Skip to content

Version Resumida de las Normas Empresariales Vinculantes de Total

VERSIÓN RESUMIDA
DE LAS NORMAS EMPRESARIALES VINCULANTES DE TOTAL

  1.     Introducción

    El Grupo Total (o “Total”) promueve una cultura y prácticas relacionadas con la protección de datos personales1, de conformidad con las leyes aplicables. Con este objetivo, Total ha implementado una serie de Normas Empresariales Vinculantes (“NEV”).

    Este documento resume los principios de protección de datos que se aplican en virtud de nuestras NEV y los derechos que estas otorgan.
     

  2.    Objetivo

    Nuestras NEV son un conjunto de normas internas vinculantes que se aplican en todas las subsidiarias de Total que las hayan adoptado. Han sido aprobadas por las autoridades europeas de protección de datos.

    Permiten a las subsidiarias de Total transferir datos personales procedentes del Espacio Económico Europeo (“EEE”)2 a las subsidiarias de Total que se encuentren fuera del EEE conforme a la ley aplicable.
     

  3.     Ámbito de implementación

    Nuestras NEV se aplican a todos los datos personales procedentes del EEE procesados por las subsidiarias de Total, que incluyen los datos relacionados con empleados y exempleados, postulantes, clientes y potenciales clientes, proveedores y subcontratistas y el personal de otras empresas que actúen en nombre de las subsidiarias del Grupo, como también los accionistas (en lo sucesivo “titulares de los datos”).
     

  4.     Principios de protección

    Deben respetarse los siguientes principios definidos en nuestras NEV, entre otros:

       •   Legalidad

    Toda operación3 de procesamiento de datos que se realice debe tener una base legal, establecida por la ley pertinente.

    Los datos personales solo deben procesarse con fines legales, determinados y legítimos. Los datos no deben recibir ningún otro tratamiento que sea incompatible con estos objetivos.

       •   Pertinencia

    Los datos personales deben ser precisos y adecuados, desde el punto de vista de la calidad y de la cantidad, en relación con el propósito del procesamiento.

       •   Transparencia

    Los datos personales deben obtenerse de manera lícita y legítima. Debe informarse a los titulares de los datos sobre las características del procesamiento de sus datos personales y sobre sus derechos, a menos que resulte imposible o implique esfuerzos desproporcionados.

       •   Seguridad

    Los datos personales deben estar protegidos por las medidas de seguridad adecuadas que permitan limitar los riesgos de destrucción, alteración, pérdida o acceso no autorizado.

    Para ello, se aplican un conjunto de normas internas, lo que permite garantizar la seguridad y la confidencialidad de los datos personales:

       •   La Carta de uso de los recursos informáticos y de comunicaciones que requiere actuar de acuerdo con los reglamentos y las normas de confidencialidad.
       •   La política de Seguridad de los sistemas informáticos, que define el modo de gobernanza de la seguridad de los sistemas informáticos.
       •   El Sistema de referencia de seguridad de los sistemas informáticos que enumera, a través de 19 temas detallados, los diversos requisitos del Grupo desde el punto de vista de la seguridad de los sistemas informáticos.
       •   La política de Protección de la información que presenta los requisitos relacionados con la protección de la confidencialidad, de la integridad y de la disponibilidad de la información que se guarda y se intercambia dentro del Grupo.

    Cuando se recurre a los servicios de un tercero para procesar los datos personales, la subsidiaria de Total debe asegurarse de que éste ofrezca suficientes garantías con respecto a la seguridad y a la confidencialidad de los datos.

       •   Conservación

    Los datos personales deben conservarse solamente durante un período de tiempo razonable que no sea excesivo y que guarde relación con el objetivo del procesamiento de los datos.

    Cuando finaliza el período de conservación, los datos deben destruirse, anonimizarse o archivarse.

