1. Objeto y Alcance.

1.1 Objeto de la Política. La presente política tiene por objeto establecer los lineamientos, principios, obligaciones y mecanismos que rigen el tratamiento de los datos personales recolectados, almacenados, utilizados, transmitidos o eliminados por el OTC Desk de Nexbridge, en cumplimiento de la Ley de Protección de Datos Personales de El Salvador, el Reglamento General de Protección de Datos de la Unión Europea y con pleno respeto a los derechos ARCO-POL de los titulares.

1.2 Ámbito de Aplicación Personal. Esta política aplica a todos los empleados, colaboradores, directivos, contratistas, proveedores de servicios y cualquier tercero que, por motivo de sus funciones, tenga acceso a datos personales tratados por el OTC Desk, ya sea de manera manual, automatizada o mediante terceros.

1.3 Ámbito de Aplicación Material. El presente documento cubre todas las actividades vinculadas al tratamiento de datos personales, incluyendo, pero no limitándose a, su recolección, acceso, uso, almacenamiento, análisis, modificación, transferencia, bloqueo, supresión, cancelación, disociación y portabilidad.

1.4 Sujetos de Protección. Se reconocen como titulares de datos personales a los clientes, potenciales clientes, contrapartes, usuarios institucionales y cualquier otra persona natural cuyos datos personales sean tratados en el marco de las operaciones del OTC Desk.

1.5 Compromiso de Confidencialidad y Uso Responsable. Todo empleado del OTC Desk, sin excepción, está obligado a manejar la información personal de los clientes bajo estrictas normas de confidencialidad, buena fe y uso legítimo, y a abstenerse de divulgar, modificar, copiar o compartir dicha información sin autorización expresa del titular o sin una base legal habilitante.

1.6 Prohibición de Uso Indebido. Queda estrictamente prohibido el uso de los datos personales con fines distintos a los establecidos en la presente política, especialmente para propósitos comerciales, de marketing, beneficio personal o divulgación a terceros no autorizados. Toda vulneración será sancionada conforme al régimen disciplinario interno y podrá ser reportada a la Agencia de Ciberseguridad del Estado.

1.7 Inclusión de Encargados y Proveedores. Esta política es igualmente obligatoria para los encargados del tratamiento de datos que actúen por cuenta de Nexbridge, quienes deberán asumir mediante contrato las mismas obligaciones en materia de confidencialidad, seguridad y respeto a los derechos de los titulares.

1.8 Cumplimiento con los Derechos ARCO-POL. El OTC Desk garantiza a los titulares de datos personales el pleno ejercicio de sus derechos de Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación (ARCO-POL), a través de procedimientos gratuitos, accesibles y claramente establecidos en esta política.

1.9 Relación con Otras Normativas. Esta política se interpreta de manera complementaria con la Ley de Protección de Datos Personales de El Salvador, las políticas de seguridad de la información de Nexbridge, las normas de cumplimiento financiero aplicables, y cualquier otro instrumento legal nacional o internacional que proteja los derechos del titular.

2. Fundamento Normativo.

2.1. Legislación. La presente política se fundamenta principalmente en la Ley para la Protección de Datos Personales de El Salvador, Decreto N.º 144, publicada en el Diario Oficial el 15 de noviembre de 2024, que regula de forma integral los principios, derechos, obligaciones y procedimientos vinculados al tratamiento legítimo de los datos personales. En particular, esta política adopta como eje central el respeto irrestricto a los derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación), garantizando su ejercicio efectivo conforme a lo dispuesto en dicha Ley.

2.2. Estándares internacionales. Asimismo, esta política incorpora las mejores prácticas internacionales en materia de protección de datos, inspirándose en estándares reconocidos como el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y principios globales de privacidad, con el objetivo de brindar a los titulares un nivel de seguridad jurídica y técnica adecuado, especialmente en operaciones que pudieran implicar transferencia transfronteriza de datos o el tratamiento por parte de terceros con sede fuera de El Salvador.

