Binding Corporate Rules

1.  Introducción

El grupo Total (o «Total») promueve una cultura y unas prácticas que tienen como objetivo la protección de los datos personales[1], de acuerdo con la normativa aplicable. Con este fin, Total ha puesto en marcha unas normas corporativas vinculantes o Binding Corporate Rules («BCR»).

Este documento resume los principios de protección de datos personales que se aplican en virtud de nuestras BCR, y los derechos que confieren.

2. Objetivo

Nuestras BCR son un conjunto de reglas internas vinculantes que se aplican a todas las empresas del Grupo que los han adoptado. Han sido aprobadas por las autoridades europeas de protección de datos.

Permiten que las empresas del Grupo transfieran datos personales procedentes del Espacio Económico Europeo («EEE»)[2] a empresas del Grupo situadas fuera del EEE, de acuerdo con la normativa aplicable.

3. Ámbito de aplicación

Nuestras BCR se aplican a todos los datos personales procedentes del EEE que son tratados por las empresas del Grupo, incluidos los datos relativos a los empleados, aspirantes al empleo, clientes, clientes potenciales, proveedores, subcontratistas y personal de terceras empresas que actúan en nombre de las empresas del Grupo, así como a los accionistas (en adelante, las «personas interesadas»).

4. Principios de protección

Los principios establecidos en nuestras BCR deben ser respetados.

  • Legalidad

Todas las operaciones de tratamiento[3] realizadas tienen una base jurídica, prevista en la legislación aplicable.

Los datos personales solo pueden ser tratados con fines legítimos, específicos y legales. Los datos no deben ser tratados posteriormente de manera incompatible con estos fines.

  • Pertinencia

Los datos personales deben ser precisos y proporcionados, en términos de calidad y cantidad, en relación con la finalidad del tratamiento.

  • Transparencia

Los datos personales deben obtenerse de manera honesta y legal. Las personas interesadas deben ser informadas de las características del tratamiento y de sus derechos, salvo que resulte imposible o suponga un esfuerzo desproporcionado.

  • Seguridad

Los datos personales deben ser objeto de medidas de seguridad adaptadas para limitar el riesgo de acceso no autorizado, de destrucción, de alteración o de pérdida.

Para ello, se aplica un conjunto de normas internas que permiten garantizar la seguridad y la confidencialidad de los datos personales:

  • El Reglamento de uso de los recursos informáticos y de comunicación, que exige actuar de conformidad con los reglamentos y normas de confidencialidad;
  • La Política de Seguridad de los Sistemas de información, que define el modo de gobernanza de la seguridad de los sistemas de información;
  • La Guía de referencia de Seguridad de los Sistemas de Información del grupo Total, en la que se enumeran todos los requisitos del Grupo en materia de seguridad de los sistemas de información a través de 19 temas detallados;
  • La Directiva sobre la Seguridad de los bienes de información, que establece los requisitos para proteger la confidencialidad, la integridad, la disponibilidad y el control de la información que se posee e intercambia en el Grupo.

Cuando la empresa del Grupo recurre a un tercero para el tratamiento de datos personales, se asegura de que este ofrece las garantías suficientes en términos de seguridad y confidencialidad de los datos.

  • Conservación

Los datos personales solo podrán conservarse durante un período de tiempo razonable y no excesivo en relación con la finalidad del tratamiento.

Al finalizar el período de conservación, los datos son destruidos, anonimizados o archivados.

  • Transferencia[4] internacional de datos personales

Total no transfiere datos personales procedentes de un país del EEE directamente a una empresa del Grupo ubicada en un país que no ofrece un nivel de protección adecuado, a menos que dicha empresa haya adoptado formalmente las BCR o utilice alguno de los otros instrumentos jurídicos reconocidos por la Comisión Europea.

Total no transfiere datos personales procedentes del EEE directamente a una empresa ajena al Grupo (responsable del tratamiento o subcontratista), situada en un país que no ofrece un nivel de protección adecuado, sin una base jurídica prevista en la legislación aplicable y sin un mecanismo que establezca las garantías suficientes, como las cláusulas contractuales tipo.

Asimismo, cuando un importador de datos transfiere posteriormente datos personales procedentes del EEE a una empresa ajena al Grupo (responsable del tratamiento o subcontratista), situada en un país que no ofrece un nivel de protección de datos adecuado, debe firmar un contrato con esta tercera empresa por el que esta se compromete a cumplir los principios de las BCR.

5. Derechos de las personas interesadas

Nuestras BCR otorgan a las personas interesadas cuyos datos personales se procesan los siguientes derechos:

  • Derecho de acceso a los datos
  • Derecho a rectificar, eliminar o bloquear datos
  • Derecho de oposición al tratamiento de datos
  • Derecho a limitar el tratamiento de datos

[Se adjunta una lista detallada de los derechos en el ANEXO 1 del presente documento].

