Gestão de privacidade

A Iberdrola dispõe de uma Política de Proteção de Dados Pessoais [PDF], aprovada e alterada pelo Conselho de Administração, que estabelece os princípios básicos e a estratégia geral do Grupo nessa área. Essa Política define o marco de atuação aplicável à Companhia e orienta também os desenvolvimentos regulatórios das empresas do Grupo, incluindo as subholdings nacionais e suas subsidiárias, em linha com os princípios éticos e de sustentabilidade do Grupo. Estabelece ainda as funções, papéis e obrigações em matéria de proteção de dados, incluindo os princípios de licitude, minimização de dados, exatidão, limitação do prazo de conservação, integridade, confidencialidade, responsabilidade proativa, transparência e direitos dos titulares dos dados, que devem nortear as ações de todas as áreas do Grupo Iberdrola.

O Departamento de Segurança Corporativa, em conjunto com os Serviços Jurídicos, também dispõe de uma política interna abrangente de proteção de dados aplicável a todo o Grupo, de cumprimento obrigatório para gestores e colaboradores.

Além disso, a Iberdrola conta com um modelo global de proteção de dados pessoais aplicável a todas as empresas do Grupo nos países em que opera, respeitando os requisitos específicos das subholdings nacionais.

O Grupo Iberdrola dispõe de Normas Corporativas Vinculantes (NCV) aprovadas pela Agência Espanhola de Proteção de Dados (AEPD), que estabelecem um quadro jurídico interno para garantir um nível adequado e uniforme de proteção de dados pessoais em todas as empresas participantes. Essas BCRs permitem as transferências internacionais de dados dentro do Grupo em plena conformidade com as regulamentações aplicáveis e obrigam todas as entidades que as adotaram a aplicar as medidas, princípios e normas internas de proteção de dados definidas pela Iberdrola, assegurando uma gestão consistente, segura e responsável das informações pessoais em todo o Grupo.

Governança e reporte

O modelo de privacidade do Grupo Iberdrola se estrutura por meio de diversos órgãos e fóruns que garantem uma supervisão eficaz e consistente, alinhada ao Sistema de Governança e Sustentabilidade do Grupo.

Conselho de Administração da Iberdrola, S.A.

O Encarregado de Proteção de Dados (DPO) reporta anualmente ao Conselho de Administração sobre os aspectos mais relevantes das atividades de conformidade em proteção de dados, incluindo os principais indicadores de compliance e a evolução do modelo, em linha com as competências atribuídas a esse órgão no marco normativo interno do Grupo.

Conselhos de Administração das subholdings nacionais

Os DPOs das subholdings nacionais apresentam relatórios anuais aos respectivos Conselhos, garantindo uma supervisão adequada do compliance e o alinhamento com os princípios corporativos de proteção de dados.

Comitê de Segurança, Resiliência e Tecnologias Digitais

O Comitê de Segurança, Resiliência e Tecnologias Digitais, constituído como órgão transversal de apoio ao Departamento de Segurança e Resiliência, garante a devida coordenação no âmbito do Grupo em matéria de segurança, resiliência operacional e gestão do risco tecnológico. Em conformidade com as disposições do Sistema de Governança e Sustentabilidade, esse comitê supervisiona a implementação dos procedimentos internos relativos à proteção de dados pessoais, incluindo a gestão de incidentes, as medidas técnicas e organizacionais e os mecanismos de controle associados, assegurando sua consistência com as diretrizes corporativas e com o marco de autonomia reforçada aplicável às subholdings nacionais listadas em bolsa.

Grupo Global de Cibersegurança e Proteção de Dados

O Grupo Global de Cibersegurança e Proteção de Dados tem como função supervisionar o estado geral da cibersegurança e da proteção de dados pessoais no Grupo, facilitar a coordenação e apoiar o Departamento de Segurança Corporativa na implementação das medidas que aprova, tudo em conformidade com os termos estabelecidos em seu regulamento interno.

Fóruns de DPOs

Realiza-se um fórum a cada seis meses, reunindo o DPO Global, os DPOs locais e representantes dos Serviços Jurídicos, da Auditoria Interna e da área de TI. Nessas sessões, revisa-se o cumprimento do modelo de governança do Grupo, avaliam-se os riscos comuns e analisam-se questões transversais, promovendo a consistência e a melhoria contínua do Programa Global de Privacidade.

Mecanismos de coordenação

Para garantir uma atuação consistente, coordenada e eficiente em matéria de privacidade no âmbito de um Grupo multinacional e descentralizado, foram estabelecidos os seguintes mecanismos de coordenação, em linha com as disposições das diretrizes do Grupo Iberdrola para definição e coordenação.

Coordenação operacional global

Os coordenadores globais de proteção de dados das unidades de negócio e áreas corporativas, o coordenador global dos Serviços Jurídicos e o coordenador global de Segurança Corporativa organizam esse nível no âmbito do Grupo Global de Cibersegurança. Esse nível assegura a consistência estratégica e a aplicação uniforme dos princípios corporativos.

