POLÍTICA DE PRIVACIDAD

OBJETIVOS

+

La Política de Privacidad y Protección de Datos de NOVO BANCO, S.A, SUCURSAL EN ESPAÑA (en adelante, NOVO BANCO), entidad registrada en el Banco de España bajo el número 131, con domicilio social en Madrid, calle Serrano, 88, constituida por tiempo indefinido en virtud de escritura pública inscrita en el Registro Mercantil de Madrid, Tomo 23.977, Folio 1, Sección 8, Hoja M-430558, inscripción 1ª, CIF nº W0102800J, tiene como principal misión establecer las directrices globales con relación a los siguientes objetivos:

  • Contribuir a la interpretación armonizada y aplicación generalizada, sistemática y adecuada de lo dispuesto en el Reglamento General de Protección de Datos (en adelante, RGPD) y demás legislaciones y normativas aplicables en esta materia.

  • Asegurar los derechos de los titulares de los datos y contribuir al mantenimiento de su confianza en la capacidad de la entidad para garantizar tales derechos en armonía con los legítimos intereses de NOVO BANCO.

  • Garantizar una mitigación apropiada de los riesgos para los derechos y libertades de las personas físicas, y una capacidad de respuesta eficaz frente a eventuales incidentes o violaciones de seguridad de los datos.

REGLAS ESPECÍFICAS

+
MARCO GENERAL

El desarrollo económico, cultural, social y tecnológico presenta riesgos y desafíos significativos para la privacidad de los ciudadanos. En este contexto, y para dar respuesta a estos riesgos, pero también con el objeto de garantizar un marco normativo de protección de datos personales coherente en todo el espacio de la Unión, en abril de 2016, se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas (Reglamento General de Protección de Datos - “RGPD”). Este reglamento ha revocado la Directiva 95/46/CE, y será aplicable en todos los Estados miembros a partir del 25 de mayo de 2018, aunque podrá complementarse a nivel nacional mediante legislación y normas específicas.


Los datos personales son esenciales para el desarrollo de la actividad de NOVO BANCO, y su protección adquiere una importancia vital para el desarrollo de sus negocios, es decir, para la oferta y comercialización de sus productos y servicios, para la gestión diaria de los servicios prestados, para el cumplimiento de obligaciones legales y reglamentarias, y para la gestión de sus recursos humanos.

La protección de los datos personales se enmarca en el Sistema de Control Interno de NOVO BANCO, y se rige por los principios y reglas generales definidos en este ámbito, adaptados y ajustados conforme a la legislación aplicable y lo definido en esta política y otras que sean de aplicación en esta materia.


De conformidad con las mejores prácticas internacionales y con la legislación y reglamento en cuestión, esta Política establece los principios generales y describe la forma en que éstos deben ser entendidos y aplicados por los destinatarios, y es aplicable a todos los datos personales que se encuentren bajo la responsabilidad de NOVO BANCO, independientemente del formato que la información pueda adoptar, y fase de su ciclo de vida, dando cumplimiento, con ello, al principio de privacidad por defecto (privacy by default).


APLICABILIDAD Y ACTUALIDAD

Esta política, junto con las directrices corporativas derivadas, deben entenderse como un marco de referencia global, sujeta a evolución y revisión, siendo contextualizada y aplicada en consonancia con el modelo operativo y de negocio de NOVO BANCO, y en cumplimiento de las leyes y reglamentos aplicables en cada caso.


Esta política se complementa con las demás políticas y procedimientos vigentes en NOVO BANCO, asegurando su adecuada armonización y complementariedad.

PRINCIPIOS DE PROTECCIÓN DE DATOS

+

En las operaciones de tratamiento de datos personales, NOVO BANCO respetará los siguientes principios:

  • Principio de licitud: los datos personales se tratarán en la medida en que se constate, como mínimo, una de las condiciones previstas para el tratamiento lícito: (i) cuando el titular de los datos haya prestado su consentimiento; cuando el tratamiento sea necesario para (ii) la ejecución y gestión de un contrato, (iii) el cumplimiento de una obligación legal, o (iv) la persecución de un interés legítimo de la empresa o de terceros.

  • Principio de buena fe y de limitación de la finalidad: los datos personales serán recogidos y tratados para finalidades específicas comunicadas al interesado y, en ningún caso, para finalidades distintas.

  • Principio de minimización y limitación de la conservación: se tratarán únicamente los datos personales que sean adecuados, pertinentes y no excesivos, y durante el tiempo estrictamente necesario para sus respectivas finalidades.

  • Principio de transparencia: se informará de forma clara a los titulares de los datos sobre las principales características y medidas de protección de sus datos personales, en particular, sobre las respectivas finalidades de tratamiento y eventual transmisión a terceros.

  • Principio de necesidad de acceso: únicamente tendrán acceso a los datos personales tratados por NOVO BANCO los trabajadores, colaboradores y socios cuyas funciones así lo exijan.

DATOS PERSONALES TRATADOS POR NOVO BANCO

+

La entidad solo procede a la recogida y tratamiento de los datos personales necesarios para la prestación de un servicio personalizado y de calidad, atendiendo, con ello, el principio de minimización del dato establecido en la norma RGPD.


