POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

Iberdrola garantiza el derecho a la protección de sus datos a todas las personas que se relacionan con el Grupo

Política de protección de datos personales.

Política de protección de datos personales

18 de diciembre de 2018

El Consejo de Administración de IBERDROLA, S.A. (la "Sociedad") tiene atribuida la responsabilidad de formular la estrategia y aprobar las Políticas corporativas de la Sociedad, así como de organizar los sistemas de control interno. En el ejercicio de estas responsabilidades, y con el objeto de establecer los principios generales que deben regir el tratamiento de los datos personales en todas las sociedades pertenecientes al grupo cuya sociedad dominante, en el sentido establecido por la ley, es la Sociedad (el "Grupo"), el Consejo de Administración aprueba esta Política de protección de datos personales.

1. Finalidad

La Política de protección de datos personales establece los principios y pautas comunes de actuación que deben regir en el Grupo en materia de protección de datos personales, garantizando, en todo caso, el cumplimiento de la legislación aplicable.

En particular, la Política de protección de datos personales tiene la finalidad de garantizar el derecho a la protección de sus datos de todas las personas físicas que se relacionan con las sociedades pertenecientes al Grupo, asegurando el respeto del derecho al honor y a la intimidad en el tratamiento de las diferentes tipologías de datos personales, procedentes de diferentes fuentes y con fines diversos en función de su actividad empresarial.

2. Ámbito de aplicación

La Política de protección de datos personales será de aplicación a la Sociedad, a las demás sociedades del Grupo, a sus administradores, directivos y empleados, así como a todas las personas que se relacionen con las sociedades pertenecientes a aquel.

Por excepción a lo anterior, las sociedades subholding cotizadas y aquellas no cotizadas que no estén íntegramente participadas por el Grupo, que cuenten con su propia política de protección de datos personales, así como sus respectivas sociedades dependientes, quedarán fuera del ámbito de aplicación de esta Política de protección de datos personales. Sin perjuicio de ello, en ambos casos, las políticas de esas sociedades preverán los mecanismos necesarios para garantizar la adecuada coordinación con el resto del Grupo en el ámbito de la protección de datos personales.

En aquellas sociedades o entidades participadas, directa o indirectamente, por la Sociedad que no formen parte del Grupo, sus representantes procurarán que se observen las previsiones de esta Política de protección de datos personales y promoverán, en la medida de lo posible, la aplicación de sus principios.

3. Principios del tratamiento de los datos personales

Los principios por los que se rige la Política de protección de datos personales son los siguientes:

a) Principios generales: 

Las sociedades del Grupo cumplirán escrupulosamente con la legislación de su jurisdicción en materia de protección de datos, la que resulte aplicable en función del tratamiento de datos personales que se lleve a cabo y la que se determine conforme a normas o acuerdos vinculantes adoptados en el seno del Grupo.

Las sociedades del Grupo promoverán que los principios recogidos en esta Política de protección de datos personales sean tenidos en cuenta en el diseño e implementación de todos los procedimientos que impliquen el tratamiento de datos personales, en los productos y servicios ofrecidos por estas, en todos los contratos y obligaciones que formalicen con personas físicas y en la implantación de cuantos sistemas y plataformas permitan el acceso por parte de empleados o de terceros a datos personales y/o la recogida o tratamiento de dichos datos.

b) Principios relativos al tratamiento de datos personales:

(i) Principios de legitimidad, licitud y lealtad en el tratamiento de datos personales.

El tratamiento de datos personales será leal, legítimo y lícito conforme a la legislación aplicable. En este sentido, los datos personales deberán ser recogidos para uno o varios fines específicos y legítimos conforme a la legislación aplicable.

En los casos en los que resulte obligatorio conforme a la legislación aplicable, deberá obtenerse el consentimiento de los interesados antes de recabar sus datos.

Asimismo, cuando lo exija la ley, los fines del tratamiento de datos personales serán explícitos y determinados en el momento de su recogida.