       •   Transferencias internacionales4 de datos personales

    Total no transfiere los datos personales procedentes de un país del EEE directamente a una subsidiaria de Total ubicada en otro país que no ofrezca un adecuado nivel de protección, a menos que dicha subsidiaria haya suscrito formalmente las NEV o utilice otro instrumento legal reconocido por la Comisión Europea.

    Total no transfiere los datos personales procedentes de un país del EEE directamente a una empresa que no pertenezca al grupo ubicada en un país que no ofrezca un adecuado nivel de protección de datos (responsable o encargado de los datos), sin contar con base legal bajo las leyes aplicables y sin los instrumentos que ofrezcan garantías suficientes, tales como las cláusulas contractuales estándar.

    De igual modo, cuando un importador de los datos transfiere datos personales procedentes del EEE a una empresa que no pertenece al grupo (responsable o encargado de los datos) ubicada en un país que no ofrece un adecuado nivel de protección de datos, el importador de los datos debe celebrar un acuerdo con esta empresa por el cual se obliga a respetar los principios de las NEV.
     

  5.     Derechos de los titulares de los datos

    De acuerdo con nuestras NEV, los titulares de los datos cuya información personal está siendo utilizada, tienen los siguientes derechos:

       •   Derecho a acceder a los datos

       •   Derecho a rectificar, eliminar y bloquear los datos

       •   Derecho a objetar el procesamiento de los datos

       •   Derecho a limitar el procesamiento de los datos

    [En el APÉNDICE 1 a continuación, se detalla la lista completa de todos los derechos otorgados por las NEV].

    Los titulares de los datos pueden ejercer estos derechos enviando una solicitud utilizando los datos de contacto que figuran en el aviso legal relativo al procesamiento de sus datos. Las subsidiarias de Total se comprometen a responder dentro del plazo legal las consultas relacionadas con el procesamiento de los datos fuera del EEE.

    Asimismo, si los titulares de los datos creen que una subsidiaria de Total no ha cumplido las NEV, tienen derecho a presentar una denuncia enviando

       -   un correo electrónico a: [email protected]

    o

       -   una carta a TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    Se informará a los titulares de los datos sobre el estado de su denuncia y las medidas que se hayan tomado.

    En el APÉNDICE 2 a continuación se describe el procedimiento de denuncias internas.

    El hecho de que los titulares de los datos puedan presentar una denuncia en Total no afecta sus derechos de interponer una denuncia ante las autoridades de protección de datos con competencia en el EEE o de entablar acciones ante los tribunales del país del EEE donde se encuentre la subsidiaria de Total responsable de la exportación de los datos personales.
     

  6.    Gobernanza

    Una “red interna de protección de datos personales” está a cargo de monitorear y controlar la implementación de las NEV dentro del Grupo. Está integrada por:
       •   Un director de Privacidad de Datos Empresariales que monitorea y realiza el seguimiento de las medidas de cumplimiento a nivel del Grupo.
       •   Un director de Privacidad de Datos de la División que dirige y coordina las medidas de cumplimiento a nivel de la división.
       •   Oficiales de Enlace de Privacidad de Datos que dirigen y coordinan las medidas de cumplimiento a nivel de las filiales.
     

  7.    Auditoría y control interno

    Para asegurar la aplicación correcta de nuestras NEV, se han implementado algunos mecanismos de auditoría y de control interno.

    La red de Protección de datos personales define un plan de control interno anual para evaluar el nivel de cumplimiento del procesamiento de datos del Grupo en relación con nuestras NEV. Asimismo, se establece un sistema de redacción de informes para comunicar los planes de acción que se han elaborado después de las evaluaciones.

    Además, la Dirección de Auditoría Interna del Grupo incorpora el control de los patrones de protección de datos personales a su plan de auditorías periódicas.
     

  8.    Cambios en las normas de Total

    Cuando sea necesario, nuestras NEV se completarán o actualizarán.
     