Cualquier persona puede ejercer sus derechos enviando una solicitud al contacto indicado en la información relativa al tratamiento de sus datos personales. Total se compromete a responder dentro del plazo legal.

Además, si una persona cree que una empresa del Grupo no ha cumplido con las BCR, puede presentar una queja al Grupo enviando:

  • una carta a la siguiente dirección: TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARÍS LA DEFENSA CEDEX.

Se informará a la persona del estado de su queja y, en su caso, de las medidas previstas por Total para responder a ella.

El procedimiento interno de gestión de las quejas se describe en el ANEXO 2 a continuación.

La presentación de una queja ante Total no afecta al derecho de presentar una denuncia ante las autoridades competentes en materia de protección de datos personales del EEE o de iniciar una acción ante los tribunales del país del EEE en el que está establecida la empresa del Grupo responsable de la transferencia de datos personales.

6. Gobernanza

Una red interna de «Protección de Datos Personales» se encarga de vigilar y controlar la aplicación de las BCR dentro del Grupo.

Consta de:

  • Un Coordinador de Protección de Datos Personales Corporativo, que organiza y supervisa las acciones de cumplimiento a nivel de Grupo;
  • Coordinadores de Protección de Datos Personales de las Subdivisiones, que dirigen y coordinan las medidas de cumplimiento a nivel de su Subdivisión;
  • Encargados de Protección de Datos Personales, que dirigen y coordinan las acciones de cumplimiento a nivel de su Entidad o Empresa.

7. Control interno y auditoría

Con el fin de asegurar la correcta aplicación de nuestras BCR, se implementan sistemas de control interno y auditorías.

La red define un plan de control interno anual en materia de Protección de datos personales para evaluar la conformidad de las operaciones de tratamiento del Grupo con nuestras BCR. También se organiza un sistema de informes para notificar periódicamente los planes de acción posteriores a las evaluaciones.

Además, la Dirección de Auditoría Interna del Grupo incluye también el control del sistema de protección de datos personales en su plan de auditoría periódico.

8. Actualización de las BCR de Total

Si fuera necesario, nuestras BCR podrían ser completadas o actualizadas.

9. Para más información

Puede obtener una copia de la versión completa de nuestras BCR y una lista de las empresas del Grupo que las han adoptado enviando un correo electrónico a la siguiente dirección: data-protection@total.com

ANEXO 1

DERECHOS DE TERCEROS BENEFICIARIOS

Nuestras BCR otorgan el derecho a las personas interesadas de aplicarlos como terceros beneficiarios.

En particular, pueden aplicar los siguientes principios según los términos y condiciones establecidos en nuestras BCR:

  • Cualquier tratamiento que se realice dentro del Grupo se basará en un fundamento jurídico previsto en la legislación aplicable.
  • Total debe recolectar y tratar los datos personales con fines legítimos, específicos y explícitos, y no debe procesar posteriormente los datos personales de manera incompatible con la finalidad para la que fueron recogidos.
  • Total debe tratar los datos personales que sean pertinentes y no excesivos en relación con los fines para los que se recogen y estos deben ser exactos y, cuando sea necesario, estar actualizados.
  • Las personas interesadas pueden acceder fácilmente y en cualquier momento a la información sobre sus derechos en virtud de las BCR.
  • Las personas interesadas cuyos datos personales procedan del EEE tienen derecho de acceso, rectificación y oposición al tratamiento de sus datos de acuerdo con la legislación aplicable.
  • Las personas interesadas cuyos datos personales procedan del EEE no deben estar sujetas a una decisión que produzca efectos jurídicos que les conciernan o les afecten significativamente, adoptada únicamente sobre la base de un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, a menos que dicha decisión:
  • se tome en el contexto de una celebración o cumplimiento de un contrato, siempre que se haya atendido la solicitud de celebración o cumplimiento del contrato formulada por la persona interesada o que se hayan adoptado medidas apropiadas, como la oportunidad de exponer su punto de vista, que garanticen la salvaguardia de su interés legítimo; o
  • esté autorizada por la legislación aplicable, que especificará también las medidas para salvaguardar el interés legítimo de la persona interesada.
  • Total debe aplicar las medidas apropiadas para garantizar la seguridad y la confidencialidad de los datos, teniendo en cuenta el estado de la técnica y los costes asociados a su aplicación.
  • Total debe cerrar un acuerdo de subcontratación por escrito con cualquier proveedor de servicios que procese datos personales, en el que se estipule que dicho proveedor debe actuar siguiendo las instrucciones de Total y debe aplicar las medidas adecuadas para garantizar la seguridad y la confidencialidad de los datos.
  • Total no transfiere datos de un Estado miembro del EEE o procedentes del EEE a una empresa ajena al Grupo ubicada en un tercer país que no ofrece un nivel de protección adecuado (ya sea un responsable de tratamiento externo o un subcontratista) sin una base jurídica prevista en la legislación aplicable y sin un mecanismo que establezca las garantías suficientes.
  • Si una empresa del Grupo considera que la legislación que le es aplicable puede impedirle cumplir sus obligaciones en virtud de las BCR de Total y repercutir negativamente en las garantías que ofrecen estas BCR, esta empresa debe informar inmediatamente al Exportador de Datos, a menos que lo prohíba una autoridad encargada de hacer cumplir la ley, en particular debido a una prohibición prevista en el derecho penal para preservar el secreto de la investigación.
  • Toda persona interesada puede presentar una queja ante Total mediante el procedimiento interno de gestión de quejas, de acuerdo con las condiciones establecidas en la sección «Gestión de quejas».
  • Las empresas del Grupo que hayan adoptado las BCR deben cooperar con las autoridades de control competentes, seguir sus recomendaciones relativas a las transferencias internacionales de datos en caso de denuncia o solicitud específica por parte de dichas autoridades y aceptar someterse a cualquier auditoría realizada por la autoridad de control de su país de establecimiento.
  • Cualquier persona interesada puede presentar una denuncia ante las Autoridades Nacionales de Control o un recurso ante el tribunal del Estado miembro del EEE en el que esté establecido el exportador de datos con el fin de que se apliquen los principios mencionados anteriormente y, en su caso, obtener una indemnización por el daño sufrido como resultado de una violación de las BCR de Total. Si, con motivo de una transferencia de datos personales fuera del EEE, el importador de datos no cumple con las BCR de Total, corresponderá al exportador de datos impugnar la queja, establecer que el importador de datos no ha violado las BCR e indemnizar a la persona interesada por el daño sufrido como resultado de dicha violación.