En particular, las sociedades del Grupo no recabarán ni tratarán datos personales relativos al origen étnico o racial, a la ideología política, a las creencias, a las convicciones religiosas o filosóficas, a la vida u orientación sexual, a la afiliación sindical, a la salud, ni datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona, salvo que la recogida de los referidos datos sea necesaria, legítima y requerida o permitida por la legislación aplicable, en cuyo caso serán recabados y tratados de acuerdo con lo establecido en aquella.

(ii) Principio de minimización.

Solo serán objeto de tratamiento aquellos datos personales que resulten estrictamente necesarios para la finalidad para los que se recojan o traten y adecuados a tal finalidad.

(iii) Principio de exactitud.

Los datos personales deberán ser exactos y estar actualizados. En caso contrario, deberán suprimirse o rectificarse.

(iv) Principio de limitación del plazo de conservación.

Los datos personales no se conservarán más allá del plazo necesario para conseguir el fin para el cual se tratan, salvo en los supuestos previstos legalmente.

(v) Principios de integridad y confidencialidad.

En el tratamiento de los datos personales se deberá garantizar, mediante medidas técnicas u organizativas, una seguridad adecuada que los proteja del tratamiento no autorizado o ilícito y que evite su pérdida, su destrucción y que sufran daños accidentales.

Los datos personales recabados y tratados por las sociedades del Grupo deberán ser conservados con la máxima confidencialidad y secreto, no pudiendo ser utilizados para otros fines distintos de los que justificaron y permitieron su recogida y sin que puedan ser comunicados o cedidos a terceros fuera de los casos permitidos por la legislación aplicable.

(vi) Principio de responsabilidad proactiva (rendición de cuentas).

Las sociedades del Grupo serán responsables de cumplir con los principios estipulados en esta Política de protección de datos personales y los exigidos en la legislación aplicable y deberán ser capaces de demostrarlo, cuando así lo exija la legislación aplicable.

Las sociedades del Grupo deberán hacer una evaluación del riesgo de los tratamientos que realicen, con el fin de determinar las medidas a aplicar para garantizar que los datos personales se tratan conforme a las exigencias legales. En los casos en los que la ley lo exija, se evaluarán de forma previa los riesgos que para la protección de datos personales puedan comportar nuevos productos, servicios o sistemas de información y se adoptarán las medidas necesarias para eliminarlos o mitigarlos.

Las sociedades del Grupo deberán llevar un registro de actividades en el que se describan los tratamientos de datos personales que lleven a cabo en el marco de sus actividades.

En el caso de que se produzca un incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizado a dichos datos, deberán seguirse los protocolos internos establecidos a tal efecto por la Dirección de Seguridad Corporativa y los que establezca la legislación aplicable. Dichos incidentes deberán documentarse y se adoptarán medidas para solventar y paliar los posibles efectos negativos para los interesados.

En los casos previstos en la ley, se designará a delegados de protección de datos con el fin de garantizar el cumplimiento de la normativa de protección de datos en las sociedades del Grupo.

(vii) Principios de transparencia e información.

El tratamiento de datos personales será transparente en relación con el interesado, facilitándole la información sobre el tratamiento de sus datos de forma comprensible y accesible, cuando así lo exija la ley aplicable.

A fin de garantizar un tratamiento leal y transparente, la sociedad del Grupo responsable del tratamiento deberá informar a los afectados o interesados cuyos datos se pretende recabar de las circunstancias relativas al tratamiento conforme a la legislación aplicable.

(viii) Adquisición u obtención de datos personales.

Queda prohibida la adquisición u obtención de datos personales de fuentes ilegítimas, de fuentes que no garanticen suficientemente su legítima procedencia o de fuentes cuyos datos hayan sido recabados o cedidos contraviniendo la ley.

(ix) Contratación de encargados del tratamiento.

Con carácter previo a la contratación de cualquier prestador de servicios que acceda a datos personales que sean responsabilidad de las sociedades del Grupo, así como durante la vigencia de la relación contractual, estas deberán adoptar las medidas necesarias para garantizar y, cuando sea legalmente exigible, demostrar, que el tratamiento de datos por parte del encargado se lleva a cabo conforme a la normativa aplicable.

(x) Transferencias internacionales de datos.

