Somos un gestor global de infraestructuras esenciales de electricidad y telecomunicaciones
Sistema de Cumplimiento de Protección de Datos
Redeia cuenta con un Sistema de Cumplimiento de Protección de Datos, enmarcado en el Sistema Global de Cumplimiento, que da respuesta a los requerimientos del Reglamento Europeo de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, a nivel técnico, jurídico y organizativo.
El objetivo de este Sistema es impulsar y mantener una responsabilidad y actitud proactiva en la protección de los datos personales, que garantice el buen gobierno de los datos personales y preserve la confianza de nuestros grupos de interés.
Principios básicos del sistema
La compañía establece los siguientes principios básicos sobre protección de datos personales, que se encuentran alineados con los principios éticos y pautas de comportamiento recogidos en el Código Ético y de Conducta de Redeia, así como con los principios incluidos en su Política de Cumplimiento.
Tratar los datos personales conforme a la normativa vigente, evitando la recopilación de datos personales por medios fraudulentos, desleales o ilícitos, y proporcionar a los interesados la información necesaria establecida en la misma, entre la que se incluye la identidad del responsable del tratamiento, la finalidad con la que se van a tratar los datos, la base legitimadora que ampara el tratamiento, los destinatarios de los datos o los derechos de los interesados en relación con el tratamiento, entre otra información.
Recoger los datos personales objeto de las actividades de tratamiento que lleva a cabo Redeia con fines determinados, explícitos y legítimos, no siendo destinados a finalidades no autorizadas o diferentes para las que fueron recabados.
Asegurar que los datos personales tratados son adecuados, pertinentes, relevantes y limitados en relación con los fines para los que se recogen, considerando entre los medios con que pueda llevarse a cabo dicho tratamiento el menos lesivo para los derechos de los titulares de dichos datos y no recabándose datos que no sean necesarios para el desempeño de actividades, proyectos o iniciativas específicas.
Llevar a cabo un correcto registro de las actividades de tratamiento de datos personales de manera eficaz y continua, así como garantizar que el mismo se encuentra actualizado, suprimiendo aquellos datos personales que resulten irrelevantes para los fines para los que fueron recogidos.
Establecer los sistemas y plazos que aseguren la conservación, bloqueo y supresión, en su caso, de los datos personales cuando ya no exista una finalidad que justifique su conservación, de manera que se asegure que éstos se mantienen únicamente el tiempo necesario para cumplir con las finalidades del tratamiento.
Garantizar la integridad, disponibilidad y confidencialidad de los datos personales, aplicando las medidas de seguridad necesarias y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.
Garantizar la aplicación de las medidas técnicas, jurídicas y organizativas apropiadas para asegurar y demostrar que el tratamiento de datos personales se lleva a cabo conforme a la normativa vigente en esta materia.
Modelo de gobierno en protección de datos
El modelo de gobierno en protección de datos de Redeia da respuesta a las exigencias organizativas establecidas por la normativa de protección de datos, asignando y delimitando las responsabilidades y funciones de las unidades y miembros de la organización en materia de protección de datos.
Para su desarrollo se han tenido en cuenta, entre otros, los siguientes aspectos:
- La designación de un Delegado de Protección de Datos (DPD), que se encarga de velar por el cumplimiento de la normativa vigente sobre protección de datos y desarrollar funciones de interlocución con la autoridad de control y supervisión en esta materia.
- La creación de un Órgano Asesor de Protección de Datos, que presta soporte para el buen funcionamiento del sistema de cumplimiento de protección de datos y propone mejoras al mismo en el ámbito jurídico, técnico y organizativo.
Forman parte de este Órgano Asesor, además del propio DPD, las áreas de Cumplimiento, Servicios Jurídicos, Seguridad Corporativa, Tecnologías de la Información y Personas y Cultura.
- La creación de una Red de interlocutores en protección de datos personales dentro de las direcciones de Redeia en España, como figura determinante para el despliegue de la cultura de protección de datos en la Compañía, conectando la gestión de las áreas con el cumplimiento de los requisitos normativos en esta materia.
Desarrollo de la cultura de privacidad
La sensibilización y la formación son factores claves para el desarrollo de una cultura de privacidad dentro de la organización.
Desde Redeia se impulsa, a través del plan anual de actividad del sistema de cumplimiento de protección de datos, una adecuada formación, sensibilización y concienciación entre sus miembros sobre la relevancia del sistema de cumplimiento de protección de datos dentro de la cultura de integridad de la Organización.
Para la compañía es clave contar con una cultura corporativa de cumplimiento para que todas las personas que forman parte de Redeia valoren el derecho de los grupos de interés de la compañía y sus miembros a la privacidad.
Proactividad en la protección de los datos personales
Redeia tiene una actitud consciente, diligente y proactiva frente a los tratamientos de datos personales que lleva a cabo.
La Compañía dispone, en línea con los elementos ya señalados, de:
- Una política de privacidad que determina aspectos tales como el modo en que son tratados los datos personales y se garantizan los derechos de las personas titulares de los datos, así como la seguridad de los mismos. Esta política de privacidad es aplicable a todas las operaciones de tratamiento de datos que realiza la compañía, incluyendo las operaciones desarrolladas por proveedores que actúan como encargados de tratamiento.
- Una metodología específica de análisis de riesgos de las actividades de tratamiento de datos personales, con el fin de valorar dichos riesgos y establecer las medidas de seguridad y los controles que garanticen los derechos y libertades de los ciudadanos.
- Una metodología para identificar, valorar, calificar y dar respuesta a los incidentes de seguridad relacionados con el cumplimiento de la normativa de privacidad.
- Un protocolo de atención de derechos ARCOPL relativo a derechos de acceso, rectificación, supresión (derecho al olvido), oposición, portabilidad y limitación del tratamiento de los datos de carácter personal.
- Un protocolo de contratación de encargados de tratamiento de datos de carácter personal.
- Una norma interna que regula los principios de privacidad desde el diseño y por defecto y que incorpora en los proyectos, actividades e iniciativas un enfoque orientado a los principios de gestión del riesgo y de responsabilidad proactiva que proteja los derechos de los titulares de los datos personales.
- Una norma interna que establece los criterios de conservación de datos de carácter personal, así como los plazos que permitan bloquear y/o eliminar los datos personales cuando no exista finalidad que justifique su conservación, atendiendo al principio de limitación del plazo de conservación, bloqueo y borrado establecido en la normativa vigente.
- Un protocolo de uso de dispositivos de geolocalización en el ámbito laboral.
- Un plan de monitorización del marco de control de las medidas técnicas, jurídicas y organizativas del sistema de cumplimiento de protección de datos que se completa en un ciclo de tres años.
- Auditorías bienales para la revisión del grado de adecuación de Redeia en materia de protección de datos y cumplimiento de la normativa de referencia, desarrolladas con la participación de firmas de auditoría externa especializadas en este ámbito.