Política de protecció de dades

1. INTRODUCCIÓ

Les empreses del grup Veolia a Espanya, la matriu del qual és VEOLIA SPAIN, SL (d’ara endavant, amb referència a totes, VEOLIA) assumeixen un fort compromís amb la protecció de les dades personals.

Aquesta política de protecció de dades personals té per objecte informar les persones físiques (empleats, candidats, clients, proveïdors o socis i els seus empleats) sobre les mesures aplicades per VEOLIA a la recollida de dades personals en el curs de les seves activitats.

Aquesta política pot evolucionar en el temps per adaptar-se, quan escaigui, al context legal d’Espanya i de la Unió Europea o per acollir les recomanacions o decisions preses per les diferents autoritats de control en matèria de protecció de dades a Espanya i pel Comitè Europeu de Protecció de Dades.

2. DADES PERSONALS RECOLLIDES, FINALITATS DEL TRACTAMENT I DPO (DATA PROTECTION OFFICER)

VEOLIA hha creat una organització responsable de l’aplicació correcta i el compliment d’aquesta política sota la supervisió del chief compliance officer (CCO). El DPO deVEOLIA se situa sota l’autoritat del CCO per tal de garantir-ne la independència i situar la protecció de les dades personals en el centre de l’estructura organitzativa de l’empresa.

A més, VEOLIA duu a terme accions per conscienciar els seus empleats de la necessitat de protegir les dades personals, per la qual cosa qualsevol recollida o tractament no es durà a terme si no és pertinent per a les finalitats previstes i si no es defineixen aquestes finalitats per garantir que són lícites, específiques, explícites i legítimes.

Tots els tractaments duts a terme per VEOLIA que puguin contenir dades personals són objecte d’una fitxa descriptiva completa inscrita en el registre d’activitats de tractament.

VEOLIA garanteix que la recollida de dades personals i el seu tractament compleixen:

  • El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD) i
  • La Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD).

3. REGLES D’OR

VEOLIA es basa en6 REGLES D’OR exigibles a qualsevol persona que reculli o tracti dades personals pel seu compte:

  1. S’até al RGPD i garanteix que les dades personals es recullen, s’utilitzen i es comparteixen respectant els drets de les persones interessades i el concepte de privadesa per disseny.
  2. És transparent i clara amb les persones interessades sobre les finalitats del tractament, sobre la finalitat i els mitjans i sobre les persones amb les quals es compartiran les seves dades. Cerca el consentiment de les persones físiques quan cal i procedeix sense el seu consentiment només quan el RGPD o la LOPDGDD ho permeten.
  3. Cerca assessorament en cas que tingui algun dubte sobre el tractament de les dades personals, confronta opinions amb altres professionals, obté un assessorament jurídic o de l’autoritat de control competent, si cal, i documenta la seva decisió.
  4. Fonamenta la decisió de recollir, utilitzar o compartir les dades personals en l’interès de la persona física per tractar només les dades necessàries, pertinents, adequades, proporcionades, exactes, oportunes i segures durant un període de temps d’acord amb les finalitats del tractament.
  5. Garanteix que tota la informació compartida és estrictament necessària per assolir les finalitats del tractament i per permetre als proveïdors prestar els serveis previstos.
  6. S’assegura que les mesures de seguretat que s’adopten per preservar la disponibilitat, la confidencialitat i la integritat del tractament són proporcionades als riscs existents.

4. INFORMACIÓ DE LA PERSONA FÍSICA INTERESSADA

D’acord amb el RGPD, VEOLIA es compromet a informar les persones interessades sobre el següent:

  • La identitat del responsable del tractament de dades.
  • La finalitat del tractament.
  • Si escau, si les respostes són obligatòries o facultatives i quines són les possibles conseqüències de la seva manca de resposta.
  • Els destinataris de les dades.
  • El seu dret d’accés, rectificació o supressió de les dades que la concerneixen; el seu dret a oposar-se al tractament per motius legítims o a oposar-se al tractament de les dades per a activitats de màrqueting; el seu dret a la limitació del tractament i a la portabilitat, així com el seu dret a donar instruccions generals o específiques per al tractament de les dades que la concerneixen després de la seva mort.
  • El termini de conservació de les dades.

5. ACCÉS A DADES PER PART D’EMPLEATS I COL·LABORADORS DE VEOLIA.

VEOLIA informa les persones interessades que les dades personals introduïdes en un tractament automatitzat estan inscrites en un registre d’activitats de tractament i poden ser consultades per persones dels departaments d’auditoria interna de VEOLIA , pel departament de compliment o pel DPO, pels auditors, per les persones encarregades d’instruir les alertes sobre comportaments que puguin violar les normes ètiques de l’empresa, pels seus assessors o per una autoritat competent i, en alguns casos, per les parts interessades en una fusió o adquisició.