3. Definiciones Clave.

3.1 Datos Personales. Se entiende por datos personales cualquier información concerniente a una persona natural identificada o identificable, en cualquier formato (texto, imagen, audio u otro). Esto incluye nombres, domicilios, direcciones electrónicas, números de identificación, teléfonos, nacionalidad, estado familiar, y cualquier dato que permita directa o indirectamente identificar al titular.

3.2 Datos Personales Sensibles. Son aquellos datos que revelan aspectos íntimos del titular, tales como su origen étnico o racial, creencias religiosas, ideología política, estado de salud física o mental, datos biométricos o genéticos, orientación sexual, afiliación sindical, situación moral o familiar, entre otros. Su tratamiento está sujeto a un nivel reforzado de protección, y requiere consentimiento expreso y por escrito del titular, salvo que concurra una excepción legal.

3.3 Titular de los Datos. Es la persona natural a quien corresponden los datos personales que son objeto de tratamiento por parte del OTC Desk de Nexbridge. Los derechos ARCO-POL son ejercidos exclusivamente por el titular o su representante legalmente acreditado.

3.4 Responsable del Tratamiento. Es Nexbridge, en su calidad de entidad que decide sobre la finalidad y los medios del tratamiento de los datos personales recolectados en el marco de las operaciones del OTC Desk.

3.5 Encargado del Tratamiento. Persona natural o jurídica, pública o privada, que realiza el tratamiento de datos personales por cuenta del responsable, conforme a las instrucciones y límites establecidos contractualmente por Nexbridge. Esto incluye proveedores de servicios de nube, software, auditoría o cumplimiento.

3.6 Tratamiento de Datos Personales. Cualquier operación o conjunto de operaciones aplicadas a datos personales, ya sea por medios automatizados o manuales. Esto incluye su recolección, uso, registro, organización, conservación, acceso, divulgación, transferencia, anonimización, bloqueo o eliminación.

3.7 Consentimiento Informado. Manifestación libre, específica, informada, expresa e individualizada de la voluntad del titular mediante la cual autoriza el tratamiento de sus datos personales. El consentimiento debe ser inequívoco y verificable, y puede ser revocado en cualquier momento.

3.8 Derechos ARCO-POL. Conjunto de derechos personalísimos que permiten al titular ejercer control sobre el tratamiento de sus datos personales:

• Acceso: conocer si sus datos están siendo tratados y acceder a ellos.

• Rectificación: corregir datos inexactos o incompletos.

• Cancelación: solicitar la eliminación cuando ya no sean necesarios.

• Oposición: negarse al tratamiento por causas legítimas.

• Portabilidad: recibir sus datos en un formato interoperable.

• Olvido: solicitar la eliminación de sus datos en entornos digitales.

• Limitación: restringir temporalmente el tratamiento.

3.9 Seudonimización. Proceso mediante el cual los datos personales dejan de estar directamente asociados a un titular sin la utilización de información adicional, la cual debe estar resguardada por medidas técnicas y organizativas adecuadas.

3.10 Anonimización o Disociación. Proceso irreversible mediante el cual los datos personales pierden definitivamente la capacidad de asociarse a una persona identificada o identificable, incluso con el uso de medios adicionales.

3.11 Base de Datos o Repositorio. Conjunto estructurado de datos personales, ya sea en medios físicos o digitales, del cual se puede acceder, consultar, modificar o eliminar datos de manera organizada.

4. Principios Rectores.

4.1 Principio de Exactitud. Los datos personales tratados deberán mantenerse exactos, completos y actualizados hasta donde sea posible, conforme a la finalidad para la que fueron recolectados. Nexbridge adoptará medidas razonables para corregir o eliminar sin dilación los datos inexactos o desactualizados, en cumplimiento del derecho de Rectificación del titular.

4.2 Principio de Lealtad. El tratamiento de datos personales se realizará con integridad y buena fe, protegiendo en todo momento los intereses del titular. Queda prohibido obtener datos mediante engaño, coerción, omisión o cualquier otro medio fraudulento, desleal o ilícito.