  9.    Más información

    Puede solicitarse una copia de la versión completa de nuestras NEV, así como una lista de las subsidiarias de Total que las han adoptado, enviando un correo electrónico a: [email protected]

    1 Datos personales son toda información que permita identificar de manera directa o indirecta a una persona física.
    2 EEE está conformado por los Estados miembros de la Unión Europea más Islandia, Liechtenstein y Noruega.
    3 Procesamiento de datos es toda operación que se realice con los datos personales, ya sea por medios automáticos o manuales (p. ej.: recopilación, grabación, almacenamiento, destrucción, etc.).
    4 Transferencia es todo intercambio físico y virtual de datos personales procedentes del EEE de un país a otro.

APÉNDICE 1
DERECHOS DE LOS BENEFICIARIOS EXTERNOS

Nuestras NEV otorgan derechos a los titulares de los datos para asegurar el cumplimiento de las normas como beneficiarios externos.

Más específicamente, pueden hacer cumplir los siguientes principios de acuerdo con los términos y condiciones establecidos en nuestras NEV:

  • Que toda operación de procesamiento de datos que se realice dentro del Grupo, tenga una base legal prevista en las Leyes Aplicables.
  • Que Total recopile y procese los datos personales con fines legítimos, específicos y explícitos y que no procese los datos personales de manera tal que resulte incompatible con los objetivos para los cuales fueron recopilados.
  • Que Total procese los datos personales que sean pertinentes de manera tal que no excedan los objetivos para los cuales fueron recopilados y que estos datos sean precisos y, cuando sea necesario, se los mantenga actualizados.
  • Que los titulares de los datos cuenten con acceso fácil y permanente a la información relacionada con sus derechos de acuerdo con estas NEV.
  • Que los titulares de los datos cuyos datos personales provengan del EEE tengan derecho a acceder, rectificar y a objetar el procesamiento de sus datos personales de acuerdo con la ley pertinente.
  • Que los titulares de los datos cuyos datos personales provengan del EEE no sean sometidos a una decisión que tenga efectos jurídicos sobre ellos o que les afecte de manera significativa y que se basen exclusivamente en el procesamiento automatizado de los datos personales con el objetivo de evaluar ciertos aspectos personales relacionados con ellos, a menos que esa decisión:
    • se tome en el curso de suscripción de un contrato o durante su ejecución, siempre que el requerimiento de suscripción o la ejecución del contrato, presentada por el titular de los datos, haya sido satisfecha o que existan medidas adecuadas para salvaguardar sus legítimos intereses, tales como disposiciones que le permitan expresar su punto de vista; o
    • esté autorizada por la ley aplicable, la cual incluso establezca medidas para salvaguardar los intereses legítimos del titular de los datos.
  • Que Total implemente medidas adecuadas para garantizar la seguridad y la confidencialidad de los datos personales, teniendo en cuenta el estado actual y el costo de su implementación.
  • Que Total celebre un acuerdo de procesamiento de datos por escrito con cualquier proveedor de servicio que trabaje con el procesamiento de los datos personales, especificando que el proveedor de servicios debe actuar solamente de acuerdo con las instrucciones de Total y debe implementar las medidas de seguridad y confidencialidad adecuadas.
  • Que Total no transfiera los datos personales de un Estado miembro del EEE o que provengan del EEE a una empresa que no pertenezca al Grupo ubicada en otro país que no ofrezca un adecuado nivel de protección de datos (responsable o encargado de los datos externo) sin contar con base legal bajo las leyes aplicables y sin los instrumentos que ofrezcan garantías suficientes.
  • Que una Subsidiaria de Total informe de inmediato al exportador de los datos si esta subsidiaria de Total considera que la legislación aplicable de su jurisdicción puede impedir que cumpla sus obligaciones en virtud de las NEV de Total, y tengan un efecto perjudicial sobre las garantías ofrecidas por estas NEV, a menos que esté prohibido por una autoridad judicial competente, en particular como resultado de una prohibición en virtud del derecho penal para preservar la confidencialidad dentro de una investigación judicial.
  • Que todo titular de los datos pueda presentar una denuncia ante Total mediante el mecanismo de denuncias internas de acuerdo con los términos establecidos en el capítulo “Tratamiento de las denuncias”.
  • Que todas las Subsidiarias de Total que hayan suscrito las NEV cooperen con las autoridades de fiscalización competentes, cumplan sus recomendaciones relacionadas con la transferencia internacional de datos en el caso de denuncia o de una solicitud particular por parte de dichas autoridades y acepten ser auditadas por esta autoridad de fiscalización del país en donde se encuentran.
  • Que todo titular de los datos pueda presentar una denuncia ante las autoridades de fiscalización nacionales o puedan entablar demandas ante los tribunales del Estado miembro del EEE donde esté establecido el exportador de los datos con el fin de asegurar el cumplimiento de los principios antes mencionados, y, cuando sea adecuado, recibir indemnización por el daño sufrido como resultado de un incumplimiento de las NEV de Total. Si, en el curso de una transferencia de datos personales fuera del EEE, el importador de los datos no cumpliese las NEV de Total, el exportador de los datos defenderá todo reclamo, establecerá que el importador de los datos no ha infringido las NEV e indemnizará al titular de los datos por los daños sufridos como resultado de esa infracción.

