POLÍTICA DE PRIVACIDAD
La Empresa tiene atribuida la competencia de diseñar, evaluar y revisar con carácter permanente el Sistema de gobernanza y sostenibilidad y, específicamente, de aprobar y actualizar las políticas corporativas, las cuales contienen las pautas que rigen la actuación de la empresa.En el ejercicio de estas responsabilidades, y en el marco de la ley, de las directrices de actuación en las que se concreta el Propósito y Valores de la Empresa, así como de su estrategia de desarrollo sostenible, se aprueba esta Política de protección de datos personales (la “Política”).
1. FINALIDAD
La finalidad de esta Política es establecer los principios y pautas comunes y generales de actuación que deben regir en la empresa en materia de protección de datos personales, garantizando, en todo caso, el cumplimiento de la legislación aplicable.
En particular, la Política garantiza el derecho a la protección de los datos de todas las personas físicas que se relacionan con la sociedad, asegurando el respeto del derecho al honor y a la intimidad en el tratamiento de las diferentes tipologías de datos personales, procedentes de diferentes fuentes y con fines diversos en función de su actividad empresarial, todo ello en cumplimiento de la Política de respeto de los derechos humanos de la Sociedad.
2. ÁMBITO DE APLICACIÓN
Esta Política es de aplicación a la Empresa, así como a todas las personas que se relacionen con la misma.
3. PRINCIPIOS GENERALES RELATIVOS AL TRATAMIENTO DE DATOS PERSONALES
La Empresa cumplirá escrupulosamente con la legislación de su jurisdicción en materia de protección de datos y la que resulte aplicable en función del tratamiento de datos personales que lleven a cabo.
Asimismo, la Empresa promoverá que los principios recogidos en esta Política sean tenidos en cuenta: (i) en el diseño e implementación de todos los procedimientos que impliquen el tratamiento de datos personales; (ii) en los productos y servicios ofrecidos por estas; (iii) en todos los contratos y obligaciones que formalicen con personas físicas; y (iv) en la implantación de cuantos sistemas y plataformas permitan el acceso por parte de los profesionales de la Empresa o de terceros, a datos personales y a la recogida o tratamiento de dichos datos.
4. PRINCIPIOS BÁSICOS RELATIVOS AL TRATAMIENTO DE DATOS PERSONALES.
Los principios relativos al tratamiento de los datos personales sobre los que se fundamenta esta Política son los que se detallan a continuación:
a) Principios de legitimidad, licitud y lealtad en el tratamiento de datos personales.
El tratamiento de datos personales será legítimo, lícito y leal, conforme a la legislación aplicable. En este sentido, los datos personales deberán ser recogidos para uno o varios fines específicos y legítimos conforme a la legislación aplicable.
En los casos en los que resulte obligatorio, conforme a la legislación aplicable, deberá obtenerse el consentimiento de los interesados antes de recabar sus datos.
Asimismo, cuando lo exija la ley, los fines del tratamiento de datos personales serán explícitos y determinados en el momento de su recogida.
En particular, la Empresa no recabará ni tratará datos personales relativos al origen étnico o racial, a la ideología política, a las creencias, a las convicciones religiosas o filosóficas, a la vida u orientación sexual, a la afiliación sindical, a la salud, ni datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona, salvo que la recogida de los referidos datos sea necesaria, legítima y requerida o permitida por la legislación aplicable, en cuyo caso serán recabados y tratados de acuerdo con lo establecido en aquella.
b) Principio de minimización.
Solo serán objeto de tratamiento aquellos datos personales que resulten estrictamente necesarios para la finalidad para la que se recojan o traten y adecuados a tal finalidad.
c) Principio de exactitud.
Los datos personales deberán ser exactos y estar actualizados. En caso contrario, deberán suprimirse o rectificarse.
d) Principio de limitación del plazo de conservación.
Los datos personales no se conservarán más allá del plazo necesario para conseguir el fin para el cual se tratan, salvo en los supuestos previstos legalmente.
Anexo I – Protocolo plazos de conservación y eliminación.
e) Principios de integridad y confidencialidad.
En el tratamiento de los datos personales se deberá garantizar, mediante medidas técnicas u organizativas, una seguridad adecuada que los proteja del tratamiento no autorizado o ilícito y que evite su pérdida, su destrucción y que sufran daños accidentales.
Anexo II – Política de seguridad
Los datos personales recabados y tratados por la Empresa deberán ser conservados con la máxima confidencialidad y secreto, no pudiendo ser utilizados para otros fines distintos de los que justificaron y permitieron su recogida y sin que puedan ser comunicados o cedidos a terceros fuera de los casos permitidos por la legislación aplicable.
f) Principio de responsabilidad proactiva.
La Empresa será responsable de cumplir con los principios estipulados en esta Política y los exigidos en la legislación aplicable y deberán ser capaces de demostrarlo, cuando así lo exija la legislación aplicable.
Análisis de riesgos
La Empresa deberá hacer una evaluación del riesgo de los tratamientos que realice, con el fin de determinar las medidas a aplicar para garantizar que los datos personales se tratan conforme a las exigencias legales. En los casos en los que la ley lo requiera, se evaluarán de forma previa los riesgos que para la protección de datos personales puedan comportar nuevos productos, servicios o sistemas de información y se adoptarán las medidas necesarias para eliminarlos o mitigarlos.
