Gestión de privacidad

Modelo de gestión de la privacidad en el Grupo Iberdrola

La oficina global de protección de datos liderado por el delegado de protección de datos del Grupo Iberdrola (DPO) da soporte al grupo Iberdrola en materia de privacidad coordinando la supervisión del cumplimiento de la normativa vigente. El DPO global coordina las actividades con los DPOs de las distintas sociedades del Grupo y con los interlocutores de protección de datos de los distintos negocios.

Esta figura se apoya en otras funciones trasversales en el Grupo como Servicios Jurídicos, Transformación Digital, Ciberseguridad, Seguridad Corporativa, Cumplimiento, Auditoría Interna y Negocios.

esquema de coordinación de los DPOs
Se refleja el esquema de coordinación de los DPOs del Grupo Ibedrola, así como la coordinación con otras funciones trasversales del Grupo.

Iberdrola cuenta con la Política de protección de datos de carácter personal [PDF] del Grupo Iberdrola cuya aprobación y modificación es responsabilidad del Consejo de Administración de la Sociedad y establece la estrategia global sobre la materia. En dicha política se definen roles, funciones e interrelaciones existentes entre las distintas áreas y negocios del Grupo.

La Dirección de Seguridad Corporativa, conjuntamente con los Servicios Jurídicos de la Sociedad, cuentan con una normativa interna de gestión global de la protección de datos a nivel de Grupo, que se ha implementado por la Dirección de Seguridad Corporativa y es de obligado cumplimiento para todos los directivos y empleados de la Sociedad.

Además, Iberdrola cuenta con un Marco global para la protección de datos personales del Grupo el cual establece los criterios generales y el modelo global del Grupo en materia de protección de datos personales. Este Marco es de aplicación a todas las sociedades pertenecientes al grupo cuya sociedad dominante, en el sentido establecido por la ley, es la Sociedad, (el "Grupo") y dentro de los límites establecidos por la legislación aplicable a las actividades reguladas desarrolladas por el Grupo, en los países en los que opera y respetando en todo caso el marco especial de autonomía reforzada aplicable a las sociedades subholding cotizadas y sus filiales, y el de aquellas sociedades subholdings no cotizadas que no estén íntegramente participadas por el Grupo y a sus respectivas sociedades dependientes, que si bien se rigen por sus propias políticas de protección de datos de personales. Estas son coherentes con la estrategia global en materia de protección de datos personales del grupo cuya implementación desarrolla este Marco Global de PDP. 

Adicionalmente, el Grupo Iberdrola obtuvo la aprobación por parte de la Agencia Española de Protección de Datos (AEPD) de las Normas Corporativas Vinculantes (NCV) en materia de protección de datos con el fin de poder realizar transferencias internacionales entre las empresas del Grupo. Dichas NCV obligan a todas las Sociedades del Grupo adheridas [PDF] a cumplir con sus disposiciones en la captación, recopilación y tratamiento de datos personales, y hacerlas cumplir a todos sus empleados.

Estructura de relacionamiento

Los diferentes ejes se relacionan a través de los siguientes foros o interacciones:

  • Consejo de Administración de Iberdrola S.A.: El DPO reportará anualmente al Consejo de Administración sobre los aspectos más importantes de la actividad de cumplimiento que supervisa.
  • Consejos de administración de las subholdings: Los distintos DPOs de las Holdings del Grupo Iberdrola reportan anualmente a los consejos de administración de las distintas Holdings sobre los aspectos más importantes de la actividad de cumplimiento que supervisa
  • Comité de ciberseguridad y protección de datos: El comité tiene como función supervisar el estado general de la Ciberseguridad y de la protección de Datos Personales en el Grupo, facilitar su coordinación y asistir a la Dirección de Seguridad Corporativa en la implantación de las medidas que ésta apruebe, todo ello, en los términos recogidos en su Reglamento interno.
  • Foros DPO: Semestralmente el DPO global organiza una reunión con los distintos DPOs locales con la asistencia de un representante de la función de Asesoría Jurídica de Privacidad, de Auditoría Interna y de Transformación Digital. Se revisa el estado de cumplimiento del modelo de Gobierno de la privacidad del Grupo Iberdrola en cada una de las jurisdicciones, y se revisan las problemáticas específicas que puedan resultar transversales a dichas organizaciones.
reporting-gestion-privacidad
Esquema de gobernanza y reporting entre las políticas, normas, y procedimientos del Grupo Iberdrola, así como los foros e interacciones que deben aprobar dichos documentos.

Mecanismos de coordinación

Para garantizar una adecuada coordinación entre las sociedades del grupo, acorde a la estructura societaria y Modelo de negocio del grupo Iberdrola, se establecen las siguientes líneas de coordinación: 

  • Coordinación operativa a nivel global entre los Coordinadores Globales de Protección de Datos de los Negocios y Áreas corporativas, el Coordinador Global de Protección de Datos de los Servicios Jurídicos y el Coordinador Global, a través del Comité Global de Ciberseguridad. 
  • Coordinación operativa a nivel local entre los responsables locales de protección de datos de los negocios o áreas corporativas, el Coordinador Local de Protección de Datos de los Servicios Jurídicos y el Coordinador Local de Protección de Datos de Seguridad Corporativa a través del correspondiente grupo de coordinación. 
  • Coordinación operativa a nivel de negocio o área corporativa: Los coordinadores y responsables locales de protección de datos deben informar al correspondiente coordinador global sobre las métricas, incidentes y riesgos relevantes en materia de protección de datos, referentes a su ámbito de actuación.
flujo-coordinacion-gestion-privacidad
Esquema de coordinación y reporting entre los responsables de protección de Datos Personales en los distintos negocios y áreas corporativas, así como los Coordinadores de Protección de Datos, global y locales.

Relaciones con terceras partes

En toda relación con terceras partes, las sociedades del Grupo deben cumplir con la legislación en materia de protección de datos de su jurisdicción y la que resulte aplicable en función del tratamiento de datos personales que se lleve a cabo. 

Deberán, asimismo, aplicar los siguientes estándares de actuación: 

  • Se elegirán únicamente encargados de tratamiento que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, de modo que el tratamiento sea conforme a la legislación aplicable. 
  • El encargado de tratamiento no podrá subcontratar el tratamiento de datos personales con otro encargado sin la autorización previa por escrito, específica o general, del responsable. Una vez autorizado, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados que se subcontraten, dando así al responsable la oportunidad de oponerse a dichos cambios.
  • Se identificarán los requisitos de protección de datos personales a incluir en las especificaciones técnicas que se entregan a los proveedores, tomando en consideración el resultado de la evaluación de riesgos de los tratamientos objeto del contrato. 
  • Los servicios jurídicos, establecerán cláusulas estándar que deberán incluirse en los contratos con terceras partes y en los sistemas y plataformas que permitan el acceso de empleados o de terceros y/o permitan la recogida o tratamiento de Datos Personales. 
  • Para cumplir con las obligaciones anteriores se elaborará un procedimiento para la protección de datos personales en las compras.