Política de privacidad
Por favor, lee detenidamente la Política de Privacidad de nuestro sitio web. Así podrás tener toda la información legal y entender de forma más clara para qué, y cómo, vamos a tratar tus datos personales.
Antes de nada es necesario aclarar que cuando hablamos de «dato personal» nos estamos refiriendo a cualquier información sobre ti como, por ejemplo, tu nombre y apellidos, tu domicilio, tu dirección de correo electrónico, tu número de teléfono, o si eres mayor de edad. Por supuesto, trataremos todos los datos que nos facilites dando pleno y estricto cumplimiento a todas las exigencias legales que nos son de aplicación. Decimos esto porque en Fundación Ibercaja Sostenible (en adelante la Fundación o la Entidad) le damos mucha importancia a tu privacidad y a tu intimidad, y nos esforzamos en protegerla.
Aclarado esto, en esta Política de Protección de Datos tienes la información legal general sobre el uso que le vamos a dar, en la Fundación Ibercaja Sostenible, a tus datos personales: si alguien más va a acceder a ellos, si los vamos a conservar o a utilizar para otras finalidades distintas, o los diferentes derechos que la ley te concede para proteger tu privacidad, entre otras cuestiones.
También debemos aclarar que toda la información relativa al uso de cookies y los datos que recabemos por tu navegación en nuestro sitio web la tienes a tu disposición con el debido detalle en nuestra “Política de cookies”.
¿Quién es el Responsable del tratamiento de mis datos?
La entidad legalmente responsable del tratamiento de tus datos personales es la «FUNDACIÓN IBERCAJA SOSTENIBLE» (en adelante, «la Fundación»), con domicilio en Monasterio de Cogullada, Carretera de Cogullada, n.º 127, de Zaragoza, C.P. 50014.
Puedes contactar con la Fundación a través del teléfono 976.97.19.01, o en el correo electrónico info@fundacionibercajasostenible.es
¿Qué categorías de datos personales va a tratar la Fundación?
De acuerdo con lo previsto en el Reglamento General europeo 2016/679 («RGPD») y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos («LOPD»), en la Fundación Ibercaja Sostenible trataremos tus datos personales, como donante, colaborador o usuario nuestro, tal y como se expone a continuación.
¿Para qué, y con qué legitimación, trata la Fundación mis datos personales?
El RGPD y la LOPD establecen que sólo se puede tratar información de una persona (sus «datos personales») si concurre una de las bases legitimadoras expresamente previstas en dichas normas. Más concretamente, y a este respecto, el artículo 6 del RGPD establece una lista cerrada de las bases legitimadoras que pueden concurrir para justificar y legitimar un tratamiento de datos personales.
La aplicación de una u otra base legitimadora depende, principalmente y en esencia, de para qué, de con qué finalidad, se quieren tratar unos datos personales.
Dicho lo anterior, en la Fundación trataremos tus datos con las finalidades y conforme a las bases legitimadoras que pasamos a detallar a continuación.
A. Medidas necesarias para prestar el servicio que nos haya solicitado el donante, colaborador o usuario
En primer lugar, existen unos tratamientos que la Fundación debe llevar a cabo necesariamente, para poder prestar el servicio que nos soliciten nuestros usuarios y colaboradores. De hecho, para llevar a cabo estos tratamientos, existen una serie de datos que se le solicitan como “obligatorios”: esto se debe a que son unos datos imprescindibles, y no facilitárnoslos implicaría no poder atender su solicitud y no poderles prestar el servicio solicitado.
Pasamos a detallar los tratamientos cuya base legitimadora se contempla en el artículo 6.1.b) del RGPD: «El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales».
- Gestionar y documentar tu donativo, para que llegue a la entidad y/o programa o proyecto en concreto que puedas habernos indicado.
- También trataremos tus datos para emitir el certificado que acredite la donación que has realizado, cuando la Fundación sea la responsable del proyecto, o para enviarte dicho certificado cuando lo hubiese generado un tercero con el que la Fundación colabore, a efectos de que puedas aplicar las correspondientes deducciones fiscales.
