Aviso de Privacidad
El presente aviso de privacidad (el «Aviso de privacidad») detalla las condiciones en que el Banco, como responsable del tratamiento, procesa datos personales sobre las Personas interesadas (según se definirán), y debe leerse junto con las condiciones generales del Banco («Condiciones generales»).
Los términos en mayúscula a los que no se asigne una definición específica en el presente documento tendrán el significado que les corresponde según las Condiciones generales.
Únicamente a los efectos de la presente cláusula 1.2.1, el término Cliente se refiere también a los clientes potenciales del Banco (clientes potenciales).
El Banco procesa los Datos personales de sus Clientes de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y cualesquiera de sus enmiendas o sustituciones («RGPD»); también de conformidad con cualquier normativa complementaria u otra ley o reglamento relativos a la protección de Datos personales que sea aplicable al Banco.
Las disposiciones de la presente cláusula 1.2.1 son aplicables al tratamiento por el Banco, en calidad de Responsable, de los Datos relativos a (i) todos los Clientes del Banco que sean personas físicas o, (ii) los apoderados, titulares reales, directores, representantes, empleados u otros representantes del Cliente que sea persona jurídica, y (iii) cualquier otra persona física cuyos Datos personales sean objeto de tratamiento por parte del Banco («Personas interesadas»).
En cumplimiento del principio de transparencia, este Aviso de privacidad tiene por objeto informar a las Personas interesadas sobre, entre otros aspectos, las operaciones de tratamiento que el Banco lleva a cabo en calidad de Responsable del tratamiento y sobre los derechos que les asisten en relación con el tratamiento de los Datos personales que les conciernen.
El Banco, como Responsable del tratamiento, únicamente obtiene la información personal que necesita para el desempeño de sus funciones y exclusivamente en el marco de la prestación de servicios a los Clientes o para los fines de cumplimiento de las obligaciones legales o reglamentarias. Los Datos personales se obtienen de las Personas interesadas (por ejemplo, al iniciar una relación comercial) y de terceros (por ejemplo, en función de los servicios prestados, autoridades públicas, abogados o notarios), donde se incluyen las fuentes disponibles para el público en general y las bases de datos de suscripción.
La negativa a comunicar los Datos personales al Banco y la oposición al tratamiento, si bien son opciones a entera discreción del Cliente, pueden, en ciertos casos, acarrear un impedimento para la conclusión de un contrato o la continuación de la relación con el Banco, o privar al Cliente del uso de ciertos productos o servicios que el Banco ofrece. Cuando se produzca la negativa, el Banco informará a las Personas interesadas sobre dicho impedimento.
En el contexto de las actividades que lleva a cabo y los servicios que presta a los Clientes, el Banco suele procesar la siguiente información personal no exhaustiva sobre las Personas interesadas:
- datos de identificación personales (por ejemplo, dirección, país de residencia, números de teléfono) y datos electrónicos (direcciones de correo electrónico, dirección IP, información obtenida mediante el uso de cookies en los sitios web);
- datos personales (por ejemplo, fecha de nacimiento, sexo, estado civil) y hábitos de vida y de consumo (consumo de bienes y servicios, necesidades dietéticas especiales);
- formación y profesión (por ejemplo, currículo académico, empleador, puesto, cargo, lugar de trabajo);
- datos de identificación generados por servicios públicos (por ejemplo, número de pasaporte, documento de identidad, registro nacional, publicación de las cuentas anuales);
- datos de identificación electrónica (por ejemplo, dirección de correo electrónico);
- datos de identificación financiera (por ejemplo, número de cuenta bancaria y saldo, números de la tarjeta de crédito);
- registros de operaciones financieras;
- datos relativos a la situación financiera del Cliente o de la Persona interesada (por ejemplo, activos y bienes, créditos, saldo en cuenta bancaria, preferencias de inversión);
- identificación de la residencia fiscal y del número de identificación fiscal;
- imagen y sonido (por ejemplo, grabaciones telefónicas, fotografías en las copias de los documentos de identidad, grabaciones en vídeo a través de los sistemas de cámaras de videovigilancia);
- toda información resultante de comprobaciones relacionadas con los reglamentos contra el blanqueo de capitales y la financiación del terrorismo («AML/CFT») y con el conocimiento del cliente («KYC», por las siglas en inglés de «know your customer»).
