Aviso Protección de datos

Última actualización: mayo 2022

Sección preliminar: Principales modificaciones.

Como socio de confianza, la protección de sus datos personales es fundamental para el Grupo BNP Paribas.

Hemos mejorado nuestro Aviso de Protección de Datos siendo más transparentes en la siguiente información sobre:

- actividades de tratamiento relacionadas con la prospección comercial; y - actividades de tratamiento asociadas a la lucha contra el blanqueo de capitales y la financiación del terrorismo y las sanciones internacionales (congelación de activos).

Introducción

Nos tomamos muy en serio la protección de sus datos personales; en consecuencia, el Grupo BNP Paribas ha adoptado unos principios sólidos en su Aviso de Protección de Datos disponible en https://group.bnpparibas/uploads/file/bnpparibas_personal_data_privacy_charter.pdf.

XFERA CONSUMER FINANCE, ESTABLECIMIENTO FINANCIERO DE CREDITO, S.A., CIF A-88438270 y domicilio en Paseo de los Melancólicos 14 A, 28005 Madrid («Nosotros»), como responsables del tratamiento, nos hacemos cargo de la recogida y el tratamiento de sus datos personales en relación con nuestras actividades.

Nuestra actividad consiste en ayudar a todos nuestros clientes en su actividad bancaria diaria y en la realización de sus proyectos gracias a nuestras soluciones de financiación. Como miembro de un grupo integrado de banca y seguros, y en colaboración con las distintas entidades del Grupo BNP Paribas, ofrecemos a nuestros clientes una gama completa de productos y servicios de banca, servicios de pago, seguro, financiación, leasing y renting.

La finalidad del presente Aviso de Protección de Datos es explicar el modo en que tratamos, controlamos y gestionamos sus datos personales. Puede obtener más información, si fuera necesario, en el momento de la recogida de sus datos personales.

1. ¿ESTÁ USTED SUJETO A LO ESTABLECIDO EN EL PRESENTE AVISO?

Lo dispuesto en este Aviso de Protección de Datos le resulta aplicable si usted («Usted») es:

• Uno de nuestros clientes o se encuentra en una relación contractual con nosotros (por ejemplo, como garante, suscriptor, etc.).
• Un miembro de la familia de nuestros clientes. Nuestros clientes pueden compartir ocasionalmente con nosotros información sobre su familia cuando sea necesario para proporcionarles un producto o servicio o para conocerlos mejor.
• Una persona interesada en nuestros productos o servicios cuando nos proporciona sus datos personales (en una sucursal/oficina, en nuestros sitios web y aplicaciones, durante eventos o patrocinio) para que podamos ponernos en contacto con usted.
• Heredero o titular real.
• Representante legal de un cliente nuestro como mandatario o apoderado.
• Beneficiario de operaciones de pago.
• Beneficiario de un contrato o póliza de seguro y fideicomisos.
• Arrendador (contrato de renting o leasing).
• Deudores de clientes (por ejemplo, en caso de concurso).
• Accionista de sociedades.
• Personal de proveedores de servicios o socios comerciales.

Cuando nos facilite datos personales de terceros, asegúrese de informarles sobre la divulgación de sus datos personales y de que trataremos su información personal e invíteles a leer este Aviso de Protección de Datos. También les proporcionaremos información siempre y cuando dispongamos de los datos de contacto de la persona en cuestión.

2. ¿CÓMO PUEDE CONTROLAR LAS ACTIVIDADES DE TRATAMIENTO QUE LLEVAMOS ACABO CON SUS DATOS PERSONALES?

Usted dispone de derechos que le permiten ejercer un control real sobre sus datos personales y el modo en que los tratamos. Si desea ejercer los derechos enumerados a continuación, envíe una solicitud adjuntando una copia física o digital de su D.N.I. a la siguiente dirección:

• Servicio al Consumidor en la dirección: Paseo de los Melancólicos 14 A, 28005 Madrid;
• dpo@xferacf.com

2.1 Puede solicitar acceso a sus datos personales

Si desea tener acceso a sus datos personales, le proporcionaremos una copia de los datos personales que haya solicitado, así como a la información relativa a su tratamiento.

Su derecho de acceso puede estar limitado en los casos legalmente previstos. Este es el caso de la normativa relativa a la lucha contra el blanqueo de capitales y la financiación del terrorismo, que nos prohíbe darle acceso directo a sus datos personales tratados con este fin. En este caso, deberá ejercer su derecho de acceso ante la Agencia Española de Protección de Datos, la cual posteriormente nos solicitará los datos.

2.2 Puede solicitar la rectificación de sus datos personales

Si considera que sus datos personales son inexactos o están incompletos, puede solicitar que dichos datos personales se modifiquen o completen en consecuencia. En algunos casos, puede exigirse documentación justificativa.

2.3 Puede solicitar la supresión de sus datos personales

En la medida de lo posible legalmente, puede solicitar, si lo desea, la supresión de sus datos personales. No obstante, si dicha solicitud se produce con anterioridad al transcurso de los plazos legales de retención de dichos datos, los mismos permanecerán bloqueados y no se eliminarán hasta transcurridos dichos plazos.

2.4 Puede oponerse al tratamiento de sus datos personales basado en intereses legítimos

Si no está de acuerdo con una actividad de tratamiento basada en un interés legítimo puede oponerse a ella por motivos relacionados con su situación particular, informándonos con precisión de la actividad de tratamiento en cuestión y de los motivos de la objeción. Dejaremos de tratar sus datos personales a menos que existan motivos legítimos imperiosos para hacerlo o que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales.

2.5 Puede oponerse al tratamiento de sus datos personales con fines de prospección comercial

Tiene derecho a oponerse en todo momento al tratamiento de sus datos personales con fines de prospección comercial, incluida la elaboración de perfiles, en la medida en que esté vinculada a dicha prospección.

2.6 Puede limitar el uso de sus datos personales

En caso de que cuestione la exactitud de los datos personales que utilizamos o se oponga al tratamiento de sus datos personales, verificaremos o revisaremos su solicitud. Podrá solicitar que limitemos el uso de sus datos personales mientras revisamos su solicitud.

2.7 Tiene derechos contra las decisiones automatizadas

En principio, usted tiene derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles o de cualquier otro tipo, que tenga efectos jurídicos o le afecte significativamente. Sin embargo, podremos automatizar dicha decisión si es necesaria para la celebración o ejecución de un contrato con nosotros, si es autorizado por la normativa o si usted ha dado su consentimiento. En caso de que una decisión haya sido basada en un tratamiento automatizado, cuando ésta se haya utilizado para la celebración o la ejecución de un contrato con nosotros o basada en el consentimiento que nos ha proporcionado, usted tendrá el derecho a impugnar dicha decisión, expresar su punto de vista y solicitar la intervención de una persona competente para que revise dicha decisión. Puede consultar la lógica aplicada en el Anexo de decisiones automatizadas para scoring y evaluación del riesgo crediticio.

2.8 Puede retirar su consentimiento

Si ha dado su consentimiento para el tratamiento de sus datos personales puede retirarlo en cualquier momento. La retirada de su consentimiento no afectará a la legitimidad de los tratamientos realizados con anterioridad a dicha retirada.

2.9 Puede solicitar la portabilidad de parte de sus datos personales

Salvo aquellos datos que se deriven de una obligación legal, puede solicitar una copia de los datos personales que nos ha proporcionado en un formato estructurado, de uso común y lectura mecánica. Cuando sea técnicamente posible, puede solicitar que transmitamos dicha copia a un tercero.