- Proceder a la digitalización y almacenamiento de tu documento de identidad, así como, en su caso, a su visualización por cualesquiera medios, formatos y soportes, con la finalidad de verificar tu identidad cuando así debamos hacerlo.
- Enviar correspondencia y comunicaciones propias del servicio de que se trate.
- Atención y respuesta de posibles consultas, incluida la gestión de incidencias.
- En el caso de que el donante, colaborador o usuario sea una persona jurídica (una sociedad mercantil, una Fundación, o una Asociación, por ejemplo), la Fundación tratará los datos personales de la persona física que la represente para comprobar sus facultades de representación, bastanteando sus poderes, y determinar de este modo si son idóneos para poder representar a la persona jurídica.
- Por un lado, si así nos lo solicitas, trataremos tus datos para facilitar tu inscripción en cualquiera de nuestros proyectos, iniciativas, programas y actividades, así como para gestionar aquellos a los que ya estás inscrito.
Finalmente, es importante destacar que, si realizas algún donativo, o domicilias un recibo, o nos pides que emitamos algún certificado, u ordenas realizar un pago o trasferencia a favor de una tercera entidad (por ejemplo, una ONG, una institución religiosa o una entidad sanitaria) no vamos a tratar esta información para ninguna otra finalidad. No trataremos ningún «dato sensible» que pueda deducirse de tu operativa. Si acaso, de manera meramente residual, sí cabe la posibilidad de que accedamos de manera incidental a esos datos, pero únicamente a fin de llevar a cabo las medidas que nos impone la Ley de Prevención de Blanqueo de Capitales.
B. Tratamientos legalmente obligatorios
La Fundación también tratará tus datos para cumplir las obligaciones legales que en cada momento le resulten exigibles, incluyendo, entre otras, las previstas en las normas que se indican a continuación. Son unos tratamientos que la Fundación está legalmente obligada a llevar a cabo, lo cual determina su plena legitimidad. Así lo dispone el artículo 6.1.c) del RGPD: «El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento».
- Ley 10/2010 de Prevención del Blanqueo de Capitales y Financiación del Terrorismo. Esta norma nos obliga a llevar a cabo una serie de actividades tales como cumplir con las medidas de diligencia debida a la hora de identificar y conocer a nuestros usuarios y colaboradores, comprobar la información que nos faciliten, verificar si desempeñan -o han desempeñado- cargos de responsabilidad pública, categorizar su nivel de riesgo a efectos de Prevención del Blanqueo de Capitales y Financiación del Terrorismo, analizar las operaciones que se ejecutan a través de la Fundación, verificar su relación con sociedades mercantiles y su posible posición de control en su capital social, y mantenernos en contacto con el Fichero de Titularidades Financieras, responsabilidad del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), notificando incluso aquellas situaciones de incumplimiento que nos imponga dicha norma.
- Ley 50/2002, de 26 de diciembre, de Fundaciones, a los efectos de cumplir con las obligaciones que son propias de esta clase de personas jurídicas.
- Ley 58/2003, de 17 de diciembre, General Tributaria. El cumplimiento de esta norma implicará recabar la información y documentación tributaria sobre usted, así como comunicar a las administraciones tributarias competentes tu información personal con posibles efectos fiscales. Todo ello, siempre según establezca en cada momento la legislación fiscal vigente.
- Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o «RGPD»)
- La Ley 3/2018 de 5 de diciembre de Protección de Datos Personales («LOPD»), que obliga a la Fundación, como entidad legalmente responsable del tratamiento de sus datos personales, a atender las peticiones, ejercicios de derechos y reclamaciones que se presenten en materia de protección de datos.
Todo lo anterior resulta especialmente importante dada nuestra condición de Fundación, sujeta a especiales controles y procesos de supervisión por parte de diferentes organismos y autoridades.
Estas obligaciones de índole legal existirán y serán cumplidas por la Fundación incluso una vez terminada la relación contractual contigo, mientras estemos legalmente obligados a ello.