En la prestación de los servicios, y en la oferta de productos, NOVO BANCO procede al tratamiento de varias categorías de datos personales, incluyendo los siguientes:


  • Datos de identificación personal (como nombre, apellidos, NIF, domicilio y país de residencia).

  • Datos de contacto (como teléfono y dirección de correo electrónico).

  • Datos relativos al patrimonio, posiciones y movimientos financieros (como datos de cuenta bancaria o valor de sus bienes), así como los que se derivan de las actividades sujetas a la relación contractual formalizada.

  • Datos demográficos y relativos a familiares (como nacionalidad, fecha de nacimiento, edad, sexo, estado civil o número de hijos).

  • Datos de registros de voz (como grabaciones de llamadas telefónicas).

Por otro lado, es posible que NOVO BANCO recoja sus datos personales a través de terceros.


Esto puede suceder, por ejemplo, en los casos en los que su contacto sea facilitado por algún familiar o conocido, o cuando sea beneficiario de un determinado producto, preste garantías en favor de clientes de la entidad, o sea miembro de un órgano social de una persona jurídica que sea cliente de NOVO BANCO.


Siempre que NOVO BANCO recoja sus datos a través de terceros o por otros medios, le facilitará la información relativa al tratamiento de sus datos personales.


De igual forma, en función de la utilización efectuada por su parte de los productos y servicios contratados, así como de las transacciones ejecutadas y preferencias señaladas, NOVO BANCO lleva a cabo el tratamiento de datos personales generados al efecto como, por ejemplo, su perfil de cliente.


NOVO BANCO no trata categorías especiales de datos personales, es decir, datos relativos a su origen racial o étnico, a su salud, a su vida u orientación sexual, a sus creencias religiosas, filosóficas u opiniones políticas, ni datos genéticos o biométricos.

FINALIDADES DE TRATAMIENTO DE DATOS

+

NOVO BANCO solo trata sus datos personales atendiendo a las siguientes finalidades:


PARA LA EJECUCIÓN DE UN CONTRATO CELEBRADO CON USTED O PARA LA EJECUCIÓN DE DILIGENCIAS PRECONTRACTUALES A PETICIÓN SUYA

En el ámbito de la oferta de productos y de la prestación de servicios que haya sido contratada, la entidad puede tener que tratar sus datos personales. Esto sucederá, por ejemplo, en los siguientes casos:


  • Gestión de la relación contractual/comercial (como relación con el cliente, incluyendo la contratación/adhesión y cancelación/rescate de productos y servicios, seguimiento de posiciones y movimientos financieros o ejecución de instrucciones del cliente).

  • Mejora de la calidad del servicio (como análisis y tratamiento de información relativa a la calidad y al desempeño de los distintos medios y procesos de prestación de servicios y gestión de reclamaciones).

  • Evaluación de riesgo a efectos de la concesión de créditos (como análisis de procesos de solicitud de crédito o evaluación del perfil de riesgo del cliente).

  • Seguimiento y recuperación de crédito (como acciones y tratamientos en el ámbito del seguimiento de los contratos de crédito y de la posición crediticia del cliente, acciones de gestión de activos recibidos o recuperados y promoción de su enajenación).

  • Cese de la posición contractual (como tratamiento y transmisión de información en el ámbito de los procesos de reorganización societaria y de procesos de venta o titularización de carteras de crédito).


PARA EL CUMPLIMIENTO DE OBLIGACIONES LEGALES A LAS QUE ESTÁ SUJETA NOVO BANCO

La entidad está sujeta a numerosas obligaciones legales y reglamentarias, cuyo cumplimiento puede implicar la necesidad de proceder al tratamiento de sus datos personales. Esto sucede, por ejemplo, con relación al:


  • Cumplimiento de obligaciones de retención, pago o declaración a efectos fiscales.

  • Cumplimiento de obligaciones legales relativas al reporte o a la respuesta a autoridades públicas (como Banco de España, Comisión Nacional del Mercado de Valores, Banco Central Europeo o Tribunal de Cuentas).

  • Cumplimiento de procedimientos en materia de prevención y lucha contra los delitos financieros (como prevención del blanqueo de capitales).

  • Cumplimiento de obligaciones legales o reglamentarias relativas a la actividad bancaria y financiera (como definición de riesgo de crédito y capacidad de reembolso, evaluación de riesgo para la concesión de créditos, seguimiento y recuperación de crédito, supervisión y reporte de riesgos que la entidad puede contraer, y procedimientos de auditoría y control interno).

  • Seguridad y protección de datos personales (como implantación de medidas de seguridad de la información lógicas y físicas, como copias de respaldo, restauración y recuperación de desastres y realización de evaluaciones regulares de la implantación de las medidas de seguridad).


PARA EL INTERÉS LEGÍTIMO DE NOVO BANCO

La entidad utiliza sus datos personales para desarrollar sus productos y servicios, para mejorar la gestión de riesgos y para defender sus derechos e intereses legales, lo cual incluye:


  • Seguimiento y recuperación de crédito (como acciones y tratamiento en el ámbito de seguimiento de los contratos de crédito y de la posición crediticia del cliente, para prever situaciones de incumplimiento, gestión del proceso de recuperación de crédito, gestión de activos recibidos o recuperados y promoción de la enajenación de los activos).