2.10 Cómo presentar una reclamación ante la Agencia Española de Protección de Datos.

Además de los derechos indicados anteriormente, puede presentar una reclamación ante la autoridad de control competente, la Agencia Española de Protección de Datos, en su sitio web www.aepd.es

3. ¿POR QUÉ Y CON QUÉ BASE LEGAL UTILIZAMOS SUS DATOS PERSONALES?

En este apartado, describimos cómo y por qué utilizamos sus datos personales y la base legal para hacerlo.

3.1 Sus datos personales se tratan para cumplir con nuestras distintas obligaciones legales.

Tratamos sus datos personales para cumplir con la normativa a la que estamos sujetos, incluida la normativa bancaria, de seguros y financiera. No obstante otra normativa que pudiera ser aplicable, con carácter principal serán de aplicación las siguientes:

3.1.1 Prevención de blanqueo de capitales y financiación del terrorismo:

Para el cumplimiento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y el Reglamento que la desarrolla se deberá comunicar su información a autoridades administrativas, judiciales o a los Cuerpos y Fuerzas de Seguridad del Estado.

Haremos uso de herramientas de análisis automático de blanqueo de capitales y financiación al terrorismo (“Scoring AML”), lo que podría implicar que pueda estar inmerso en decisiones automatizadas sobre su solicitud de préstamo/crédito. Trataremos los citados datos mediante técnicas y tecnologías con la finalidad de no aceptar aquellos préstamos/créditos que no cumplan con la normativa de prevención del blanqueo de capitales y financiación al terrorismo. De conformidad con lo indicado en el apartado 2.7 recuerde que tiene derecho a solicitar, en la solicitud o durante la ejecución del contrato, a intervención humana, a expresar su punto de vista y a impugnar la decisión automatizada que en su caso se pueda adoptar.

Para confeccionar nuestras herramientas de análisis automático del riesgo de blanqueo de capitales y financiación al terrorismo utilizamos los datos personales que nos ha facilitado en la solicitud de préstamo/crédito relativos a sus características como cliente, país y área geográfica de residencia y actividad, productos, servicios, operaciones y canales de distribución, y la información que consultemos sobre usted en listas de sancionados y de Personas Expuestas Políticamente (PEP) para determinar el riesgo de blanqueo de capitales y financiación al terrorismo del préstamo/crédito.

En todo caso le recomendamos revisar el Anexo “Tratamiento de datos personales con fines de lucha contra el blanqueo de capitales y la financiación del terrorismo”.

3.1.2 Información a la Central de Información de Riesgos del Banco de España (CIRBE):

Estamos obligados a proporcionar a CIRBE los datos relativos al riesgo de sus operaciones, incluyendo, en particular, los que afecten al importe y la recuperabilidad de las mismas de conformidad con la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero.

Podremos consultar los datos que puedan figurar sobre usted en la CIRBE para gestionar su solicitud de financiación, verificar y evaluar su solvencia o riesgo crediticio si mantiene productos de financiación con nosotros.

3.1.3 Cumplimiento de la normativa aplicable en la gestión del riesgo:

La normativa española y europea exige a las entidades financieras el cumplimiento de normas y guías para el control de la solvencia y riesgo financiero para cada operación y cliente a lo largo de la solicitud y gestión de un contrato con nosotros.

Esta normativa implicará la realización de auditorías, generación de reportes contables y análisis generales de nuestros resultados para, en su caso, la puesta a disposición de las distintas autoridades administrativas (Agencia Tributaria o Banco de España). Además, el cumplimiento de esta normativa implicará que realicemos con sus datos personales los tratamientos necesarios, incluyendo la generación de modelos y perfiles de riesgo adicionales a la gestión del contrato o al análisis de su solicitud de préstamo/crédito, para cumplir esta normativa así como para cumplir con las obligaciones económicas, financieras o de información derivadas de la misma que vienen impuestas por el Grupo BNP Paribas al que pertenecemos o por las autoridades administrativas o de supervisión (entre otros, Banco de España o Banco Central Europeo).

3.1.4 Solicitudes, requerimientos o notificaciones de carácter oficial

Debido a nuestra actividad en ocasiones estamos obligados dar respuesta a solicitudes oficiales de autoridades públicas o judiciales debidamente autorizadas, así como a dar cumplimiento a obligaciones provenientes de la legislación en materia de sanciones y embargos o el fraude y control fiscal.

3.2 Sus datos personales se tratan para ejecutar un contrato en el que usted es parte o para adoptar las medidas precontractuales a petición suya.

Trataremos sus datos para valorar y decidir sobre su solicitud de préstamo/crédito, para la ejecución del contrato y, en caso de que sea necesario, para la elaboración de perfiles relacionados con su solicitud:

• Gestionar adecuadamente las solicitudes de productos y servicios que realice. Esto incluirá la generación de simulaciones para usted, valorar su calificación de riesgo crediticio y su capacidad de reembolso, o riesgo asegurado y determinar la prima aplicable, así como evaluar (por ejemplo, sobre la base de su calificación de riesgo crediticio o asegurado) si podemos ofrecerle un producto o servicio y en qué condiciones (por ejemplo, el precio).
• Proporcionarle los productos y servicios suscritos en el marco del contrato correspondiente, así como su gestión a lo largo de la relación contractual que nos una con usted.
• Responder a sus solicitudes y ofrecerle asistencia.
• Enviarle notificaciones no comerciales para gestionar su relación con nosotros derivada de los productos y servicios que contrate.
• Proporcionarle, sobre la base de su solicitud, información acerca de nuestros productos y servicios.
• Gestionar su acceso a los distintos canales que ponemos a su disposición para que pueda acceder y gestionar los productos y servicios que nos ha contratado.
• Ayudarle en la gestión de su presupuesto mediante la categorización automática de los datos de sus transacciones.
• Asegurar la liquidación de su sucesión.
• Gestionar y dirigir irregularidades de pagos y deudas pendientes (identificación de clientes con deuda pendiente o impagadas, y, cuando proceda, la exclusión de suscripciones de nuevos productos o servicios).

Los datos solicitados así como aquellos otros que consultemos sobre su historial crediticio en sistemas de información crediticia o de cualquier persona de las reconocidas en derecho que se considere pertinente y en particular a la Central de Información de Riesgos de Banco de España, al Fichero ASNEF gestionado por ASNEF-EQUIFAX y al Fichero BADEXCUG gestionado por Experian Bureau de Crédito, así como en los ficheros de fraude CONFIRMA, HUNTER y FraudNet/ Experian, son necesarios para la valoración del riesgo, la prevención del fraude y gestión del contrato.
Podremos realizar dichas consultas durante toda la relación contractual con la finalidad de llevar a cabo un control del riesgo de crédito y seguimiento continuo de su capacidad de cumplimiento de sus obligaciones financieras, y evitar, en su caso, que pudiera incurrir en un mayor endeudamiento con nosotros. Es obligatorio por su parte facilitar todos los datos personales que le son solicitados debido a que los mismos son necesarios para el estudio de su solicitud de préstamo/crédito o la posterior gestión del contrato, sin que la misma se pueda llevar a cabo en caso de negativa por su parte. En caso de no facilitarlos no podremos acceder a estudiar su solicitud de préstamo/crédito. Trataremos sus datos durante toda la relación contractual con la finalidad de realizar todas las gestiones necesarias para el cumplimiento de la operativa del préstamo/crédito.

