1. Introducción
El grupo Total (o «Total») promueve una cultura y unas prácticas que tienen como objetivo la protección de los datos personales[1], de acuerdo con la normativa aplicable. Con este fin, Total ha puesto en marcha unas normas corporativas vinculantes o Binding Corporate Rules («BCR»).
Este documento resume los principios de protección de datos personales que se aplican en virtud de nuestras BCR, y los derechos que confieren.
2. Objetivo
Nuestras BCR son un conjunto de reglas internas vinculantes que se aplican a todas las empresas del Grupo que los han adoptado. Han sido aprobadas por las autoridades europeas de protección de datos.
Permiten que las empresas del Grupo transfieran datos personales procedentes del Espacio Económico Europeo («EEE»)[2] a empresas del Grupo situadas fuera del EEE, de acuerdo con la normativa aplicable.
3. Ámbito de aplicación
Nuestras BCR se aplican a todos los datos personales procedentes del EEE que son tratados por las empresas del Grupo, incluidos los datos relativos a los empleados, aspirantes al empleo, clientes, clientes potenciales, proveedores, subcontratistas y personal de terceras empresas que actúan en nombre de las empresas del Grupo, así como a los accionistas (en adelante, las «personas interesadas»).
4. Principios de protección
Los principios establecidos en nuestras BCR deben ser respetados.
Todas las operaciones de tratamiento[3] realizadas tienen una base jurídica, prevista en la legislación aplicable.
Los datos personales solo pueden ser tratados con fines legítimos, específicos y legales. Los datos no deben ser tratados posteriormente de manera incompatible con estos fines.
Los datos personales deben ser precisos y proporcionados, en términos de calidad y cantidad, en relación con la finalidad del tratamiento.
Los datos personales deben obtenerse de manera honesta y legal. Las personas interesadas deben ser informadas de las características del tratamiento y de sus derechos, salvo que resulte imposible o suponga un esfuerzo desproporcionado.
Los datos personales deben ser objeto de medidas de seguridad adaptadas para limitar el riesgo de acceso no autorizado, de destrucción, de alteración o de pérdida.
Para ello, se aplica un conjunto de normas internas que permiten garantizar la seguridad y la confidencialidad de los datos personales:
Cuando la empresa del Grupo recurre a un tercero para el tratamiento de datos personales, se asegura de que este ofrece las garantías suficientes en términos de seguridad y confidencialidad de los datos.
Los datos personales solo podrán conservarse durante un período de tiempo razonable y no excesivo en relación con la finalidad del tratamiento.
Al finalizar el período de conservación, los datos son destruidos, anonimizados o archivados.
Total no transfiere datos personales procedentes de un país del EEE directamente a una empresa del Grupo ubicada en un país que no ofrece un nivel de protección adecuado, a menos que dicha empresa haya adoptado formalmente las BCR o utilice alguno de los otros instrumentos jurídicos reconocidos por la Comisión Europea.
Total no transfiere datos personales procedentes del EEE directamente a una empresa ajena al Grupo (responsable del tratamiento o subcontratista), situada en un país que no ofrece un nivel de protección adecuado, sin una base jurídica prevista en la legislación aplicable y sin un mecanismo que establezca las garantías suficientes, como las cláusulas contractuales tipo.
Asimismo, cuando un importador de datos transfiere posteriormente datos personales procedentes del EEE a una empresa ajena al Grupo (responsable del tratamiento o subcontratista), situada en un país que no ofrece un nivel de protección de datos adecuado, debe firmar un contrato con esta tercera empresa por el que esta se compromete a cumplir los principios de las BCR.
5. Derechos de las personas interesadas
Nuestras BCR otorgan a las personas interesadas cuyos datos personales se procesan los siguientes derechos:
[Se adjunta una lista detallada de los derechos en el ANEXO 1 del presente documento].
Cualquier persona puede ejercer sus derechos enviando una solicitud al contacto indicado en la información relativa al tratamiento de sus datos personales. Total se compromete a responder dentro del plazo legal.
Además, si una persona cree que una empresa del Grupo no ha cumplido con las BCR, puede presentar una queja al Grupo enviando:
Se informará a la persona del estado de su queja y, en su caso, de las medidas previstas por Total para responder a ella.