ANEXO 2
PROCEDIMIENTO INTERNO DE GESTIÓN DE QUEJAS

Si una persona interesada considera que una empresa del Grupo no ha cumplido con las BCR de Total, puede presentar una queja de acuerdo con el procedimiento establecido en la información específica sobre el tratamiento de datos o el contrato aplicable o de acuerdo con el procedimiento descrito a continuación.

  • Cómo presentar una queja

La persona interesada puede presentar una queja enviando:

o

  • una carta a la siguiente dirección: TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARÍS LA DEFENSA CEDEX.

La queja debe proporcionar una descripción lo más detallada posible del problema planteado, incluyendo:

  • El país y la empresa del Grupo en cuestión, la violación de las BCR según la persona interesada y la compensación solicitada.
  • Los apellidos, nombres y datos de contacto de la persona interesada, así como una copia de su documento de identidad o cualquier otro documento que permita su identificación.
  • Cualquier correspondencia anterior relacionada con el problema invocado.
  • Respuesta de Total

En el plazo de tres meses a partir de la recepción de la queja, la persona interesada quedará informada por escrito de la admisibilidad de su queja y, si esta se considera admisible, de las medidas correctivas adoptadas o previstas por Total para responder a ella. El Coordinador de Protección de Datos Personales de la Subdivisión (o «Branch Data Privacy Lead» – «BDPL») competente se asegurará de que, en caso de ser necesario, se apliquen las medidas correctivas adecuadas para garantizar el cumplimiento de las BCR de Total.

El BDPL competente enviará una copia de la queja y de cualquier respuesta por escrito al Coordinador de Protección de Datos Personales Corporativo (o «Corporate Data Privacy Lead» – «CDPL»).

  • Mecanismo de recurso

Si la persona interesada no está satisfecha con la respuesta del BDPL competente (por ejemplo, la queja ha sido rechazada), puede ponerse en contacto con el CDPL enviando un correo electrónico o una carta a la dirección indicada anteriormente. El CDPL revisará la queja y tomará una decisión en un plazo de tres meses a partir de la recepción de la solicitud. Dentro de este período, el CDPL informará a la persona interesada si confirma la respuesta inicial y, en caso contrario, proporcionará una nueva respuesta.

La posibilidad para las personas interesadas de presentar una queja ante Total no afecta a su derecho a presentar una denuncia ante la autoridad nacional de control competente o a apelar ante el tribunal del Estado miembro del EEE en el que esté establecido el exportador de datos.

[1] Se entiende por dato personal cualquier información que permita identificar, directa o indirectamente, a una persona física.
[2] EEE: Estados miembros de la Unión Europea, además de Islandia, Liechtenstein y Noruega.
[3] Se entiende por tratamiento toda operación realizada o no mediante procesos automatizados y aplicada a datos personales (por ejemplo, la recopilación, el registro, el almacenamiento, la destrucción, etc.).
[4] La transferencia abarca todos los intercambios, ya sean virtuales o físicos, de un país a otro, de datos personales dentro del EEE.