C. Por interés legítimo de la Fundación
La Fundación llevará a cabo otros tratamientos adicionales al amparo del interés legítimo previsto en el artículo 6.1.f) del referido Reglamento, por cuanto considera que no perjudican el derecho de los usuarios y colaboradores a la protección de sus datos personales. Dicho precepto autoriza llevar a cabo aquellos tratamientos que son «necesarios para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».
Sobre tales tratamientos, el donante, colaborador o usuario tiene derecho a (i) obtener más información sobre en qué consiste ese «interés legítimo», (ii) a saber cómo ha llegado la Fundación a la conclusión de que no perjudican la protección de sus datos personales, (iii) o directamente a oponerse a ellos. Podrá hacerlo a través de los cauces que se articulan a su disposición en el siguiente apartado, indicando el tratamiento concreto al que se opone y los motivos en los que funda su petición.
Pasamos a detallar y explicar estos tratamientos. De todos ellos y de acuerdo con el Reglamento europeo al que nos hemos referido, la Entidad ha hecho lo que se conoce como «prueba de sopesamiento». Se trata de un análisis interno para confirmar que el interés legítimo de la Fundación no perjudica los intereses de sus donantes, colaboradores y usuarios en la protección de sus datos personales.
Si el donante, colaborador o usuario quiere más información sobre dicha prueba, puede solicitarlo a través de la dirección de correo gestiongdpr@fundacionibercajasostenible.es.
Estos tratamientos son los que se detallan a continuación:
- Por un lado, trataremos tus datos personales para prestarte nuestra ayuda cada vez que nos lo solicites, tanto a través del formulario de nuestra página web como de cualquiera de nuestros teléfonos o direcciones de correo electrónico de contacto. Nos referimos, por ejemplo, a la petición de cualquier clase de información sobre nuestros proyectos, programas o actividades, o de aquellas entidades en las que Fundación Ibercaja Sostenible participe.
- También trataremos tus datos personales para facilitarte la participación en alguno de nuestros proyectos o programas de Voluntariado, cuando así nos lo pidas.
- Con base en dicho interés legítimo, la Fundación también podrá enviarte comunicaciones comerciales sobre sus propios servicios, iniciativas, proyectos y programas. Las enviaremos a través de medios electrónicos o no (a través de correo postal, teléfono, SMS, correo electrónico, o cualquier otro medio electrónico o telemático disponible en cada momento).
- Del mismo modo, si con anterioridad has participado en algún tipo de actividad o evento que hayamos organizado desde la Fundación, trataremos tus datos para hacerte llegar información de otras actividades similares que vayamos a organizar o patrocinar.
- Cuando el donante, colaborador o usuario sea una persona jurídica, la Fundación tratará los datos de carácter identificativo y de contacto de sus personas de contacto para satisfacer el interés legítimo que tiene de mantener el contacto con ella durante la vigencia del contrato. Así lo permite el artículo 19.1.b) de la LOPD.
- La Fundación podrá tratar tus datos personales para remitirte encuestas con el fin de que nos aportes tu opinión sobre la Fundación, sus proyectos y programas, sobre la calidad de las comunicaciones que te envía la Fundación, el trato que recibes de nosotros. Estas encuestas te las enviaremos por los medios de contacto habituales (correo electrónico, teléfono).
- En otros casos te enviaremos convocatorias a determinados concursos o sorteos que convoquemos u organicemos desde la Fundación.
En todo caso, los términos concretos aplicables a dicho sorteo o concurso serán los que se especifiquen e indiquen en sus correspondientes bases legales, de las cuales el donante, colaborador o usuario será debidamente informado antes de que decida participar o inscribirse. En el caso que resultases ganador de un premio, trataremos el dato relativo a tu domicilio para enviarte el obsequio de que se trate. Si por razones de trasparencia fuésemos a divulgar una fotografía del ganador del concurso, o agradecido del sorteo, así lo indicaríamos de manera expresa, en el propio formulario de inscripción.