3.3 Sus datos personales se tratan para satisfacer nuestro interés legítimo

Cuando basamos una actividad de tratamiento en el interés legítimo, ponderamos dicho interés con sus intereses o derechos y libertades fundamentales para garantizar un equilibrio justo entre ellos. Si desea obtener más información sobre el interés legítimo perseguido por una actividad de tratamiento en particular, póngase en contacto con el Delegado de Protección de datos a través dpo@xferacf.com

3.3.1 Envío de comunicaciones comerciales por medios electrónicos sobre productos similares a los contratados.

Como parte del Grupo BNP Paribas, queremos poder ofrecerle acceso a toda la gama de productos y servicios que mejor se adapten a sus necesidades. En base a nuestro interés legítimo en promocionar nuestros productos y servicios, así como para adelantarnos a sus necesidades, y siempre respetando sus derechos y libertades y las garantías previstas por la normativa aplicable, trataremos sus datos para realizar acciones comerciales por medios electrónicos de nuestros productos y servicios de características similares a los que tenga contratados con nosotros.
Nos aseguraremos de que dichas ofertas comerciales se refieran a productos o servicios que sean pertinentes para sus necesidades y complementarios a los que ya tiene para garantizar que nuestros respectivos intereses estén equilibrados.
También podemos enviarle, por teléfono y por correo, salvo que se oponga, ofertas relativas a nuestros productos y servicios, así como a los del Grupo y a los de nuestros socios de confianza.

3.3.2 Generación de perfiles comerciales estándar con fuentes internas.

Sobre la base de nuestro interés legítimo en conocer mejor a nuestros clientes y crear una oferta de productos y servicios más adecuada a ellos, las comunicaciones comerciales por medios electrónicos indicadas en el apartado 3.3.1. se llevarán a cabo previa la realización de perfiles estándar comerciales. La finalidad de estos perfiles estándar es predecir, en base a su comportamiento previo con nosotros, qué productos se adaptan mejora su perfil y necesidades.
Con el objetivo de analizar sus preferencias y determinar a qué grupo de clientes pertenece elaboramos un perfil estándar a partir de datos pertinentes que seleccionamos de entre la siguiente información:

• lo que nos ha comunicado directamente durante nuestras interacciones con usted o cuando se suscribea un producto o servicio.
• la información resultante de su uso de nuestros productos o servicios, como la relacionada con sus cuentas, incluido el saldo de las mismas, los movimientos regulares o atípicos, el uso de su tarjeta en el extranjero, así como la categorización automática de sus datos de operaciones (por ejemplo, la distribución de sus gastos y sus recibos por categorías, tal como es visible en su área de cliente).
• de su uso de nuestros distintos canales: sitios web y aplicaciones (por ejemplo, si tiene conocimientos digitales, si prefiere un recorrido de cliente para suscribirse a un producto o un servicio con mayor autonomía).

Los perfiles estándar comerciales incluirán un análisis de la información propia que disponemos sobre usted tal como: nombre, género, apellido, lugar de nacimiento, fecha de nacimiento, edad, número de pasaporte, dirección, mail, número de teléfono, datos de situación familiar, activos financieros (ingresos, activos, número de cuenta), datos de educación, empleo y actividad profesional, hábitos de consumo, operaciones.
Con dicho tratamiento, pretendemos remitirle ofertas de productos que se ajusten a sus necesidades y sobre los que consideramos que puede tener una expectativa razonable de recibir información comercial. En cualquier caso, tendrá usted en todo momento la posibilidad de oponerse a las mismas de conformidad con el procedimiento previsto en el apartado 2.4. Asimismo, podremos ir más allá para satisfacer mejor sus necesidades, si usted da su consentimiento, realizando una personalización a medida como se describe en el apartado 3.4.

3.3.3 Utilización de herramientas de análisis de solvencia y riesgo crediticio (scoring).

Hacemos uso de herramientas de análisis automático del riesgo (scoring) para evaluar su solvencia y capacidad crediticia con el objetivo de encontrar patrones repetitivos que permitan predecir su comportamiento futuro de pago y así concederle nuestros productos y servicios o recomendarle aquellos que puedan adaptarse mejor a su situación actual o mejorar la gestión de los procesos de recobro.
Esta evaluación de solvencia y riesgo crediticio se llevará a cabo haciendo uso de los datos personales que nos ha facilitado en la solicitud de préstamo/crédito, así como los que dispongamos sobre usted en nuestras bases de datos por las operaciones que realice con nosotros, y la información que consultemos sobre su historial crediticio en sistemas de información crediticia, y en particular, al Fichero ASNEF gestionado por ASNEF- EQUIFAX y al Fichero BADEXCUG gestionado por Experian Bureau de Crédito, con la finalidad de llevar a cabo un control del riesgo de crédito y seguimiento continuo de su capacidad de cumplimiento de sus obligaciones financieras durante la relación contractual.
Para la realización de estas evaluaciones se tomarán en cuenta, por ejemplo, las siguientes categorías de datos personales: nombre y apellidos, género, DNI, teléfono o correo electrónico, número de contrato, código del cliente, fecha de nacimiento, lugar de nacimiento y nacionalidad, permiso de residencia si aplica, información sobre el dispositivo utilizado y geolocalización, situación familiar y datos patrimoniales, información de empleo, información económica relevante y cuantía solicitada, historial de pagos e información sobre transacciones. Adicionalmente, en algunos casos, se podría recibir segmentaciones de socios que cataloga a los clientes según su desempeño como cliente y su histórico de pago o, si así lo solicita, información adicional de su cuenta corriente.
Además, puede estar inmerso en decisiones automatizadas sobre su solicitud de préstamo/crédito o posteriores análisis, pudiendo en todo momento oponerse a las mismas siempre que éstas le supongan efectos jurídicos. Estas decisiones automatizadas son necesarias para la ejecución del contrato de solicitud de préstamo/crédito en caso de formalización. Tiene derecho a solicitar, en la solicitud o durante la ejecución del contrato una intervención humana, a expresar su punto de vista y a impugnar la decisión automatizada que en su caso se pueda adoptar.

3.3.4 Información y comunicación de impagos a sistemas de información crediticia.

Podremos solicitar información sobre su historial crediticio consultada en sistemas de información crediticia, y en particular al Fichero ASNEF gestionado por ASNEF-EQUIFAX y al Fichero BADEXCUG gestionado por Experian Bureau de Crédito, que son necesarios para la valoración del riesgo y gestión de la solicitud de préstamo/crédito, así como durante toda la vigencia del contrato, en caso de formalización.
Realizaremos dichas consultas durante toda la relación contractual con la finalidad de llevar a cabo un control del riesgo de crédito y seguimiento continuo de su capacidad de cumplimiento de sus obligaciones financieras, y evitar, en su caso, que pudiera incurrir en un mayor endeudamiento con nosotros. Además, en caso de que realice algún impago en el transcurso de su relación contractual con nosotros, éste podrá ser comunicado a los siguientes sistemas de información crediticia previamente referenciados, es decir, al Fichero ASNEF gestionado por ASNEF-EQUIFAX y al Fichero BADEXCUG gestionado por Experian Bureau de Crédito, cuyo detalle se relaciona en el apartado 5.
En cualquier caso, cualquier impago que sea comunicado a los citados sistemas de información crediticia se ajustará a lo previsto por la normativa aplicable y al procedimiento de comunicación del fichero correspondiente, respetando en todo momento sus derechos y libertades.