6. DESTINATARIS

VEOLIA ipot compartir algunes de les dades personals recollides amb els proveïdors de serveis i els subministradors, estrictament dins dels límits necessaris per al compliment de les seves tasques. VEOLIA assegura que compleix les lleis i els reglaments aplicables per a la protecció de dades personals i que presta una especial atenció a la seva confidencialitat.

7. EMMAGATZEMATGE

Les dades personals recollides per VEOLIA o en nom seu són emmagatzemades per VEOLIA o els seus proveïdors de serveis, especialment en serveis d’emmagatzematge al núvol.

Per raons majoritàriament tècniques o relacionades amb la dimensió de VEOLIA, algunes dades es poden emmagatzemar fora de la Unió Europea o dels territoris de l’Espai Econòmic Europeu (EEE) o es pot accedir a algunes dades fora d’aquests àmbits. Si és així, VEOLIA garanteix que s’adopten mesures efectives, compatibles amb els requisits del RGPD, per oferir un nivell adequat de protecció de les dades personals, en particular mesures físiques, tècniques, organitzatives i de procediment estrictes i apropiades per garantir la disponibilitat, la seguretat i la integritat de les dades personals modulades en funció de la seva naturalesa o sensibilitat.

VEOLIA mira de limitar la durada de l’emmagatzematge de les dades personals al període de temps necessari per completar les operacions per a les quals han estat recollides i processades, tal com permet la normativa aplicable. Transcorregut aquest termini, les dades personals es destrueixen de manera irreversible o s’anonimitzen.

8. SEGURETAT I ALERTES

VEOLIA ha adoptat mesures per garantir la seguretat de les dades personals recollides de manera adequada a la seva sensibilitat i als riscos associats. Així, l’equip de Sistemes de la Informació i Comunicacions (TIC) i els seus proveïdors o subcontractistes apliquen mesures, entre d’altres, per al següent:

  • La identificació dels ciberriscos.
  • L’aplicació de proteccions de xarxa adaptades mitjançant dispositius de filtratge.
  • El manteniment en condicions de seguretat dels diferents components de la infraestructura, en particular l’aplicació de les actualitzacions dels programes informàtics i 1) la millora dels components per evitar-ne la utilització per a finalitats diferents de les previstes, i 2) la millora dels components de la infraestructura, com els servidors, les estacions de treball i els sistemes de comunicació i de xarxa.
  • La comprovació periòdica de les vulnerabilitats de la infraestructura o de les aplicacions mitjançant la supervisió i l’ús d’un escàner de vulnerabilitats tècniques o aplicatives.
  • El xifratge de les dades en repòs quan calgui i de les dades en trànsit.
  • L’ús de bones pràctiques de seguretat en desenvolupar noves aplicacions, en particular aplicacions web amb l’aplicació de les directrius d’OWASP.
  • L’assignació dels drets dels usuaris complint amb la regla del “mínim privilegi” i el dret a ser informat.
  • La protecció de l’accés mitjançant l’aplicació de mecanismes d’identificació reforçats i una revisió periòdica dels comptes.
  • La supervisió de la seguretat de les dades personals i de la seva aplicació mitjançant la centralització i l’ús de registres d’accés.
  • La conservació de les proves de l’aplicació de les mesures anteriors.

Quan una violació afecti les dades personals en poder de VEOLIA, aquesta actuarà amb promptitud des que tingui coneixement d’aquesta violació per informar-ne l’autoritat de control en matèria de protecció de dades que correspongui a l’empresa, quan escaigui, i, si cal, per identificar les fallades i aplicar les mesures de seguretat adoptades.

9. DRETS DE LES PERSONES FÍSIQUES

Les persones físiques de les quals es recullen les dades tenen, dins dels límits de la llei, el dret d’accés, de rectificació i d’oposició en determinats supòsits i, si escau, de portabilitat i de supressió de les dades personals que els concerneixen i el dret de limitació. També tenen dret a donar instruccions al responsable del tractament sobre la destinació de les dades personals després de la seva mort.

Cada persona física interessada per un tractament pot exercir els seus drets escrivint a VEOLIA a l’adreça següent: dpo.es@veolia.com. Si consideren que la resposta no és satisfactòria, les persones interessades poden adreçar-se a l’autoritat de control en matèria de protecció de dades.