Política de privacidad para Proveedores y potenciales proveedores

Fecha: 22-05-2023

Iberdrola, S.A. ha desarrollado una herramienta para gestionar sus relaciones con potenciales proveedores interesados en participar en las licitaciones para adjudicaciones de contratos con Iberdrola S.A. o cualquiera de las sociedades del su grupo empresarial de conformidad con la legislación mercantil (“Grupo Iberdrola” o “Grupo”), así como con aquellos proveedores que mantienen relación contractual con el Grupo. Esta herramienta (en adelante, indistintamente, el “Portal” o el “Registro de Potenciales Proveedores y Proveedores” o “Registro”) está gestionada por Iberdrola S.A. y la información que se contiene en cada momento con ocasión de la interlocución de ésta con terceros (proveedores interesados, proveedores homologados y proveedores contratados, así como, en caso de que las anteriores sean personas jurídicas, de sus representantes y personas de contacto) es accesible para todas estas sociedades, algunas de las cuales se encuentran fuera del Espacio Económico Europeo. El listado de dichas sociedades es accesible a través de https://www.iberdrola.com/documents/20125/42388/IB_Informe_Financiero_Anual.pdf [PDF]

Por consiguiente, a los efectos de la normativa sobre protección de datos personales, te informamos que cualquier información sobre los proveedores o potenciales proveedores –o, en el supuesto de que éstos sean personas jurídicas, de sus representantes o personas de contacto que se obtenga como consecuencia de una solicitud de alta en dicho Portal o de cualquier trato preliminar o iniciativa con Iberdrola S.A o cualquiera de las compañías del Grupo Iberdrola para cualificarse como proveedor, comporta la incorporación de tal información en el Portal y su consiguiente acceso y conocimiento por cualquiera de las expresadas sociedades pertenecientes al Grupo Iberdrola.

Iberdrola, S.A. y las sociedades que forman parte del Grupo Iberdrola (en adelante, cualquiera de ellas, “Iberdrola”) se comprometen a proteger tu privacidad y te garantizan el cumplimento de la legislación de protección de datos personales, en particular, el Reglamento General de Protección de Datos (“RGPD”), la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) y la legislación de los países en los que se ubican las sociedades del Grupo Iberdrola. Tus datos personales serán tratados de forma lícita, leal y transparente; conforme a fines determinados explícitos y legítimos; sólo si son adecuados, pertinentes y limitados a lo necesario en relación con dichos fines. Además, mantendremos sus datos exactos y actualizados, conservándolos de forma que se permita tu identificación sólo durante el tiempo necesario para cumplir los fines del tratamiento.

Iberdrola ha implementado las medidas técnicas y organizativas necesarias para proteger tus datos de pérdidas accidentales o de su alteración, acceso, uso o divulgación no autorizados, habiendo asimismo establecido procedimientos para reaccionar ante cualquier incidente de seguridad que pudiera afectar a tus datos personales.

Mediante la presente Política de privacidad te informamos sobre el tratamiento de tus datos personales como proveedor y/o potencial proveedor del Grupo Iberdrola –o, en el supuesto de que éste sea una persona jurídica, como su representante o persona de contacto- con ocasión del proceso de tu inclusión o de la empresa a la que representas en el Registro de Potenciales Proveedores y Proveedores de Iberdrola, mientras dure la permanencia de la inscripción en tal Registro y con motivo, en su caso, de la relación contractual entablada con Iberdrola.

En el caso de proceder a actualizar este aviso de privacidad te lo comunicaremos a través de la web de Iberdrola oportunamente.

En el caso de que, como consecuencia de tu alta o del de la entidad a la que representas en el Registro de Potenciales Proveedores y Proveedores de Iberdrola y/o, en su caso, de la relación contractual que hayas entablado con Iberdrola, nos facilites datos de terceros, como nombres, cargos y datos de contacto de sus empleados, administradores, accionistas o representantes, deberás, con carácter previo a facilitarnos dichos datos, informar a dichos terceros sobre el tratamiento de los mismos en los términos recogidos en esta Política de privacidad.

¿Quién es el responsable del tratamiento de tus datos personales?