APÉNDICE 2
PROCEDIMIENTO PARA EL TRATAMIENTO DE DENUNCIAS INTERNAS

Si un titular de los datos cree que una subsidiaria de Total no ha cumplido con las NEV de Total, puede presentar una denuncia de acuerdo con el procedimiento de denuncias establecido en la política de privacidad o en el contrato pertinente o de acuerdo con el procedimiento que se describe a continuación.

  1.    Cómo efectuar una denuncia

    Los titulares de los datos pueden presentar una denuncia enviando

       -   un correo electrónico a: [email protected]

    o

       -   una carta a TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX.

    La denuncia debe proporcionar claramente la mayor cantidad de detalles que sea posible sobre la cuestión que se plantea, entre otros:

       -   El país y la subsidiaria de Total involucrada, la infracción a las NEV, de acuerdo con la opinión del titular de los datos, la compensación requerida.

       -   El nombre completo y la información de contacto del titular de los datos como también una copia de su documento de identidad o cualquier otro documento de identificación.

       -   Toda la correspondencia previa sobre esta cuestión en particular.
     

  2.    Respuesta de Total

    Dentro de los tres meses posteriores a la recepción de una denuncia por parte de Total, el director de Privacidad de Datos de la División (“DPDD”) informará por escrito al titular de los datos sobre la admisibilidad de la denuncia; y, si ésta es admisible, las medidas correctivas que Total ha tomado o tomará como respuesta. El DPDD se asegurará de que, si es necesario, se tomen las medidas correctivas apropiadas para lograr el cumplimiento de las NEV.

    El DPDD correspondiente enviará una copia de la denuncia y una respuesta por escrito al director de Privacidad de Datos Empresariales (“DPDE”).
     

  3.    Acciones de recurso

    Si el titular de los datos no está satisfecho con la respuesta brindada por el DPDD correspondiente (p. ej. se ha rechazado la denuncia), el titular de los datos puede dirigirse al DPDE enviando un correo electrónico o una carta como se indicó anteriormente. El DPDE analizará la denuncia y tomará una decisión dentro de los tres meses posteriores a la recepción de la solicitud. Cumplido este período, el DPDE informará al titular de los datos si se ratifica la respuesta inicial o le comunicará la nueva respuesta.
    El hecho de que los titulares de los datos puedan presentar una denuncia ante Total no afecta sus derechos de interponer una denuncia ante las autoridades nacionales competentes o entablar demandas ante los tribunales del Estado miembro del EEE donde esté establecido el exportador de los datos.