Política de protección de datos

1. INTRODUCIÓN

As empresas do Grupo Veolia en España que teñen como matriz a VEOLIA SPAIN, SL (en diante, referidas todas como VEOLIA), asumen un forte compromiso coa protección dos datos persoais. A presente Política de Protección de Datos Persoais ten por obxecto informar as persoas físicas (empregados, candidatos, clientes, provedores ou socios e os seus empregados) sobre as medidas aplicadas por VEOLIA na recollida de datos persoais no curso das súas actividades. Esta Política pode evolucionar co tempo para adaptarse, se procede, ao contexto xurídico de España e da Unión Europea ou para incorporar as recomendacións ou decisións adoptadas polas distintas autoridades de control en materia de protección de datos en España e o Comité Europeo de Protección de Datos.

2. DATOS PERSOAIS RECOLLIDOS, FINS DO TRATAMENTO E DPO (DATA PROTECTION OFFICER)

VEOLIA creou unha organización responsable da correcta aplicación e cumprimento desta política baixo a supervisión do chief compliance officer (CCO). O DPO de VEOLIA atópase baixo a autoridade do CCO co fin de garantir a súa independencia e situar a protección dos datos persoais no centro da estrutura organizativa da empresa.

Ademais, VEOLIA leva a cabo accións para concienciar os seus empregados da necesidade de protexer os datos persoais, polo que non se realizará ningunha recollida ou tratamento se non é pertinente para os fins previstos e se eses fins non están definidos para garantir que sexan lícitos, específicos, explícitos e lexítimos.

Todos os tratamentos realizados por VEOLIA que poidan conter datos persoais son obxecto dunha ficha descritiva completa inscrita no “rexistro das actividades de tratamento”.

VEOLIA garante que a recollida e o tratamento de datos persoais cumpren:

  • Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, de 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos (RXPD) e
  • Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (LOPDGDD).

3. REGRAS DE OURO

VEOLIA baséase en 6 REGRAS DE OURO esixibles a calquera persoa que recolla ou trate datos persoais pola súa conta:

  1. cumprir o RXPD e garantir que os datos persoais se recollen, utilizan e comparten respectando os dereitos dos interesados e o concepto de privacidade por deseño;
  2. ser transparentes e claros cos interesados sobre os fins do tratamento, sobre a finalidade e os medios e sobre as persoas coas que se compartirán os seus datos; buscar o consentimento das persoas físicas cando sexa necesario e proceder sen o seu consentimento só cando o permitan o RXPD ou a LOPDGDD;
  3. buscar asesoramento en caso de ter algunha dúbida sobre o tratamento dos datos persoais, confrontar opinións con outros profesionais, obter asesoramento xurídico ou da autoridade de control competente se é necesario e documentar a decisión;
  4. fundamentar a decisión de recoller, utilizar ou compartir os datos persoais no interese da persoa física para tratar só os datos necesarios, pertinentes, adecuados, proporcionados, exactos, oportunos e seguros durante un período de tempo coherente cos fins do tratamento;
  5. garantir que toda a información compartida é estritamente necesaria para acadar os fins do tratamento e para permitir aos provedores fornecer os servizos previstos;
  6. asegurarse de que as medidas de seguridade que se adoptan para preservar a dispoñibilidade, a confidencialidade e a integridade do tratamento sexan proporcionadas aos riscos existentes.

4. INFORMACIÓN DA PERSOA FÍSICA INTERESADA

De acordo co RXPD, VEOLIA comprométese a informar as persoas interesadas de:

  • a identidade do responsable do tratamento de datos;
  • a finalidade do tratamento;
  • no seu caso, se as respostas son obrigatorias ou opcionais e cales son as posibles consecuencias de non responder;
  • os destinatarios dos datos;
  • o seu dereito de acceso, rectificación ou supresión dos datos que lles concirnen, o dereito a se opoñer ao tratamento por motivos lexítimos ou a se opoñer ao tratamento dos seus datos para actividades de marketing, o dereito á limitación do tratamento e á portabilidade, así como o dereito a dar instrucións xerais ou específicas para o tratamento dos datos que lles concirnen despois do seu falecemento;
  • e o prazo de conservación dos datos.

5. ACCESO A DATOS POR PARTE DE EMPREGADOS E COLABORADORES DE VEOLIA

VEOLIA informa as persoas interesadas de que os datos persoais introducidos nun tratamento automatizado están inscritos nun rexistro de actividades de tratamento e poden ser consultados por persoas dos departamentos de auditoría interna de VEOLIA, polo departamento de cumprimento ou o DPO, polos auditores, polos responsables de emitir alertas sobre comportamentos que poidan vulnerar as normas éticas da empresa e polos seus asesores ou unha autoridade competente e, nalgúns casos, polas partes interesadas nunha fusión ou adquisición.