El responsable del tratamiento de tus datos es Iberdrola S.A., con domicilio social en Plaza Euskadi 5, 48009 Bilbao, España como titular del Registro de Potenciales Proveedores y Proveedores del Grupo Iberdrola y prestadora de servicios de compras a las todas las sociedades de dicho grupo empresarial.

Asimismo, cualquiera de las sociedades del Grupo Iberdrola es o puede constituirse en responsable del tratamiento de los datos en la medida en que (i) la información incorporada en el Portal de Proveedores y Potenciales Proveedores se produzca a través de las mismas, (ii) dichas sociedades accedan al contenido del Portal, o (iii) mantengas, en su caso, una relación contractual con cualquiera de ellas.

Las sociedades del Grupo Iberdrola han designado Delegados de Protección de Datos, a quienes podrá dirigirse por medio de las direcciones de correo electrónico que se indican a continuación, en los casos aplicables:

- Iberdrola, S.A.: dpo@iberdrola.com

- Resto de sociedades del grupo Iberdrola en España: dpo@iberdrola.es

- Iberdrola Energía Internacional, S.A.U., Iberdrola Clientes Internacional, S.A.U. e Iberdrola Renovables Internacional, S.A.U.: dpoiei@iberdrola.com

- Sociedades del Grupo en UK: dataprotection_corporate@scottishpower.com

- Sociedades del Grupo en Italia: dpo@iberdrola.it

- Sociedades del Grupo en Portugal: dpo@iberdrola.pt

- Sociedades del Grupo en Irlanda: dataprotection@iberdrola.ie

- Sociedades del Grupo en Francia: dpo@iberdrola.fr

- Sociedades del Grupo en Alemania: datenschutz@iberdrola.de

- Sociedades del Grupo en Brasil: dpo@neoenergia.com

¿Qué datos personales obtenemos y tratamos?

Tus datos personales que podremos tratar pertenecen a las siguientes categorías:

  • Datos de carácter identificativo: nombre, apellidos, DNI/NIF/NIE/RFC, pasaporte o análogo documento de identidad, dirección postal, teléfono fijo/móvil, email, imagen y firma. En el caso de la persona de contacto, también tu dirección de correo electrónico y, en algunos casos tu teléfono móvil, a efectos del doble factor de autenticación que se detalla en el apartado relativo a las finalidades del tratamiento.
  • Datos de características personales: Estado civil, datos de familia, fecha y lugar de nacimiento, edad, sexo, nacionalidad, idiomas. Adicionalmente, Avangrid, Inc. y sus filiales y las demás sociedades del Grupo Iberdrola ubicadas en EEUU, en cumplimiento de obligaciones legales, podrán recabar información relativa a su raza o etnia y tu estatus como veterano o discapacitado con el objeto de cumplir con cierta normativa y regulaciones, para los informes de igualdad de oportunidades de empleo y otros propósitos de cumplimiento normativo.
  • Datos académicos y profesionales: Actividad profesional, formación, titulaciones, experiencia profesional, pertenencia a colegios o asociaciones profesionales, profesión, puesto de trabajo.
  • Datos económicos, financieros y de seguros: datos bancarios para transferencias y pagos y certificados fiscales y de seguridad social, estados financieros anuales y actividad o negocio.
  • Datos negociales: servicios prestados.
  • Información adicional obtenida de registros públicos y bases de datos públicas de riesgo reputacional y de cumplimiento, que puede incluir, entre otros: datos sobre actividades y negocios, existencia de infracciones y sanciones, condición del interesado como persona con responsabilidad pública, carácter de empresa pública del tercero u otras informaciones necesarias para poder conocer si los proveedores y potenciales cumplen los altos estándares éticos que rigen la contratación por parte de las empresas del Grupo Iberdrola.

Podremos solicitarte que facilites la documentación original y que entregues copia de la misma, como evidencia que respalde la información que hayas proporcionado.

¿Cómo obtenemos tus datos personales?

Obtenemos tus datos personales a través de la información comunicada por ti durante el proceso de inscripción y alta en el Registro de Potenciales Proveedores y Proveedores de Iberdrola a través de los diferentes canales habilitados a tal efecto y, en su caso, la facilitada durante los procesos de contratación y el desarrollo de la relación contractual entablada contigo o con la compañía a la que representas.