  • Gestión de la relación contractual/comercial (como relación con el cliente, incluyendo la contratación/adhesión y cancelación/rescate de productos y servicios y seguimiento de posiciones y movimientos financieros para garantizar el cumplimiento de objetivos comerciales).

  • Control y seguimiento del rendimiento operativo (como informaciones de gestión).

  • Gestión de procesos contenciosos (como análisis de procesos judiciales y administrativos no relacionados con créditos vencidos o de índole fiscal, como acciones declarativas o ejecutivas intentadas contra la entidad, inventarios, procesos penales u otros).

  • Marketing y comunicación de productos y servicios financieros propios (como análisis y tratamiento de datos para identificar oportunidades de oferta de productos o servicios y dinamización de actividades preparatorias y comerciales para marketing).

  • Supervisión y control de la aplicación de los procedimientos necesarios para la ejecución del contrato o el cumplimiento de obligaciones legales (como procedimientos para garantizar el correcto funcionamiento del sistema de control interno o la prevención del fraude).

  • Seguridad física y videovigilancia (como implantación de medidas de seguridad física y evaluaciones de supervisión de la implantación de medidas).


PARA ATENDER LOS CONSENTIMIENTOS OTORGADOS POR USTED

NOVO BANCO trata además sus datos personales cuando haya otorgado su consentimiento previo y expreso a tales efectos.


En este sentido, las finalidades previstas serían:


  • Realización de estudios de mercado y campañas promocionales multicanal (como tratamiento de información biográfica, financiera y de comportamiento para la realización de análisis de perfiles, segmentación comercial y procedimientos para conocer y anticiparnos a sus necesidades con relación a productos propios, de terceros o en colaboración).

  • Marketing y comunicación de productos y servicios no financieros propios, mediante la utilización de medios tales como correo electrónico, correo postal, SMS, teléfono, publicidad mostrada en Internet u otro medio de comunicación electrónica equivalente.

  • Marketing y comunicación de productos y servicios de terceros, mediante la utilización de medios tales como correo electrónico, correo postal, SMS, teléfono, publicidad mostrada en Internet u otro medio de comunicación electrónica equivalente.


Siempre que el tratamiento de sus datos pueda implicar la toma de decisiones automatizadas que produzcan efectos en su ámbito jurídico o puedan afectarle de modo similar, NOVO BANCO facilitará, en ese momento, información acerca de la lógica subyacente a dicho tratamiento, así como sobre la importancia y las consecuencias previstas de ese tratamiento.

DESTINATARIOS DE LOS DATOS

+

Para que NOVO BANCO pueda cumplir con todas las obligaciones y pueda prestarle el mejor servicio y los mejores productos posibles, puede que tenga que comunicar sus datos personales a otras entidades.


Es posible que NOVO BANCO comunique sus datos personales a las siguientes entidades:


  • La entidad matriz en Portugal (NOVO BANCO, S.A).

  • Proveedores que presten servicios en calidad de Encargados del Tratamiento, y con sede en la Unión Europea.

  • Autoridades públicas, como la Agencia Tributaria, el Banco de España, el Banco Central Europeo, la Comisión del Mercado de Valores o Tribunales de Justicia.

PLAZOS DE CONSERVACIÓN DE DATOS

+

NOVO BANCO conservará sus datos personales mientras se mantenga la relación contractual con usted, así como, una vez finalizada dicha relación, durante el plazo de prescripción de las normas penales, civiles, fiscales o mercantiles aplicables.

Para las finalidades basadas en el consentimiento otorgado, los datos de carácter personal se mantendrán mientras no se ejercite el derecho de cancelación oportuno.

Los siguientes son los periodos de conservación de sus datos personales, en función de cada finalidad de tratamiento y el respectivo fundamento de la licitud de su tratamiento:

FINALIDADFUNDAMENTO DE LICITUDPLAZO DE CONSERVACIÓN
Gestión de la relación comercial/contractual
Mejora de la calidad del servicio
Evaluación de riesgos a efectos de concesión de créditos
Seguimiento y recuperación de crédito
Cese de la posición contractual
Ejecución de la relación contractual Mientras la relación contractual se mantenga activa y no prescriban los plazos legales aplicables
Gestión de la relación comercial/contractual
Evaluación de riesgos a efectos de concesión de créditos
Seguimiento y recuperación de crédito
Control y seguimiento del rendimiento operativo
Gestión de procesos contenciosos
Marketing y comunicación de productos y servicios financieros propios
Supervisión y control de la aplicación de los procedimientos necesarios para la ejecución del contrato o el cumplimiento de obligaciones legales
Seguridad física y videovigilancia
Interés legítimo de NOVO BANCO Mientras la relación contractual se mantenga activa
Cumplimiento de obligaciones de retención, pago o declaración a efectos fiscales
Cumplimiento de obligaciones legales relativas al reporte o a la respuesta a autoridades
Cumplimiento de procedimientos en materia de prevención y lucha contra los delitos financieros
Cumplimiento de obligaciones legales o reglamentarias relativas a la actividad bancaria
Seguridad y protección de datos personales
Cumplimiento de obligaciones legales Plazos legales formalizados
Estudios de mercado y campañas promocionales multicanal
Marketing y comunicación de productos y servicios no financieros propios a través de comunicaciones electrónicas
Marketing y comunicación de productos y servicios de terceros a través de comunicaciones electrónicas
Consentimiento expreso del afectado Mientras el afectado no ejercite el derecho de oposición o cancelación de sus datos

DERECHOS DE LOS TITULARES

+

Los derechos de los titulares de los datos son garantizados desde que se procede a su recogida, siendo lícita la finalidad subyacente al tratamiento, y siendo adoptadas las medidas técnicas y organizativas adecuadas relativas a su confidencialidad e integridad.