3.3.5 Prevención del fraude.

De forma normal, trataremos sus datos personales para gestionar los riesgos a los que estamos expuestos sobre el interés legítimo en cumplir con los criterios de crédito responsable y evitar que se produzcan situaciones que puedan suponer un perjuicio para usted o para nosotros lo que supondrá la prevención de posibles fraudes por prácticas fraudulentas e ilícitas durante la operativa del contrato como, por ejemplo, la suplantación de identidad o el robo de contraseñas. Esto implicará que:

• Conservamos justificantes de operaciones o transacciones, incluidas pruebas en formato electrónico.
• Hacemos seguimiento de sus transacciones para gestionar, prevenir y detectar el fraude, en particular haciendo seguimiento de aquellas transacciones que se desvían de una rutina o de patrones normales.
• Nos hacemos cargo de las demandas y defensas legales en caso de litigios.

Para ello, analizaremos internamente los datos que nos haya facilitado directamente y aquellos otros que deduzcamos tales como patrones de comportamiento, localización, así como aquellos que consultemos y/o comuniquemos a entidades especializadas en la prevención del fraude (Fichero CONFIRMA, HUNTER y Fichero Fraudnet-Experian, cuyo detalle se relaciona en el apartado 4).
Los citados tratamientos se realizarán siempre con la finalidad de proteger los intereses de los clientes y respetando los derechos y garantías previstos por la normativa aplicable. En caso de detectar cualquier intento de fraude, excepto si no es posible por razones de interés público, le informaremos del mismo, previo análisis detallado de toda la información y, de ser necesario, le solicitaremos información adicional para confirmar si se trata de un intento de fraude o no.

3.3.6 Encuestas de calidad y satisfacción.

Trataremos sus datos para la realización de encuestas sobre la calidad de nuestros productos y la satisfacción con el trato ofrecido en la interacción con nosotros. La finalidad de dichas encuestas es conocer la percepción de los clientes tanto respecto a los productos ofrecidos y/o contratados, así como el trato que le han dado nuestro personal para mejorar dichos productos en base a sus comentarios y/o sugerencias.

3.3.7 Creación de modelos y procesos de mejora internos

Sobre la base de nuestro interés legítimo en mejorar la calidad y funcionalidad de nuestra actividad y operativa, nos encontramos en continua mejora de nuestros procesos internos lo que implica la realización de estudios y análisis, así como la creación de modelos analíticos. En general, trataremos sus datos personales con el objetivo de:

• Mejorar y hacer más eficientes nuestros procesos internos lo que incluye la formación de nuestro personal.
• Mejorar nuestros productos, servicios y aplicativos.
• Realizar estudios estadísticos.
• Realizar métricas, medidas y estudios que puedan ser de interés para nuestra actividad.
• Generación de tablas agregadas para estimar pérdidas y ganancias.
• Hacer más eficiente nuestras herramientas de riesgos y fraude.
• Generación de reportes para el seguimiento del negocio y nuestra actividad.
• Desarrollar y probar modelos predictivos y descriptivos para mejorar la calidad y funcionalidad de nuestra operativa y, en particular:
• fines comerciales: identificar los productos y servicios que mejor puedan satisfacer sus necesidades, crear nuevas ofertas o identificar nuevas tendencias entre nuestros clientes, desarrollar nuestra política comercial teniendo en cuenta las preferencias de nuestros clientes.
• fines de seguridad: para prevenir posibles incidentes y mejorar la gestión de la seguridad.
• fines de cumplimiento (por ejemplo, la lucha contra el blanqueo de capitales y la financiación del terrorismo) y la gestión de riesgos.
• eficiencia de negocio (por ejemplo, optimizar y automatizar procesos funcionales).
• fines antifraude.


• Mejorar la automatización y la eficiencia de nuestros procesos operativos y servicios al cliente (por ejemplo, la cumplimentación automática de reclamaciones, el seguimiento de sus solicitudes y la mejora de su satisfacción sobre la base de los datos personales recogidos durante nuestras interacciones con usted, como las grabaciones telefónicas, los correos electrónicos o los chats).
• Mejorar y gestionar los sistemas de TI y nuestra infraestructura, la ciberseguridad, gestionar nuestras plataformas y sitios web y garantizar la continuidad del negocio.
• Realizar operaciones financieras como la venta de carteras de deuda, titulizaciones, financiación o refinanciación del Grupo BNP Paribas. Nuestra financiación y refinanciación también constituye un interés legítimo que implica que sus datos personales pueden ser compartidos con entidades del Grupo BNP Paribas que proporcionan esta refinanciación.

3.3.8 Grabación de llamadas

Podremos realizar la grabación de llamadas recibidas a través de los distintos canales de contacto con la finalidad de mejorar la calidad del servicio de atención al cliente prestado, así como, en su caso, la suscripción de productos o la gestión y seguimiento de las solicitudes de información, consulta o reclamaciones efectuadas por vía telefónica.

De esta forma se satisface nuestro interés legítimo en mantener un seguimiento y conocimiento exacto de las particularidades de cada consulta, petición y reclamación con el objetivo de adecuar nuestros procesos internos y lograr una gestión idónea de las mismas.

3.3.9 Representantes o personas de contacto de personas jurídicas

En caso de que actúe como representante o punto de contacto de una persona jurídica (ya sea un cliente, socio o proveedor) trataremos sus datos personales con la finalidad, y sobre nuestro interés legítimo, en gestionar, desarrollar y controlar la relación que nos une con la entidad de la que es representante, limitándose el tratamiento a los mínimos datos imprescindibles para su localización profesional.

3.4 Sus datos personales se tratarán si usted ha dado su consentimiento

Para algunos tratamientos de datos personales, le proporcionaremos información específica y le solicitaremos su consentimiento. Por supuesto, podrá retirar su consentimiento en cualquier momento, aunque esta retirada no afectará a la legitimidad de los tratamientos realizados con anterioridad a dicha retirada. En particular, le solicitaremos su consentimiento para:

3.4.1 El envío de comunicaciones comerciales sobre la base de perfiles avanzados:

La personalización a medida de nuestras ofertas y productos o servicios basada en la elaboración de perfiles más sofisticados para anticipar sus necesidades y comportamientos. Los datos personales tratados para la elaboración de estos perfiles avanzados corresponderán a un periodo superior de hasta siete años, lo que comporta un conocimiento detallado de sus preferencias como cliente y una mayor cantidad de información relativa a su capacidad patrimonial, solvencia o riesgos inherentes.

La realización de estos perfiles depende siempre de que nos facilite su consentimiento, que le será solicitado en el momento oportuno y antes de llevar a cabo estos tratamientos.

Además de los datos utilizados para generar un perfil estándar se utilizarán, por ejemplo, los siguientes: estado civil y número de hijos, situación familiar, ingresos y gastos, antigüedad en su banco y en su vivienda, código postal, gastos de residencia, profesión y rama profesional, cuánto tiempo lleva en ella y temporalidad, salario, mensualidades de créditos del cliente, comportamiento de pago del cliente, operaciones transfronterizas, datos de salud en caso de seguros. Asimismo, la generación de estos perfiles avanzados podría implicar la consulta de Servicios de Fraude y Ficheros Negativos Asnef/Bureau.