Las categorías de datos mencionadas pueden incluir categorías especiales de Datos personales; por ejemplo, información sobre opiniones políticas, afiliación sindical, creencias religiosas e información sobre antecedentes penales y delitos.
El Banco procesa los Datos personales relativos a las Personas interesadas de acuerdo con los servicios prestados a sus Clientes, y también para fines de cumplimiento con sus obligaciones legales en general.
En particular, el Banco procesa los Datos personales relativos a una Persona interesada cuando el tratamiento es necesario para:
- adoptar las medidas previas necesarias para la conclusión y ejecución de un contrato, prestar servicios a los Clientes y cumplir con las obligaciones que le corresponden de acuerdo con los términos contractuales, gestionar la relación comercial con el Cliente (lo que incluye administración de cuenta, gestión de instrucciones de pago y depósitos, préstamos e hipotecas y garantías relacionadas, valoración de la solvencia y calificación crediticia del Cliente, inversión y operaciones financieras de análoga naturaleza) y, también, para actualizar la información del Cliente y de la Persona interesada;
- cumplir las obligaciones legales o reglamentarias a las que el Banco está sujeto; incluido, en particular, para:
- cumplir con los requisitos de información a las autoridades competentes, ya sea en materia tributaria o en otras cuestiones [por ejemplo, la Norma común de presentación («CRS») de la OCDE para el intercambio de información, la FATCA (ley estadounidense sobre el cumplimiento tributario de cuentas extranjeras), el Intercambio automático de información («AEI») y cualquier otra normativa de intercambio de información al que el Banco esté sujeto en algún momento], o presentar informes legales/reglamentarios a la autoridad de vigilancia, en cuyo caso suministrar la información al Banco es siempre obligatorio. El incumplimiento de esta obligación puede resultar en la presentación de informes duplicados o incorrectos. En este contexto, los Datos personales relativos a las Personas interesadas se compartirán con las autoridades tributarias luxemburguesas (y con cualquier proveedor de servicios con el que el Banco opere), las cuales, a su vez, podrán compartir la información con autoridades tributarias extranjeras;
- adoptar medidas contra el blanqueo de capitales y la financiación del terrorismo, lo que incluye:
- obligaciones relativas al conocimiento del cliente (KYC) [Diligencia debida de cliente («CDD») y verificaciones KYC];
- AML/CTF;
- obligaciones de cooperación con las autoridades luxemburguesas e internacionales;
- mantenimiento de registros de servicios y operaciones.
- satisfacción del interés legítimo del Banco o de un tercero, en particular
para fines relacionados con:- la estrategia de desarrollo comercial del Banco para ofrecer servicios adicionales adaptados a las necesidades de sus Clientes (incluido el marketing en forma de comunicaciones comerciales no solicitadas) o para cubrir sus necesidades específicas, cuando proceda;
- proteger las instalaciones, los canales de comunicación y los sistemas de tecnologías de la información utilizados por el Banco;
- contabilidad, demostrar una operación, gestionar riesgos o evitar un fraude.
- sobre la base del consentimiento otorgado por la Persona interesada en cuestión (por ejemplo, para subsiguiente tratamiento de los Datos personales).
Cualquiera que, como Cliente o en nombre de un Cliente, comunique al Banco o a alguno de sus representantes Datos personales relativos a Personas interesadas deberá en primer lugar proporcionar a la Persona interesada la información sobre la forma en que el Banco procesa los Datos personales según se describe en el presente Aviso de privacidad. Entonces, el Banco considerará que las Personas interesadas afectadas están informadas del tratamiento de los Datos personales que les atañen por parte del Banco, así como de la transferencia de sus Datos personales a ciertos destinatarios que aquí se describen y que, si fue necesario, el Cliente obtuvo previamente el consentimiento escrito de las Personas interesadas.