NOVO BANCO se ha dotado de los medios necesarios para atender las solicitudes efectuadas por los titulares de los datos en el ejercicio de sus derechos.


En lo que respecta al tratamiento de sus datos personales, el titular de los datos goza de los siguientes derechos:


DERECHO DE ACCESO

Siempre que lo solicite, el titular tendrá derecho a obtener confirmación acerca de si sus datos personales son tratados por NOVO BANCO.


De igual forma, tendrá derecho a acceder a sus datos personales, así como a obtener la siguiente información:


  1. Razones por la cuales sus datos son tratados.

  2. Tipos de datos personales que son tratados.

  3. Entidades a las que sus datos personales pueden ser transmitidos, incluyendo entidades localizadas en países fuera de la Unión Europea u organizaciones internacionales, siendo, en este caso, informado de las garantías aplicadas a la transferencia de sus datos.

  4. Plazos de conservación de sus datos o, si eso no fuera posible, los criterios para establecer tales plazos.

  5. Derechos de los que goza en relación con el tratamiento de sus datos personales.

  6. Si los datos personales no hubieran sido facilitados por el propio titular, información sobre el origen de los mismos.

  7. Existencia de decisiones individuales automatizadas, incluyendo definición de perfiles, y, en ese caso, información sobre la lógica subyacente a ese tratamiento, así como sobre la importancia y las consecuencias previstas del mismo.


El titular de los datos cuenta con el derecho a obtener una copia de sus datos personales que son objeto de tratamiento por parte de NOVO BANCO


DERECHO DE RECTIFICACIÓN

Siempre que el titular considere que sus datos personales están incompletos o incorrectos, podrá requerir su rectificación, o que éstos sean completados.


DERECHO DE CANCELACIÓN

El titular de los datos cuenta con el derecho a solicitar la cancelación de sus datos personales cuando se verifique que se ha producido alguna de las siguientes situaciones:

  1. Que los datos personales dejen de ser necesarios para la finalidad que motivó su recogida o tratamiento.

  2. Que se retire el consentimiento en el que se basa el tratamiento de datos y que no exista otro fundamento jurídico para el mismo.

  3. Que se oponga al tratamiento de los datos y no existan intereses legítimos prevalecientes que justifiquen el tratamiento o que los datos sean tratados a efectos de comercialización directa.

  4. Que los datos personales hayan sido tratados ilícitamente.

  5. Que los datos personales tengan que ser cancelados al amparo de una obligación jurídica a la que esté sujeta NOVO BANCO.

  6. Que los datos personales hayan sido recogidos en el contexto de la oferta de servicios de la sociedad de la información.

El derecho a la cancelación no será de aplicación cuando el tratamiento sea necesario a los siguientes efectos:

  1. El ejercicio de la libertad de expresión y de información.

  2. El cumplimiento de una obligación legal que exija el tratamiento y que sea aplicable a NOVO BANCO.

  3. Motivos de interés público en el ámbito de la salud pública.

  4. Fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el ejercicio del derecho a la cancelación perjudique gravemente la consecución de los objetivos de ese tratamiento.

  5. La declaración, ejercicio o defensa de un derecho en un proceso judicial.

DERECHO A LA LIMITACIÓN DEL TRATAMIENTO

El titular puede solicitar la limitación del tratamiento de sus datos personales en los siguientes supuestos:

  1. Si impugna la exactitud de sus datos personales, durante un periodo de tiempo que permita a NOVO BANCO verificar su exactitud.

  2. Si el tratamiento fuera ilícito y el titular se opone a la cancelación de sus datos personales y solicita, en contrapartida, la limitación del tratamiento.

  3. Si NOVO BANCO ya no necesita los datos personales para fines de tratamiento, pero sí son necesarios a efectos de declaración, ejercicio o defensa de un derecho en un proceso judicial.

  4. Si se hubiera opuesto al tratamiento, hasta que se verifique que los intereses legítimos de NOVO BANCO prevalecen sobre los suyos.

DERECHO DE PORTABILIDAD

El titular cuenta con el derecho a recibir sus datos personales en un formato estructurado, de uso común y de lectura automática.

De igual forma, cuenta con el derecho de solicitar a NOVO BANCO que transmita tales datos a otro responsable del tratamiento siempre que ello sea técnicamente posible.

El derecho de portabilidad solo se aplicará en los siguientes supuestos:

  1. Cuando el tratamiento se base en el consentimiento expreso o en la ejecución de un contrato.

  2. Cuando el tratamiento en cuestión se realice por medios automatizados.

DERECHO DE OPOSICIÓN

El titular cuenta con el derecho a oponerse al tratamiento de sus datos personales en cualquier momento por motivos relacionados con su situación particular, en los siguientes supuestos:

  1. Cuando el tratamiento se base en el interés legítimo de NOVO BANCO.

  2. Cuando el tratamiento se realice para fines distintos de aquellos para los cuales los datos fueron recogidos, pero que sean compatibles con los mismos.