4.3 Principio de Consentimiento y Finalidad. Todo tratamiento de datos personales deberá contar con el consentimiento libre, específico, informado, expreso e individualizado del titular, salvo las excepciones legalmente reconocidas. La recolección y uso de datos debe estar limitada a las finalidades previamente informadas, respetando el derecho de Oposición si el titular no consiente nuevos usos.

4.4 Principio de Minimización de Datos. Solo se recolectarán y tratarán los datos personales estrictamente necesarios, pertinentes y no excesivos para alcanzar los fines legítimos del OTC Desk. Este principio limita el acceso interno a la información y promueve una cultura de responsabilidad sobre la recolección.

4.5 Principio de Transparencia. Nexbridge informará de manera clara, accesible y sencilla a los titulares sobre las finalidades, medios, responsables y destinatarios del tratamiento de sus datos personales, así como sobre el ejercicio de sus derechos ARCO-POL. Se prohíbe el uso de lenguaje técnico o confuso que obstaculice la comprensión.

4.6 Principio de Seguridad. Se implementarán medidas técnicas, organizativas y administrativas adecuadas para garantizar la integridad, disponibilidad, confidencialidad y autenticidad de los datos personales. Estas medidas deben prevenir accesos no autorizados, pérdidas, alteraciones o usos indebidos.

4.7 Principio de Licitud. Todo tratamiento de datos personales debe basarse en una causa legal válida, ya sea el consentimiento del titular, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, un interés público o un interés legítimo que no vulnere los derechos fundamentales del titular.

4.8 Principio de Temporalidad. Los datos personales solo se conservarán durante el tiempo estrictamente necesario para cumplir con la finalidad para la cual fueron recolectados o según lo exija la normativa vigente. Una vez cumplida la finalidad, los datos serán suprimidos, anonimizados o bloqueados conforme al derecho de Cancelación y Olvido.

4.9 Principio de Responsabilidad Demostrada. Nexbridge, como responsable del tratamiento, asumirá activamente la responsabilidad de garantizar el cumplimiento efectivo de esta política y de la legislación aplicable, debiendo documentar las medidas adoptadas y estar en capacidad de demostrar la observancia de todos los principios anteriores ante la autoridad competente o ante el titular.

5. Derechos de los Titulares (ARCO-POL).

5.1 Reconocimiento y ejercicio general de los derechos. Nexbridge reconoce el derecho de toda persona natural, en su calidad de titular de datos personales, a ejercer de manera libre y efectiva los derechos ARCO-POL: Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación. Estos derechos constituyen garantías fundamentales que permiten al titular conservar el control sobre el uso de su información personal. El OTC Desk se compromete a facilitar su ejercicio sin trabas, en apego a la legislación vigente, y a promover una cultura organizacional que respete el principio de autodeterminación informativa.

5.2 Procedimientos sencillos, accesibles y justos. Para garantizar la protección efectiva de los datos, Nexbridge asegura que el ejercicio de los derechos ARCO-POL pueda realizarse mediante procedimientos claros, expeditos y no discriminatorios. El personal del OTC Desk está instruido para recibir y canalizar correctamente cualquier solicitud en esta materia, velando por una atención respetuosa y oportuna al titular o a su representante legalmente acreditado. El ejercicio de estos derechos no estará sujeto a requisitos excesivos ni podrá condicionarse por la naturaleza de la relación contractual entre las partes.

5.3 Canales y medios disponibles para los titulares. El OTC Desk pondrá a disposición de los titulares diversos canales físicos y electrónicos a través de los cuales podrán ejercer sus derechos, los cuales estarán claramente identificados en los avisos de privacidad. Dichos canales garantizarán la confidencialidad de las solicitudes, así como su trazabilidad y documentación. Nexbridge se compromete a mantener disponibles, de manera permanente, formatos estandarizados y guías informativas para facilitar el ejercicio de estos derechos, eliminando barreras técnicas o administrativas.

