Política de tecnologías digitales
Política de tecnologías digitales
25 de febrero de 2025
El Consejo de Administración de IBERDROLA, S.A. (la “Sociedad”) tiene atribuida la competencia de diseñar, evaluar y revisar con carácter permanente el Sistema de gobernanza y sostenibilidad y, específicamente, de aprobar y actualizar las políticas corporativas, las cuales contienen las pautas que rigen la actuación de la Sociedad y de las sociedades integradas en el grupo cuya entidad dominante es, en el sentido establecido por la ley, la Sociedad (el “Grupo”).
En el ejercicio de estas competencias y en el marco de la normativa legal, de los Estatutos Sociales y del Propósito y Valores del Grupo Iberdrola, el Consejo de Administración aprueba esta Política de tecnologías digitales (la “Política”).
1. Finalidad
La finalidad de esta Política es establecer el marco global para el gobierno y la gestión proactiva de los procesos y actuaciones relacionados con las tecnologías digitales, entendiendo como tales las tecnologías de la información y las tecnologías de la operación, −reconociendo su importancia como recurso clave para alcanzar los objetivos de la Sociedad y de las demás compañías del Grupo y garantizar el funcionamiento eficaz y eficiente de los procesos de negocio−, promoviendo un enfoque coordinado en arquitectura, seguridad y en potenciales convergencias con otras tecnologías, minimizando riesgos operacionales y de seguridad, así como asegurando su continuidad.
A los efectos de esta Política se entiende por:
(i) tecnologías de la información (“IT”, por sus siglas en inglés), el conjunto de elementos físicos o materiales que constituyen una computadora o un sistema informático (“Hardware”) y el conjunto de programas, instrucciones, datos y reglas informáticas para ejecutar ciertas tareas en una computadora (“Software”) utilizado para el manejo de datos, centrado en la gestión y protección de la información digital, incluyendo redes de comunicación general, almacenamiento y procesamiento de datos y sistemas de gestión.
(ii) tecnologías de la operación (“OT”, por sus siglas en inglés), el Hardware y el Software utilizado para controlar e interactuar con procesos físicos industriales en tiempo real, incluyendo sistemas de control local, SCADA (“Supervisory, Control and Data Acquisition”), sistemas de operación remota y las telecomunicaciones entre ellos.
2. Ámbito de aplicación
Esta Política es de aplicación en todas las sociedades que integran el Grupo, así como en las sociedades participadas no integradas en el Grupo sobre las que la Sociedad tiene un control efectivo, dentro de los límites legalmente establecidos.
Sin perjuicio de lo dispuesto en el párrafo anterior, las sociedades subholding cotizadas y sus filiales, al amparo de su propio marco especial de autonomía reforzada, podrán establecer una política equivalente, que deberá ser conforme con los principios recogidos en esta Política y en las demás políticas medioambientales, sociales y de gobierno corporativo y cumplimiento normativo del Sistema de gobernanza y sostenibilidad.
En aquellas sociedades participadas en las que esta Política no sea de aplicación, la Sociedad promoverá, a través de sus representantes en sus órganos de administración, el alineamiento de sus políticas propias con las de la Sociedad.
Además, esta Política es también aplicable, en lo que proceda, a las joint ventures, uniones temporales de empresas y otras asociaciones equivalentes, cuando la Sociedad asuma su gestión.
3. Principios básicos de actuación
La Sociedad asume y promueve los siguientes principios básicos de actuación que deben presidir sus actividades relacionadas con el uso de las tecnologías digitales:
(i) Continuidad de las operaciones: asegurar la continuidad de las operaciones que garanticen la prestación de los servicios, aplicando criterios de alta disponibilidad y resiliencia, desarrollando planes de continuidad de negocio, de contingencia y de recuperación ante desastres, todo ello de conformidad con la Política de seguridad corporativa, la Política de resiliencia operativa, las Bases generales de control y gestión de riesgos del Grupo Iberdrola y las Directrices y límites de riesgo de tecnologías digitales, aprobadas por el Consejo de Administración.
(ii) Eficiencia operativa: garantizar la operación de los activos IT y OT con la máxima eficiencia, optimizando los recursos personales y materiales y sus costes durante el ciclo de vida de los activos, sobre la base de procesos y tecnologías fiables que aseguren la alta disponibilidad de las instalaciones, aplicando las mejores prácticas y estándares reconocidos.