En algunos casos especiales, el Banco podrá solicitar el consentimiento de las Personas interesadas a los efectos de una operación específica de tratamiento de los Datos personales. El Banco informa a las personas interesadas de que podrán retirar su consentimiento en cualquier momento, de acuerdo con la ley y con sujeción a las limitaciones que esta establezca.
1.2.7.1
Las conversaciones que tienen lugar en las extensiones de la línea telefónica del Banco utilizadas para «operaciones comerciales o financieras» se graban. Así, se informa al Cliente de que el Banco puede grabar conversaciones telefónicas o comunicaciones electrónicas (y, en ciertas circunstancias, tal como se describirá en las Condiciones generales, en interés del Cliente, la ley le obliga a hacerlo). Tales grabaciones tienen por objeto seguir la pista de operaciones para fines de prueba, de cumplimiento de las leyes y reglamentos, así como para que el Banco o las autoridades competentes puedan prestar asistencia y realizar investigaciones (incluso cuando exista una discrepancia entre el Cliente y el Banco por una operación).
1.2.7.2
Sin embargo, si el Cliente (o la Persona interesada que actúe en nombre del Cliente) mantiene una conversación telefónica con un empleado del Banco y la conversación no guarda relación alguna con una «operación comercial o financiera», el Cliente tendrá la opción de exigir al empleado que transfiera la llamada a una línea en la que no se grabe. En tal caso, el Cliente queda informado de que no se tramitará ninguna orden o transacción con el Banco y que, de haberlas, el Banco no las considerará. Finalmente, el Cliente no podrá en ningún momento afirmar que ha transmitido una orden o llevado a cabo una operación por vía telefónica cuando haya solicitado específicamente utilizar una línea no sujeta a grabación.
1.2.7.3
El Cliente queda informado de que, de producirse una controversia entre las partes, las grabaciones se podrán utilizar como prueba; en particular si, cuando la cuenta se abrió por primera vez, el Cliente solicitó que una llamada telefónica se considerase un medio válido de comunicación en relación con la cuenta.
1.2.8.1 Principio de conservación
Salvo que medie disposición en sentido distinto en las Condiciones generales, el Banco conservará los Datos personales solo durante el tiempo que sea necesario o se requiera para satisfacer los fines del Banco ya mencionados, sin que en ningún caso dicho tiempo pueda superar el período máximo, que llegará (i) al final de la relación entre el Cliente y el Banco, más los períodos de prescripción reglamentarios aplicables para el ejercicio o la defensa de una demanda judicial (périodes de prescriptions légales, como el período de prescripción comercial de 10 años a partir de la finalización de la relación contractual con un Cliente) o (ii) al extinguirse la exigencia legal de conservación de los Datos personales durante un período, incluso tras la resolución de la relación entre el Cliente y el Banco. De ambos, se aplicará el período que finalice más tarde.
1.2.8.2 Archivado/conservación de registros
- Para asegurar el cumplimiento de las obligaciones legales que le corresponden en virtud de la Ley de 2004, el Banco deberá:
- conservar información y documentos relativos a la diligencia debida de cliente (CDD) durante un plazo de cinco (5) años a partir de la finalización de la relación comercial o a partir de la fecha en que tuvo lugar una operación ocasional;
- conservar pruebas acreditativas y registros de operaciones durante un plazo de cinco (5) años a partir de la finalización de la relación comercial o a partir de la fecha en que tuvo lugar una operación ocasional.
Las autoridades reguladoras podrán ordenar la conservación de la información o documentos por otro plazo de cinco (5) años cuando se haya determinado que prolongar la conservación es necesario y proporcional en aras de evitar, detectar, investigar o enjuiciar presuntas actividades de blanqueo de capitales o de financiación del terrorismo.
- Para asegurar el cumplimiento de sus obligaciones legales de conservación de registros, el Banco mantiene sus libros, documentos contables, correspondencia y archivos (los cuales pueden contener Datos personales), en el formato original o en copias sobre cualquier soporte que estime adecuado, durante un plazo de diez (10) años que empezará a contar a partir del final del ejercicio financiero al cual se refieren.