5.4 Tiempos razonables y comunicación transparente. Toda solicitud de derechos ARCO-POL será atendida en plazos razonables y legalmente establecidos. Nexbridge brindará respuesta dentro de un plazo máximo de veinte días hábiles, prorrogables solo por causas justificadas. En caso de requerirse aclaraciones o documentación adicional, se notificará al titular de forma oportuna y clara. La comunicación entre las partes será directa, transparente y en un lenguaje comprensible, procurando siempre una relación de confianza con el titular.

5.5 Límites y excepciones al ejercicio de derechos. La empresa podrá rechazar, total o parcialmente, el ejercicio de los derechos ARCO-POL únicamente en los casos expresamente establecidos por la legislación pertinente, tales como la inexistencia de los datos solicitados, la afectación a derechos de terceros, la existencia de un mandato legal de conservación, o la improcedencia manifiesta de la solicitud. En tales casos, se informará al titular sobre las razones de forma clara, y se dejará constancia escrita de la resolución adoptada. Este rechazo no impedirá al titular recurrir ante la autoridad competente en caso de inconformidad.

5.6 Alcance frente a terceros y conservación de coherencia. Cuando los datos personales del titular hayan sido compartidos con terceros autorizados, Nexbridge tomará las medidas necesarias para asegurar que cualquier rectificación, cancelación o limitación aprobada sea también aplicada por dichos receptores. De esta forma, se asegura la coherencia del sistema de protección y se respeta la voluntad del titular más allá del entorno directo de la empresa. Asimismo, se adoptarán mecanismos para garantizar que los datos personales se mantengan identificados como “en revisión” o “limitados” cuando así proceda.

6. Recolección y Tratamiento de Datos.

6.1 Finalidad legítima y proporcionalidad en la recolección. Nexbridge únicamente recolecta datos personales cuando estos son necesarios para el cumplimiento de finalidades legítimas y claramente determinadas, relacionadas con la operación del OTC Desk. La información se recopila de manera justa y lícita, respetando en todo momento el principio de minimización: solo se solicitan aquellos datos que resulten pertinentes y adecuados para gestionar operaciones financieras, evaluar riesgos, cumplir obligaciones legales, establecer relaciones contractuales y dar seguimiento a los servicios ofrecidos. En ningún caso se recopilarán datos de forma excesiva o injustificada.

6.2 Transparencia e información previa al titular. Antes de recolectar cualquier dato personal, Nexbridge proporciona al titular la información necesaria sobre el tratamiento que se dará a sus datos, incluyendo la identidad del responsable, las finalidades, los destinatarios, el uso de proveedores externos (si aplica), los derechos ARCO-POL, los canales de contacto y las medidas de seguridad implementadas. Esta información es comunicada de forma clara y accesible a través del aviso de privacidad, y debe ser comprendida plenamente por el titular antes de otorgar su consentimiento.

6.3 Consentimiento informado y control del titular. El tratamiento de datos personales requiere el consentimiento previo, libre, específico, informado, expreso e individualizado del titular, el cual podrá revocar en cualquier momento. Nexbridge garantiza que este consentimiento será recabado mediante medios adecuados, y que en ningún caso se presumirá ni se obtendrá de forma tácita. Para el tratamiento de datos personales sensibles —como información financiera confidencial o biométrica— se exigirá consentimiento por escrito, en cumplimiento estricto de la normativa vigente.

6.4 Acceso restringido y uso responsable de la información. Los datos personales recolectados son tratados exclusivamente por personal autorizado, dentro de los límites que exige su función. Toda persona vinculada al OTC Desk tiene el deber de abstenerse de acceder, compartir o utilizar datos personales sin justificación, autorización o fuera del marco de esta política. Se prohíbe terminantemente el uso de la información con fines personales, comerciales, o cualquier otro fin distinto a aquellos para los cuales fue legalmente recolectada.