D. Tratamientos con base en el consentimiento
Existen unos tratamientos que la Fundación está interesada en llevar a cabo, pero que dependen de que previamente hayas dado tu autorización. Son los tratamientos cuya base legitimadora es la prevista en el art. 6.1.a) RGPD, y que la Fundación sólo los pueden realizar si «el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos».
Por tanto, lo previsto en los siguientes puntos depende de que nos hayas dado tu autorización. Si nunca hemos pedido tu consentimiento para llevarlos a cabo, o si en su día lo denegaste (o lo diste, pero más tarde lo retiraste), estos tratamientos no te aplican.
Del mismo modo, debes saber que, si en su momento autorizaste que la Fundación usara tus datos para uno de los siguientes tratamientos, en cualquier caso, podrás retirar tu autorización, cuando lo estimes oportuno y sin que ello vaya a perjudicar en modo alguno. No obstante, también hemos de precisar que la retirada de tu autorización producirá efectos a partir de ese momento; no tiene efectos retroactivos, así que no perjudicará la validez de lo que hayamos hecho en la Fundación hasta ese momento.
Así, por ejemplo, necesitaremos tu previa autorización para:
- Darte de alta en nuestra página web o en cualquiera de las webs de nuestras diferentes iniciativas. Esto será necesario para identificarte como usuario de la web a la que te hayas registrado, facilitarte la gestión de la inscripción a las diferentes actividades, así como para enviarte información sobre aquello que específicamente nos indiques.
- Enviarte información, por cualquier medio, sobre otras actividades o servicios que organice o patrocinen terceras entidades colaboradoras de la Fundación.
- Cuando navegues por nuestra página web o utilices nuestra aplicación, trataremos datos personales obtenidos de identificadores en línea o cookies. Así lo haremos si lo autorizas, al instalar la App o configurar tu dispositivo. Puedes obtener más información en las Políticas de Cookies a disposición de los interesados.
- Por otro lado, si lo autorizas expresamente, la Fundación también utilizará tus datos personales para enviarte notificaciones instantáneas -o “push”- a tu dispositivo móvil, en función de los consentimientos específicos que previamente hayas otorgado. Para que la Fundación pueda enviarte estas notificaciones instantáneas, tendrás que configurar tu dispositivo móvil y la propia aplicación con los ajustes que sean necesarios para que puedas recibir estas alertas.
De todos modos, cuando así suceda te informaremos con detalle de para qué y cómo queremos utilizar tus datos. Y por supuesto pediremos tu autorización, que podrás rechazar libremente o, si nos la concedes, retirar cuando estimes oportuno.
¿Durante cuánto tiempo conservaremos tus datos?
La Fundación tratará los datos personales de sus donantes, colaboradores o usuarios o mientras sean necesarios para la finalidad para la que se nos facilitaron; principalmente para gestionar su donación o participación en cualquiera de nuestros proyectos, programas o iniciativas. O si consiste en un tratamiento que depende de su autorización, mientras no la retire.
Posteriormente, la Fundación también tratará los datos de sus donantes, colaboradores o usuarios para cumplir cuantas obligaciones legales nos sean exigibles, durante los plazos que imponga en cada caso la normativa aplicable. Principalmente durante el plazo máximo de 10 años, tal y como impone la normativa de prevención de blanqueo de capitales y financiación del terrorismo.
Por último, una vez transcurridos dichos plazos y antes de proceder a su destrucción, la Fundación conservará dichos datos personales debidamente bloqueados, para hacer frente a posibles reclamaciones y tenerlos a disposición de las autoridades competentes, durante los plazos de prescripción legalmente establecidos. En estos casos, la Fundación adoptará las medidas técnicas y organizativas necesarias para garantizar que sólo se utilizan para este fin.
¿De dónde hemos obtenido tus datos?
Por regla general, los datos personales que tratará la Fundación son aquellos que voluntariamente facilita el interesado cuando solicita los servicios de la Fundación, o participar o colaborar en una de sus iniciativas o proyectos.
