Gestión de privacidad

Modelo de gestión de la privacidad en el Grupo Iberdrola

La Oficina Global de Protección de Datos, liderada por el Delegado de Protección de Datos del Grupo Iberdrola (DPD), da soporte al Grupo en materia de privacidad, coordinando la supervisión del cumplimiento de la normativa vigente. El DPD global coordina sus actividades con los DPDs de las distintas sociedades del Grupo y con los interlocutores de protección de datos de los distintos negocios.

Esta figura se apoya en otras funciones transversales del Grupo como Servicios Jurídicos, Sistemas, Ciberseguridad, Seguridad Corporativa, Cumplimiento, Auditoría Interna y las diferentes áreas de negocio.

esquema de coordinación de los DPOs
Se refleja el esquema de coordinación de los DPOs del Grupo Ibedrola, así como la coordinación con otras funciones trasversales del Grupo.

Iberdrola cuenta con la Política de protección de datos personales [PDF], cuya aprobación y modificación corresponden al Consejo de Administración, y que establece los principios básicos y la estrategia global del Grupo en esta materia. Esta Política define el marco de actuación aplicable a la Sociedad y orienta, además, los desarrollos normativos de las sociedades del Grupo, incluyendo las sociedades subholding y sus filiales, en coherencia con los principios éticos y de sostenibilidad del Grupo. Asimismo, fija los roles, funciones y obligaciones en materia de protección de datos, incluyendo los principios de legitimidad, minimización, exactitud, limitación del plazo de conservación, integridad, confidencialidad, responsabilidad proactiva, transparencia y derechos de los interesados, que deben guiar la actuación de todas las áreas del Grupo Iberdrola.

La Dirección de Seguridad Corporativa, junto con Servicios Jurídicos, cuenta además con una normativa interna global de protección de datos aplicable a todo el Grupo y de obligado cumplimiento para los directivos y empleados.

Asimismo, Iberdrola dispone de un Modelo global para la protección de datos personales, aplicable a todas las sociedades del Grupo, en los países en los que opera, respetando los requerimientos específicos de las sociedades subholding.

El Grupo Iberdrola dispone de Normas Corporativas Vinculantes (NCV), aprobadas por la Agencia Española de Protección de Datos (AEPD), que establecen un marco jurídico interno para garantizar un nivel adecuado y homogéneo de protección de los datos personales en todas las sociedades adheridas. Estas NCV permiten realizar transferencias internacionales de datos dentro del Grupo con pleno cumplimiento de la normativa aplicable y obligan a todas las entidades que las han adoptado a aplicar las medidas, principios y estándares internos de protección de datos definidos por Iberdrola, asegurando así una gestión coherente, segura y responsable de la información personal en todo el ámbito corporativo.

Gobernanza y reporting

El modelo de privacidad del Grupo Iberdrola se articula mediante diversos órganos y foros que garantizan una supervisión eficaz, coherente y alineada con el Sistema de gobernanza y sostenibilidad del Grupo.

Consejo de Administración de Iberdrola, S.A.

El Delegado de Protección de Datos (DPD) informa anualmente al Consejo de Administración sobre los aspectos más relevantes de la actividad de cumplimiento en materia de protección de datos, incluyendo indicadores clave de cumplimiento y evolución del modelo, en coherencia con las competencias atribuidas a este órgano en el marco normativo interno del Grupo

Consejos de Administración de las sociedades subholding

Los DPD de las sociedades subholding presentan informes anuales a sus respectivos Consejos, garantizando la adecuada supervisión del cumplimiento y la alineación con los principios corporativos de protección de datos.

Comité de Seguridad, Resiliencia y Tecnologías Digitales 

El Comité de Seguridad, Resiliencia y Tecnologías Digitales, configurado como órgano transversal de apoyo a la Dirección de Seguridad y Resiliencia, vela por la adecuada coordinación a nivel del Grupo en materia de seguridad, resiliencia operativa y gestión de riesgos tecnológicos. De acuerdo con lo previsto en el Sistema de gobernanza y sostenibilidad, este comité supervisa la aplicación de los procedimientos internos relacionados con la protección de datos personales, incluyendo la gestión de incidentes, las medidas técnicas y organizativas, y los mecanismos de control asociados, asegurando su coherencia con las directrices corporativas y con el marco de autonomía reforzada aplicable a las sociedades subholding cotizadas

Grupo Global de Ciberseguridad y Proteccion de Datos

El grupo tiene como función supervisar el estado general de la Ciberseguridad y de la protección de Datos Personales en el Grupo, facilitar su coordinación y asistir a la Dirección de Seguridad Corporativa en la implantación de las medidas que ésta apruebe, todo ello, en los términos recogidos en su Reglamento interno.

Foros DPD

Semestralmente se celebra un foro que reúne al DPD global, los DPD locales y representantes de Asesoría Jurídica, Auditoría Interna y Sistemas. En estas sesiones se revisa el cumplimiento del modelo de gobernanza del Grupo, se evalúan riesgos comunes y se analizan problemáticas transversales, fomentando la homogeneidad y la mejora continua del Programa Global de Privacidad.

reporting-gestion-privacidad
Esquema de gobernanza y reporting entre las políticas, normas, y procedimientos del Grupo Iberdrola, así como los foros e interacciones que deben aprobar dichos documentos.

Mecanismos de coordinación

Con el fin de garantizar una actuación coherente, coordinada y eficiente en materia de privacidad en un Grupo multinacional y descentralizado, se establecen los siguientes mecanismos de coordinación, coherentes con lo previsto en las Bases para la definición y coordinación del Grupo Iberdrola.