6. DESTINATARIOS

VEOLIA pode compartir algúns dos datos persoais recollidos cos provedores de servizos e subministradores, estritamente dentro dos límites necesarios para a realización das súas tarefas. VEOLIA garante que cumpre as leis e regulamentos aplicables para a protección de datos persoais e que pon especial atención na súa confidencialidade.

7. ALMACENAMENTO

Os datos persoais recollidos por VEOLIA ou no seu nome son almacenados por VEOLIA ou os seus provedores de servizos, especialmente en servizos de almacenamento na nube.

Por razóns principalmente técnicas ou relacionadas coa dimensión de VEOLIA, algúns datos poden almacenarse ou accederse a eles fóra da Unión Europea ou dos territorios do Espazo Económico Europeo (EEE). De ser así, VEOLIA garante que se adoptan medidas efectivas, compatibles cos requisitos do RXPD, para proporcionar un nivel adecuado de protección dos datos persoais, en particular medidas físicas, técnicas, organizativas e de procedemento estritas e apropiadas para garantir a dispoñibilidade, a seguridade e a integridade dos datos persoais moduladas en función da súa natureza ou sensibilidade.

VEOLIA busca limitar a duración do almacenamento dos datos persoais ao período de tempo necesario para completar as operacións para as que foron recollidos e tratados, segundo o permitido pola normativa aplicable. Transcorrido este prazo, os datos persoais destrúense de xeito irreversible ou anonimízanse.

8. SEGURIDADE E ALERTAS

VEOLIA adoptou medidas para garantir a seguridade dos datos persoais recollidos, de xeito adecuado á súa sensibilidade e aos riscos asociados. Así, o equipo de Sistemas da Información e Comunicacións (TIC) e os seus provedores ou subcontratistas aplican medidas para, entre outras cousas:

  • a identificación dos ciberriscos,
  • a aplicación de proteccións de rede adaptadas mediante dispositivos de filtrado,
  • o mantemento en condicións de seguridade dos distintos compoñentes da infraestrutura, en particular a aplicación das actualizacións dos programas informáticos e 1) a mellora dos compoñentes para evitar a súa utilización para fins distintos dos previstos; 2) a mellora dos compoñentes da infraestrutura, como os servidores, as estacións de traballo e os sistemas de comunicación e de rede,
  • a comprobación periódica das vulnerabilidades da infraestrutura ou das aplicacións mediante a supervisión e o uso dun escáner de vulnerabilidades técnicas ou aplicativas;
  • o cifrado dos datos en repouso cando sexa necesario e os datos en tránsito;
  • o uso de boas prácticas de seguridade ao desenvolver novas aplicacións, en particular aplicacións web coa implementación das directrices OWASP;
  • a asignación dos dereitos dos usuarios de acordo coa regra do “mínimo privilexio” e o dereito a ser informado;
  • a protección do acceso mediante a aplicación de mecanismos de identificación reforzados e unha revisión periódica das contas;
  • a supervisión da seguridade dos datos persoais e da súa aplicación mediante a centralización e o uso de rexistros de acceso;
  • a conservación das probas da aplicación das medidas mencionadas.

Cando unha infracción afecte aos datos persoais en poder de VEOLIA, esta actuará con prontitude desde o momento de ter coñecemento de tal infracción para informar a autoridade de control en materia de protección de datos que corresponda á empresa, cando proceda, e, se fose necesario, para identificar os fallos e aplicar as medidas de seguridade adoptadas.

9. DEREITOS DAS PERSOAS FÍSICAS

As persoas físicas cuxos datos se recollen teñen, dentro dos límites da lei, un dereito de acceso, de rectificación, de oposición en determinados supostos, de portabilidade (no seu caso) e de supresión dos datos persoais que lles concirnan, así como un dereito de limitación. Tamén teñen dereito a dar instrucións ao responsable do tratamento sobre o destino dos seus datos persoais despois do seu falecemento.

Cada persoa física interesada obxecto dun tratamento pode exercer os seus dereitos escribindo a VEOLIA ao seguinte enderezo: dpo.es@veolia.com. Se consideran que a resposta non é satisfactoria, as partes interesadas poden dirixirse á autoridade de control en materia de protección de datos.