Las comunicaciones comerciales que recibirá sobre la base de estos perfiles avanzados, y siempre que lo consienta, serán las siguientes:

• Envío de comunicaciones comerciales sobre productos financieros y de seguros de entidades del Grupo BNP Paribas en España y, en especial de ofertas de seguros mediados por Banco Cetelem, S.A.U. OBSV mediante cualquier medio, incluidos electrónicos, tales como SMS, MMS, correo electrónico, WhatsApp, etc.
• Envío de cualquier oferta electrónica de productos y servicios no similares a los que usted se haya suscrito o de productos y servicios de nuestros socios de confianza y en especial de los sectores financiero, ocio, formación, gran consumo, editorial, automoción, energía, agua, electrodomésticos, informática, muebles, cocina, textil deporte, y reformas del hogar mediante cualquier medio, incluidos electrónicos, tales como SMS, MMS, correo electrónico, WhatsApp, etc.

3.4.2 Otros consentimientos

También recabaremos su consentimiento, si así lo desea, para las siguientes finalidades:

• la utilización de sus datos de navegación (cookies) con fines comerciales o para mejorar el conocimiento de su perfil que podrá consultar en nuestra política de cookies www.xferacf.com/xferacfdocs/politica-cookies/index.html
• el tratamiento de categorías especiales de datos (o “datos sensibles”), incluyendo datos biométricos (reconocimiento facial) o datos de salud cuando sea necesario.

Es posible que se le solicite el consentimiento para el tratamiento de sus datos personales en otras ocasiones cuando sea necesario.

3.5 Gestión del Canal de Denuncias

Disponemos de un Canal de Denuncias o “Whistleblowing” para denuncias internas y externas de irregularidades generadas por nuestros empleados y proveedores. Los datos personales de los usuarios del Canal de Denuncias, y los que en su caso se generen como consecuencia de las investigaciones realizadas, serán tratados con la finalidad de gestionar y dirimir las denuncias que se formulen por la presunta comisión de actos contrarios a la Ley o las infracciones de los códigos internos del Grupo BNP. En caso de que le sea aplicable, puede acceder a más información en www.corporate-ethicline.com/cetelem

4. ¿QUÉ TIPOS DE DATOS PERSONALES RECOGEMOS?

Recogemos y utilizamos sus datos personales, es decir, cualquier información que le identifique o permita identificarle.

En función, entre otros, de los tipos de productos o servicios que le proporcionemos y de las interacciones que tengamos con usted, recogemos varios tipos de datos personales sobre usted, entre ellos:

• información de identificación: nombre completo, sexo, lugar y fecha de nacimiento, nacionalidad, número de documento de identidad, número de pasaporte, número de permiso de conducir, fotografía o firma.


• información de contacto (privada o profesional): dirección postal, dirección de correo electrónico, número de teléfono.


• información relativa a su situación económica y familiar: el estado civil, el régimen matrimonial, la composición del hogar (número de integrantes, el número de hijos y su edad, los estudios o el empleo de sus hijos), los bienes inmuebles que posee (apartamento o casa) capacidad y medidas de protección (menor, bajo la supervisión de un tutor o curador).


• hechos destacados de su vida: si ésta casado, divorciado o tiene pareja.


• estilo de vida: aficiones e intereses, viajes, su entorno.


• información económica, financiera y fiscal: número de identificación fiscal, estado fiscal, país de residencia, salario y otros ingresos, valor de sus activos, deudas, activos financieros, datos fiscales, hipotecas, capital social suscrito o reembolsado, sobreendeudamiento, derecho a beneficios del seguro.


• información sobre educación y laboral: nivel de estudios, sector de actividad, empleo y dependiendo del tipo de contrato: el empleador, categorías del personal laboral asegurado, la sucursal, el convenio colectivo que le resulte de aplicación, el número de identificación fiscal de la empresa (NIF), el nombre de la compañía, los ingresos o la facturación, la fecha estimada de jubilación, el sistema tributario, competencias profesionales y aptitudes y evidencias de ser demandante de empleo.


• información bancaria y financiera relacionada con los productos y servicios de los que es titular: datos de la cuenta bancaria, productos y servicios de los que es titular y usa seguros, ahorros e inversiones, su duración y las cantidades, datos relacionados con medios de pago o relacionados con transacciones bancarias como el número de las transacciones, el detalle de la transacción en relación con el producto o servicio suscrito, las cantidades impagadas, el perfil inversor declarado, historial crediticio, deudas y gastos o incidentes de pago.


• datos transaccionales: movimientos y saldos de las cuentas, operaciones, incluidos los datos de los beneficiarios, como el nombre completo, la dirección y los datos de contacto, así como detalles de operaciones bancarias, importe, fecha, hora y tipo de operación (tarjeta de crédito, transferencia, cheque, domiciliación bancaria).


• datos relativos a sus hábitos y preferencias en relación con el uso de nuestros productos y servicios: datos relacionados con el uso por su parte de nuestros productos y servicios en relación con información bancaria, financiera y sobre operaciones; así como datos procedentes de sus interacciones con nosotros: nuestras sucursales (informes de contacto), nuestros sitios de internet, nuestras aplicaciones, nuestras páginas en redes sociales, reuniones, llamadas, chats, correos electrónicos, entrevistas, conversaciones telefónicas.


• datos recogidos de nuestras interacciones con usted: sus comentarios, sugerencias, necesidades recogidas durante nuestras interacciones con usted en persona en nuestras sucursales (informes de contacto) y en línea durante las comunicaciones telefónicas (conversación), conversación por correo electrónico, chat, chat-bot, intercambios en nuestras páginas de redes sociales y sus últimas quejas. Sus datos de conexión y seguimiento, tales como cookies y rastreadores con fines no publicitarios o analíticos en nuestros sitios web, servicios en línea, aplicaciones y páginas de redes sociales.


• geolocalización: por ejemplo, que muestran los lugares en que se realizan retiradas de efectivo y pagos, por razones de seguridad, o para identificar la localización de la sucursal o proveedores de servicios más cercanos a usted.


• datos para combatir el sobreendeudamiento.


• datos sobre sus dispositivos (teléfono móvil, ordenador, tableta, etc.): dirección IP, especificaciones técnicas y datos de identificación únicos. Credenciales de inicio de sesión personalizadas o elementos de seguridad utilizados para conectarle al sitio web y a nuestras aplicaciones.



Podremos recopilar los siguientes datos confidenciales únicamente previa obtención de su consentimiento explícito:

• datos biométricos: por ejemplo, huella dactilar, patrón de voz, patrón facial o patrón de firma que pueden utilizarse a efectos de identificación y seguridad;


• datos relativos a la salud: por ejemplo, para contratación y elaboración de algunos contratos de seguros; el tratamiento de estos datos se llevará a cabo cuando estos sean necesarios.

Nunca solicitamos datos personales relacionados con sus orígenes raciales o étnicos, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos ni datos relacionados con su orientación o vida sexual, salvo que estemos obligados legalmente a hacerlo.

5. ¿DE QUIÉNES RECOGEMOS DATOS PERSONALES?

