Gestão de privacidade

Modelo de gestão de privacidade no Grupo Iberdrola

O gabinete global de proteção de dados liderado pelo encarregado de proteção de dados (DPO) do Grupo Iberdrola apoia o grupo Iberdrola em termos de privacidade, coordenando a supervisão do cumprimento dos regulamentos em vigor. O DPO global coordena as atividades com os DPOs das diversas empresas do Grupo e com os parceiros de proteção de dados dos diversos negócios.

Este valor é suportado por outras funções transversais no Grupo, como Serviços Jurídicos, Transformação Digital, Cibersegurança, Segurança Corporativa, Compliance, Auditoria Interna e Negócios.

esquema de coordinación de los DPOs
O esquema de coordenação dos DPOs do Grupo Ibedrola é refletido, bem como a coordenação com outras funções transversais do Grupo.

A Iberdrola possui a Política de Proteção de Dados Pessoais [PDF] do Grupo Iberdrola, cuja aprovação e modificação é da responsabilidade do Conselho de Administração da Empresa e estabelece a estratégia global nesta matéria. Esta política define papéis, funções e inter-relações entre as diferentes áreas e negócios do Grupo. 

O Departamento de Segurança Corporativa, em conjunto com os Serviços Jurídicos da Empresa, possui regulamentos internos para a gestão global da proteção de dados em nível de Grupo, que foi implementado pelo Departamento de Segurança Corporativa e é obrigatório para todos os gerentes e funcionários da Empresa.

Além disso, a Iberdrola possui um Quadro Global para a Proteção de Dados Pessoais do Grupo, que estabelece os critérios gerais e o modelo global do Grupo para a proteção de dados pessoais. O presente quadro é aplicável a todas as sociedades pertencentes ao grupo cuja sociedade-mãe, no sentido estabelecido por lei, seja a Sociedade (o "Grupo") e dentro dos limites estabelecidos pela legislação aplicável às atividades regulamentadas exercidas pelo Grupo, nos países em que opera e respeitando, em todos os casos, o quadro especial de autonomia reforçada aplicável às subholdings cotadas e às suas filiais,  e a das subholdings não listadas que não são de propriedade integral do Grupo e de suas respectivas subsidiárias, que são regidas por suas próprias políticas de proteção de dados pessoais. Estes são consistentes com a estratégia global do grupo sobre a proteção de dados pessoais, cuja implementação é desenvolvida por este Quadro Global PDP. 

Além disso, o Grupo Iberdrola obteve a aprovação da Agência Espanhola de Proteção de Dados (AEPD) das Regras Vinculativas Corporativas (BCR) sobre proteção de dados para poder realizar transferências internacionais entre as empresas do Grupo. Estas BCR obrigam todas as Empresas do Grupo [PDF] membro a cumprir as suas disposições sobre a recolha, recolha e tratamento de dados pessoais e a aplicá-las a todos os seus colaboradores.

Estructura de relacionamiento

Os diferentes eixos estão relacionados através dos seguintes fóruns ou interações:

  • Conselho de Administração da Iberdrola S.A.: O DPO reportará anualmente ao Conselho de Administração os aspetos mais importantes da atividade de compliance que supervisiona.
  • Conselhos de administração das subholdings: Os diferentes DPOs das holdings do Grupo Iberdrola informam anualmente os conselhos de administração das diferentes holdings sobre os aspetos mais importantes da atividade de compliance que supervisionam
  • Comitê de Cibersegurança e Proteção de Dados: O comitê tem como função supervisionar o estado geral da Cibersegurança e Proteção de Dados Pessoais no Grupo, facilitar sua coordenação e auxiliar o Departamento de Segurança Corporativa na implementação das medidas que aprovar, tudo nos termos estabelecidos em seu Regimento Interno.
  • Fóruns de DPO: A cada seis meses, o DPO global organiza uma reunião com os diferentes DPOs locais com o auxílio de um representante da função de Assessoria Jurídica de Privacidade, Auditoria Interna e Transformação Digital. É revisto o estado de conformidade com o modelo de Governação da Privacidade do Grupo Iberdrola em cada uma das jurisdições e são revistos os problemas específicos que podem ser transversais a estas organizações.
reporting-gestion-privacidad
Reflete a governação e o esquema de relatórios entre as políticas, normas e procedimentos do Grupo Iberdrola, bem como os fóruns e interações que devem aprovar estes documentos.

Mecanismos de coordenação

A fim de assegurar uma coordenação adequada entre as empresas do grupo, de acordo com a estrutura societária e o modelo de negócio do grupo Iberdrola, são estabelecidas as seguintes linhas de coordenação: 

  • Coordenação operacional global entre os Coordenadores Globais de Proteção de Dados das Áreas de Negócios e Corporativas, o Coordenador Global de Proteção de Dados de Serviços Jurídicos e o Coordenador Global, por meio do Comitê Global de Cibersegurança. 

  • Coordenação operacional a nível local entre os responsáveis locais pela proteção de dados das áreas empresariais ou corporativas, o Coordenador Local de Proteção de Dados dos Serviços Jurídicos e o Coordenador Local de Proteção de Dados de Segurança Corporativa através do grupo de coordenação correspondente. 

  • Coordenação operacional em nível empresarial ou corporativo: Os  coordenadores e responsáveis locais de proteção de dados devem reportar ao coordenador global correspondente as métricas, incidentes e riscos relevantes em termos de proteção de dados, referindo-se ao seu campo de atuação.

flujo-coordinacion-gestion-privacidad
Esquema de coordenação e comunicação entre os Responsáveis pela Proteção de Dados Pessoais nas diferentes empresas e áreas corporativas, bem como os Coordenadores de Proteção de Dados, globais e locais.

Relações com terceiros

Em todas as relações com terceiros, as empresas do Grupo devem cumprir a legislação de proteção de dados de sua jurisdição e a que é aplicável dependendo do tratamento de dados pessoais que é realizado. 

Devem igualmente aplicar as seguintes normas de acção: 

  • Só serão escolhidos transformadores que ofereçam garantias suficientes para aplicar as medidas técnicas e organizativas adequadas, de modo a que o tratamento esteja em conformidade com a legislação aplicável. 
  • O subcontratante não pode subcontratar o tratamento de dados pessoais a outro subcontratante sem a autorização prévia por escrito, específica ou geral, do responsável pelo tratamento. Uma vez autorizado, o subcontratante informará o responsável pelo tratamento de quaisquer alterações previstas na adição ou substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a essas alterações.
  • Serão identificados os requisitos de proteção de dados pessoais a incluir nas especificações técnicas entregues aos fornecedores, tendo em conta o resultado da avaliação de risco do tratamento objeto do contrato. 
  • Os serviços jurídicos estabelecerão cláusulas-padrão que deverão constar em contratos com terceiros e nos sistemas e plataformas que permitam o acesso por funcionários ou terceiros e/ou permitam a coleta ou o tratamento de Dados Pessoais. 
  • A fim de cumprir com as obrigações acima, um procedimento para a proteção de dados pessoais em compras será desenvolvido.