Si no nos facilitas tus datos personales solicitados es posible que no podamos proceder a tu alta y calificación, o la de la entidad a la que representas, como proveedor o potencial proveedor de Iberdrola, así como, en su caso, cumplir con la relación contractual, con nuestras obligaciones legales y llevar a cabo la adecuada gestión de nuestra actividad.

Te solicitamos actualices tus datos personales en la medida que sufran cambios y facilites siempre información veraz, puesto que debemos disponer de tu información actual.

Adicionalmente, Iberdrola puede tratar datos personales de las personas físicas (p.ej. apoderados, administradores o accionistas) vinculadas a la compañía proveedora o potencial proveedora del Grupo Iberdrola obtenidos legítimamente de registros públicos y bases de datos públicas de riesgo reputacional y de cumplimiento como Refinitiv (https://www.refinitiv.com/en/products/world-check-kyc-screening/privacy-statement), Dow Jones (https://djlogin.dowjones.com/privacy/default.aspx?fcpil=es) o Informa (https://www.informa.es/textos-legales#privacidadbd). A tal fin, el proveedor se compromete a informar a dichas personas conforme a este aviso de privacidad, manteniendo indemne a la sociedad del Grupo Iberdrola con la que haya formalizado una relación contractual de los daños que pueda conllevar la falta de cumplimiento de esta obligación.

¿Con qué finalidades se tratarán tus datos personales y sobre qué base de legitimación?

1. Participación en el proceso de calificación como potencial proveedor del Grupo Iberdrola, en el contexto de sus normas y procedimientos de Cumplimiento y verificar periódicamente que el proveedor o potencial proveedor cumple dichos requisitos, siendo su base legitimadora: (i) si los datos corresponden personas de contacto, administradores, apoderados o representantes de una persona jurídica, el interés legítimo de Iberdrola en comprobar si dicho potencial proveedor o proveedor cumple con los requisitos necesarios para ser dado de alta como proveedor de Iberdrola y, en caso de que así sea, incluirle en el Registro; y (ii) en caso de que los datos pertenezcan a un potencial proveedor o proveedor persona física, respecto de los datos facilitados por éste, la necesidad de llevar a cabo su tratamiento como condición previa a la potencial celebración de un contrato, instada por el propio proveedor al solicitar su alta en el Registro y, en consecuencia, la existencia de medidas precontractuales a dicha celebración y, en cuanto a la información adicional obtenida por Iberdrola, el interés legítimo de dicha entidad en comprobar si dicho potencial proveedor o proveedor cumple con los requisitos necesarios para ser dado de alta como proveedor de Iberdrola y, en caso de que así sea, incluirle en el Registro.

2. Gestión de la participación de los potenciales proveedores y proveedores en los procesos de compras, siendo la base legitimadora (i) si los datos corresponden a personas de contacto o representantes de una persona jurídica, el interés legítimo de Iberdrola en gestionar la relación presente y futura con dicho proveedor o potencial proveedor; y (ii) en caso de que los datos pertenezcan a una persona física, la aplicación a petición del interesado de medidas precontractuales consistentes en la solicitud de participación en los mencionados procesos.

3. Gestión interna de sus potenciales proveedores y proveedores, sobre la base del interés legítimo de Iberdrola en mantener un histórico de potenciales proveedores que hayan solicitado su alta como proveedores de Iberdrola y del resultado de su proceso de calificación y de administrar y organizar adecuadamente sus relaciones con proveedores.

4. Elaboración de encuestas y estadísticas e informes internos, sobre la base del interés legítimo de Iberdrola en mejorar su relación con los potenciales proveedores y proveedores y obtener estadísticas y elaborar informes al respecto.

5. Envío de comunicaciones relacionadas con sostenibilidad, ética y cumplimiento, sobre la base del interés legítimo de Iberdrola en promover la concienciación de sus proveedores y potenciales proveedores en estas materias.

6. Mantenimiento, desarrollo y control, en todos sus aspectos, de la relación contractual, incluida la gestión de cobros y pagos, siendo la base legal (i) si los datos corresponden a personas de contacto o representantes de un proveedor persona jurídica, es el interés legítimo de Iberdrola en gestionar la relación entablada con dicho proveedor; y (ii) en caso de que los datos pertenezcan a un proveedor persona física, la ejecución del contrato suscrito entre ambas partes.