Podremos obtener sus datos personales de las fuentes internas y/o externas que se detallan a continuación, respetando siempre sus derechos y libertades y con las garantías exigibles por la normativa aplicable:

• Datos que nos facilite para la contratación del préstamo/crédito y/o para el posterior mantenimiento de los productos contratados con nosotros.
• Organismos de la Administración Pública: Ministerio de Hacienda y la Agencia Estatal de Administración Tributaria.
• Tesorería General de la Seguridad Social, siempre que nos des tu consentimiento para ello.
• Sistemas de información crediticia (también denominados ficheros de solvencia patrimonial y crédito):
• • “Fichero ASNEF” gestionado por ASNEF-EQUIFAX Servicios de Información sobre Solvencia y Crédito S.L. sobre el que podrá encontrar más información en www.equifax.es/ederechos/Index.
  • “Fichero BADEXCUG” gestionado por Experian Bureau de Crédito S.A.U. sobre el que podrá encontrar más información en www.experian.es/legal/salir-fichero/tratamiento-datos.
• Central de Información de Riesgos del Banco de España (CIRBE).
• Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).
• Ficheros de prevención del fraude: CONFIRMA, HUNTER y FraudNet/ Experian.
• Empresas pertenecientes al Grupo BNP Paribas (cuya relación de empresas actualizada puede consultar en [*]), y muy especialmente al Grupo Cetelem para las que haya otorgado su consentimiento para la cesión de sus datos a nosotros, de ser el mismo necesario en virtud de la normativa aplicable.
• Entidades pertenecientes al Grupo Masmovil.
• Terceras empresas (por ejemplo, socios con los que tengamos acuerdos de colaboración o marketplaces) para las que haya otorgado su consentimiento para la cesión de sus datos a nosotros, de ser el mismo necesario en virtud de la normativa aplicable.
• Proveedores de servicios de iniciación de pagos y agregadores de cuentas (proveedores de servicios de información sobre cuentas).
• De corredores (brokers) de datos, que son responsables de garantizar que recogen la información pertinente de forma legal.
• De fuentes externas como Factiva.

En ocasiones, recogemos datos de fuentes públicas:

• Publicaciones/bases de datos puestas a disposición por las autoridades oficiales o por terceros (por ejemplo, el Boletín Oficial del Estado, el Registro Mercantil, las bases de datos gestionadas por las autoridades de control del sector financiero);
• Sitios web/páginas de redes sociales de personas jurídicas o clientes comerciales que contengan información que usted haya divulgado (por ejemplo, su propio sitio web o perfil en redes sociales);
• Información pública como la publicada en la prensa.

6. ¿CON QUIÉN COMPARTIMOS SUS DATOS PERSONALES Y POR QUÉ?

a. Con las entidades del Grupo BNP Paribas

Como miembro del Grupo BNP Paribas, trabajamos estrechamente con las demás sociedades del Grupo en todo el mundo. Por lo tanto, sus datos personales podrán ser compartidos entre las entidades del Grupo BNP Paribas cuando sea necesario, para:

• Cumplir con nuestras diversas obligaciones legales y regulatorias descritas anteriormente;
• Cumplir con nuestros intereses legítimos, que son:
• • gestionar, prevenir y detectar el fraude, en aquellos casos que existan indicios de fraude y solo con aquellas entidades del Grupo BNP Paribas que se puedan ver afectadas o guarden algún tipo de relación;
  • realizar estudios estadísticos y desarrollar modelos predictivos y descriptivos con fines comerciales, de seguridad, de cumplimiento, de gestión de riesgos, y de lucha contra el fraude;
  • mejorar la fiabilidad de determinados datos sobre usted que poseen otras entidades del Grupo;
  • personalizar el contenido y los precios de los productos y servicios; y realizar operaciones financieras como la venta de carteras de deuda, titulizaciones, financiación o refinanciación del Grupo BNP Paribas. Nuestra financiación y refinanciación también constituye un interés legítimo que implica que sus datos personales pueden ser compartidos con entidades del Grupo BNP Paribas que proporcionan esta refinanciación.
• En caso de que nos haya proporcionado su consentimiento o de ser necesario para la ejecución de un contrato, comunicaremos tus datos personales a las entidades del Grupo BNP Paribas para ofrecerle acceso a todos los productos y servicios del Grupo que mejor se adapten a sus necesidades y deseos.

También compartimos sus datos personales con las Agrupaciones de Interés Económico (Cetelem Servicios Informáticos, A.I.E. y Cetelem Gestión, A.I.E.) de las que formamos parte y se encuentran dedicadas a todas las actividades necesarias para la gestión del préstamo/crédito, a efectos de la gestión y registro de las operaciones suscritas por el titular/es.

b. Con destinatarios ajenos al Grupo BNP Paribas y encargados del tratamiento

Para cumplir algunas de las finalidades descritas en este Aviso de Protección de Datos Personales, podremos, cuando sea necesario, compartir sus datos personales con:

