Las empresas del Grupo EDP priorizan en todo momento en la relación con sus clientes, trabajadores, empresas colaboradoras, proveedores, socios y otras partes interesadas el estricto respeto de su privacidad.

La protección de datos personales es uno de los pilares de la actividad de las empresas del Grupo EDP. Es esencial para nosotros asegurarnos de llevar a cabo nuestras actividades conforme a la legislación y los más altos estándares de protección de datos.

Por lo tanto, las empresas del Grupo se rigen por políticas de privacidad específicas, integradas en un enfoque transversal para la gestión del riesgo de cumplimiento, cuyo contenido se da a conocer a todos los titulares de los datos personales incluidos en ellas. Dichas políticas de privacidad se aplican a todo el ciclo de vida del tratamiento de datos llevado a cabo por las empresas del Grupo y sus proveedores de servicios, que siguen las instrucciones de EDP en este asunto.

El Grupo EDP designa a un Delegado de Protección de Datos o una figura equivalente en cada área geográfica/unidad de negocio donde exista esta obligación legal e incluso, si no existe tal obligación y siempre que lo considere necesario, también nombra equipos con la misión de garantizar que la organización cumpla con las normas legales y reglamentarias, así como las políticas y las directrices aprobadas internamente. Lo hace a través de la implementación de prácticas y procedimientos destinados a prevenir, detectar y tratar cualquier desvío o incumplimiento que pueda ocurrir, así como ayudar y aclarar a todos los empleados del Grupo las normas a seguir en el tratamiento de datos personales.

Estos Delegados de Protección de Datos o figuras equivalentes están permanentemente disponibles para los titulares de los datos, lo que también garantiza la interacción con las autoridades competentes de protección de datos.

El Grupo EDP incorpora mecanismos para salvaguardar la protección de datos en todos sus nuevos proyectos, productos y servicios, haciendo un seguimiento continuo de cómo impactan en la esfera privada de sus clientes y otros titulares de datos. De esta manera, queremos mitigar los posibles riesgos que puedan surgir en esta área y garantizar la innovación y el crecimiento sostenible y ético. El Grupo aprovecha el potencial de las tecnologías de la información de manera responsable, tratando de evitar cualquier tipo de discriminación y explicando a todos los agentes involucrados cómo afectan a su privacidad.

Para garantizar el cumplimiento de este firme compromiso, el Grupo EDP observa los siguientes valores y principios:

1. Licitud y finalidad

Las empresas del Grupo EDP solo tratan datos personales con fines legítimos y claramente definidos.
La razón principal por la que utilizamos los datos está relacionada con la ejecución de contratos con nuestros clientes o con la gestión de nuestras operaciones, contratos de trabajo con empleados, contratos con proveedores de servicios y otras partes interesadas.

Por otro lado, hay varias leyes en el sistema normativo que establecen obligaciones legales que conducen al tratamiento de datos personales. Por ejemplo, obligaciones fiscales, informes corporativos o en el contexto de la prevención del blanqueo de capital y la financiación del terrorismo.

El tratamiento de los datos realizado es el estrictamente necesario para el cumplimiento de estas obligaciones. Por ejemplo, si necesitamos utilizar información sobre la vivienda o el consumo de nuestros clientes, solo lo haremos para proporcionar los servicios que nos soliciten o para cumplir con nuestras obligaciones legales, a menos que obtengamos el consentimiento expreso de los titulares o si nuestros intereses no comprometen su esfera privada.

De hecho, a menos que nuestros clientes se opongan al recopilar sus datos de contacto o en otro momento posterior, usamos los datos de nuestros clientes para informarles electrónicamente sobre productos o servicios relacionados con los ya contratados. También podemos usarlos para cobrar deudas atrasadas. Estos tratamientos se llevan a cabo dentro del alcance de la ejecución del contrato y también dentro del alcance del interés legítimo de EDP, asegurando siempre que este último no prevalezca sobre los intereses o derechos y libertades fundamentales de los titulares.

Finalmente, y siempre con el consentimiento explícito de los titulares, que puede ser revocado en cualquier momento, podemos utilizar los datos recopilados para otros fines, como la difusión, en nuestros canales de comunicación internos y externos, de imágenes de empleados y otros participantes en nuestros eventos internos o externos, o para informar a nuestros clientes sobre nuevos productos y servicios más adecuados a sus necesidades y preferencias.