Todo tratamiento de datos personales sujeto a la normativa de la Unión Europea que implique una transferencia de datos fuera del Espacio Económico Europeo deberá llevarse a cabo con estricto cumplimiento de los requisitos establecidos en la ley aplicable en la jurisdicción de origen. Asimismo, las sociedades del Grupo ubicadas fuera de la Unión Europea deberán cumplir con los requisitos establecidos para las transferencias internacionales de datos personales que sean, en su caso, de aplicación en su jurisdicción.

(xi) Derechos de los interesados.

Las sociedades del Grupo deberán permitir que los interesados puedan ejercitar los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición que sean de aplicación en cada jurisdicción, estableciendo, a tal efecto, los procedimientos internos que resulten necesarios para satisfacer, al menos, los requisitos legales aplicables en cada caso.

4. Implementación

Conforme a lo dispuesto en esta Política de protección de datos personales, la Dirección de Seguridad Corporativa, conjuntamente con los Servicios Jurídicos de la Sociedad, desarrollarán y mantendrán actualizada la normativa interna de gestión global de la protección de datos a nivel de Grupo, que se implementará por la Dirección de Seguridad Corporativa y será de obligado cumplimiento para todos los directivos y empleados de la Sociedad.

Igualmente, la Dirección de Seguridad Corporativa y la Dirección de Servicios Jurídicos de cada país, o las direcciones que asuman sus funciones, establecerán procedimientos internos de carácter local que desarrollen los principios recogidos en esta Política de protección de datos personales y que concreten su contenido en función de la ley aplicable en sus respectivas jurisdicciones.

La Dirección de Servicios Jurídicos será responsable de reportar a la Dirección de Seguridad Corporativa los desarrollos y novedades normativas que se produzcan en este ámbito.

La Dirección de Sistemas, o la dirección que asuma sus funciones, será la encargada de implementar en los sistemas de información de las sociedades del Grupo, los controles y desarrollos informáticos que sean adecuados para garantizar el cumplimiento de la normativa interna de gestión global de la protección de datos y velará por que dichos desarrollos estén actualizados en cada momento.

Adicionalmente, los negocios y direcciones corporativas deberán: designar, sujeto a lo que establezca la legislación aplicable en cada caso, a las personas responsables de los datos, que actuarán coordinadamente y bajo la supervisión de la Dirección de Seguridad Corporativa; y coordinar con la Dirección de Seguridad Corporativa cualquier actividad que implique o conlleve la gestión de datos personales, respetando en todo caso el marco especial de autonomía reforzada de las sociedades subholding cotizadas y las particularidades que puedan establecerse en aquellas sociedades subholding no cotizadas que no estén íntegramente participadas por el Grupo.

Finalmente, el Comité de Ciberseguridad, constituido conforme a lo dispuesto en la Política de riesgos de ciberseguridad, hará seguimiento del estado general de la protección de datos personales en las sociedades del Grupo y velará por la adecuada coordinación, a nivel de Grupo, de las prácticas y la gestión de los riesgos en el ámbito de la protección de los datos personales, asistiendo a la Dirección de Seguridad Corporativa en la aprobación de normativa interna en ese ámbito.

5. Control y evaluación

a) Control 

Corresponde a la Dirección de Seguridad Corporativa, o a la dirección que asuma sus funciones, supervisar el cumplimiento de lo dispuesto en esta Política de protección de datos personales por parte de la Sociedad y las demás sociedades del Grupo. Lo anterior se entenderá, en todo caso, sin perjuicio de las responsabilidades que correspondan a otros órganos y direcciones de la Sociedad y, en su caso, a los órganos de administración y de dirección del resto de sociedades del Grupo.

Para verificar el cumplimiento de esta Política de protección de datos personales se realizarán auditorías periódicas con auditores internos o externos.

b) Evaluación

La Dirección de Seguridad Corporativa evaluará, al menos una vez al año, el cumplimiento y la eficacia de esta Política de protección de datos personales e informará del resultado a la Dirección de Finanzas y Recursos, o a la dirección que asuma dichas funciones en cada momento.

Esta Política de protección de datos personales fue aprobada inicialmente por el Consejo de Administración el 15 de diciembre de 2015 y modificada por última vez el 18 de diciembre de 2018.

Descarga la política en PDF. [PDF]