra en delitos tales como el lavado de dinero, financiamiento del terrorismo, cohecho o asociación ilícita, y en los delitos tipificados en la Ley N° 30424 y el Decreto Legislativo 1385, y sus posteriores modificaciones, se sea en su beneficio o buscando un interés o provecho para el Banco o para sus personas relacionadas.

Por lo anterior, la Contraparte declara conocer la tipificación de cada uno de estos delitos y declara que no realizará ni consentirá que estos se realicen ni por sus directores, dueños o trabajadores.

La Contraparte se obliga, adicionalmente, a comunicar, al Banco, todo acto o conducta que revista caracteres de delito del cual tome conocimiento en el contexto de la prestación de sus servicios al Banco.

El incumplimiento de alguna de las obligaciones anteriores facultará al Banco para poner término de forma inmediata al presente contrato, sin obligación de pago ni indemnización alguna.

La Contraparte garantiza que durante el transcurso del cumplimiento de sus obligaciones conforme lo estipulado en el presente contrato, se abstendrá de realizar u ofrecer pagos o brindar beneficios en favor de cualquier empleado, mandatario o de un tercero, con la intención de ejercer influencia sobre la conducta de dicho empleado, mandatario o representante fiduciario en relación con la actividad comercial de dicho tercero, en lo concerniente al presente Contrato o la prestación del Servicio estipulada en el presente documento.

La Contraparte a través del presente instrumento se obliga a no emplear el nombre del Banco para obtener beneficios personales que sean o puedan ser directos o indirectos. El incumplimiento de esta obligación hará responsable la Contraparte por los perjuicios que se causen al Banco, sin que ello impida la iniciación de las acciones penales correspondientes.

Ninguna de las partes permitirá a sus representantes, empleados o delegados el ofrecimiento de incentivos, atenciones, cortesías u obsequios a empleados o funcionarios de la otra Parte, a fin de obtener con ello beneficios para ella misma, o para sus socios, representantes o sus familiares. Cualquier falta propia o de sus funcionarios en torno a la transparencia con motivo de la negociación, celebración o ejecución del objeto del contrato constituye un incumplimiento grave de la misma. 

Igualmente, las Partes se obligan a velar porque sus empleados, representantes o contratistas no antepongan sus intereses personales a los suyos ni a los de la otra Parte, no permitan que una situación personal, familiar, de amistad o cualquier otro tipo de circunstancia externa afecte su objetividad profesional, ni a que en esos escenarios ejerzan influencia sobre las personas encargadas de tomar decisiones. En consecuencia, es obligación de cada Parte poner en conocimiento de la otra, cualquier indicio o evidencia que vincule o pueda vincular a sus empleados o contratistas en las conductas aquí descritas. 

La Contraparte debe asegurarse que, durante la vigencia del presente Contrato, éste, sus trabajadores, dueños y directores cumplan en todo momento con la normativa de libre competencia y represión de la competencia desleal (Decreto Legislativo N° 1034, y Decreto Legislativo N° 1044, y sus posteriores modificatorias). La Contraparte se hace responsable de cualquier reclamo, denuncia, proceso judicial, procedimiento administrativo u otro iniciado por algún cliente o tercero facultado, contra el Banco, como motivo del incumplimiento de lo establecido en esta cláusula. La Contraparte asumirá las costas y costos correspondientes, sustituyéndose en el lugar del Banco y asumiendo cualquier monto por daños o perjuicios, indemnizaciones, multas, u otras sanciones que el Banco pudiera recibir, obligándose desde ya a reembolsar al Banco todo monto que este se viera obligado a cancelar por tales motivos. 

La Contraparte certifica y garantiza expresamente que los recursos o dineros con que cuenta o con los que desarrollará este contrato, no provienen de ninguna actividad ilícita.

