Política de privacidad de la aplicación Privileged Remote Access (PRA)

I. RESPONSABLES DEL TRATAMIENTO

A continuación, se enumeran los diferentes responsables del tratamiento implicados:

GENERACIÓN CONVENCIOANL

Naturgy Ciclos Combinados S.L.
Domicilio en Avenida de América, nº 38, 28028 Madrid
N.I.F. B-42884122,

RNNI

Naturgy Renovables, S.L.U.
Domicilio en Avenida de América, nº 38, 28028 Madrid
N.I.F. B-88263249.

Global Power Generation S.A.
Domicilio en Avenida de América, nº 38, 28028 Madrid
N.I.F. A-61713301

Naturgy Generación S.L.U.
Domicilio en Avenida de América, nº 38, 28028 Madrid
N.I.F. B-86010766.

Naturgy Nuevas Energías S.L.
Domicilio en Avenida de América, nº 38, 28028 Madrid
N.I.F. B-88263249. 

II. INFORMACIÓN PERSONAL QUE RECOPILAMOS

Su privacidad es importante para nosotros. Los datos personales que recogemos sobre usted a través de la Aplicación PRA, son los siguientes:
• Credenciales (ID usuario, mail y contraseña),
• Actividad realizada por el usuario dentro de la App (Grabación de Pantalla),
• Registros de Actividad en la App, (‘Logs’).

III. FINALIDAD DEL TRATAMIENTO, BASE LEGAL, DESTINATARIOS Y PLAZO DE CONSERVACIÓN

En el cuadro que se adjunta a continuación, encontrará la siguiente información relacionada con el tratamiento de datos realizado por Naturgy:

 
• Finalidad del tratamiento: motivo por el que Naturgy trata sus datos personales

• Base Jurídica: base legal que permite el tratamiento de sus datos personales por parte de Naturgy para la finalidad descrita.

• Destinatarios: aquellos terceros a los que, en su caso, podrían comunicarse sus datos personales, y el motivo de dicha comunicación. También podrán tener acceso a sus datos personales algunos proveedores y prestadores de servicios contratados por Naturgy para que, en calidad de encargados del tratamiento, la asistan en la consecución de la finalidad del tratamiento correspondiente. Dichos proveedores actuarán sujetos a un contrato de encargo del tratamiento, garantizando el cumplimiento legal en materia de protección de datos de carácter personal.

• Plazo de conservación: plazo durante el cual Naturgy tratará sus datos personales. No obstante, conforme a lo dispuesto en la legislación aplicable, sus datos podrán posteriormente permanecer bloqueados para su puesta a disposición de jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.

CONCEPTODETALLE
FINALIDAD DEL TRATAMIENTOLa finalidad del tratamiento es mantener la seguridad de la información que es tratada en la App: por un lado, (1) para garantizar la confidencialidad de los datos personales a través de una adecuada gestión de accesos mediante credenciales (ID Usuario y contraseña. El mail se conserva para aquellos en los que el usuario desee “reestablecer contraseña”). Y por otro lado, (2) para asegurar la trazabilidad de la información manteniendo registros de actividad de los usuarios dentro de la App. Además, (3) para comprobar la actividad realizada por el usuario dentro de la App, se grabará la pantalla, con el fin de obtener información detallada que pueda resultar necesaria en caso de sufrir un incidente de seguridad, de este modo se mantendrá la confidencialidad y la disponibilidad de la información en todo momento. En definitiva, esta App hace de barrera entre los accesos de usuarios (ámbito IT) y los activos a los que han de acceder (ámbito OT). Permite una securización en los accesos con protocolos inseguros, permite disponer de herramientas de trazabilidad de las acciones realizadas y análisis forense, y permite garantizar el acceso por identidad (perfil) de un usuario exclusivamente a los activos a los que tiene que acceder, sin darle visibilidad del resto de activos de la red.
BASE JURÍDICAPara las diferentes finalidades descritas, la base jurídica es el Interés Legítimo, en virtud del art. 6.1.f) del RGPD.
DESTINATARIOSCon carácter general, para cualquiera de las finalidades, Naturgy tendrá que comunicar sus datos personales a aquellos terceros a los que por mandato legal esté obligada a entregárselos. Por otra parte, también podrán tener acceso a sus datos personales algunos proveedores y prestadores de servicios contratados por Naturgy para que, en calidad de encargados del tratamiento, le asistan en la consecución de la finalidad del tratamiento correspondiente. Dichos proveedores actuarán sujetos a un contrato de encargo del tratamiento, garantizando el cumplimiento legal en materia de protección de datos de carácter personal.
PLAZO DE CONSERVACIÓNConforme a lo dispuesto en la legislación aplicable, sus datos podrán posteriormente permanecer bloqueados para su puesta a disposición de jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.
OBSERVACIONESLos datos recabados son los estrictamente necesarios para alcanzar el objetivo perseguido. Tanto el registro de actividades de los usuarios, como la grabación de pantalla, resulta necesario ya que el servicio que soporta esta App es considerado como una infraestructura crítica, de modo que Naturgy se ve obligada a reforzar las medidas de seguridad implementadas (Normativa PIC LEGISLACIÓN BÁSICA PIC NACIONAL Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Y la Directiva (UE) 2022/2555, conocida como NIS2, establece principalmente obligaciones de ciberseguridad para los Estados miembros y medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación). Esta funcionalidad se presta para cubrir la necesidad y recomendaciones de ciberseguridad sobre análisis forense frente a ciber incidentes. Con la revisión a posteriori de la sesión de trabajo se puede revisar qué usuario ha accedido y qué acciones a realizado, pudiendo contrastar si alguna de esas acciones ha sido la causa del incidente: mala configuración, error humano, mala praxis, suplantación de la identidad, etc. Sin esta funcionalidad no se podría concretar el detalle del incidente, quedando el análisis forense desde el punto de vista de ciberseguridad incompleto. Por último, cabe destacar que la grabación de la pantalla solo captará imágenes dentro de la App, es decir, en ningún caso se podrá visualizar otras ventanas o software que el usuario tenga abiertas en segundo plano.