No obstante, puede haber casos en que dicha iniciativa o proyecto es promocionada también por terceros, y son estos terceros quienes recaban tus datos personales para facilitar tu participación o colaboración en ella. En estos casos, la Fundación Ibercaja Sostenible podrá recabar tus datos personales también de esos terceros. Cuando así suceda, te informaremos de ello en el plazo máximo de un mes desde que recibamos tus datos personales, indicándote de manera expresa la categoría de datos personales que hemos recibido de ti, y su fuente de procedencia.
¿A qué destinatarios se comunicarán tus datos?
Tus datos personales podrán ser comunicados a aquellos terceros a los que nos lo puedan requerir de manera formal y estemos legalmente obligados a facilitarlos: nos referimos a Instituciones, Autoridades y Organismos oficiales, Juzgados y Tribunales, los Cuerpos y Fuerzas de Seguridad del Estado o la Agencia Tributaria.
También facilitaremos tus datos a las entidades -ajenas a la Fundación- destinatarias y beneficiarias de las aportaciones que puedas realizar, a fin de que -si así nos lo solicitas- esas terceras entidades puedan emitir y hacerte llegar el correspondiente certificado fiscal de tu donación.
Al margen de las anteriores comunicaciones de datos, la Fundación contará con la colaboración de terceros proveedores de servicios que pueden tener acceso a tus datos personales y que los tratarán en nombre y por cuenta de la Fundación como consecuencia de su prestación de servicios.
La Fundación sigue unos criterios adecuados de selección de proveedores de servicios con el fin de dar cumplimiento a sus obligaciones en materia de protección de datos y se compromete a suscribir con ellos el correspondiente contrato de tratamiento de datos, mediante el que les impondrá, entre otras, las siguientes obligaciones: aplicar medidas técnicas y organizativas apropiadas; tratar los datos personales para las finalidades pactadas y atendiendo únicamente a las instrucciones documentadas de la Fundación; y suprimir o devolver los datos al banco una vez finalice la prestación de los servicios.
En concreto, la Fundación podrá contratar la prestación de servicios por parte de terceros proveedores que desempeñan su actividad, a título enunciativo, en los siguientes sectores: servicios de logística, asesoramiento jurídico, servicios privados de tasación, homologación de proveedores, empresas de servicios profesionales multidisciplinares, empresas relacionadas con el mantenimiento, empresas proveedoras de servicios tecnológicos, empresas proveedoras de servicios informáticos, empresas de seguridad física, prestadores de servicios de mensajería instantánea, empresas de gestión y mantenimiento de infraestructuras y empresas de servicios de centro de llamadas.
Ninguno de estos terceros está situado fuera del Espacio Económico Europeo, motivo por el cual los datos del donante, colaborador o usuario no van a ser tratados en una jurisdicción diferente de la Unión Europea y, por tanto, en su conservación y tratamiento se observarán siempre las garantías y limitaciones que al respecto establece el Reglamento General Europeo RGPD antes citado.
En términos generales, los terceros arriba mencionados están situados dentro del Espacio Económico Europeo, motivo por el cual los datos del donante, colaborador o usuario no van a ser tratados en una jurisdicción diferente de la Unión Europea y, por tanto, en su conservación y tratamiento se observarán siempre las garantías y limitaciones que al respecto establece el Reglamento General Europeo RGPD antes citado. No obstante, en el caso en que la Fundación realizase alguna transferencia internacional con tus datos personales, se llevarán a cabo las siguientes actuaciones:
- Se adoptarán las medidas y garantías indicadas en el RGPD para garantizar que el nivel de protección de los datos personales del donante, colaborador o usuario no se vea menoscabado.
- Se indicará a dicho donante, colaborador o usuario, en su caso, la existencia o ausencia de una decisión de adecuación de la Comisión Europea respecto del país de destino o, en su defecto, las garantías adoptadas, así como la forma de obtener una copia de ellas.
¿Cuáles son tus derechos cuando nos facilitas tus datos?