6.5 Limitación del uso, conservación y actualización de datos. Los datos personales solo serán utilizados para las finalidades originalmente informadas, y no podrán ser reutilizados con propósitos diferentes sin el consentimiento expreso del titular. Nexbridge establece plazos de conservación proporcionales a la naturaleza del tratamiento, y garantiza la supresión, anonimización o bloqueo de los datos una vez que hayan dejado de ser necesarios. Adicionalmente, se tomarán medidas para mantener la información actualizada y exacta durante todo su ciclo de vida, en cumplimiento del principio de veracidad.

6.6 Responsabilidad activa y cumplimiento normativo. Como responsable del tratamiento, Nexbridge asume la obligación de documentar, supervisar y mejorar de forma continua los procedimientos relacionados con la recolección y gestión de datos personales. Se adoptarán medidas técnicas y organizativas adecuadas para cumplir con los principios rectores de la legislación pertinente, incluyendo el respeto a los derechos de los titulares, la implementación de controles de acceso, y el establecimiento de mecanismos para garantizar la licitud y seguridad del tratamiento en cada una de sus etapas.

7. Transferencia de Datos.

7.1 Principio de Legalidad en la Transferencia. Nexbridge reconoce que toda transferencia de datos personales, ya sea dentro del territorio nacional o a otros países, debe realizarse conforme a un fundamento legal válido y en coherencia con las finalidades informadas al titular. Esta práctica se rige por los principios de licitud, necesidad, proporcionalidad y consentimiento informado.

7.2 Consentimiento y Transparencia. El consentimiento expreso del titular será requisito previo para cualquier transferencia de datos, salvo en los supuestos legalmente exceptuados. Nexbridge informará al titular sobre la finalidad de la transferencia, la identidad o categoría del destinatario y las condiciones bajo las cuales serán tratados sus datos. Esta información estará disponible de forma clara en los avisos de privacidad y otras comunicaciones pertinentes.

7.3 Proveedores Externos y Encargados del Tratamiento. Cuando Nexbridge utilice proveedores externos para servicios relacionados con almacenamiento, verificación de identidad, cumplimiento normativo u otros procesos, se asegurará de que estos actúen únicamente como encargados del tratamiento. Estos terceros estarán obligados contractualmente a observar la confidencialidad, limitar el tratamiento a las instrucciones dadas, y aplicar las medidas de seguridad necesarias.

7.4 Prohibición de Cesión o Comercialización No Autorizada. Nexbridge prohíbe de forma expresa la cesión, venta, divulgación o cualquier otro tipo de transferencia de datos personales sin el consentimiento del titular o sin una base jurídica que lo autorice. Este compromiso incluye un rechazo absoluto a prácticas de monetización de datos, marketing no autorizado o uso indebido por terceros.

8. Tratamiento de Datos Sensibles

8.1 Reconocimiento y Naturaleza Especial de los Datos Sensibles. Nexbridge reconoce que los datos personales sensibles —aquellos que se refieren a aspectos íntimos como salud, biometría, creencias, afiliaciones, orientación sexual o cualquier otra información cuya divulgación indebida pueda dar lugar a discriminación o vulneración de derechos— requieren una protección reforzada y un tratamiento estrictamente limitado.

8.2 Consentimiento Expreso y Tratamiento Restringido. En el marco de las operaciones del OTC Desk, el tratamiento de este tipo de datos solo será permitido cuando sea indispensable, esté vinculado a finalidades legítimas y específicas, y cuente con el consentimiento previo, expreso, libre, informado y por escrito del titular. Este consentimiento será siempre individualizado y no podrá ser obtenido de forma general ni tácita.

8.3 Excepciones Legales al Consentimiento. De manera excepcional, y únicamente en los casos previstos por la legislación pertinente, Nexbridge podrá tratar datos sensibles sin consentimiento cuando exista un riesgo inminente para la vida o integridad del titular o de terceros, o cuando se trate de datos relativos a la salud necesarios para una intervención médica o cumplimiento normativo, siempre que el tratamiento sea realizado por personal sujeto a deberes de confidencialidad.