- El Banco mantendrá registros de conversaciones telefónicas y comunicaciones electrónicas durante el tiempo estrictamente necesario para el cumplimiento de los fines antedichos (es decir, seguimiento de operaciones para fines de prueba, cumplimiento de la ley y los reglamentos y facilitación de la asistencia y las investigaciones por parte del Banco o de las autoridades competentes); en tales casos el período máximo será (i) al final de la relación entre el Cliente y el Banco, más los períodos de prescripción reglamentarios aplicables para el ejercicio o la defensa de una demanda judicial (périodes de prescriptions légales) o (ii) al extinguirse la exigencia legal de conservación de los Datos personales durante un período, incluso tras la resolución de la relación entre el Cliente y el Banco. De ambos, se aplicará el período que finalice más tarde. El Banco deberá conservar las grabaciones telefónicas y las comunicaciones electrónicas relativas a determinadas transacciones durante un período de cinco (5) años, que puede llegar a ser de siete (7) años si la CSSF lo requiere.
El Banco utiliza medios físicos y técnicos para proteger los Datos personales de las Personas interesadas frente a cualquier intento de uso malicioso y fraudulento. Las soluciones técnicas utilizadas para el almacenamiento y el tratamiento de los Datos personales están sujetas a vigilancia mejorada de acuerdo con la política de seguridad y el enfoque basado en el riesgo que el Banco aplica, lo que tiene como prioridad.
Como ejemplos de las medidas de protección técnicas y organizativas se encuentran, entre otros, el cifrado, los antivirus, los cortafuegos, los controles de acceso y la selección estricta de personal y proveedores para evitar y detectar accesos, pérdidas o divulgaciones no autorizadas de los Datos personales de las Personas interesadas.
Si una violación de la seguridad puede poner en riesgo la protección de los Datos personales de las Personas interesadas que se encuentran bajo el control del Banco, este actuará sin demora para identificar la causa de la violación y adoptará medidas para repararla. En función de la naturaleza y la magnitud del problema identificado, el Banco informará a las Personas interesadas de acuerdo con las disposiciones legales aplicables.
En la medida que considere que la divulgación o transmisión es necesaria u obligatoria para el cumplimiento de las finalidades anteriores, el Banco podrá transferir los Datos personales de las Personas interesadas a las categorías de destinatarios siguientes:
- otras empresas del grupo al que el Banco pertenece y otras entidades financieras, incluidos bancos, compañías de seguros y emisores de tarjetas de débito y de crédito, corredores, organizaciones dedicadas a transferencias de dinero, como SWIFT (Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales);
- toda persona jurídica que adquiera el Banco o algunos de sus activos, en el caso de una fusión y adquisición o reestructuración;
- los abogados, notarios, auditores externos o administradores del Banco;
- organismos públicos, gubernamentales o judiciales de Luxemburgo o del extranjero;
- (e) otras personas o entidades destinatarias (según se definen en la cláusula 1.3.6 de las Condiciones generales), cuya intervención se requiera para los fines que se exponen en la misma cláusula 1.3.6 de las Condiciones generales y con sede, respectivamente, en Luxemburgo o Andorra.
El Banco también podrá transferir los Datos personales en cumplimiento de una obligación legal o reglamentaria a la que esté sujeto o en cumplimiento de una orden procedente de una autoridad pública o judicial emitida en el marco de los límites legales. De acuerdo con los requisitos legales y reglamentarios específicos del intercambio automático de información con los países que se han adherido a él, el Banco podrá divulgar a las autoridades tributarias luxemburguesas ciertos Datos personales relativos a la situación de residencia fiscal del cliente.
Las autoridades tributarias luxemburguesas podrán comunicar los datos transmitidos por el Banco a cada autoridad tributaria extranjera competente de acuerdo con los requisitos legales y reglamentarios. En ciertas jurisdicciones, los requisitos legales y reglamentarios aplicables a las transacciones que incluyen instrumentos financieros y otros derechos similares exigen la divulgación de la identidad de los titulares (in)directos o titulares reales de dichos instrumentos, además de la posición que dichos titulares (in)directos o reales ostentan en ellos.