Coordenação operacional no âmbito local

Cada unidade de negócio ou área conta com encarregados de proteção de dados locais que participam em grupos de coordenação específicos. Isso garante o cumprimento das regulamentações locais e a aplicação eficaz dos procedimentos corporativos, respeitando o princípio de subsidiariedade que caracteriza o modelo organizacional do Grupo.

Coordenação operacional no âmbito da unidade de negócio ou área corporativa

As unidades de negócio e áreas corporativas reportam ao coordenador global métricas, incidentes, desenvolvimentos e riscos relevantes, facilitando a rastreabilidade, a consistência e o monitoramento centralizado do compliance, e contribuindo para a abordagem proativa de responsabilidade estabelecida na Política de Proteção de Dados do Grupo.

Relações com terceiros

Esses princípios se aplicam a todas as atividades do Grupo Iberdrola e de sua cadeia de valor, incluindo fornecedores e terceiros que tratem dados pessoais em nome do Grupo:

• Em todas as relações com terceiros, as empresas do Grupo devem cumprir a legislação de proteção de dados aplicável e adotar os seguintes padrões:
• Selecionar apenas operadores de dados que ofereçam garantias suficientes quanto às medidas técnicas e organizacionais.
• Exigir autorização prévia, específica ou geral, para qualquer externalização do tratamento de dados pessoais.
• Incluir requisitos de proteção de dados nas especificações técnicas fornecidas a fornecedores, de acordo com a análise de risco realizada.
• Incorporar nos contratos as cláusulas-padrão definidas pelos Serviços Jurídicos e necessárias para o acesso ou tratamento de dados pessoais.
• Aplicar procedimentos específicos de proteção de dados nos processos de contratação.

Avaliações periódicas, auditorias e revisões

A Iberdrola realiza, de forma regular e documentada, o seguinte:

• Avaliações de Impacto sobre a Proteção de Dados (DPIAs) para operações de tratamento que possam representar riscos elevados.
• Avaliações de impacto sobre a privacidade (PIA) antes da implementação de novos projetos ou tecnologias.
• Auditorias internas de compliance.
• Revisões operacionais regulares como parte do ciclo de melhoria contínua do Programa Global de Privacidade.

Treinamento e cultura de privacidade

Todos os colaboradores do Grupo recebem treinamento em proteção de dados e segurança da informação, adaptado à sua função e responsabilidades.

Além disso, a Iberdrola realiza campanhas de conscientização periódicas, comunicações internas e materiais de treinamento com o objetivo de fortalecer a cultura de privacidade em toda a organização.

A Iberdrola revisa esse treinamento periodicamente.

Direitos e opções dos usuários

A Iberdrola oferece aos usuários canais claros para exercer o controle sobre seus dados pessoais.

Os usuários podem, entre outras coisas:

• Gerenciar o consentimento para comunicações de marketing.
• Gerenciar suas preferências de privacidade e cookies.
• Retirar o consentimento anteriormente fornecido.
• Solicitar acesso, retificação, eliminação, limitação, oposição ou portabilidade.

Divulgamos dados pessoais a terceiros apenas quando necessário para a prestação de serviços, o cumprimento de obrigações legais ou o exercício dos legítimos interesses do Grupo, garantindo em todos os casos um nível adequado de proteção.

Gestão de incidentes e notificação de violações

A Iberdrola dispõe de um procedimento interno de gestão de incidentes de segurança, que inclui:

• Identificação e análise de incidentes.
• Coordenação da resposta.
• Notificação à autoridade supervisora, quando aplicável.
• Comunicação aos titulares afetados quando exigido por lei.

Avaliação e supervisão de terceiros (due diligence)

O Grupo aplica um processo estruturado de due diligence em matéria de privacidade e segurança quando terceiros têm acesso a dados pessoais.

Esse processo inclui avaliações prévias, obrigações contratuais reforçadas, monitoramento contínuo e, quando pertinente, auditorias de fornecedores.

Gestão responsável das informações pessoais

A Iberdrola promove o tratamento adequado e respeitoso das informações pessoais por todos os seus colaboradores no exercício de suas funções, garantindo uma abordagem baseada no respeito aos direitos e salvaguardas estabelecidos.

Certificações: os padrões mais rigorosos em privacidade

A Iberdrola reafirmou seu compromisso com a privacidade ao tornar-se a primeira empresa europeia de energia a obter o Selo Europeu de Proteção de Dados Europrivacy, o único esquema de certificação oficialmente aprovado pelo Comitê Europeu de Proteção de Dados (CEPD) nos termos do artigo 42(5) do RGPD e reconhecido em todos os Estados-membros da UE e do EEE.

A obtenção desse selo, juntamente com a recente renovação, pela AEPD, das Regras Corporativas Vinculantes do Grupo, consolida a posição da Iberdrola como líder europeia em privacidade, demonstrando uma estratégia digital ética, robusta e plenamente alinhada com os princípios de proteção dos direitos e liberdades dos usuários no ambiente digital.