• Si nos proporciona su consentimiento, a entidades del Grupo Másmóvil para que pueda beneficiarse de toda la gama de productos y servicios del Grupo.
• Central de Información de Riesgos (CIRBE) de Banco de España para el cumplimiento de nuestras obligaciones legales en relación con la gestión del riesgo.
• Sistemas de información crediticia (también denominados ficheros de solvencia patrimonial y crédito) a los que comunicaremos las deudas de conformidad con la legislación aplicable:
• • “Fichero ASNEF” gestionado por ASNEF-EQUIFAX Servicios de Información sobre Solvencia y Crédito S.L. sobre el que podrá encontrar más información en www.equifax.es/ederechos/Index.
  • “Fichero BADEXCUG” gestionado por Experian Bureau de Crédito S.A.U. sobre el que podrá encontrar más información en www.experian.es/legal/salir-fichero/tratamiento-datos.
• Fichero CONFIRMA: cuya finalidad es la prevención del fraude. Los responsables del fichero son las Entidades Adheridas al Reglamento del Fichero CONFIRMA, siendo el encargado del tratamiento Confirma Sistemas de Información, S.L., con domicilio en la Avda. de la Industria, 18, TRES CANTOS (28760) MADRID donde podrá dirigirse para el ejercicio de sus derechos de acceso, rectificación, supresión, limitación de su tratamiento u oposición de sus datos. Los solicitantes podrán consultar el listado de Entidades que actualmente están adheridas al Reglamento del Fichero CONFIRMA en la página web www.confirmasistemas.es. Podrán participar en el Fichero CONFIRMA las entidades que se adhieran a su Reglamento y que en su ámbito de actividad pueda ser objeto de fraude en la contratación y realice operaciones de financiación. Los datos comunicados al Fichero CONFIRMA podrán ser cedidos a las Entidades Adheridas al Reglamento del Fichero CONFIRMA.
• Fichero HUNTER: a efectos de la política de prevención del fraude. El responsable de este fichero es la ASOCIACIÓN ESPAÑOLA DE EMPRESAS CONTRA EL FRAUDE. Los datos de su solicitud serán comparados con otros datos de solicitudes de concesión de financiación para la adquisición de vehículos automóviles o entrega de los mismos con derecho a usarlos, de créditos al consumo o de emisión de tarjetas, que figuren en el Fichero HUNTER para la prevención del fraude en solicitudes, exclusivamente con objeto de detectar la existencia de información potencialmente fraudulenta dentro del proceso de aprobación del servicio. Si se diera el caso de que se detectaran datos inexactos, irregulares o incompletos, su solicitud será objeto de un estudio más pormenorizado, y dichos datos serán incluidos como tales en el fichero y podrán ser consultados para las finalidades anteriormente mencionadas, por las entidades adheridas al Fichero HUNTER y pertenecientes a los siguientes sectores: financiero, emisores de tarjetas, medios de pago, telecomunicaciones, renting, aseguradoras, compra de deuda, inmobiliario, suministro de energía y agua, facturación periódica y pago aplazado. La lista de entidades adheridas al Fichero HUNTER estará accesible en la página web de la ASOCIACIÓN ESPAÑOLA DE EMPRESAS CONTRA EL FRAUDE: www.asociacioncontraelfraude.org. Vd. podrá ejercitar sus derechos de acceso, rectificación, supresión, limitación de su tratamiento u oposición de sus datos ante el responsable del fichero, dirigiéndose a la siguiente dirección: APARTADO DE CORREOS 2054, 28002 MADRID, a través del envío de una solicitud firmada por Vd. acompañada de fotocopia de su documento identificativo, o bien al siguiente correo electrónico protecciondedatos@asociacioncontraelfraude.org.
• Terceras empresas para las que nos haya otorgado su consentimiento para la cesión de sus datos o de ser el mismo necesario en virtud de la normativa aplicable: socios bancarios y comerciales, agentes independientes, intermediarios o corredores (brokers), instituciones financieras, contrapartes, marcas y concesionarios, registros comerciales con los que tenemos una relación si dicha transmisión es necesaria para permitirnos proporcionarle los servicios y productos o ejecutar nuestras obligaciones contractuales u operaciones (por ejemplo, entidades bancarias, entidades bancarias corresponsales, agentes de pago, plataformas de intercambio, compañías de seguros, operadores de sistemas de pago, emisores o intermediarios de tarjetas de pago, sociedades de garantía recíproca o instituciones de garantía financiera).
• Autoridades financieras, fiscales, administrativas, penales o judiciales locales o extranjeras, árbitros o mediadores, autoridades o instituciones públicas, a las que nosotros, o cualquier miembro del Grupo BNP Paribas, estemos obligados a comunicar la información en virtud de:
• • su solicitud.
  • nuestra defensa, acción o procedimiento.
  • el cumplimiento de un reglamento o una recomendación emitida por una autoridad competente que sea aplicable a nosotros o a cualquier miembro del Grupo BNP Paribas.
• Proveedores de servicios de pago de terceros (información sobre sus cuentas bancarias), a efectos de prestar un servicio de iniciación de pagos o de información sobre cuentas, si usted ha consentido la transferencia de sus datos personales a dicho tercero.
• Determinadas profesiones reguladas, como abogados, notarios o auditores, cuando sea necesario en circunstancias específicas (litigios, auditorías, etc.) así como a nuestras aseguradoras o a un comprador real o propuesto de las sociedades o negocios del Grupo BNP Paribas.

Asimismo, para poder prestarle los servicios de forma adecuada y desarrollar nuestra actividad, hacemos uso de proveedores de servicio que tratan datos personales en nuestro nombre (encargados del tratamiento). Puedes consultar el listado de categorías de proveedores que hacemos uso en el Anexo deEncargados del Tratamiento.

En todo caso, hemos suscrito con estos prestadores de servicio las obligaciones contractuales necesarias para el pleno cumplimiento por su parte de la normativa de protección de datos personales y, en última instancia, garanticen la seguridad de sus datos personales.

7. TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES

Puede producirse la transferencia de sus datos personales en caso de transferencias internacionales desde el Espacio Económico Europeo (EEE) a un país no perteneciente al EEE. Sus datos personales podrán transferirse sobre esta base cuando la Comisión Europea haya reconocido que un país no perteneciente al EEE ofrece un nivel adecuado de protección de datos.

En caso de transferencias a países no pertenecientes al EEE cuyo nivel de protección no haya sido reconocido como adecuado por la Comisión Europea, nos basaremos en una excepción aplicable a la situación específica (por ejemplo, si la transferencia es necesaria para cumplir nuestro contrato con usted, como cuando se realiza un pago internacional) o aplicaremos una de las siguientes salvaguardias para garantizar la protección de sus datos personales:

• Cláusulas contractuales tipo aprobadas por la Comisión Europea; o
• Normas corporativas vinculantes.

Para obtener una copia de estas salvaguardias o detalles sobre dónde están disponibles, puede enviar una solicitud por escrito como se indica en dpo@xferacf.com

8. ¿CUÁNTO TIEMPO CONSERVAMOS SUS DATOS PERSONALES?

Trataremos tus datos personales durante la vigencia de la relación contractual o mientras sea necesario para cumplir con las finalidades previamente descritas. No obstante, con posterioridad podremos conservar tus datos personales, convenientemente bloqueados, para cumplir con nuestras obligaciones legales o hacer frente a responsabilidades derivadas de su tratamiento.

Dichos plazos de bloqueo actualmente se encuentran estipulados en diez años desde la terminación de la relación de negocios o la ejecución de la operación ocasional en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y el Reglamento que la desarrolla, si bien podrían variar en caso de modificación de la legislación.

No obstante, una vez alcanzado dicho periodo de conservación podremos conservar la información relativa a su contrato por un periodo superior correspondiente a los plazos de prescripción de las distintas acciones recogidas en el ordenamiento jurídico.

9. CÓMO SEGUIR LA EVOLUCIÓN DE ESTE AVISO DE PROTECCIÓN DE DATOS PERSONALES

En un mundo en el que las tecnologías evolucionan constantemente, revisamos periódicamente este Aviso de Protección de Dato Personales y lo actualizamos cuando es necesario. Le invitamos a revisar la última versión de este documento en línea y le informaremos de cualquier modificación significativa a través de nuestro sitio web o de nuestros canales de comunicación habituales.

TRATAMIENTO DE DATOS PERSONALES CON FINES DE LUCHA CONTRA EL BLANQUEO DE

CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO

Formamos parte de un Grupo bancario que está obligado a adoptar y mantener un programa sólido de lucha contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT, por sus siglas en inglés) para todas sus sociedades y que es gestionado de forma centralizada, un programa de anticorrupción, así como un mecanismo que garantice el cumplimiento de las Sanciones internacionales (i.e., cualquier sanción económica o comercial, incluyendo su normativa correspondiente, reglamentos, medidas restrictivas, embargos y medidas de congelación de activos que sean promulgadas, administradas, impuestas o aplicadas por la República Francesa, la Unión Europea, la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos y cualquier otra autoridad competente de los territorios en los que esté establecido el Grupo BNP Paribas).

En este contexto, nosotros actuamos como corresponsales del tratamiento junto con BNP Paribas, S.A., la sociedad matriz del Grupo BNP Paribas (el término “nosotros” utilizado en este Apéndice también incluye a la sociedad BNP Paribas, S.A.).

