Política de protección de datos

1. INTRODUCCIÓN

Las Empresas del Grupo Veolia en España cuya matriz es VEOLIA SPAIN S.L. (en adelante referidas todas como VEOLIA) asumen un fuerte compromiso con la protección de los datos personales. La presente Política de privacidad de datos personales tiene por objeto informar a las personas físicas (empleados, candidatos, clientes, proveedores o socios y sus empleados) sobre las medidas aplicadas por VEOLIA en la recogida de datos personales en el curso de sus actividades. Esta Política puede evolucionar en el tiempo para adaptarse cuando proceda al contexto legal en España y en la Unión Europea o para acoger las recomendaciones o decisiones tomadas por las distintas Autoridades de control en materia de protección de datos en España y el Comité Europeo de Protección de Datos.

2. DATOS PERSONALES RECOGIDOS, FINES DEL TRATAMIENTO Y DPO ( DATA PROTECTION OFFICER)

VEOLIA ha creado una organización responsable de la correcta aplicación y el cumplimiento de esta política bajo la supervisión del Chief Compliance Officer (CCO). El DPO de VEOLIA se sitúa bajo la autoridad del CCO con el fin de garantizar su independencia y situar la protección de los datos personales en el centro de la estructura organizativa de la empresa.

Además, VEOLIA lleva a cabo acciones para concienciar a sus empleados de la necesidad de proteger los datos personales, por lo que cualquier recogida o tratamiento no se llevará a cabo si no es pertinente para los fines previstos y si no se definen dichos fines para garantizar que son lícitos, específicos, explícitos y legítimos.

Todos los tratamientos llevados a cabo por VEOLIA que puedan contener datos personales son objeto de una ficha descriptiva completa inscrita en el "Registro de las actividades de tratamiento".

VEOLIA garantiza que la recogida de datos personales y su tratamiento cumplen:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y
  • Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

3. REGLAS DE ORO

VEOLIA se basa en 6 REGLAS DE ORO exigibles a cualquier persona que recoja o trate datos personales por su cuenta:

  1. se atiene al RGPD y garantiza que los datos personales se recogen, utilizan y comparten respetando los derechos de las personas afectadas y el concepto de "privacidad por diseño";
  2. es transparente y claro con las personas afectadas sobre los fines del tratamiento, sobre la finalidad y los medios y sobre las personas con las que se compartirán sus datos; busca el consentimiento de las personas físicas cuando es necesario y procede sin su consentimiento sólo cuando el RGPD o la LOPDGDD lo permiten;
  3. asesoramiento en caso de que tenga alguna duda sobre el tratamiento de los datos personales, confronta opiniones con otros profesionales, obtiene un asesoramiento jurídico o de la autoridad de control competente si es necesario y documenta su decisión;
  4. fundamenta la decisión de recoger, utilizar o compartir los datos personales en el interés de la persona física para tratar sólo los datos necesarios, pertinentes, adecuados, proporcionados, exactos, oportunos y seguros durante un período de tiempo conforme a los fines del tratamiento;
  5. garantiza que toda la información compartida es estrictamente necesaria para alcanzar los fines del tratamiento y para permitir a los proveedores prestar los servicios previstos;
  6. se asegura de que las medidas de seguridad que se adoptan para preservar la disponibilidad, la confidencialidad y la integridad del tratamiento son proporcionadas a los riesgos existentes.

4. INFORMACIÓN DE LA PERSONA FÍSICA AFECTADA

De acuerdo con el RGPD, VEOLIA se compromete a informar a las personas afectadas de:

  • la identidad del responsable del tratamiento de datos;
  • la finalidad del tratamiento;
  • en su caso, si las respuestas son obligatorias o facultativas y cuáles son las posibles consecuencias de su falta de respuesta;
  • los destinatarios de los datos;
  • su derecho de acceso, rectificación o supresión de los datos que le conciernen, el derecho a oponerse al tratamiento por motivos legítimos, o a oponerse al tratamiento de sus datos para actividades de marketing, derecho a la limitación del tratamiento y a la portabilidad, así como el derecho a dar instrucciones generales o específicas para el tratamiento de los datos que le conciernen después de su muerte;
  • el plazo de conservación de los datos.