La Contraparte deberá asegurarse durante la vigencia del contrato que:

a)        Ni él ni sus socios o administradores (en caso de ser sociedad), son o han sido parte de ningún contrato, acuerdo o convenio con cualquier persona que al tiempo de celebración del Acuerdo haya estado:

(i)        Identificada en la lista de nacionales especialmente designados y personas bloqueadas emitida por el Departamento del Tesoro de los Estados Unidos de América (List of Specially Designated Nationals and Blocked Persons, "Lista SDN") o

(ii)       Sancionado por la Oficina de Control de Activos en el Extranjero (Office of Foreign Assets Control "OFAC") del Departamento del Tesoro de los Estados Unidos de América;

b)        Ni él ni sus socios o administradores (en caso de ser sociedad), han sido o están siendo investigados o han sido sancionados por cualquier autoridad competente, y otras autoridades de vigilancia y control con facultades de acuerdo a su naturaleza y actividad;

c)         Ni él y ni sus socios o administradores (en caso de ser sociedad), han incurrido en conductas de aquellas sancionadas de acuerdo con lo establecido en leyes anticorrupción y demás normas que la modifiquen, aclaren, desarrollen o deroguen, además del acatamiento de la Política Anticorrupción adoptada por el Banco disponible en https://accionistaseinversores.bbva.com/wp-content/uploads/2019/05/Declaraci%C3%B3n-Pol%C3%ADtica-AC.pdf, por parte de sus dependientes; 

d)        Ni él ni sus socios o administradores (en caso de ser sociedad), han cometido conducta alguna que contraríe lo estipulado en la Ley de Prácticas Corruptas en el Extranjero (Foreign Corrupt Practices Act (FCPA)) de los Estados Unidos de América, así como la Ley del Reino Unido de Gran Bretaña denominada  “Ley de Sobornos”.

La Contraparte se obliga a notificar de inmediato al Banco cualquier cambio a las situaciones declaradas en la presente cláusula, informando las medidas que tomará para mitigar los daños que ello pueda causar. No obstante lo anterior, la Contraparte faculta al Banco para terminar anticipadamente el contrato sin que ello genere multa o indemnización alguna en el evento en que la Contraparte, sus accionistas, vinculados, representantes, administradores o beneficiarios reales sean incluidos por cualquier causa en dichos listados o sean condenados por narcotráfico, lavado de activos y demás conductas contrarias a la ley.

El presente anexo tiene por objeto establecer las obligaciones y responsabilidades de las partes intervinientes respecto de las bases que contengan datos de carácter personal de clientes, proveedores y/o empleados del BANCO (en adelante EL RESPONSABLE), a los cuales LA CONTRAPARTE en su calidad de encargado de tratamiento de datos personales (en adelante, EL ENCARGADO), pueda tener acceso exclusivamente para el cumplimiento de los Servicios en marco del presente Contrato, de conformidad con el artículo 2° numeral 10) de la Constitución Política del Perú; y la Ley N°29733 - Ley de Protección de Datos Personales (en adelante la Ley), su Reglamento y la Directiva de Seguridad aprobada por la Resolución Directoral No 019-2013-JUS/DGPDP (en adelante, normativa de protección de datos personales), emitida por la Autoridad Nacional de Protección de Datos Personales, que está orientada sobre las condiciones, requisitos y las medidas técnicas tomadas en cuenta para el cumplimiento de las normas anteriormente citadas.

I. OBLIGACIONES DE EL ENCARGADO:

La entrega de los datos, por parte de EL RESPONSABLE a EL ENCARGADO y a través de cualquier medio, no tiene efectos legales de cesión de datos, sino de simple acceso a los mismos como elemento necesario para la realización únicamente de los Servicios establecidos en este Contrato. EL ENCARGADO y en consecuencia sus empleados o terceros de quienes se

valga para cumplir con sus obligaciones, en relación con los datos, se obliga específicamente a:

1.- Dar cumplimiento a lo establecido en la normativa de protección de datos personales.

2.- Utilizar o aplicar los datos personales exclusivamente para la realización de los fines establecidos en este contrato y, en su caso, de acuerdo con las instrucciones impartidas por EL RESPONSABLE. En ningún caso podrá utilizar los datos para fines propios.

3. No comunicarlos, ni siquiera a efectos de su conservación, a otras personas, ni tampoco las elaboraciones, evaluaciones o procesos similares, citados anteriormente, ni duplicar o reproducir toda o parte de la información, resultados o relaciones sobre los mismos.