IV. MEDIDAS ADOPTADAS PARA PROTEGER SUS DATOS

Naturgy ha adoptado las medidas técnicas y organizativas adecuadas para preservar su privacidad y garantizar que sus datos personales estén protegidos en todo momento, evitando su destrucción, alteración, pérdida, tratamiento y/o acceso no autorizado. Asimismo, Naturgy se compromete a tratar sus datos personales de forma absolutamente confidencial, haciendo uso de los mismos exclusivamente para la finalidad anteriormente indicada.

V. TRANSFERENCIAS INTERNACIONALES DE DATOS.


Se llevan a cabo transferencias internacionales de datos en la medida que BeyondTrust se ubica en Estados Unidos y se realizarán bajo el marco de la garantía establecida en el artículo 46.2 c) del RGPD, es decir, Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

VI. DELEGADO DE PROTECCIÓN DE DATOS

Naturgy ha designado un Delegado de Protección de Datos, cuyos datos de contacto son los siguientes:

– Dirección postal: Plaça del Gas, 1 – C.P. 08003, Barcelona
– Correo electrónico: dpd-dpo@naturgy.com

VII. DERECHOS SOBRE SUS DATOS PERSONALES


Los derechos que legalmente le asisten y que podrá ejercitar, cuando proceda, son los siguientes:

DerechoContenido
AccesoPodrá consultar sus datos personales que están siendo objeto de tratamiento por Naturgy.
RectificaciónPodrá modificar sus datos personales cuando sean inexactos o incompletos.
SupresiónPodrá solicitar la eliminación de sus datos personales.
OposicionPodrá solicitar que no se traten sus datos personales sobre la base del interés legítimo. Asimismo, podrá oponerse a que sus datos personales sean tratados con fines de mercadotecnia directa, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa.
Limitación del tratamientoPodrá solicitar la limitación al tratamiento de sus datos:

– Mientras se compruebe la impugnación de la exactitud de sus datos.
– Cuando el tratamiento sea ilícito, pero usted se oponga a la supresión de sus datos, y solicite la limitación de su uso.
– Cuando Naturgy ya no necesite tratar sus datos, pero usted los necesite para el ejercicio o la defensa de reclamaciones.
– Cuando usted se haya opuesto al tratamiento de sus datos para el cumplimiento de una misión de interés público o para la satisfacción de un interés legítimo, mientras se verifica si los motivos legítimos para el tratamiento prevalecen sobre los suyos.
No Decisiones AutomatizadasPodrá solicitar no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos.
PortabilidadPodrá recibir, en formato electrónico, los datos personales que nos haya facilitado, así como transmitirlos a otra entidad.

Podrá ejercitar los mencionados derechos a través de los siguientes canales:
– Correo electrónico:
pdp_renovables@naturgy.com
pdp_GenCon@naturgy.com
– Dirección postal: Avenida de América, 38 – CP 28028 Madrid.

En su comunicación, deberá constar como referencia “Solicitud Protección de Datos – App PRA. Puesto que estos son derechos individuales, Naturgy debe verificar que efectivamente son ejercidos por el empleado o persona autorizada. Por ello, si Naturgy tuviera dudas sobre su identidad, podrá solicitarle información adicional para confirmar la misma, como por ejemplo copia de su DNI, NIE, Pasaporte o documento equivalente que le identifique. Usted también podrá utilizar su firma electrónica en lugar del DNI. En el caso de que ejerza sus derechos una persona autorizada por usted, deberá evidenciar la identidad del autorizado y aportar documento que acredite dicha autorización.

Naturgy facilitará la información solicitada en el plazo máximo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.

Si considera que no hemos tratado sus datos personales adecuadamente puede contactar con el Delegado de Protección de Datos a través de los canales antes indicados.

En cualquier caso, le informamos de que, si considera que en el tratamiento de sus datos personales se ha cometido una infracción de la normativa aplicable en materia de protección de datos, también tiene derecho a presentar una reclamación ante la Autoridad de Control competente (eg. Agencia Española de Protección de Datos – www.aepd.es)

Julio 2023