7. Gestión administrativa, siendo la base legal el interés legítimo de Iberdrola en mantener una adecuada gestión interna del Grupo.

8. Gestión de la coordinación de las actividades empresariales y prevención de riesgos laborales de contratistas y seguridad y salud, siendo su base legitimadora el cumplimiento de obligaciones legales.

9. Envío de información fiscal y cumplimiento de otras obligaciones legales y requerimientos y peticiones de organismos regulatorios, gubernamentales y judiciales, siendo su base legitimadora el cumplimiento de obligaciones legales.

10. Gestión de procedimientos administrativos y judiciales y actuaciones con organismos públicos relacionadas con esta materia, siendo la base legal el interés legítimo de Iberdrola en ejercer su derecho a la tutela judicial efectiva en su vertiente del derecho de defensa.

11. Gestión de denuncias y consultas en el canal ético del proveedor, análisis posibles conflictos de interés y realizar análisis de riesgos de solvencia, anticorrupción, fraude, ciberseguridad, sostenibilidad, geopolíticos, accidentalidad o relacionados, sobre la base legal del interés público y el interés legítimo de Iberdrola en la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de la empresa la comisión, en el seno de la misma o por terceros que contraten con ella, de actos que puedan ser contrarios a la normativa aplicable o a las normas internas de Iberdrola, respectivamente.

12. Control de acceso a las instalaciones y otras actividades de seguridad, siendo su base legitimadora el interés público en preservar la seguridad de las personas y bienes y de las instalaciones de Iberdrola en el caso de las actividades de videovigilancia en España y el interés legítimo de Iberdrola en controlar el acceso a dichas instalaciones para garantizar la seguridad de las mismas, de las personas y de los bienes en los demás casos.

13. En el caso de la dirección de correo electrónico y, en algunos casos, el número de teléfono móvil de la persona de contacto con el Grupo Iberdrola, para aplicar un doble factor de autenticación en el acceso a los sistemas de información consistente en añadir un segundo método de verificación del usuario, sobre la base del interés legítimo de Iberdrola en garantizar la seguridad de sus redes informáticas.

14. Invitación a sesiones informativas y premios del proveedor, sobre la base del interés legítimo de Iberdrola en invitarte a eventos, actos y concursos organizados por Iberdrola.

15. Auditoría externa, sobre la base legal del cumplimiento de obligaciones legales de auditoría para aquellas sociedades obligadas a la realización de auditoría externa o el interés legítimo de Iberdrola en la revisión de sus cuentas para el caso de que sociedad del Grupo Iberdrola no tenga tal obligación legal.

16. Disponer de los antecedentes de las contrataciones realizadas por Iberdrola con el proveedor y de su participación en las licitaciones del grupo Iberdrola, a efectos de considerarlo como un criterio en futuras contrataciones, sobre la base del interés legítimo de Iberdrola en mantener un histórico de contratos y licitaciones que facilite futuros procesos de contratación del proveedor.

En relación con las finalidades señaladas en los apartados 1 y 11 anteriores y, en concreto, respecto de los análisis de riesgos, se informa de que es posible que se utilicen datos personales obtenidos legítimamente de los registros públicos y bases de datos públicas de riesgo reputacional y de cumplimiento mencionadas en el apartado “¿Cómo obtenemos tus datos personales?”.

Finalmente, te informamos que cuando el tratamiento se funda en el interés legítimo de Iberdrola, ésta ha llevado a cabo el correspondiente análisis de ponderación entre el interés legítimo y los derechos del Interesado, a fin de garantizar que se han tenido en cuenta las garantías necesarias para la adecuada protección de tus derechos. Si deseas conocer las conclusiones de cualquiera de los análisis de ponderación del interés legítimo puedes solicitarlo al Delegado de Protección de Datos en la dirección que se menciona en el apartado “¿Quién es el responsable del tratamiento de tus datos personales?”.

¿Durante cuánto tiempo conservamos tus datos?