4. El ENCARGADO garantizará que los datos sean manejados únicamente por aquellos empleados cuya intervención sea necesaria para la finalidad del Servicio y con sujeción al secreto profesional y confidencialidad aquí establecidos e incluso después de que finalice su objeto. Las personas autorizadas a que tengan acceso a los Bancos de Datos Personales se han

comprometido, de forma expresa, a respetar la confidencialidad a través de un convenio suscrito y este debe encontrarse documentado y puesto a disposición de EL RESPONSABLE cuando sea requerido.

5. Admitir los controles y auditorías que, de forma razonable, pretenda realizar EL RESPONSABLE a efectos de verificar el cumplimiento, por parte de EL ENCARGADO, de lo aquí establecido.

6. Canalizar de manera inmediata a EL RESPONSABLE, cualquier solicitud de ejercicio de derechos conferidos por la Ley de Protección de Datos Personales (ARCO+).

7.-Custodiar los datos, a través de las medidas de seguridad legalmente exigibles, de índole técnica y organizativa que garanticen la seguridad de los mismos, evitando su alteración, pérdida, tratamiento acceso no autorizado, de

conformidad con el estado de la tecnología en cada momento, la naturaleza de los datos y los posibles riesgos a que estén expuestos.

8.- EL ENCARGADO debe designar una persona de contacto e informar a EL RESPONSABLE para cualquier comunicación referente al Tratamiento de los Datos que se viene realizando.

09.- EL ENCARGADO se obliga a respetar las siguientes medidas de seguridad en los locales:

a) Para el supuesto de acceso dentro de los locales de EL RESPONSABLE:

Custodiar los datos, a través de las medidas de seguridad, legalmente exigibles, de índole técnica y organizativa que garanticen la seguridad de los mismos, evitando su alteración, pérdida, tratamiento o acceso no autorizado, de conformidad con el estado de la tecnología en cada momento, la naturaleza de los datos y los posibles riesgos a que estén

expuestos, siguiendo estrictamente las medidas de seguridad que sobre los mismos pueda comunicarle EL RESPONSABLE.

b) Para el supuesto de acceso fuera de los locales de EL RESPONSABLE:

Custodiar los datos, a través de las medidas de seguridad, legalmente exigibles, de índole técnica y organizativa que garanticen la seguridad de los mismos, evitando su alteración, pérdida, tratamiento o acceso no autorizado, de conformidad con el estado de la tecnología en cada momento, la naturaleza de los datos y los posibles riesgos a que estén expuestos. A tales efectos, EL ENCARGADO manifiesta expresamente que tiene implementados controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad física y ambiental recomendados en la “NTP ISO/IEC 27001:2014 y su Anexo A”, Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos, en la edición que se encuentre vigente.

10) Garantiza que el personal cuenta con la formación suficiente referente a la materia de Protección de Datos Personales para el desarrollo del Servicios objeto del presente Contrato. En el escenario que el personal carezca de competencias en la materia, EL ENCARGADO debe implementar un plan de formación al personal involucrado con el objetivo de un correcto seguimiento de las medidas de seguridad y buenas prácticas para proteger la información que manejan y para respetar las normas vigentes. El Plan tiene que estar documentado indicando el día que se llevó a cabo formación, la cantidad de horas recibidas y las referencias del capacitador.

II. OBLIGACIONES DE EL RESPONSABLE

Facilitar a EL ENCARGADO el acceso a los Bancos de Datos a fin de prestar el servicio contratado.

III. RESPONSABILIDADES:

Los datos son de propiedad exclusiva de EL RESPONSABLE, extendiéndose también esta titularidad a cuantas elaboraciones, evaluaciones, segmentaciones o procesos similares que, en relación con los mismos, realice EL ENCARGADO de acuerdo con los Servicios que presta, declarando las partes que estos datos son confidenciales a todos los efectos, sujetos en consecuencia al más estricto secreto profesional, incluso una vez finalizada toda relación contractual entre las partes derivada de los servicios prestados.

Las Partes convienen que EL ENCARGADO mantendrá indemne, defenderá y eximirá de responsabilidad a EL RESPONSABLE. Por lo tanto, se hace responsable de cualquier reclamo, denuncia, proceso judicial, procedimiento administrativo u otro iniciado por algún cliente o tercero facultado contra EL RESPONSABLE como motivo del incumplimiento de cualquiera de las obligaciones de EL ENCARGADO pactadas en esta cláusula.

