1. Transferencia transfronteriza de datos personales
1.1 TDCX Singapore (en adelante, la “Compañía” o “TDCX”) no debe transferir datos personales fuera de Singapur, excepto de conformidad con los requisitos de la PDPA. El consentimiento para dichas transferencias (antes de la transferencia) deberá obtenerse de las personas y clientes cuyos datos personales se transfieren, mediante el uso de cláusulas de consentimiento apropiadas. Siempre que transfiera datos personales de una persona fuera de Singapur a otra entidad legal (incluidas las empresas del grupo), debe asegurarse de obtener el consentimiento de la persona utilizando la cláusula de consentimiento y notificación apropiada, un ejemplo de la cual se proporciona en el Apéndice 1.
1.2 En ausencia de dicho consentimiento de una persona, no transfiera ningún dato personal de esa persona al extranjero. Póngase en contacto con el DPO inmediatamente para consultar si existe alguna excepción legal al requisito de consentimiento que pueda ser aplicable.
1.3 El consentimiento de un individuo o cliente debe darse libremente y puede ser retirado posteriormente por él/ella.
2. Instrumentos legalmente vinculantes
2.1 La transferencia de datos personales de la Compañía fuera de Singapur debe hacerse de una manera que sea consistente con las obligaciones de la Compañía en virtud de la PDPA y de conformidad con un instrumento legalmente vinculante que proporcione las salvaguardias adecuadas (es decir, contratos entre la Compañía y destinatarios de terceros o reglas corporativas vinculantes para empresas del grupo).
2.2 La transferencia de datos personales a un tercero fuera de Singapur debe hacerse de conformidad con un instrumento legalmente vinculante que proporcione las salvaguardias adecuadas para los datos personales transferidos. No debe transferir datos personales a un tercero fuera de Singapur hasta que el tercero haya celebrado y aceptado estar sujeto a un contrato legalmente vinculante consistente con las obligaciones anteriores. Consulte el Apéndice 1 para conocer cómo se establece dicha transferencia de datos personales. Póngase en contacto con el DPO antes de celebrar dicho acuerdo.
2.3 La transferencia de datos personales a una empresa del grupo fuera de Singapur se realiza de conformidad con las normas corporativas vinculantes de nuestra empresa del grupo sobre transferencia de datos personales. Dichas normas corporativas vinculantes son legalmente vinculantes y aplicables y ejecutables por cada organización dentro de nuestro grupo. Además, todas las transferencias de datos dentro del grupo de empresas de la Compañía deben realizarse de conformidad con las normas corporativas vinculantes mencionadas en el Apéndice 1 de las BCR de TDCX. Consulte al DPO sobre el uso de las normas corporativas vinculantes mencionadas en el Apéndice 1 de las BCR de TDCX.
Apéndice 1
Parte 1 – Introducción y alcance de las normas corporativas vinculantes
1.1 En la Compañía, valoramos la confianza que nuestros empleados y clientes depositan en nosotros para manejar adecuadamente su información personal.
1.2 Nos comprometemos a garantizar el cumplimiento de las leyes aplicables a la restricción de flujos de datos transfronterizos cuando la Compañía transfiere información personal a través de las fronteras entre las empresas del grupo de la Compañía (colectivamente el “Grupo”; cada empresa individual del grupo se denomina “Grupo” Compañía”).
1.3 Es intención de nuestra Dirección que estas Reglas Corporativas Vinculantes (“Reglas”) se apliquen a todas las transferencias internacionales de datos personales entre todas las organizaciones dentro del Grupo (cada una de dichas organizaciones dentro del Grupo se denominará “Miembro”). Estas Reglas serán legalmente vinculantes para todos los Miembros.
1.4 Cada Miembro es responsable de la implementación de sus propios procesos internos para garantizar el cumplimiento de estas Reglas.
1.5 Estas Reglas (incluidas las Partes aquí contenidas) son para cada Miembro y cada Miembro debe cumplir plenamente con estas Reglas. La Parte II de estas Reglas establece los estándares mínimos obligatorios para cualquier transferencia transfronteriza de datos personales entre Miembros.
Parte 2 – Cumplimiento de la Legislación de Protección de Datos
2.1 Todos los Miembros deberán cumplir con toda la legislación (primaria y subsidiaria) y las regulaciones relativas a la privacidad y la protección de datos aplicables al Miembro, incluyendo, entre otras, la PDPA de Singapur y toda la legislación subsidiaria relacionada con la misma (colectivamente, "Legislación de Protección de Datos"), con respecto a todos y cada uno de los datos personales (según se definen en la Legislaci�ón de Protección de Datos) que nuestros Miembros transfieran a través de las fronteras entre los Miembros y con respecto a los datos personales que un Miembro reciba de otro Miembro de conformidad con estas Reglas.
Parte 3 – Transferencia de Datos Personales Datos
3.1 Los Miembros acuerdan que la transferencia de datos personales solo podrá tener lugar entre los Miembros identificados, con respecto a los territorios, para las categorías de personas y datos personales y para los fines necesarios.