2. Transparencia y Lealtad

Informamos a todos nuestros clientes, usuarios, trabajadores, proveedores y socios sobre cómo tratamos sus datos personales, por qué lo hacemos, cuánto tiempo los guardamos y con quién los compartimos. En su caso, les pedimos a todos estos agentes su consentimiento informado para hacerlo, sin perjudicarles si deciden no consentir o revocar su consentimiento.

Si hubiese incidentes, informamos a las autoridades competentes y a los titulares afectados de las brechas de seguridad que plantean un riesgo de privacidad, tratando de reparar o minimizar de inmediato sus efectos negativos.

3. Proporcionalidad

Solo recopilamos y usamos datos personales que son estrictamente necesarios para nuestros fines legítimos.
EDP recopila y trata datos de identificación (nombre y números de identificación civil o fiscal, datos de contacto y números telefónicos), datos de las instalaciones de sus clientes y otros datos de la relación contractual, como, por ejemplo, los productos y servicios adquiridos, datos de pagos o deudas.

A estos datos solo tendrán acceso las personas o entidades que tengan una necesidad efectiva de conocerlos, actuando en nuestro nombre y bajo nuestras instrucciones y respetando las más estrictas normas de confidencialidad.

Las autoridades fiscales, otras autoridades reguladoras o de supervisión, los tribunales y otras entidades a las que EDP debe comunicar los datos conforme a la ley también podrán acceder a los datos personales tal y como se ha descrito.
Cuando los datos ya no sean necesarios para el fin para el que fueron recabados, el Grupo EDP los elimina permanentemente o hace que estos datos sean indescifrables, a menos que su conservación esté impuesta legalmente.

4. Control

Todos los titulares de datos personales utilizados por el Grupo EDP tienen control sobre estos. Las empresas del Grupo EDP proporcionan canales adecuados para el ejercicio de sus derechos de acceso, rectificación, cancelación, limitación, portabilidad y oposición, asegurando respuestas efectivas y en plazo. En EDP intentamos resolverlo y respetamos sus decisiones.

Además, EDP supervisa continuamente el cumplimiento de sus Políticas de Privacidad, tanto internamente como por parte de sus empresas colaboradoras.

En caso de incumplimiento de esta normativa, EDP tiene una postura de "tolerancia cero", aplicando las medidas que se consideren apropiadas en términos disciplinarios o contractuales.

5. Privacidad desde el momento "Cero"

Al idear un nuevo modelo de negocio o servicio, las empresas del Grupo EDP evalúan el impacto de estos en su privacidad, esforzándose por mitigar los riesgos que pueden surgir.

En este contexto, EDP implementa técnicas de seguridad (como la seudonimización) cuando corresponde, restringe el acceso a los datos a un número limitado de personas y consulta con asesores legales, o las propias autoridades competentes, para obtener asesoramiento sobre la mejor manera de cumplir con los requisitos legales de privacidad.

6. Responsabilidad

Definimos tareas, responsabilidades y líneas de reporte en cada empresa del Grupo EDP en términos de cumplimiento de la legislación de protección de datos.

De esta manera, cada uno de los departamentos y empleados es consciente, en todo momento, del cuidado que deben tener al tratar los datos personales en el desempeño de sus funciones, así como sobre la forma de actuar en caso de detección de incidentes de seguridad que pueden afectar, por ejemplo, a la privacidad de los datos personales.

7. Seguridad

Hemos implementado medidas técnicas en línea con las mejores prácticas de mercado y hemos desarrollado procesos y procedimientos que permiten mantener todos los datos personales que manejamos en condiciones de seguridad acordes a los riesgos que conllevan.

En este sentido, el Grupo EDP limita y controla el acceso a todos sus sistemas informáticos, aplica técnicas de encriptación y anonimización a la información que almacena y realiza copias de seguridad periódicas de la misma. El área de seguridad de los sistemas de información de EDP trabaja continuamente para evitar el acceso inadecuado a los datos personales que procesamos y para garantizar la capacidad de adaptación permanente de los sistemas informáticos de nuestras empresas.
Además, EDP solo utiliza proveedores de servicios de tecnología de la información que presenten fuertes garantías de cumplimiento de las normas y protección de datos vigentes.

EDP se reserva el derecho de cambiar esta Política de Protección de Datos Personales en cualquier momento y cualquier cambio será debidamente publicado en la web.

Aprobada en una reunión de la Junta Directiva Ejecutiva el 2 de junio de 2020.