Tus datos personales serán tratados de acuerdo a los plazos expuestos a continuación:

- Finalidad 1: (i) en caso de no superar el proceso inicial de calificación de proveedores de Iberdrola, los datos personales se tratarán hasta la finalización de dicho proceso y (ii) en caso de superarlo, así como para las finalidades 2, 3 y 16 anteriores, los datos se mantendrán en tanto el proveedor o potencial proveedor mantenga tal condición en el Registro de Proveedores y Potenciales proveedores de Iberdrola y no manifieste su voluntad de no ser considerado para futuras licitaciones que pueda promover Iberdrola.

- Finalidad 4: los datos personales se tratarán hasta la elaboración de la encuesta, estadística o informe.

- Finalidades 5 y 14: los datos personales se tratarán en tanto el interesado no ejercite el derecho de oposición.

- Finalidades 6, 7, 8, 9 y 13: los datos personales se tratarán durante el plazo de tiempo necesario para cumplir con la finalidad para la que se recogieron y, en todo caso, hasta la finalización de la relación contractual.

- Finalidad 10: los datos personales se tratarán hasta la prescripción de las obligaciones y eventuales responsabilidades derivadas de la ejecución de la resolución administrativa o judicial firme.

- Finalidad 11: en caso de gestión de denuncias o consultas, los datos personales serán conservados, en el Buzón Ético, (i) en España, durante el plazo imprescindible para decidir sobre la procedencia de iniciar una investigación en relación con los hechos incluidos en la denuncia o consulta y, como máximo, durante tres meses desde que sean introducidos en dicho buzón; y (ii) en las sociedades del Grupo Iberdrola domiciliadas en el resto de los países, de acuerdo con lo establecido en sus procedimientos internos. Transcurridos estos plazos, los datos podrán seguir siendo tratados, fuera del Buzón Ético, por los órganos competentes hasta la conclusión de la investigación que, en su caso, se llevase a cabo.

- Finalidad 12: los datos personales serán conservados de acuerdo con nuestros procedimientos internos. En el caso de sociedades del Grupo Iberdrola ubicadas en España y para los datos personales obtenidos por las cámaras de videovigilancia, durante un mes desde su obtención, momento en el cual serán suprimidos, salvo que sea necesaria su conservación para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

- Finalidad 15: los datos personales se tratarán, como mínimo, hasta la finalización del ejercicio en que se realiza la auditoría y, en su caso, con posterioridad, en la medida en que así lo exijan las obligaciones legales de Iberdrola.

Por su parte, los datos tratados para la realización de las demás finalidades serán conservados mientras el proveedor o potencial proveedor se mantenga en el Registro de proveedores y Potenciales Proveedores de Iberdrola.

Una vez finalizados los plazos anteriores, los datos podrán ser conservados, debidamente bloqueados, hasta el transcurso de los plazos de prescripción de (i) las posibles obligaciones a que pudiera estar sujeta Iberdrola y (ii) de las eventuales responsabilidades derivadas de la relación contractual así como del propio tratamiento de dichos datos. Cumplido el citado plazo se procederá a la supresión definitiva de manera que se proteja la privacidad de dicha información y de acuerdo con nuestros procedimientos internos y la legislación aplicable.

¿A quién se comunicarán sus datos?

Los datos personales del proveedor y/o potencial proveedor –o, en el supuesto de que éste sea una persona jurídica, de sus representantes o personas de contacto- podrán ser comunicados a terceras a partes u a organismos públicos cuando (i) sean necesarios para la gestión, desarrollo y ejecución de la relación contractual, incluyendo el cumplimiento a nuestras obligaciones o el ejercicio de nuestros derechos, sobre la base de la ejecución de dicha relación; o (ii) si estamos obligados a hacerlo en virtud de una obligación legal, incluyendo el cumplimiento de requerimientos judiciales o administrativos procedentes de una autoridad competente. Asimismo, sus datos serán comunicados a (i) auditores externos para que efectúen las actividades que les son propias en aquellos supuestos en que Iberdrola esté obligada a ello para el cumplimiento de sus obligaciones legales de auditoría o, cuando no sea así, sobre la base del interés legítimo de Iberdrola en la revisión de sus cuentas; y (ii) a compañías de seguro y reaseguro, para la celebración de los contratos con tales compañías, siendo la base de legitimación la ejecución de dichos contratos.