El incumplimiento de estas obligaciones puede acarrear la congelación de los instrumentos financieros, con todas las posibles consecuencias que de ello resulten; por ejemplo, la imposibilidad de ejercer derechos de voto, la no percepción de dividendos, la imposibilidad de vender los instrumentos en cuestión u otras sanciones o medidas restrictivas, en particular en aplicación de las disposiciones legales y reglamentarias a cuyo cumplimiento el Cliente también está obligado.
Para ello, se informa al Cliente de que el Banco puede tener la obligación legal de divulgar a las autoridades competentes la identidad del Cliente o del titular real, así como los cargos que estos ocupan en dichos instrumentos financieros.
El Cliente está informado de que el Principado de Andorra es un país que actualmente está reconocido por la Comisión Europea como país que ofrece un nivel adecuado de protección de datos según una decisión de adecuación (la protección se considera equivalente en el conjunto de la Unión Europea). Así, pues, el Banco no aplicará a los destinatarios ubicados en el Principado de Andorra (en particular los proveedores de servicios encargados del tratamiento de los datos) las medidas de protección apropiadas previstas en el Capítulo V del RGPD.
Toda transferencia de Datos personales que el Banco (ya actúe como Encargado del tratamiento o como Responsable del tratamiento al procesar los Datos personales) haga a un destinatario situado fuera del Espacio Económico Europeo («EEE») se hará de acuerdo con las medidas de protección previstas en el Capítulo V del RGPD.
Sujeta a las condiciones del RGPD, toda Persona interesada podrá solicitar del Banco:
1.2.11.1 Derecho de acceso
Cada Persona interesada tiene derecho a recabar del Banco la confirmación acerca de si los Datos personales que le conciernen como Persona interesada son objeto de tratamiento y, en tal caso, puede solicitar acceso a los Datos personales y la información relevante en este sentido.
1.2.11.2 Derecho de rectificación
La Persona interesada tiene derecho a obtener del Banco, sin demoras indebidas, la rectificación de los Datos personales incorrectos que le conciernan y, considerando los fines del tratamiento, a exigir que los Datos personales que estén incompletos se completen.
1.2.11.3 Derecho a limitar el tratamiento de los Datos personales
En virtud de este derecho, la Persona interesada puede «bloquear» o suprimir un tratamiento específico de sus Datos personales.
1.2.11.4 Derecho de eliminación
En virtud de este derecho, la Persona interesada puede requerir del Banco la eliminación o supresión de sus Datos personales cuando no existan razones que justifiquen la continuación de su tratamiento.
1.2.11.5 Derecho de oposición
Basándose en motivos relativos a una situación específica de la Persona interesada, esta tiene derecho a oponerse, en cualquier momento, al tratamiento de los Datos personales que le pertenecen, cuando dicho tratamiento se fundamente en el cumplimiento de los intereses legítimos perseguidos por el Banco. De ejercerse este derecho, el Banco dejará de procesar los Datos personales, a menos que pueda demostrar motivos legítimos que justifiquen suficientemente el tratamiento y que invaliden los intereses, derechos y libertades de la Persona interesada o que el tratamiento sea necesario para el ejercicio o la defensa de demandas judiciales.
1.2.11.6 Derecho de portabilidad
Las Personas interesadas también tendrán derecho a la portabilidad de sus Datos personales. Se trata del derecho a recibir los Datos personales que les conciernen o a pedir que dichos Datos personales se comuniquen a otro Responsable del tratamiento de un modo estructurado, de uso habitual y que permita la lectura por máquina.
1.2.11.7 Retirada del consentimiento
Las Personas interesadas podrán retirar en cualquier momento el consentimiento otorgado cuando el Banco haya tenido que solicitar dicho consentimiento para el tratamiento de los Datos personales que les conciernen. La legalidad de las operaciones de tratamiento basada en el consentimiento otorgado y hechas antes de la retirada no se verá afectada.
El Delegado de protección de datos (DPO) es la persona de contacto en relación con todas las cuestiones asociadas al tratamiento y la protección de los Datos personales.