8.4 Medidas de Seguridad Reforzada y Acceso Controlado. El acceso a datos sensibles estará estrictamente limitado al personal autorizado y será objeto de medidas de seguridad reforzadas, tanto técnicas como organizativas. Su uso estará siempre alineado con el principio de minimización, evitando cualquier tratamiento que no sea proporcional a la finalidad perseguida.

8.5 Prohibición de Usos Incompatibles o Discriminatorios. Nexbridge prohíbe expresamente la utilización de datos sensibles con fines de mercadeo, elaboración de perfiles comerciales o decisiones automatizadas que no hayan sido debidamente consentidas, así como cualquier tratamiento que pueda dar lugar a discriminación, estigmatización o afectación de la dignidad de la persona.

9. Medidas de Seguridad.

9.1 Enfoque Integral de Seguridad. Nexbridge asume la protección de los datos personales como una responsabilidad institucional prioritaria. Para ello, implementa un enfoque integral de seguridad que abarca medidas técnicas, organizativas y administrativas orientadas a preservar la confidencialidad, integridad, disponibilidad y autenticidad de la información tratada por el OTC Desk. Estas medidas son revisadas y actualizadas de manera periódica, considerando la evolución de los riesgos tecnológicos, normativos y operativos.

9.2 Control de Acceso, Cifrado y Almacenamiento Seguro. El acceso a los datos personales está estrictamente limitado al personal que, por función y autorización, requiera conocer o tratar dicha información. Nexbridge implementa mecanismos de autenticación robusta, segmentación de privilegios, trazabilidad de accesos y monitoreo continuo. Asimismo, se emplean tecnologías de cifrado para proteger los datos tanto en tránsito como en reposo, y se evita el almacenamiento local o no autorizado de información personal en dispositivos individuales o sin control institucional.

9.3 Medidas Organizativas y de Gobernanza. Como parte de sus medidas organizativas, Nexbridge promueve una cultura de protección de datos que involucra a todos los niveles del equipo. Se definen roles y responsabilidades claras en materia de seguridad de la información, y se imparten capacitaciones periódicas a todo el personal del OTC Desk sobre el uso adecuado de los datos, la prevención de incidentes y el cumplimiento de esta política. Las áreas responsables deberán evaluar regularmente los riesgos asociados al tratamiento de datos personales y adoptar controles adecuados.

9.4 Respaldo, Recuperación y Continuidad Operativa. Para garantizar la disponibilidad y recuperación oportuna de los datos, Nexbridge mantiene políticas activas de respaldo periódico, verificación de integridad de la información y procedimientos de recuperación ante incidentes. Estas prácticas están alineadas con los requerimientos de continuidad de negocio y resiliencia operativa, especialmente relevantes para el entorno financiero donde la pérdida o indisponibilidad de datos puede tener impactos significativos.

9.5 Sitios de Contingencia y Uso de Infraestructura en la Nube. Nexbridge podrá utilizar sitios de contingencia o servidores alternos —ya sean físicos o virtuales— para garantizar la continuidad del tratamiento de los datos personales en caso de fallos técnicos, desastres naturales u otras situaciones que interrumpan las operaciones normales. En caso de recurrir a servicios en la nube, se asegurará que los proveedores cuenten con certificaciones de seguridad reconocidas internacionalmente, estén sujetos a contratos de confidencialidad y cumplan con los principios establecidos por la Ley de Protección de Datos Personales de El Salvador, especialmente en lo que respecta a transferencias internacionales.

11. Violaciones de Seguridad y Notificación.

11.1 Compromiso de identificación y gestión oportuna. Nexbridge mantiene una política de tolerancia cero frente a cualquier forma de vulneración de la seguridad de los datos personales. Toda alteración, pérdida, acceso no autorizado, divulgación indebida, destrucción accidental o uso ilícito de la información —ya sea intencional o no— será considerado un incidente de seguridad que activa los mecanismos de respuesta establecidos por la organización. El OTC Desk se compromete a actuar de manera ágil, diligente y transparente ante este tipo de situaciones.