En tales casos, NOVO BANCO dejará de tratar sus datos personales, a no ser que tenga razones legítimas para efectuar ese tratamiento y que éstas prevalezcan sobre los intereses del titular.

De igual forma, el titular puede oponerse, en cualquier momento y sin necesidad de justificación, al tratamiento de sus datos para fines de marketing directo, incluyendo la definición de perfiles relacionada con ese marketing.


DERECHO A NO QUEDAR SUJETO A DECISIONES INDIVIDUALES AUTOMATIZADAS

El titular cuenta con el derecho a no quedar sujeto a decisiones tomadas exclusivamente en base a un tratamiento automatizado de datos, incluyendo la definición de perfiles, cuando tales decisiones produzcan efectos en su esfera jurídica o le afecte significativamente de forma similar

Podrá darse la toma de decisiones basadas en el tratamiento automatizado de sus datos cuando esté autorizado por el derecho nacional o de la Unión Europea.

En los casos en los que el tratamiento de datos en cuestión (i) sea necesario para la celebración o ejecución de un contrato con NOVO BANCO o (ii) se basa en el consentimiento explícito del titular de los datos, éste podrá, de igual forma, quedar sujeto a decisiones tomadas sobre la base del tratamiento automatizado de sus datos personales. En estos casos sin embargo, el titular de los datos tendrá derecho a:

  1. Obtener intervención humana por parte de NOVO BANCO.

  2. Manifestar su punto de vista.

  3. Discrepar con la decisión tomada.

La toma de decisiones basadas en el tratamiento automatizado de datos personales no se basará en el tratamiento de categorías especiales de datos (como datos relativos a la salud, datos genéticos o datos relativos a su origen racial o étnico), excepto cuando el titular de los datos haya dado su consentimiento explícito a tal efecto, o dicho tratamiento sea necesario por motivos de interés público significativo, en los términos legalmente aplicables. En estos casos, NOVO BANCO tomará todas las medidas que sean adecuadas para garantizar los derechos y libertades, así como los intereses legítimos.


DERECHO A RETIRAR SU CONSENTIMIENTO

En caso de que el tratamiento de los datos se efectúe sobre la base del consentimiento del titular, éste podrá retirar su consentimiento en cualquier momento.

En tal caso, sus datos personales dejarán de ser tratados, excepto si existe otro fundamento que lo permita, como la relación contractual o el interés legítimo de NOVO BANCO.


DERECHO A PRESENTAR RECLAMACIÓN ANTE LA AUTORIDAD DE SUPERVISIÓN

El titular de los datos cuenta con el derecho de presentar una reclamación ante la Agencia Española de Protección de Datos (autoridad de control competente en materia de protección de datos).


EJERCICIO DE DERECHOS

El titular de los datos podrá ejercer sus derechos de forma gratuita mediante comunicación dirigida a NOVO BANCO, a la siguiente dirección: c/Serrano, 88, Madrid 28006, o bien a través de correo electrónico dirigido a dpd@novobanco.es, adjuntando copia de su DNI o pasaporte.

NOVO BANCO atenderá las solicitudes de ejercicio de derechos por parte de los titulares de los datos, sin demoras injustificadas, y sin exceder el período de respuesta de un mes.

La respuesta a las peticiones será facilitada por idénticos medios a los utilizados para la petición, siempre que sea posible su aplicación o que el titular no solicite otro medio distinto.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

+

NOVO BANCO ha elaborado y mantiene actualizado un registro interno (inventario) de los distintos procesos de tratamiento de datos personales existentes.


Este registro contiene, como mínimo, la información demandada por el artículo 30 del RGPD: nombre y contactos del responsable del tratamiento y Delegado de Protección de Datos, finalidades del tratamiento, descripción de las categorías de titulares de datos, descripción de las categorías de datos personales tratados, período de retención/plazo para la eliminación de los datos, categorías de los destinatarios de los datos, garantías adecuadas en los casos de transferencia fuera de la UE y descripción de las medidas técnicas y organizativas en el ámbito de la privacidad.

DEBER DE INFORMACIÓN Y CONSENTIMIENTO

+

NOVO BANCO comunica de forma clara y transparente al titular de los datos los tipos de tratamientos efectuados con relación a sus datos personales, con el detalle de finalidades y fundamentos de licitud conforme a las disposiciones del RGPD. Este deber de información es atendido en las siguientes situaciones:


  • Cuando los datos personales son facilitados por el propio titular mediante las cláusulas informativas habilitadas en los formularios de recogida de datos.

  • Cuando los datos personales son facilitados por un tercero, en cuyo caso, se atiende el deber de información en un plazo razonable tras su recogida, que no excede un mes.


NOVO BANCO obtiene el consentimiento de los titulares de los datos personales para las finalidades y tratamientos efectuados, salvo que el tratamiento se base en alguno de los siguientes fundamentos de licitud: legal, contractual e interés legítimo de la entidad.


NOVO BANCO garantiza que para su universo actual de personas físicas con las que se relaciona:


  • Facilita la información precisa con relación a los tratamientos efectuados.