El procedimiento interno de gestión de las quejas se describe en el ANEXO 2 a continuación.
La presentación de una queja ante Total no afecta al derecho de presentar una denuncia ante las autoridades competentes en materia de protección de datos personales del EEE o de iniciar una acción ante los tribunales del país del EEE en el que está establecida la empresa del Grupo responsable de la transferencia de datos personales.
6. Gobernanza
Una red interna de «Protección de Datos Personales» se encarga de vigilar y controlar la aplicación de las BCR dentro del Grupo.
Consta de:
7. Control interno y auditoría
Con el fin de asegurar la correcta aplicación de nuestras BCR, se implementan sistemas de control interno y auditorías.
La red define un plan de control interno anual en materia de Protección de datos personales para evaluar la conformidad de las operaciones de tratamiento del Grupo con nuestras BCR. También se organiza un sistema de informes para notificar periódicamente los planes de acción posteriores a las evaluaciones.
Además, la Dirección de Auditoría Interna del Grupo incluye también el control del sistema de protección de datos personales en su plan de auditoría periódico.
8. Actualización de las BCR de Total
Si fuera necesario, nuestras BCR podrían ser completadas o actualizadas.
9. Para más información
Puede obtener una copia de la versión completa de nuestras BCR y una lista de las empresas del Grupo que las han adoptado enviando un correo electrónico a la siguiente dirección: data-protection@total.com
ANEXO 1
DERECHOS DE TERCEROS BENEFICIARIOS
Nuestras BCR otorgan el derecho a las personas interesadas de aplicarlos como terceros beneficiarios.
En particular, pueden aplicar los siguientes principios según los términos y condiciones establecidos en nuestras BCR:
ANEXO 2
PROCEDIMIENTO INTERNO DE GESTIÓN DE QUEJAS
Si una persona interesada considera que una empresa del Grupo no ha cumplido con las BCR de Total, puede presentar una queja de acuerdo con el procedimiento establecido en la información específica sobre el tratamiento de datos o el contrato aplicable o de acuerdo con el procedimiento descrito a continuación.
La persona interesada puede presentar una queja enviando:
o
La queja debe proporcionar una descripción lo más detallada posible del problema planteado, incluyendo:
En el plazo de tres meses a partir de la recepción de la queja, la persona interesada quedará informada por escrito de la admisibilidad de su queja y, si esta se considera admisible, de las medidas correctivas adoptadas o previstas por Total para responder a ella. El Coordinador de Protección de Datos Personales de la Subdivisión (o «Branch Data Privacy Lead» – «BDPL») competente se asegurará de que, en caso de ser necesario, se apliquen las medidas correctivas adecuadas para garantizar el cumplimiento de las BCR de Total.
El BDPL competente enviará una copia de la queja y de cualquier respuesta por escrito al Coordinador de Protección de Datos Personales Corporativo (o «Corporate Data Privacy Lead» – «CDPL»).
Si la persona interesada no está satisfecha con la respuesta del BDPL competente (por ejemplo, la queja ha sido rechazada), puede ponerse en contacto con el CDPL enviando un correo electrónico o una carta a la dirección indicada anteriormente. El CDPL revisará la queja y tomará una decisión en un plazo de tres meses a partir de la recepción de la solicitud. Dentro de este período, el CDPL informará a la persona interesada si confirma la respuesta inicial y, en caso contrario, proporcionará una nueva respuesta.
La posibilidad para las personas interesadas de presentar una queja ante Total no afecta a su derecho a presentar una denuncia ante la autoridad nacional de control competente o a apelar ante el tribunal del Estado miembro del EEE en el que esté establecido el exportador de datos.
[1] Se entiende por dato personal cualquier información que permita identificar, directa o indirectamente, a una persona física.
[2] EEE: Estados miembros de la Unión Europea, además de Islandia, Liechtenstein y Noruega.
[3] Se entiende por tratamiento toda operación realizada o no mediante procesos automatizados y aplicada a datos personales (por ejemplo, la recopilación, el registro, el almacenamiento, la destrucción, etc.).
[4] La transferencia abarca todos los intercambios, ya sean virtuales o físicos, de un país a otro, de datos personales dentro del EEE.