De conformidad con las obligaciones de AML/CFT y con las Sanciones internacionales, llevamos a cabo las actividades de tratamiento enumeradas a continuación con el fin de cumplir con nuestras obligaciones legales:

• Un programa de “Conoce a tu Cliente” (KYC – Know Your Customer, por sus siglas en inglés) razonablemente diseñado para identificar, verificar y actualizar la identidad de nuestros clientesincluyendo, cuando sea pertinente, sus respectivos titulares reales y apoderados;
• Mejorar los procedimientos de diligencia debida sobre clientes de alto riesgo, las personas expuestas políticamente o “PEPs” (las PEPs son definidas por la normativa como aquellas personas que, debido a sus funciones o cargos (políticos, judiciales o administrativos) están más expuestos a estos riesgos) y para aquellas situaciones de mayor riesgo;
• Políticas, procedimientos y controles por escrito y razonablemente diseñados para garantizar que el Banco no establece o mantiene relaciones con bancos pantalla;
• Una política, basada en la evaluación interna de los riesgos y de la situación económica, para generalmente no tratar ni involucrarse, independientemente de cuál sea la divisa, en ninguna operación o negocio:
• • para, por cuenta o en beneficio de cualquier individuo, entidad u organización sujeta a sanciones por la República Francesa, la Unión Europea, los Estados Unidos, las Naciones Unidas o, en determinados casos, otras sanciones locales en aquellos territorios en los que opera el Grupo;
  • que implique directa o indirectamente a territorios sancionados, como Crimea/Sebastopol, Cuba, Irán, Corea del Norte o Siria;
  • que involucre a entidades financieras o territorios que puedan estar relacionados o controlados por organizaciones terroristas, reconocidas como tales por las autoridades competentes de Francia, la Unión Europea, los Estados Unidos y las Naciones Unidas.
• Examen de la base de datos de clientes y filtrado de las transacciones razonablemente diseñado para garantizar el cumplimiento de las leyes aplicables;
• Sistemas y procesos diseñados para detectar y reportar cualquier actividad sospechosa a las autoridades regulatorias pertinentes;
• En particular, para cumplir con la obligación de declarar mensualmente al Fichero de Titularidades Financieras, cuya gestión depende del SEPBLAC, la apertura, cancelación o modificación de cualesquiera de los productos e intervinientes que establece en cada momento la normativa vigente.
• Un programa de cumplimiento normativo razonablemente diseñado para prevenir y detectar el soborno, la corrupción y cualquier influencia ilícita de acuerdo con la Ley francesa “Sapin II”, la FCPA estadunidense y la Bribery Act del Reino Unido.

En este contexto, tenemos que recurrir a:

• servicios facilitados por proveedores externos que mantienen listas actualizadas de las PEPs, tales como Dow Jones Factiva (suministrado por Dow Jones & Company, Inc.) y el servicio World-Check (suministrado por REFINITIV, REFINITIV US LLC y el London Bank of Exchanges);
• información pública disponible en prensa sobre asuntos relacionados con el blanqueo de capitales, la financiación del terrorismo o la corrupción;
• conocimiento de comportamientos o situaciones de riesgo (existencia de un informe de transacción sospechoso o equivalente) que puedan ser identificadas a nivel del Grupo BNP Paribas.

Es posible que necesitemos tratar categorías especiales de datos personales o datos relativos a condenas e infracciones penales puesto que el objetivo es luchar contra el blanqueo de capitales y la financiación del terrorismo

Llevaremos a cabo estas comprobaciones, tanto sobre su persona como sobre las operaciones que lleven a cabo, cuando entablen una relación con nosotros, pero también durante la relación que mantenemos con ustedes. Al final de la relación y si ustedes han sido objeto de una alerta, esta información quedará almacenada con el objeto de identificarles y adaptar nuestros controles para el supuesto en el que entablen una nueva relación con alguna sociedad del Grupo BNP Paribas o en el contexto de una operación en la que ustedes sean parte.

Con el objeto de cumplir con nuestras obligaciones legales, intercambiamos la información recopilada para fines de AML/CFT, anticorrupción o sanciones internacionales entre las sociedades del Grupo BNP Paribas. Cuando se compartan sus datos personales con países situados fuera del Espacio Económico Europeo que no ofrezcan un nivel de protección adecuado, las transferencias se regirán por las cláusulas contractuales tipo (SCCs, por sus siglas en inglés) de la Comisión Europea. Cuando se recopilen e intercambien datos adicionales para cumplir con la normativa de países que no pertenezcan a la Unión Europea, este tratamiento será necesario para satisfacer nuestro interés legítimo que es permitir que el Grupo BNP Paribas y sus sociedades cumplan con sus obligaciones legales y eviten sanciones locales.

Encargados del Tratamiento

• Servicio de calidad (mystery shopper).
• Servicios comerciales en puntos de venta físicos y digitales.
• Servicios de almacenamiento.
• Servicios de analytics.
• Servicios de auditoría y consultoría.
• Servicios de captación de clientes.
• Servicios de consulta a bases de datos externas.
• Servicios de credit reporting.
• Servicios de firma digital.
• Servicios de generación de facturas.
• Servicios de gestión de contratos.
• Servicios de gestión judicial.
• Servicios de marketing.
• Servicios de medios de pago.
• Servicios de publicidad.
• Servicios de recobros y consolidación de deuda.
• Servicios de seguros.
• Servicios de software.
• Servicios de venta de carteras.
• Servicios legales para gestión de contencioso.
• Servicios postales, de distribución y de mensajería.
• Servicios de contact center.

Decisiones automatizadas para scoring y evaluación del riesgo crediticio

a. Descripción del tratamiento y finalidad

Aplicación de reglas y filtros relativos a la solvencia y comportamientos de pago del potencial cliente ante unasolicitud de contratación de un producto. La finalidad de este tratamiento es determinar y predecir la probabilidad de impago/fraude en las solicitudes de crédito optimizando la correcta decisión de concesión o no del crédito.

b. Lógica aplicada

La predictibilidad del sistema se alcanza a través del uso de modelos matemáticos y estadísticos en conjunción con la información aportada por el cliente a lo largo de su petición, las características de la financiación solicitada y la consulta a información interna y proveedores externos.  Adicionalmente, en algunos casos, se podría recibir segmentaciones de socios que cataloga a los clientes según su desempeño como cliente y su histórico de pago o, si así lo solicita, información adicional de su cuenta corriente para la evaluación de solvencia de manera manual.

Además, en algunas ocasiones, será necesario realizar sondeo o entrevista completa al cliente para comprobar la coherencia del proyecto a financiar cuando el importe solicitado supere los límites establecidos por nuestras políticas de riesgo.

El sistema devuelve una primera respuesta que determina si usted podría acceder al crédito solicitado. La respuesta puede ser de 3 tipos: pre-autorizado, pendiente de decisión o rechazo directo. En los dos primeros casos, la solicitud es revisada por un analista y recalculada teniendo en cuenta las posibles desviaciones que existan entre la información facilitada por su parte y la documentación de la que disponemos. Una vez efectuado este recalculo se toma la decisión final.

Por norma general, en el caso de que la primera respuesta del sistema sea rechazo directo, la operación se da por rechazada sin intervención humana posterior.

c. Importancia y las consecuencias previstas de dicho tratamiento para el interesado

La aplicación de este sistema proporciona información al cliente sobre su solicitud en tiempo reducido, concediendo o no el crédito solicitado, acorde a los principios de crédito responsable. Como se ha indicado en el apartado anterior, en el caso de que el sistema devuelva un escenario como “rechazo directo” por norma general implicará el rechazo de la operación solicitada.

d. Política de revisión

El sistema se encuentra sujeto a revisiones y auditorias periódicas. Esto supone una monitorización permanente del proceso, la realización de varias actualizaciones mensuales con el objetivo de mantenerlo actualizado sobre la base de las decisiones tomadas y un proceso de gestión del cambio para asegurar la fiabilidad de la información y máxima calidad.