  • Obtiene el consentimiento oportuno, cuando es aplicable, conforme a las disposiciones previstas en el RGPD.

  • Define la estrategia de actuación necesaria cuando el titular de los datos no responde a la solicitud de consentimiento efectuada.

SALVAGUARDA Y PROTECCIÓN DE LOS DATOS PERSONALES

+

Siempre que no resulten contradictorias o insuficientes, se aplicarán las políticas y medios existentes en materia de seguridad de los datos personales en poder de NOVO BANCO.


ANONIMIZACIÓN Y SEUDONIMIZACIÓN

En aquellos casos en que NOVO BANCO procede a la anonimización de los datos de tal forma que no resulta posible identificar al titular a partir de ellos, éstos ya no son considerados datos personales y, en consecuencia, la norma RGPD no es de aplicación a tal conjunto de datos. En este sentido, siempre que es posible, NOVO BANCO procede a la anonimización de los datos.


Por otra parte, en los casos en que no es posible la anonimización de los datos, NOVO BANCO siempre plantea los procesos de seudonimización o cifrado de los datos personales con el objeto de mitigar los riesgos de seguridad que podrían derivarse del acceso por parte de terceros no autorizados.


Así, las técnicas de anonimización, seudonimización y cifrado son consideradas por NOVO BANCO en los siguientes supuestos:


  • Como parte de la estrategia de privacidad desde el diseño para garantizar la protección de datos del titular.

  • Como parte de la estrategia de mitigación del riesgo en el intercambio de datos personales con terceros.

  • Como parte de la estrategia para reducir el impacto de violación de la seguridad de los datos en los escenarios de acceso por parte de terceros no autorizados.

  • Como parte de la estrategia de minimización de los datos.


PRIVACIDAD DESDE EL DISEÑO Y PRIVACIDAD POR DEFECTO

Con el objeto de atender el principio de privacidad desde el diseño, NOVO BANCO considera los riesgos relacionados con la protección de los datos personales desde la propia concepción del tratamiento. De esta forma, se anticipa y previene que puedan producirse eventos invasivos para la privacidad, así como la existencia de infracciones de los derechos de los titulares.


El principio de privacidad desde el diseño mitiga la posibilidad de que los riesgos de la privacidad se materialicen. Este principio no tiene por objetivo identificar soluciones para las violaciones de seguridad acaecidas, sino prevenir que se produzcan de antemano.


Por otro lado, el principio de privacidad por defecto formalizado por NOVO BANCO establece que la privacidad debe ser una preocupación de partida en la concepción de un tratamiento, garantizando que, por defecto, solo se lleve a cabo el tratamiento de los datos estrictamente necesarios para cada propósito específico de procesamiento.


NOVO BANCO ha adoptado las reglas y medidas internas necesarias con el objeto de garantizar estos principios. Estas reglas deben aplicarse en la fase de planificación (definición de los medios de recogida de los datos), así como durante el ciclo de vida asociado al tratamiento del dato (recogida, mantenimiento, almacenamiento y destrucción de los datos personales).


En este sentido, estos principios son considerados en los siguientes supuestos:


  • Diseño y construcción de un nuevo sistema de TI que almacene, procese y permita el acceso a datos personales.

  • Creación de una política o normativa con implicaciones en materia de privacidad.

  • Definición de un nuevo proceso operativo que traiga consigo el tratamiento de datos de carácter personal.

  • Ampliación del conjunto de finalidades de tratamiento previstas para ciertas categorías de datos o interesados.


De igual forma, NOVO BANCO aplica mecanismos con el objeto de asegurar el cumplimiento del principio de conservación de los datos. En determinadas circunstancias, y teniendo en consideración la finalidad del tratamiento, los datos son suprimidos con carácter inmediato una vez extinguida la finalidad prevista, y siempre que no exista una obligación legal de conservación que se derive de la finalidad y el tratamiento efectuado.


Por defecto, NOVO BANCO garantiza que solo accede a los datos personales aquellas personas que lo precisan atendiendo a sus competencias profesionales.


Así, tanto en el proceso de determinación de los medios para el tratamiento de los datos como, con posterioridad, durante el procesamiento de los mismos, NOVO BANCO aplica las medidas técnicas y organizativas adecuadas, diseñadas para garantizar con eficacia los principios de protección de datos.


Estas medidas han sido definidas teniendo en consideración:


  • Las técnicas y herramientas más avanzadas que se encuentran disponibles.

  • Los costes de aplicación, teniendo en consideración la naturaleza, el ámbito, el contexto y las finalidades del tratamiento de los datos.

  • Los riesgos para los derechos y libertades de las personas físicas que se derivan del tratamiento de los datos.


Por otro lado, y en lo relativo a la efectividad de las medidas técnicas y organizativas, éstas deben garantizar:


  • La minimización del tratamiento en lo relativo a la cantidad, calidad y periodos de conservación de los datos.

  • La minimización del acceso garantizando la aplicación de la política de mínimo privilegio.

  • La seudonimización de los datos en una fase inicial del tratamiento, siempre que sea posible.

  • La obtención de garantías con respecto a la atención del principio de transparencia en el tratamiento de los datos personales.

  • La implantación de mecanismos que garanticen la supervisión periódica del tratamiento de los datos personales, así como la evaluación de la conformidad con los principios, derechos y obligaciones recogidos en la norma RGPD.