11.2 Alcance de las vulneraciones y deber de actuación. Se considerará vulneración cualquier hecho que comprometa la confidencialidad, integridad o disponibilidad de los datos personales tratados por Nexbridge. Esto incluye, entre otros, ataques informáticos, filtraciones internas, errores de configuración tecnológica, fallos humanos o pérdida de dispositivos que contengan datos. Al tener conocimiento de una posible vulneración, se activará un proceso de revisión interna para determinar la magnitud del evento, identificar sus causas y adoptar medidas correctivas inmediatas.

11.3 Notificación a autoridades y titulares. En caso de confirmarse una vulneración de seguridad, Nexbridge notificará a la Agencia de Ciberseguridad del Estado, a la Fiscalía General de la República, y a los titulares afectados dentro del plazo máximo de setenta y dos (72) horas. Esta notificación se realizará en un lenguaje claro y accesible, e incluirá información sobre la naturaleza del incidente, los datos comprometidos, las medidas adoptadas y las recomendaciones para que el titular mitigue posibles riesgos.

11.4 Documentación y trazabilidad del incidente. Todo incidente será debidamente documentado. La información registrada incluirá el momento de detección, el tipo de vulneración, las causas identificadas, los efectos reales o potenciales, los responsables involucrados, las acciones tomadas y las lecciones aprendidas. Este registro estará disponible para la autoridad competente y será utilizado como base para revisar las políticas internas de seguridad y prevención.

11.5 Prevención y mejora continua. Nexbridge adopta un enfoque proactivo en la prevención de incidentes, incluyendo pruebas periódicas de seguridad, simulacros, monitoreo de sistemas y formación continua del personal. Ante cualquier incidente ocurrido, se actualizarán los controles internos para evitar su repetición, fortaleciendo los procedimientos y tecnologías utilizados para el resguardo de la información personal tratada por el OTC Desk.

12. Conservación y Eliminación de Datos.

Nexbridge se compromete a conservar los datos personales tratados por el OTC Desk únicamente durante el tiempo estrictamente necesario para cumplir con las finalidades previamente informadas al titular, o con las obligaciones legales, contractuales o regulatorias que resulten aplicables. En ningún caso se mantendrán datos personales por plazos indefinidos o sin una justificación clara, en cumplimiento del principio de temporalidad.

Una vez alcanzada la finalidad que motivó la recolección de los datos, o cuando el titular haya ejercido su derecho de cancelación, oposición o olvido, los datos serán eliminados de manera segura o, en su defecto, sometidos a procesos de anonimización o bloqueo, según corresponda. La eliminación podrá realizarse por medios físicos o electrónicos, siempre garantizando que la información no pueda ser reconstruida ni recuperada por terceros no autorizados.

Cuando la conservación sea necesaria para cumplir con obligaciones legales vigentes —como las relacionadas con normativas financieras, fiscales, de prevención de lavado de dinero o retención documental, - Nexbridge mantendrá los datos bajo medidas estrictas de acceso restringido, sin que estos sean tratados activamente, y procederá a su supresión una vez vencido el plazo legal.

Asimismo, en los casos en que el titular ejerza el derecho al olvido respecto a información publicada o accesible en medios digitales, Nexbridge se compromete a eliminar todo rastro de dicha información bajo su control y, cuando corresponda, a notificar a terceros que hayan recibido los datos para que procedan también a su eliminación, en cumplimiento del principio de coherencia.

La empresa prohíbe expresamente toda práctica de conservación innecesaria, duplicación informal de bases de datos, o acumulación de información personal sin fundamento legal o documental. Las áreas responsables del tratamiento de datos deberán asegurar que existan políticas internas de retención y depuración de datos, y que estas sean revisadas periódicamente en atención al riesgo, la sensibilidad de la información y los requerimientos regulatorios aplicables al sector financiero.