También podremos comunicar tus datos a terceras partes involucradas en procesos de operaciones corporativas y, en concreto, en los procesos de diligencia debida (due diligence) relacionados con las mismas, para que dichas terceras partes puedan acceder y revisar la información necesaria en el marco de tales operaciones, siendo la base de legitimación de la comunicación el interés legítimo de Iberdrola y las terceras partes en el buen fin de aquéllas.

Los datos del proveedor –o de sus representantes o personas de contacto, en el supuesto de que aquél sea una persona jurídica- podrán ser comunicados a las sociedades del Grupo Iberdrola que tengan interés en su contratación, sobre la base del interés legítimo de dichas sociedades en la adecuada administración y organización de sus relaciones con acreedores. Tales sociedades del Grupo Iberdrola son las relacionadas en el sitio web corporativo https://www.iberdrola.com/documents/20125/42388/IB_Informe_Financiero_Anual.pdf [PDF]

En este contexto, en el supuesto de que la comunicación de sus datos personales se produzca a empresas del Grupo Iberdrola ubicadas fuera del Espacio Económico Europeo, en países que no ofrecen un nivel de protección adecuado de los datos personales, equivalente al establecido en la Unión Europea, te informamos que dichas transferencias se realizarán de conformidad con las leyes de protección de datos aplicables y con nuestras normas corporativas vinculantes (“BCR”). El hecho de disponer de las BCR implica que todas las entidades de nuestro grupo que las suscriben tienen que cumplir el RGPD y las mismas normas internas. También implica que tus derechos siguen siendo los mismos independientemente de dónde trate Iberdrola tus datos. Puedes descargar una copia de las BCR del Grupo Iberdrola en https://www.iberdrola.com/politica-privacidad/normas-corporativas-vinculantes

Asimismo, tus datos serán accesibles por terceras entidades que presten, como encargados del tratamiento, servicios externos a Iberdrola, tales como servicios de facturación y pagos, administración de cuentas a pagar, servicios de consultoría y preparación de informes y reporting, servicios informáticos, de gestión de Registro, de formación, de vigilancia y seguridad. Con todos ellos hemos suscrito los contratos exigidos por el RGPD que regulan sus obligaciones como encargados del tratamiento. En dichos contratos, cuando las empresas estén ubicadas en un tercer país que no ofrezca un nivel de protección adecuado de los datos personales, equivalente al establecido en la Unión Europea, Iberdrola se asegurará de contar con las medidas adecuadas para que tus datos queden protegidos en el país y en la organización de destino en idénticos o similares términos a los previstos en la normativa europea y española. En cualquier momento puedes dirigirte a Iberdrola para conocer las concretas garantías que se han implementado para la adecuada y apropiada protección de tus datos personales.

¿Cuáles son tus derechos?

Tienes derecho a acceder a sus datos personales objeto de tratamiento, así como solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando los datos ya no sean necesarios para los fines que fueron recogidos, además de ejercer el derecho de oposición y limitación al tratamiento y de portabilidad de los datos. En el caso de haber obtenido tu consentimiento, puedes revocarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento efectuado con anterioridad. Para ejercitar tus derechos puedes dirigir una comunicación a:

- Para las sociedades del Grupo Iberdrola ubicadas en la Unión Europea: Dirección de Administración, Plaza Euskadi 5, 48009 Bilbao o a las siguientes direcciones Gestionterceros@iberdrola.es y desarrollosuministradores@iberdrola.es

- Para las sociedades del Grupo ScottishPower: Administration- Vendors@scottishpower.com or Data Protection Officer, Scottish Power UK Plc, 320 St Vincent Street, Glasgow, G2 5AD.

- Para sociedades del Grupo Iberdrola ubicadas en México: Gestionterceros@iberdrola.es o Boulevard Manuel Ávila Camacho No. 24, piso 19, Col. Lomas de Chapultepec, C.P. 11000, Ciudad de México.

- Para sociedades del Grupo Avangrid, VendorMaintenance_AdminUSA@avangrid.com o AVANGRID General Administration, 162 Canco Road, Portland, Maine 04103

Puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o autoridad de control equivalente.