PROVEEDORES EXTERNOS DE SERVICIOS (ENCARGADOS DEL TRATAMIENTO)

+

La contratación de una prestación de servicios puede implicar el acceso, por parte del proveedor, a datos de carácter personal que se encuentra bajo la responsabilidad de NOVO BANCO.


En tales casos, NOVO BANCO establece salvaguardas para que las condiciones objetivas en las que el proveedor proporciona el servicio garanticen la confidencialidad e integridad de los datos personales.


En este sentido, las políticas habilitadas para la contratación y control de los prestadores de servicios afectados en materia de protección de datos (encargados del tratamiento) contemplan la consideración de los requisitos que emanan de la norma RGPD.


NOVO BANCO evalúa las garantías ofrecidas por el encargado del tratamiento con relación a los principios, derechos y obligaciones recogidas en la norma RGPD, ya sea mediante la verificación de códigos de conducta, mecanismos de certificación o auditorías de privacidad efectuadas por terceros independientes.


Con carácter no exhaustivo, NOVO BANCO considera garantías suficientes algunos de los siguientes supuestos:


  • Adhesión a códigos de conducta o certificación de sistemas de gestión de privacidad.

  • Informes de auditorías específicas de privacidad que demuestren la aplicación de buenas prácticas y la adopción de medidas técnicas y organizativas que permiten el cumplimiento efectivo de la norma RGPD, en particular, en lo referente a la seguridad del tratamiento.


El acuerdo de procesamiento de datos entre NOVO BANCO y el encargado del tratamiento incluirá:


  • El objeto de la prestación del servicio del que se deriva el tratamiento de datos personales.

  • La duración de la prestación de los servicios.

  • La naturaleza y finalidad del tratamiento, incluyendo instrucciones en lo referente al tratamiento.

  • La naturaleza de los datos que serán tratados, así como las categorías de titulares de datos afectados.

  • Los derechos de NOVO BANCO en lo relativo a la posible planificación de auditorías al encargado del tratamiento.

  • Las obligaciones del encargado del tratamiento para el debido cumplimiento de la norma RGPD.

TRANSFERENCIAS INTERNACIONALES DE DATOS

+

En los casos de transferencias internacionales (fuera de la Unión Europea), siempre que la Comisión Europea haya declarado, a través de una decisión de adecuación, que el país en cuestión localizado fuera de la Unión Europea garantiza un nivel de protección de los datos personales equivalente al que resulta de la legislación de la Unión Europea, la transferencia de datos tendrá por base esa decisión de adecuación.


Puede consultar las decisiones de adecuación existentes en www.eur-lex.europa.eu.


En los casos en los que la transferencia se realice a países u organizaciones localizados fuera de la Unión Europea para los que no exista una decisión de adecuación de la Comisión, NOVO BANCO establecería garantías adecuadas para asegurar la protección de sus datos, tales como:


  • La adopción de cláusulas contractuales tipo, previamente adoptadas o aprobadas por la Comisión Europea.

  • La adopción de un código de conducta, previamente aprobado y acompañado de compromisos vinculantes y con fuerza ejecutiva por parte del país o la organización en cuestión.

  • La adopción de un procedimiento de certificación, previamente aprobado y seguido de compromisos vinculantes y con fuerza ejecutiva por parte del país o la organización en cuestión.


En cualquier caso, en la actualidad, NOVO BANCO no queda expuesta a ninguna transferencia internacional de datos.

EVALUACIÓN DEL IMPACTO SOBRE LA PRIVACIDAD (PIA – Privacy Impact Assessment)

+

NOVO BANCO ha formalizado un modelo para la evaluación del impacto sobre la privacidad de las distintas operaciones de tratamiento de datos de carácter personal existentes.


NOVO BANCO garantiza la ejecución de las evaluaciones de impacto en los procesos de tratamiento de datos que pudieran entrañar un alto riesgo para los derechos y libertades de las personas físicas.


Estas evaluaciones se efectúan con el objeto de identificar las medidas preventivas oportunas para la mitigación de los riesgos identificados, siendo objeto de revisión y actualización periódica.


El Delegado de Protección de datos efectuará la supervisión con respecto a la ejecución de tales evaluaciones, y la revisión de los resultados, contrastando la correcta aplicación de las medidas preventivas de mitigación identificadas.

VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS

+

La norma RGPD impone un control riguroso de los incidentes de seguridad que se presentan en materia de protección de datos (escenarios de violación de la seguridad de los datos).


El proceso que se aplica en este ámbito es parte integrante del proceso de gestión de incidentes de seguridad de NOVO BANCO.


En este sentido, es prioritaria la identificación de los requisitos y las medidas que deben ser adoptadas con el objeto de notificar los incidentes de seguridad para minimizar el impacto que se deriva sobre los derechos y libertades de las personas físicas (daños y perjuicios materiales o inmateriales para las personas físicas, así como la pérdida de control sobre sus propios datos o la restricción de sus derechos, discriminación, usurpación de identidad, pérdida de confidencialidad de los datos o cualquier otro perjuicio económico o social significativo para la persona física en cuestión).