13. Relación con Proveedores y Encargados de Datos.

Nexbridge reconoce que, en el marco de las operaciones del OTC Desk, es posible que terceros —ya sean personas naturales o jurídicas— participen en actividades que impliquen el acceso, almacenamiento, procesamiento o resguardo de datos personales. Cuando esto ocurra, dichos terceros serán considerados encargados del tratamiento, y deberán cumplir plenamente con las disposiciones de esta política y con los estándares establecidos por la Ley para la Protección de Datos Personales.

Antes de transferir cualquier dato personal a un proveedor o tercero, Nexbridge se asegurará de que exista un contrato formal y por escrito que regule esta relación. Este contrato deberá incluir, como mínimo, cláusulas relativas a la confidencialidad de la información, la prohibición de uso para fines distintos a los instruidos por Nexbridge, el deber de implementar medidas adecuadas de seguridad, el deber de colaboración en caso de incidentes, así como la obligación de devolver o destruir los datos una vez concluida la prestación del servicio.

Los encargados del tratamiento deberán actuar siempre siguiendo instrucciones precisas del responsable, sin asumir control ni autonomía sobre los datos. Cualquier incumplimiento contractual o legal en el tratamiento de los datos por parte del proveedor será considerado una infracción grave y podrá dar lugar a sanciones, terminación contractual o notificación a la autoridad competente.

Nexbridge llevará un registro actualizado de sus encargados de tratamiento, evaluará periódicamente su cumplimiento en materia de protección de datos y establecerá mecanismos de supervisión, incluyendo auditorías o revisiones contractuales. Se dará prioridad a trabajar con proveedores que cuenten con certificaciones de seguridad, marcos de cumplimiento reconocidos o sellos de buenas prácticas en privacidad.

En el caso de servicios contratados en la nube, verificación digital, soluciones de cumplimiento o infraestructura tecnológica crítica, Nexbridge solo trabajará con proveedores que garanticen el cumplimiento del marco legal salvadoreño y ofrezcan garantías equivalentes en cuanto a la protección de los derechos de los titulares.

Como principio general, ningún proveedor externo podrá tratar datos personales por cuenta de Nexbridge si no ha aceptado expresamente las obligaciones derivadas de esta política y de la normativa vigente. El control sobre los datos personales no se delega: la responsabilidad final del cumplimiento sigue siendo de Nexbridge, como responsable del tratamiento.

15. Modificaciones a la Política.

Nexbridge se reserva el derecho de modificar, actualizar o complementar de manera unilateral la presente política de protección de datos personales en cualquier momento, sin necesidad de aviso previo, cuando así lo estime necesario para mantener su alineación con la legislación aplicable, con nuevas disposiciones emitidas por autoridades competentes, o con estándares internacionales emergentes en materia de privacidad y seguridad de la información.

Asimismo, podrán introducirse modificaciones cuando se produzcan cambios relevantes en los procesos internos del OTC Desk, en las tecnologías utilizadas para el tratamiento de datos personales, o en las relaciones contractuales con terceros que impliquen un ajuste en las obligaciones de protección de datos.

Toda modificación será debidamente registrada y documentada, y podrá ser comunicada al titular mediante medios físicos o electrónicos cuando así lo exija la naturaleza del cambio o lo establezca la normativa vigente. En caso de que la modificación altere sustancialmente las condiciones bajo las cuales se otorgó el consentimiento por parte del titular, Nexbridge recabará nuevamente dicho consentimiento de forma clara y específica, de conformidad con los principios de transparencia y legalidad.

La versión vigente de esta política estará siempre disponible para su consulta a través de los canales oficiales de Nexbridge, y se indicará en ella la fecha de su última actualización. Cualquier duda sobre el contenido de las modificaciones podrá ser canalizada por los medios de contacto habilitados para el ejercicio de derechos ARCO-POL.