(iii) Gestión de riesgos: promover la identificación y gestión proactiva de los riesgos en los dispositivos, sistemas y procesos asociados a las tecnologías digitales, asegurando que los riesgos identificados se encuentran dentro de los umbrales considerados adecuados, en especial, los relacionados con la seguridad, el capital natural, la continuidad de negocio y aquellos asociados a las instalaciones consideradas críticas según la normativa de aplicación. Esto incluye, en particular, la planificación, el despliegue y la utilización de soluciones que permitan la identificación, protección, detección, respuesta y recuperación de riesgos en ciberseguridad, en coordinación con la Política de seguridad corporativa y la Política de resiliencia operativa, así como con las Directrices y límites de riesgo de ciberseguridad.
(iv) Innovación tecnológica y ciclo de vida: promover pautas para el diseño seguro, planificación, implantación, operación, desmantelamiento y sustitución de los equipos y sistemas de IT y OT.
En este sentido, las compañías del Grupo perseguirán mantenerse en la vanguardia de las nuevas tecnologías para su aprovechamiento y la generación de valor para sus respectivos negocios, en coordinación con la estrategia de innovación establecida a nivel del Grupo, y para alcanzar las metas estratégicas y los objetivos marcados. Asimismo, favorecerán la participación en grupos de normalización nacionales e internacionales, así como la selección de estándares de carácter abierto que eviten cautividad propia.
(v) Sostenibilidad y responsabilidad social: impulsar la selección de tecnologías que optimicen la eficiencia energética y la reducción del consumo, de las pérdidas energéticas y de las emisiones de gases de efecto invernadero. En particular, se prestará especial atención a que los dispositivos, sistemas y procesos asociados a las tecnologías digitales no perjudiquen la salud de los profesionales, de los usuarios, de los clientes y de la sociedad en general.
(vi) Formación y concienciación: impulsar la adecuada preparación y capacitación de planificadores, desarrolladores, mantenedores y usuarios de las tecnologías digitales, en función de su perfil, para entender los riesgos asociados a estas tecnologías.
Las sociedades del Grupo promoverán el impulso de estos principios básicos para impulsar la creación de valor a través del uso efectivo, seguro e innovador de las tecnologías digitales y la satisfacción de los usuarios internos y externos con el nivel de compromiso que se establezca a nivel del Grupo sobre los servicios proporcionados, manteniendo un equilibrio entre la generación de valor, la optimización de los niveles de riesgo y el uso eficiente de los recursos con criterios de proporcionalidad.
4. Coordinación a nivel de Grupo: el Modelo de gobierno de las tecnologías digitales
Se establecerá un Modelo de gobierno de las tecnologías digitales a nivel del Grupo de conformidad con lo previsto en esta Política en el que se fijarán las metodologías, procedimientos y herramientas necesarias para que las sociedades del Grupo cuenten con un modelo común.
La Dirección de Recursos y Servicios (o la dirección que, en cada momento, asuma sus facultades), a través del Comité de Seguridad, Resiliencia y Tecnologías Digitales (o del comité que, en cada momento, asuma sus facultades), supervisará el establecimiento del citado Modelo de gobierno de las tecnologías digitales.
De igual modo, la Dirección de Recursos y Servicios, a través del Comité de Seguridad, Resiliencia y Tecnologías Digitales (o del comité que, en cada momento, asuma sus facultades) se coordinará con los comités de seguridad, resiliencia y tecnologías digitales que, en su caso, se constituyan en las sociedades subholding o, en su defecto, con las correspondientes direcciones de las sociedades del Grupo que, en cada momento, asuman sus facultades para velar por un adecuado y consolidado nivel de madurez del Modelo de gobierno de las tecnologías digitales.
5. Implementación y desarrollo
Para la implementación y seguimiento de lo previsto en esta Política, el Consejo de Administración cuenta con la Dirección de Recursos y Servicios (o la dirección que, en cada momento asuma sus funciones), que desarrollará los procedimientos necesarios para ello.
La Dirección de Recursos y Servicios (o la dirección que, en cada momento asuma sus funciones), revisará esta Política al menos una vez al año a fin de garantizar que su contenido sea adecuado a los constantes avances, innovaciones, riesgos y cambios normativos que se producen en la materia.
Esta Política fue aprobada inicialmente por el Consejo de Administración el 10 de mayo de 2022 y modificada por última vez el 25 de febrero de 2025.