Parte 4 – Obligaciones de los Miembros
4.1 Sin limitar la generalidad del párrafo 2.1, cada Miembro del Grupo («Miembro Receptor») acepta que, al tratar datos personales recibidos de otro Miembro («Miembro Revelador»), deberá:
(a) utilizar los datos personales únicamente de conformidad con los fines para los que el Miembro Revelador reveló los datos personales, de conformidad con las instrucciones del Miembro Revelador y en la medida en que sea necesario para que el Miembro Revelador cumpla con sus obligaciones en virtud de la Protección de Datos. Legislación;
(b) adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados y contra todas las demás formas ilícitas de tratamiento. Tales medidas garantizarán un nivel de seguridad apropiado a los riesgos representados por el procesamiento y la naturaleza de los datos a proteger, teniendo en cuenta el estado de la técnica y el costo de implementación;
(c) notificar por escrito al Miembro Revelador tan pronto como sea razonablemente posible si tiene conocimiento o sospecha razonablemente que se ha producido alguno de los eventos a que se refiere la regla 4.1(b) y tomará rápidamente todas las medidas necesarias para remediar el evento y evitar su recurrencia;
(d) emplear esfuerzos razonables para garantizar que los datos personales que procesa sean exactos y completos;
(e) no conservar los datos personales durante más tiempo del necesario para los fines para los que el Miembro Revelador reveló los datos personales, y la conservación ya no sea necesaria para fines legales o comerciales. Por lo tanto, el Miembro Receptor dejará de retener o anonimizar los datos personales cuando el propósito para el cual el Miembro Receptor recopiló los datos personales ya no sea relevante y la retención ya no sea necesaria por razones legales o comerciales;
(f) aplicar las políticas internas que tenga con respecto a la protección de datos personales a los datos personales que reciba del Miembro Revelador. En este sentido, el Miembro Receptor garantiza al Miembro Revelador que el Miembro Receptor cuenta con políticas internas apropiadas para la protección de datos personales y que dichas políticas brindan un nivel de protección equivalente o comparable al otorgado por la Legislación de Protección de Datos;
(g) a solicitud de una persona cuyos datos personales el Miembro Receptor haya recibido del Miembro Revelador, proporcionar a la persona solicitante los derechos de acceso y rectificación de sus datos personales, que le corresponden y en cumplimiento de las condiciones y requisitos de la PDPA al respecto;
(h) sin limitar la generalidad del inciso (g), con respecto a los derechos de acceso, entre otras cosas, a solicitud de una persona que tenga derechos en virtud de la PDPA, el Miembro Receptor deberá, tan pronto como sea razonablemente posible, proporcionar a la persona:
(i) datos personales sobre el individuo que estén en posesión o bajo el control del Miembro Receptor; y
(ii) información sobre las formas en que los datos personales han sido o pueden haber sido utilizados o divulgados por el Miembro Receptor dentro de un año anterior a la fecha de la solicitud;
(iii) en cumplimiento de la PDPA y otros requisitos relacionados con los derechos de acceso de un individuo establecidos en la misma;
(i) Sin limitar la generalidad del subpárrafo (g), con respecto a los derechos de corrección, entre otras cosas, a solicitud de un individuo que tenga derechos bajo la PDPA para corregir un error u omisión en los datos personales de ese individuo, el Miembro Receptor deberá:
(i) corregir los datos personales tan pronto como sea posible; y
(ii) enviar los datos personales corregidos a todas las demás organizaciones a las que el Miembro Receptor haya divulgado los datos personales dentro del plazo de un año anterior a la fecha en que se realizó la corrección, a menos que dicha organización no necesite los datos personales corregidos para ningún fin legal o comercial;
(iii) en cumplimiento de la PDPA y otros requisitos relativos a los derechos de corrección de las personas establecidos en la misma;
(j) limitar la divulgación de dichos datos personales a sus empleados, agentes y asesores profesionales:
(i) sobre la base de la necesidad de saber y solo para los fines de procesamiento para los que el Miembro Divulgador divulgó dichos datos personales; y
(ii) que hayan sido informados de las obligaciones especificadas en estas Reglas y que acepten cumplirlas;
(k) sin perjuicio de la regla 4.1(e), no divulgar ni transferir ningún dato personal recibido del Miembro Revelador a ningún otro tercero sin la aprobación previa por escrito del Miembro Revelador, y dicha divulgación deberá ser coherente con la capacidad del Miembro Revelador para divulgar los datos personales y bajo los términos y condiciones adicionales que el Miembro Revelador pueda imponerle para dicha divulgación o transferencia; y
(l) no transferir los datos personales ni ninguna parte de los mismos a otro país (ya sea para almacenamiento de datos, copia de seguridad o de otro modo), a menos que se haya obtenido el consentimiento de la persona cuyos datos personales se van a transferir a otro país (excepto cuando se aplique una excepción a dicho consentimiento de la persona en cuestión en virtud de la Legislación de Protección de Datos) y el Miembro Revelador lo haya aprobado por escrito. Además, y sujeto a lo anterior, cuando los datos personales se vayan a transferir a otro país, tomar todas las medidas adicionales que sean necesarias para garantizar que los datos personales se transfieran de conformidad con los requisitos de la Legislación de Protección de Datos. Cuando sea apropiado o según lo exija la ley, la transferencia de datos personales a un tercero (excepto a otros Miembros, para los cuales se aplicarán estas Reglas) en otro país se realizará de conformidad con acuerdos escritos entre las partes para garantizar que los datos personales estarán adecuadamente protegidos.