Las Personas interesadas podrán presentar al Banco una petición de ejercicio de los derechos antedichos, lo que deberán hacer por escrito en el que conste su firma y se acredite su identidad ante el Banco. La petición se podrá remitir por correo electrónico a:
o por correo postal a:
Banque de Patrimoines Privés, Data Protection Officer 30, Boulevard Royal, L-2449 Luxemburgo
El Banco, a través del Delegado de protección de datos designado, se compromete a tramitar la petición del Cliente a la mayor brevedad posible.
También se informa al Cliente de que puede presentar una reclamación ante la autoridad competente en materia de protección de datos; en particular en el Estado miembro donde tiene la residencia habitual.
En Luxemburgo, dicha autoridad es:
Commission Nationale de Protection des Données (CNPD), 1, Rock’n’Roll Avenue – L-4361 Esch / Alzette.
Sin perjuicio de cuanto antecede, el Cliente queda informado de que, de conformidad con las disposiciones de la Ley de 2004, el derecho de acceso a los Datos personales antedicho puede verse limitado o pospuesto por el Banco cuando la limitación o la posposición sean necesarias para:
- La realización de las tareas mencionadas en la Ley de 2004 por parte del Banco, una autoridad reguladora o la Unidad Estatal de Inteligencia Financiera (Cellule de renseignement financier);
- Evitar la obstrucción de interrogatorios, análisis, investigaciones o procedimientos oficiales o judiciales para los fines de la Ley de 2004 y asegurar que no se pone en riesgo la prevención, investigación y detección de actividades de blanqueo de capitales y financiación del terrorismo.
Toda la información relativa al uso de cookies está incluida en la política de cookies del Banco. Dicha información está disponible previa petición, y también se puede acceder a ella directamente en línea desde el sitio web del Banco, en la dirección siguiente:
- «Datos personales»
Toda información relativa a una persona física identificada o identificable («Persona interesada»); por persona natural identificable se entiende la que, directa o indirectamente, puede ser identificada mediante particular referencia a un identificador; por ejemplo, un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, mental, económica, cultural o social de dicha persona física. - «Tratamiento»
Toda operación o conjunto de operaciones que se practiquen en datos personales o en conjuntos de datos personales, con independencia de si se utilizan o no medios automatizados, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, diseminación u otra forma de puesta a disposición, alineación o combinación, restricción, eliminación o destrucción. - «Responsable del tratamiento»
Es la persona física o jurídica, autoridad pública, agencia u otro organismo que, por sí sola o junto con otros, determina los fines y los medios del tratamiento de los Datos personales. - «Encargado del tratamiento»
La persona física o jurídica, autoridad pública, servicio u otro organismo que procesa los datos personales en nombre del Responsable del tratamiento. - «Destinatario»
La persona física o jurídica, autoridad pública, agencia u otro organismo a la que se divulgan los Datos personales, con independencia de si se trata o no de un tercero. Sin embargo, las autoridades públicas que reciban Datos personales en el marco de una investigación en particular de acuerdo con el derecho de la Unión Europea o de un Estado miembro, no se considerarán destinatarios. El tratamiento de dichos datos por parte de tales autoridades públicas se hará de conformidad con las reglas de protección de datos aplicables según los fines del tratamiento. - «Tercero»
Es la persona física o jurídica, autoridad pública, agencia u organismo que no sea la Persona interesada, el Responsable del tratamiento, el Encargado del tratamiento o personas que, bajo la autoridad directa del Responsable del tratamiento o del Encargado del tratamiento, están autorizadas para llevar a cabo el tratamiento de los Datos personales.
El Banco podrá facilitar al cliente, mediante carta de notificación (incluido el correo electrónico) y otro medio apropiado, información más específica relativa al tratamiento de los Datos personales y actualizaciones y cambios referentes a este Aviso de privacidad.
El Cliente comunicará la actualización del Aviso de privacidad a todas las Personas interesadas que se vean afectadas por las operaciones de tratamiento de acuerdo con este Aviso de privacidad.