5. ACCESO A DATOS POR EMPLEADOS Y COLABORADORES DE VEOLIA.

VEOLIA informa a las personas afectadas que los datos personales introducidos en un tratamiento automatizado están inscritos en un Registro de actividades de tratamiento y pueden ser consultados por personas de los departamentos de auditoría interna de VEOLIA, por el departamento de cumplimiento o el DPO, por los auditores, por las personas encargadas de instruir las alertas sobre comportamientos que puedan violar las normas éticas de la Empresa y por sus asesores o una autoridad competente y, en algunos casos, por las partes interesadas en una fusión o adquisición.

6. DESTINATARIOS

VEOLIA puede compartir algunos de los datos personales recogidos con los proveedores de servicios y suministradores, estrictamente dentro de los límites necesarios para el cumplimiento de sus tareas. VEOLIA asegura que cumple con las leyes y reglamentos aplicables para la protección de datos personales y que presta una especial atención a su confidencialidad.

7. ALMACENAMIENTO

Los datos personales recogidos por VEOLIA o en su nombre son almacenados por VEOLIA o sus proveedores de servicios, especialmente en servicios de almacenamiento en la nube.

Por razones, en su mayoría técnicas o relacionadas con la dimensión de VEOLIA, algunos datos pueden almacenarse o accederse fuera de la Unión Europea o de los territorios del Espacio Económico Europeo (EEE). Si es así, VEOLIA garantiza que se adoptan medidas efectivas, compatibles con los requisitos del RGPD, para ofrecer un nivel adecuado de protección de los datos personales, en particular medidas físicas, técnicas, organizativas y de procedimiento estrictas y apropiadas para garantizar la disponibilidad, la seguridad y la integridad de los datos personales modulados en función de su naturaleza o sensibilidad.

VEOLIA trata de limitar la duración del almacenamiento de los datos personales al periodo de tiempo necesario para completar las operaciones para las que han sido recogidos y procesados, tal y como permite la normativa aplicable. Transcurrido este plazo, los datos personales se destruyen de forma irreversible o se anonimizan.

8. SEGURIDAD Y ALERTAS

VEOLIA ha adoptado medidas para garantizar la seguridad de los datos personales recogidos, de forma adecuada a su sensibilidad y a los riesgos asociados. Así, el equipo de Sistemas de la Información y Comunicaciones (TIC) y sus proveedores o sus subcontratistas aplican medidas para, entre otros:

  • la identificación de los ciberriesgos,
  • la aplicación de protecciones de red adaptadas mediante dispositivos de filtrado,
  • el mantenimiento en condiciones de seguridad de los distintos componentes de la infraestructura, en particular, la aplicación de las actualizaciones de los programas informáticos y 1) la mejora de los componentes para evitar su utilización para fines distintos a los previstos; 2) la mejora de los componentes de la infraestructura, como los servidores, las estaciones de trabajo y sistemas de comunicación y de red,
  • comprobación periódica de las vulnerabilidades de la infraestructura o de las aplicaciones mediante la supervisión y el uso de un escáner de vulnerabilidades técnicas o aplicativas,
  • el cifrado de los datos en reposo cuando sea necesario y de los datos en tránsito, - el uso de buenas prácticas de seguridad al desarrollar nuevas aplicaciones, en particular aplicaciones web con la aplicación de las directrices OWASP,
  • la asignación de los derechos de los usuarios cumpliendo con la regla del "mínimo privilegio" y el derecho a ser informado,
  • protección del acceso mediante la aplicación de mecanismos de identificación reforzados y una revisión periódica de las cuentas,
  • la supervisión de la seguridad de los datos personales y de su aplicación mediante la centralización y el uso de registros de acceso,
  • la conservación de las pruebas de la aplicación de las medidas anteriores.

Cuando una violación afecte a los datos personales en poder de VEOLIA, esta actuará con prontitud desde que tenga conocimiento de dicha violación para informar a la Autoridad de control en materia de protección de datos que corresponda a la Empresa, cuando proceda y, si es necesario, para identificar los fallos y aplicar medidas de seguridad adoptadas.

9. DERECHOS DE LAS PERSONAS FÍSICAS

Las personas físicas cuyos datos se recogen tienen, dentro de los límites de la ley, un derecho de acceso, de rectificación, oposición en determinados supuesto, en su caso de portabilidad y de supresión de los datos personales que les conciernen y un derecho de limitación. También tienen derecho a dar instrucciones al responsable del tratamiento sobre el destino de sus datos personales tras su fallecimiento.

Cada persona física afectada por un tratamiento puede ejercer sus derechos escribiendo a VEOLIA a la siguiente dirección: dpo.es@veolia.com. Si consideran que la respuesta no es satisfactoria, los interesados pueden dirigirse a la Autoridad de control en materia de protección de datos.