NOVO BANCO tiene la obligación de notificar a la Autoridad de Control (Agencia Española de Protección de Datos) cualquier incidente de seguridad en materia de protección de datos (escenarios de violación de la seguridad de los datos) que implique un riesgo para los derechos y libertades de las personas físicas.


De igual forma, NOVO BANCO debe notificar al titular de los datos si la violación de la seguridad de los datos personales fuese susceptible de implicar un elevado riesgo para sus derechos y libertades. A este respecto, NOVO BANCO tiene en consideración los criterios definidos en la norma RGPD, así como otras orientaciones legales y normativas, en lo referente a los criterios de clasificación de la severidad del incidente.


Las violaciones de la seguridad de los datos personales son registradas y documentadas por cualquier persona que detecta un incidente de seguridad. No obstante, será el Delegado de Protección de Datos de NOVO BANCO quien comunique el incidente a la Autoridad de Control (Agencia Española de Protección de Datos), así como a los titulares de los datos personales afectados, en el caso de que se verifique esta necesidad.


El plazo de notificación a la Autoridad de Control no excederá 72 horas desde el momento en que se tenga conocimiento de la violación de la seguridad de los datos. Si la notificación no fuese transmitida en el plazo de 72 horas, deberá ir acompañada de los motivos del retraso.


Esta notificación será efectuada a través del mecanismo que la Autoridad de Control (Agencia Española de Protección de Datos) establezca.


Por otro lado, la notificación a los titulares de los datos personales, en el caso de que sea posible, será efectuada con carácter individual a cada uno de los afectados, a través de medios de comunicación directos como el correo electrónico, una llamada telefónica o un correo postal. Esta comunicación deberá ser demostrable, aunque no sea necesaria la confirmación de recepción por parte de los titulares de los datos. En el caso de que la notificación implique un esfuerzo desproporcionado, NOVO BANCO adoptará medidas alternativas como publicaciones en prensa o su página web corporativa. En cualquier caso, NOVO BANCO consultará a la Autoridad de Control (Agencia Española de Protección de Datos) para formalizar el criterio de actuación.


En el caso de que el tratamiento sea efectuado por un proveedor externo, éste notificará el incidente de seguridad a NOVO BANCO una vez tenga conocimiento de ello. Esta obligación ha quedado formalizada en el contrato de prestación de servicios formalizado entre las partes.


Con independencia de que las violaciones de seguridad de los datos sean comunicadas a la Autoridad de Control (Agencia Española de Protección de Datos), y los afectados, según proceda, NOVO BANCO documentará tales violaciones, incluidos los efectos y medidas correctoras adoptadas.

TOMA DE DECISIONES AUTOMATIZADA Y ELABORACIÓN DE PERFILES

+

El titular de los datos tiene derecho a no quedar sujeto a la toma de decisiones automatizadas, en caso de que éstas tengan un impacto significativo en su esfera jurídica o que le afecten significativamente de forma similar, excepto si:

  • Fuese necesaria para la celebración o ejecución de un contrato entre el titular de los datos y NOVO BANCO.

  • Estuviese autorizada por derecho de la Unión o del Estado miembro al que NOVO BANCO estuviese sujeto y, en la cual, estén igualmente previstas medidas adecuadas para salvaguardar los derechos y libertades, y los legítimos intereses del titular de los datos.

  • Estuviese basada en el consentimiento explícito del titular de los datos.


La norma RGPD no permite la utilización de las categorías especiales de datos personales (datos sensibles) en la toma de decisiones automatizadas, excepto en los casos en que se apliquen medidas adecuadas para salvaguardar los derechos y libertades, y los legítimos intereses del titular de los datos.


NOVO BANCO garantiza que, siempre que resulte necesario y aplicable, se expondrá de forma clara y simple a disposición de los titulares de los datos cómo funciona la elaboración de perfiles o el proceso de toma de decisiones automatizada.

REVISIÓN DE LA POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS

+

Esta Política de Privacidad y Protección de Datos será revisada anualmente o siempre que se produzcan modificaciones significativas en la legislación aplicable, estrategia de negocio o sistemas de información de NOVO BANCO.


Todas las modificaciones a la presente Política de Privacidad y Protección de Datos serán aprobadas formalmente, y deberán ser publicadas y comunicadas a todos los afectados.

DELEGADO DE PROTECCIÓN DE DATOS

+

La responsabilidad principal del Delegado de Protección de Datos es monitorizar el cumplimiento de las obligaciones en materia de datos personales cooperando con la Autoridad de Control (Agencia Española de Protección de Datos), como punto de contacto para esta autoridad y para los titulares de los datos.


La designación del Delegado de Protección de Datos se ha llevado a efecto basándose en sus cualidades profesionales y, en particular, en sus conocimientos especializados en el dominio del derecho y de las prácticas de protección de datos, así como en su capacidad para desempeñar las funciones sin la existencia de escenarios de conflicto de intereses.


Por otro lado, NOVO BANCO apoya al Delegado de Protección de Datos en el ejercicio de sus funciones, proporcionándole los recursos necesarios para el desempeño de las mismas, y para el mantenimiento de sus conocimientos, así como para darle acceso a los datos personales y a las operaciones de tratamiento.


Puede contactar con el Delegado de Protección de Datos de NOVO BANCO mediante la comunicación vía mail a la dirección dpd@novobanco.es