EL ENCARGADO asumirá las costas y costos correspondientes, sustituyéndose en el lugar del EL RESPONSABLE y asumiendo cualquier monto por daños o perjuicios, indemnizaciones, multas, u otras sanciones que pudiera recibir.

IV. TRANSFERENCIA DE DATOS:

EL ENCARGADO se obliga a comunicar a EL RESPONSABLE si al obtener acceso a los Bancos de Datos Personales realiza flujo transfronterizo, en cuyo caso deberá indicar con precisión el lugar, nombre de la empresa, comprometiéndose a que debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar. Para la transferencia de datos a países que no garantizan un nivel de protección adecuado, EL ENCARGADO deberá acreditar que el tratamiento está en disposición de ofrecer garantías adecuadas y, en todo caso, garantizar que los interesados cuenten con derechos exigibles y acciones legales efectivas.

V. NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD DE LOS DATOS:

Notificación de violaciones de la seguridad de los datos EL ENCARGADO notificará a EL RESPONSABLE , sin dilación indebida, y en cualquier caso de manera inmediata a través de(CERT cert@bbva.com) , en el caso de que se detecte o se tenga una sospecha fundada de que los sistemas, soportes o datos hayan sido comprometidos o utilizados sin autorización dentro de la prestación del servicio, proporcionando en la medida de lo posible un informe de auditoría del incidente que identifique la causa del incidente e incluya revisiones forenses de las violaciones de la seguridad de los datos personales a su cargo con toda la documentación pertinente incluida la comunicación de la incidencia.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d)Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

e) EL ENCARGADO brindará el apoyo a EL RESPONSABLE en la realización de las consultas previas a la autoridad de control, cuando proceda.

f) EL ENCARGADO pone a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen EL RESPONSABLE u otro auditor autorizado por él.

-Cerrada la vulneración de seguridad EL ENCARGADO debe implantar mecanismos para:

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad de los Datos Personales

d) Seudonimizar y cifrar los datos personales, en su caso.

VI. RECOPILACION DE DATOS PERSONALES OBTENIDOS POR EL ENCARGADO

En los casos en los que EL ENCARGADO cumpla con las obligaciones establecidas en este contrato de prestación de servicios utilizando una base de datos personales que haya sido recogida u obtenida por ella, EL ENCARGADO se obliga ante EL RESPONSABLE a recabar el consentimiento del titular de datos personales para su tratamiento y traspaso, de acuerdo a la legislación vigente de Protección de Datos Personales y en general, al cumplimiento de éstas normas en lo que le corresponda.

La autorización del titular de datos personales debe indicar que EL ENCARGADO podrá transferir los datos a EL RESPONSABLE a través de cualquier medio y que EL RESPONSABLE podrá tratar los datos personales.

Para tal efecto, EL ENCARGADO se obliga a adoptar protocolos de obtención de autorización de los titulares de datos personales, a conservar dichas autorizaciones, a adoptar las medidas de seguridad necesarias para proteger la confidencialidad de los datos obtenidos y a adoptar cualquier otra medida para cumplir con las obligaciones establecidas en esta Anexo y en general, a cumplir con toda la normativa vigente de Protección de Datos Personales.

EL ENCARGADO está en la obligación de indicar, mediante un documento escrito y cada vez que transmita datos a EL RESPONSABLE, cuáles fueron las condiciones en las que el titular de los datos brindó su consentimiento o si estos fueron recopilados de una fuente pública, indicando el origen de la fuente.

Asimismo, EL ENCARGADO se hace responsable de la recopilación, registro, organización, conservación, elaboración, modificación, almacenamiento, extracción, consulta, bloqueo, supresión, transferencia a terceros dentro y/o fuera del territorio nacional y uso de los datos, ante el titular de los mismos, la Autoridad Nacional de Protección de Datos, las autoridades competentes en temas de Protección al Consumidor y cualquier otra autoridad competente.