4.2 El Miembro Receptor notificará de inmediato al Miembro Revelador si recibe alguna queja sobre el procesamiento de los datos personales que recibe del Miembro Revelador. El Miembro Receptor no deberá hacer ninguna admisión ni tomar ninguna medida que pueda ser perjudicial para la defensa o la resolución de cualquier queja de este tipo y deberá proporcionar al Miembro Revelador la asistencia razonable que pueda requerir en relación con dicha queja.
4.3 Cada Miembro Receptor se compromete con cada Miembro Revelador del que reciba datos personales a que está legalmente obligado por estas Reglas y las cumplirá, y que cualquier incumplimiento de estas Reglas por parte del Miembro Receptor permitirá al Miembro Revelador reclamar al Miembro Receptor las pérdidas y daños que el Miembro Revelador sufra como consecuencia de dicho incumplimiento. Por estas Reglas, todos los Miembros aceptan que cada Miembro Revelador tiene derecho, conforme a estas Reglas, a hacerlas cumplir contra el Miembro Receptor que recibe datos personales del Miembro Revelador y a reclamar pérdidas y daños contra el Miembro Receptor derivados de un incumplimiento de estas Reglas por parte del Miembro Receptor.
Parte 5 – Compromisos de los Empleados
5.1 El Miembro Receptor deberá, antes de recibir datos personales de un Miembro Revelador, obtener de aquellos de sus empleados y agentes a quienes se deban revelar los datos personales que reciba del Miembro Revelador o que puedan de alguna manera acceder a dichos datos personales, compromisos exigibles en términos al menos tan vinculantes para dichos empleados y agentes como los que el Miembro Receptor está vinculado al Miembro Revelador en virtud del presente.
5.2 El Miembro Receptor deberá tomar todas las medidas razonables para garantizar la fiabilidad de cualquiera de los empleados y agentes del Miembro Receptor a quienes se deban revelar datos personales o que puedan tener acceso a los datos personales.
5.3 El Miembro Receptor se asegurará de que todos los empleados y agentes involucrados en el procesamiento de los datos personales hayan recibido una formación y pruebas razonablemente adecuadas en el cuidado y manejo de los datos personales.
5.4 Para evitar dudas, el Miembro Receptor será y seguirá siendo responsable de las obligaciones de sus empleados y agentes con respecto al acceso y/o procesamiento de los datos personales que reciba del Miembro Revelador.
Parte 6 – Devolución de Datos Personales
6.1 A solicitud por escrito en cualquier momento del Miembro Revelador, el Miembro Receptor cesará inmediatamente todo procesamiento de los datos personales y, según lo solicitado por el Miembro Revelador, El Miembro Revelador deberá destruir de forma segura los datos personales o disponer la devolución rápida y segura al Miembro Revelador, en soportes adecuados, de todas las copias de los datos personales que obren en poder del Miembro Receptor o de cualquier tercero a quien el Miembro Receptor haya revelado dichos datos personales de conformidad con estas Reglas. Cuando lo solicite el Miembro Revelador, el Miembro Receptor certificará que dicha destrucción se ha llevado a cabo.
Parte 7 – Estructura y datos de contacto del Grupo y sus Miembros
7.1 Por favor, póngase en contacto con el DPO para obtener información sobre la estructura y los datos de contacto del Grupo y sus Miembros.
Parte 8 – Excepciones a estas Reglas
8.1 Los Miembros tienen prohibido realizar cualquier acción que sea incompatible con estas Reglas, a menos que cuenten con el permiso previo por escrito de [Cumplimiento del Grupo]. Dicho permiso por escrito deberá obtenerse a través del DPO de cada Miembro.
Parte 9 – Informes Violaciones
9.1 Cada Miembro debe cumplir plenamente con estas Reglas legalmente vinculantes.
9.2 Se alienta a los Miembros y a su personal a informar sobre violaciones de estas Reglas al personal designado para gestionar los asuntos de cumplimiento para sus respectivos Miembros.
9.3 La Dirección prohíbe las represalias contra cualquier miembro del personal por hacer un informe de buena fe sobre violaciones reales o presuntas de estas Reglas, leyes aplicables y/o cualquier otra política del Grupo.
Parte 10 – Auditoría
10.1 La División de Auditoría Interna del Grupo revisará el cumplimiento de estas Reglas durante su auditoría del Miembro. Los objetivos de las auditorías son examinar y evaluar la eficacia y la adecuación del control interno del Miembro, el proceso de gobernanza, el nivel de cumplimiento de las políticas y procedimientos internos y los requisitos reglamentarios pertinentes.
Parte 11 – Información adicional
Para obtener más información sobre estas Reglas y/o otras políticas relacionadas con la protección de datos personales, póngase en contacto con su DPO.
Last updated: 18 October 2024