Para tratamientos complejos, en los que la principal fuente de riesgo proviene de la sensibilidad, la extensión de los datos, las formas de recogida de estos o su comunicación a terceros, es recomendable realizar un análisis global del ciclo de vida de los datos.
Anexo III – Ciclo de vida del dato
Registro de actividades de tratamiento
La Empresa deberá llevar un registro de actividades en el que se describan los tratamientos de datos personales que lleven a cabo en el marco de sus actividades.
Gestión de violaciones de seguridad
En el caso de que se produzca un incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizado a dichos datos, deberán seguirse los protocolos internos establecidos a tal efecto por el responsable de Seguridad, o por la dirección que asuma sus funciones, y por los que establezca la legislación aplicable. Dichos incidentes deberán documentarse y se adoptarán medidas para solventar y paliar los posibles efectos negativos para los interesados.
Anexo IV – Protocolo gestión de violaciones de seguridad
g) Principios de transparencia e información.
El tratamiento de datos personales será transparente en relación con el interesado, facilitándole la información sobre el tratamiento de sus datos de forma comprensible y accesible, cuando así lo exija la ley aplicable.
A fin de garantizar un tratamiento leal y transparente, la Empresa, como responsable del tratamiento, deberá informar a los afectados o interesados cuyos datos se pretende recabar de las circunstancias relativas al tratamiento conforme a la legislación aplicable.
Anexo V – Protocolo de información sobre el tratamiento a interesados
h) Adquisición u obtención de datos personales.
Queda prohibida la adquisición u obtención de datos personales de fuentes ilegítimas, de fuentes que no garanticen suficientemente su legítima procedencia o de fuentes cuyos datos hayan sido recabados o cedidos contraviniendo la ley.
i) Contratación de encargados del tratamiento.
Con carácter previo a la contratación de cualquier prestador de servicios que acceda a datos personales que sean responsabilidad de la Empresa, así como durante la vigencia de la relación contractual, estas deberán adoptar las medidas necesarias para garantizar y, cuando sea legalmente exigible, demostrar, que el tratamiento de datos por parte del encargado se lleva a cabo conforme a la normativa aplicable.
Anexo VI – Protocolo contratación de proveedores.
j) Transferencias internacionales de datos.
Todo tratamiento de datos personales sujeto a la normativa de la Unión Europea que implique una transferencia de datos fuera del Espacio Económico Europeo deberá llevarse a cabo con estricto cumplimiento de los requisitos establecidos en la ley aplicable en la jurisdicción de origen.
k) Derechos de los interesados.
La Empresa deberá permitir que los interesados puedan ejercitar los derechos de acceso, rectificación, oposición, supresión, portabilidad y limitación del tratamiento, estableciendo, a tal efecto, los procedimientos internos que resulten necesarios para satisfacer, al menos, los requisitos legales aplicables en cada caso.
Anexo VII – Protocolo gestión de derechos de interesados
5. IMPLEMENTACIÓN
La Dirección de RRHH desarrollará y mantendrá actualizada, conforme a lo dispuesto en esta Política, la normativa interna de gestión global de la protección de datos, que se implementará por la citada dirección y será de obligado cumplimiento para todos los miembros del equipo directivo y profesionales de la Sociedad.
Igualmente, la Dirección de RRHH, junto con el resto de responsables departamentales, establecerán procedimientos internos que desarrollen los principios recogidos en esta Política y que concreten su contenido en función de la ley aplicable.
La Dirección de RRHH será responsable de reportar los desarrollos y novedades normativas que se produzcan en el ámbito de la protección de datos personales.
El responsable del departamento de IT, será la encargada de implementar, los controles y desarrollos informáticos que sean adecuados para garantizar el cumplimiento de la normativa interna de gestión global de la protección de datos y velará por que dichos desarrollos estén actualizados en cada momento.
Adicionalmente, se procederá a: (i) designar, sujeto a lo que establezca la legislación aplicable en cada caso, a las personas responsables de los datos, que actuarán coordinadamente y bajo la supervisión de la Dirección de RRHH; y (ii) coordinar con aquella cualquiera actividad que implique o conlleve la gestión de datos personales.
Finalmente, los consultores de protección de datos, harán seguimiento del estado general de la protección de datos personales y velarán por el adecuado cumplimiento de las prácticas y la gestión de los riesgos en el ámbito de la protección de los datos personales.
6. CONTROL Y EVALUACIÓN
Corresponde a la dirección que asuma sus funciones, supervisar el cumplimiento de lo dispuesto en esta Política por parte de la Sociedad. Lo anterior se entenderá, en todo caso, sin perjuicio de las responsabilidades que correspondan a otros órganos y direcciones de la Sociedad.
Para verificar el cumplimiento de esta Política se realizarán auditorías periódicas con auditores internos o externos.
Evaluación
La dirección que asuma sus funciones evaluará, al menos una vez al año, el cumplimiento y la eficacia de esta Política e informará del resultado.
Esta Política ha sido aprobada el 30 de septiembre de 2023.