VII. AUDITORIAS E INSPECCIONES SOBRE PROTECCIÓN DE DATOS

PERSONALES

1. EL ENCARGADO permitirá a EL RESPONSABLE el cumplimiento de sus necesidades de auditoría e inspecciones, auditores internos, externos, reguladores, supervisores u otros de cualquier tipo que indique EL RESPONSABLE, en relación al tratamiento de datos personales de conformidad con los servicios prestados.

La auditoría o inspección podrá contemplar cualquier aspecto relacionado al tratamiento de datos personales de los Servicios que se prestan, incluyendo cualquier tipo de dato y archivo, confidencialidad de la información, datos, manuales de procedimiento, de calidad, control interno, riesgo operacional, niveles de servicios, etc., incluyendo pero no limitándose a la facultad de solicitar las autorizaciones obtenidas para el tratamiento de datos personales proporcionados o trabajados por ésta en virtud del contrato de prestación del servicio.

Las auditorías e inspecciones se podrán realizar en cualquier local donde exista información, archivos o datos de EL RESPONSABLE (independientemente del soporte en que los mismos se encuentren) o se preste el servicio, incluidas las sedes de EL ENCARGADO.

Las auditorías sobre protección de datos personales que realice EL RESPONSABLE podrán verificar el cumplimiento de las medidas en general, derivadas de la aplicación de las obligaciones contraídas por EL ENCARGADO, así como de aquellas otras, en particular, para eliminar o mitigar riesgos reflejadas en los procedimientos que EL RESPONSABLE, en su caso haya indicado o indique a EL ENCARGADO.

De la misma manera, EL RESPONSABLE se reserva el derecho a auditar el cumplimiento puntual y correcto por parte de EL ENCARGADO de sus obligaciones contractuales relativas al tratamiento de datos personales, lo que incluye la comprobación presencial de cualesquiera procesos de desarrollo de los servicios por EL ENCARGADO, así como el derecho a revisar las instalaciones de éste en las que se realicen tales servicios, y a solicitar a EL ENCARGADO las informaciones precisas a los efectos de constatar el buen funcionamiento de los servicios contratados.

Las auditorias se efectuarán previa notificación a EL ENCARGADO y con un preaviso de siete (7) días naturales, salvo que EL RESPONSABLE comunique a EL ENCARGADO circunstancias de urgencia en las que prevalecerá un preaviso

inferior determinado a tal efecto por EL RESPONSABLE.

Si EL RESPONSABLE subcontratara cualquiera de las auditorias reguladas en la presente cláusula con un tercero, tal designación deberá ser comunicada a EL ENCARGADO quien validará al tercero a los efectos de confirmar razonablemente que dicho tercero no tiene interés de negocio en el sector propio de EL ENCARGADO y previa firma de un acuerdo de confidencialidad aceptable para EL ENCARGADO

EL RESPONSABLE podrá llevar a cabo una auditoría al año, salvo en circunstancias especiales llevadas a cabo por las autoridades reguladoras en protección de datos personales de EL RESPONSABLE. EL ENCARGADO se compromete a subsanar aquellas observaciones y acatar las recomendaciones que el regulador pudiera alcanzar con motivo de la auditoría o inspección.

EL RESPONSABLE llevará a cabo las auditorías durante el horario normal de oficina de las partes. Cada una de las partes será responsable de sus costos en cada auditoría. Toda la información obtenida y derivada de las auditorias será tratada como información confidencial de EL ENCARGADO.

En ningún caso el hecho de que EL RESPONSABLE haya realizado una auditoría a EL ENCARGADO, liberará a esta última de la responsabilidad del cumplimiento de sus obligaciones ante autoridades y terceros que se puedan haber visto afectados con el incumplimiento.

VIII. RESOLUCIÓN

El incumplimiento de cualquiera de las obligaciones de EL ENCARGADO mencionadas en las cláusulas anteriores será causal de resolución automática del contrato.

Una vez resuelto el presente contrato, se procede a destruir los Bancos de Datos. Posterior a la destrucción, EL ENCARGADO debe certificar su destrucción a través de constatación notarial y debe entregar el Acta de Constatación a EL RESPONSABLE. No obstante, EL ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación. Dicha apertura será autorizada por EL RESPONSABLE o autoridad competente.