Coordinación operativa a nivel global

Se articula entre los coordinadores globales de protección de datos de los negocios y áreas corporativas, el coordinador global de Servicios Jurídicos y el coordinador global de Seguridad Corporativa, en el marco del Grupo Global de Ciberseguridad. Este nivel asegura la coherencia estratégica y la aplicación homogénea de los principios corporativos.

Coordinación operativa a nivel local

Cada negocio o área cuenta con responsables locales de protección de datos que participan en grupos de coordinación específicos. Se garantiza así la adecuación a la normativa local y la aplicación eficaz de los procedimientos corporativos, respetando el principio de subsidiariedad característico del modelo organizativo del Grupo.

Coordinación operativa a nivel de negocio o área corporativa

Los negocios y áreas corporativas informan al coordinador global sobre métricas, incidentes, desarrollos y riesgos relevantes, facilitando la trazabilidad, coherencia y monitorización centralizada del cumplimiento y contribuyendo al enfoque de responsabilidad proactiva recogido en la Política de Protección de Datos del Grupo.

flujo-coordinacion-gestion-privacidad
Esquema de coordinación y reporting entre los responsables de protección de Datos Personales en los distintos negocios y áreas corporativas, así como los Coordinadores de Protección de Datos, global y locales.

Relaciones con terceras partes

Estos principios se aplican a todas las actividades del Grupo Iberdrola y a su cadena de valor, incluyendo proveedores y terceros que traten datos personales por cuenta del Grupo:

  • En toda relación con terceras partes, las sociedades del Grupo deben cumplir la legislación aplicable en materia de protección de datos y aplicar los siguientes estándares:
  • Seleccionar únicamente encargados de tratamiento que ofrezcan garantías suficientes en materia de medidas técnicas y organizativas.
  • Exigir autorización previa, específica o general, para cualquier subcontratación de tratamientos de datos personales.
  • Incluir los requisitos de protección de datos en las especificaciones técnicas entregadas a los proveedores, de acuerdo con el análisis de riesgos realizado.
  • Incorporar en los contratos las cláusulas estándar definidas por los Servicios Jurídicos y requeridas para el acceso o tratamiento de datos personales.
  • Aplicar procedimientos específicos para la protección de datos en los procesos de compras.

Evaluaciones, auditorías y revisiones periódicas

Iberdrola realiza de manera recurrente y documentada:

  • Evaluaciones de impacto en protección de datos (DPIA) para tratamientos que puedan suponer riesgos elevados.
  • Evaluaciones de privacidad (PIA) previas a la implantación de nuevos proyectos o tecnologías.
  • Auditorías internas de cumplimiento.
  • Revisiones operativas periódicas como parte del ciclo de mejora continua del Programa Global de Privacidad.

Formación y cultura de privacidad

Todos los empleados del Grupo reciben formación en protección de datos y seguridad de la información, adaptada a su rol y responsabilidades.

Adicionalmente, Iberdrola desarrolla campañas periódicas de concienciación, comunicaciones internas y materiales formativos dirigidos a reforzar la cultura de privacidad en toda la organización.

Esta formación es seguida periódicamente.

Derechos y opciones de las personas usuarias

Iberdrola pone a disposición de las personas usuarias canales claros para ejercer control sobre sus datos personales.

Los usuarios pueden, entre otros:

  • Aceptar o rechazar comunicaciones comerciales (opt‑in).
  • Gestionar sus preferencias de privacidad y cookies.
  • Retirar consentimientos otorgados.
  • Solicitar acceso, rectificación, supresión, limitación, oposición o portabilidad.

La comunicación de datos personales a terceros se realiza únicamente cuando es necesaria para la prestación de servicios, el cumplimiento de obligaciones legales o el ejercicio de intereses legítimos del Grupo, garantizando en todo caso un nivel adecuado de protección.

Gestión de incidentes y notificación de brechas

Iberdrola cuenta con un procedimiento interno de gestión de incidentes de seguridad, que incluye:

  • Identificación y análisis de incidentes.
  • Coordinación de la respuesta.
  • Notificación a la autoridad de control cuando procede.
  • Comunicación a las personas afectadas en los casos legalmente exigidos.

Evaluación y supervisión de terceros (debida diligencia)

El Grupo aplica un proceso estructurado de debida diligencia en materia de privacidad y seguridad cuando terceros acceden a datos personales.

Este proceso incluye evaluaciones previas, obligaciones contractuales reforzadas, supervisión continua y, cuando procede, auditorías de proveedores.
Gestión responsable de la información personal

Iberdrola promueve un uso entre todos sus profesionales el tratamiento adecuado y respetuoso de la información personal en el desempeño de sus actividades, garantizando un enfoque basado en el respeto a los derechos y garantías establecidos.

Certificaciones – Los estándares más exigentes en Privacidad

Iberdrola ratifica su compromiso en materia de privacidad al haberse convertido en la primera compañía energética europea en obtener el Sello Europeo de Protección de Datos Europrivacy, el único sistema de certificación oficialmente aprobado por el Comité Europeo de Protección de Datos (EDPB) bajo el artículo 42.5 del RGPD y reconocido en todos los Estados miembros de la UE y del EEE.

La obtención de este sello, junto con la reciente renovación por parte de la AEPD de las Normas Corporativas Vinculantes del Grupo, consolida a Iberdrola como referente europeo en privacidad, evidenciando una estrategia digital ética, robusta y plenamente alineada con los principios de protección de derechos y libertades de las personas usuarias en el entorno digital.