- Tienes derecho a obtener confirmación sobre si en la Fundación estamos tratando datos personales que te conciernen, o no y, en tal caso, a acceder a tus datos personales, así como a solicitar la rectificación de los datos inexactos o, en su caso, solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines que fueron recogidos.
- En determinadas circunstancias, podrás solicitar la limitación del tratamiento de tus datos.
- En determinados casos y por motivos relacionados con tu situación particular, así como en aquellas situaciones en las que en la Fundación tratemos tus datos por nuestro interés legítimo, podrás oponerte al tratamiento de tus datos. En tal caso, la Fundación dejará de tratar los datos, salvo por motivos legítimos imperiosos o el ejercicio o la defensa de posibles reclamaciones.
- Asimismo, podrás solicitar para su transmisión a otro responsable del tratamiento la portabilidad de tus datos en un formato de uso común y de lectura mecánica.
- Desde este momento y en cualquier otro posterior tienes la opción retirar cualquier autorización que nos hayas otorgado.
- En aquellos casos en que se hubieran adoptado decisiones basadas única y exclusivamente en el tratamiento automatizado de tus datos, incluida la elaboración de perfiles, podrás solicitar la intervención humana, expresar tu punto de vista e impugnar las decisiones.
- Finalmente, puedes también reclamar ante la Fundación y/o ante la Agencia Española de Protección de Datos (como tal Autoridad de Control competente en materia de Protección de datos), especialmente cuando no hayas obtenido satisfacción en el ejercicio de tus derechos, mediante escrito dirigido a dpo@ibercaja.es o a través de la web https://www.aepd.es.
Estos derechos de los que te hemos informado podrás ejercitarlos, aportando copia de tu DNI, mediante correo electrónico dirigido la siguiente dirección: gestiongdpr@fundacionibercajasostenible.es, por correo postal dirigido a Fundación Ibercaja Sostenible (Monasterio de Cogullada, Carretera de Cogullada, n.º 127, de Zaragoza, C.P. 50014), por teléfono a 976 97 19 01.
Análisis de riesgos y Evaluaciones de impacto en Protección de Datos
La Entidad ha llevado a cabo un análisis de los diferentes riesgos existentes en materia de protección de datos respecto de todos los tratamientos identificados en el presente documento. Se trata de una evaluación en la que, partiendo de la necesidad y la proporcionalidad del tratamiento a realizar con respecto a su finalidad, evalúa los riesgos para los derechos y libertades del donante, colaborador o usuario, y contempla las medidas previstas para afrontarlos, gestionarlos y tratar de mitigarlos, garantizando así la protección de sus datos personales.
En las cuestiones analizadas se han tenido en cuenta los aspectos relativos a:
- Volumen de datos objeto de cada tratamiento.
- Participación de terceros en el flujo de datos.
- Evaluación de aspectos personales de personas físicas.
- Categorización y segmentación.
- Realización de labores de gestión de solvencia.
- Utilización como referencia ficheros externos.
- Contratación de proveedores externos.
- Cesión de datos.
- Bases legitimadoras del tratamiento.
- La posibilidad de ejercer los derechos en materia de protección de datos por los interesados, entre otros.
Tras los análisis realizados, la Fundación ha llevado a cabo las Evaluaciones de Impacto de Protección de Datos que se han determinado, a partir de los análisis de riesgos previamente realizados. Cualquier información adicional sobre ellos, puede solicitarse en la dirección de correo electrónico gestiongdpr@fundacionibercajasostenible.es.
¿Quién es el Delegado de Protección de Datos de la Fundación?
La Fundación ha designado una persona como «Delegado de Protección de Datos», para proteger los datos personales de nuestros donante, colaborador o usuarios, así como para garantizar que en la Fundación se cumplen todas las exigencias legales en materia de protección de datos de carácter personal.
Esta persona será la encargada de facilitar toda la información que se solicite en materia de protección de datos. Para contactar con él, puede hacerse a través de la siguiente dirección: gestiongdpr@fundacionibercajasostenible.es.