Santander Consumer

INFORMACIÓN ADICIONAL SOBRE PROTECCIÓN DE DATOS

1. Responsable del tratamiento de sus datos

Es Open Bank S. A., al que nos referimos también como “nosotros” o el Banco, con domicilio en Av. de Cantabria, s/n, 28660 Boadilla del Monte (Madrid), que cuenta con delegado de protección de datos cuya dirección electrónica es: https://sces.es/rbt3rb.

2. Datos tratados y fuentes de esos datos

Tratamos los mínimos datos necesarios para desarrollar las finalidades informadas a continuación. Es esencial, pues, que esos datos respondan a tu situación actual, por lo que, en caso de quedar desactualizados, debes comunicarnos los correctos. Esos datos tratados corresponden a las siguientes categorías. En los casos en los que puedan ser tratadas todas las categorías, te lo resaltaremos indicando “todos los datos de la operación”.

2.1. Datos recabados directamente de ti

Son los que nos proporcionas directamente, a través de un formulario, de documentos requeridos (justificante de ingresos), a partir del acceso a tus cuentas, si así lo has autorizado, y los que se van generando a medida que mantienes una relación con nosotros. A continuación, te enumeramos cuáles son:

Datos identificativos y de contacto: nombre completo, DNI o NIE, domicilio, número de teléfono, dirección de correo electrónico, imagen.
Datos de características personales: sexo, estado civil, número de hijos, país de nacimiento, fecha de nacimiento, país de residencia.
Datos económicos y financieros: cuenta bancaria, ingresos, gastos.
Datos de transacciones: producto contratado, sus características (cuotas, condiciones económicas), vigencia, existencia de pagos e impagos, límites de crédito.
Datos sociodemográficos: edad, sexo, provincia donde vive, profesión, trabajo actual, pensión o desempleo ingresos medios, situación familiar. Además, en caso de hacer uso de tu Tarjeta:
Datos de compras: número de pagos, gasto medio mensual, establecimiento, importe, fecha y hora de los pagos.

2.2. Datos recabados de la cuenta bancaria Obtenidos de ella, solo si has consentido el acceso a través del servicio Rapid Score:

Operaciones de la cuenta: devoluciones, embargos, descubiertos, ingresos no salariales, balance de cuenta, hipoteca, préstamos, consumo tarjetas de crédito, ratio de endeudamiento, antigüedad nómina, empleador, tipo de residencia, otros activos, gastos.

En los casos en los que puedan ser tratadas todas las categorías, te lo resaltaremos indicando “todos los datos de la operación”. Además:

Datos de compras internas: número de pagos, gasto medio mensual, establecimiento, importe, fecha y hora en los establecimientos de TENDAM. Igualmente, los datos de compras externas abarcarán todos los anteriores, pero referidos a las efectuadas en establecimientos distintos a los de TENDAM.

2.3. Datos recabados de otras fuentes

Son los que obtenemos de otras entidades, siempre que tengamos legitimación para ello:

Datos de solvencia: procedentes de sistemas de información crediticia (ASNEFEQUIFAX, EXPERIAN-Fichero Badexcug) que aportan datos sobre impagados con otras entidades (importe, antigüedad, sector y entidad declarante de la deuda).
Datos de tus riesgos: que consten en la Central de Información de Riesgos de Banco de España como declarados por otras entidades (riesgos acumulados, antigüedad).
Datos del historial de pagos actual y de otros productos contratados antes con las entidades del Grupo (Santander Consumer Renting, S. L. y Transolver Finance, EFC, S. A.), que comprende las cuotas abonadas y las impagadas, de operaciones que se encuentren vigentes o finalizadas.
Datos relativos a la comisión de fraude: alerta de sospecha de fraude procedente de CONFIRMA.
Datos procedentes de redes sociales: existencia de un perfil en una red social.
Datos de fuentes públicas: guías telefónicas o registros públicos, como el Instituto Nacional de Estadística, el Registro Mercantil, el Registro de la Propiedad y el Catastro, el Registro Central de Titularidades Reales o el Registro Público Concursal.
Datos procedentes de bases de datos para la prevención del blanqueo de capitales y la financiación del terrorismo, así como cualquier otro crimen financiero: nombre y apellidos coincidentes en listas de personas expuestas públicamente o sanciones. Esta información procede de listado oficiales, publicados por la Unión Europea.

2.4. Datos inferidos

Es decir, deducidos de todos los anteriores, con los que podemos alcanzar conclusiones y emplearlos para tomar decisiones. Estos datos no nos proporcionan información directamente de ti ni los obtenemos de otra entidad, pero sí que pueden ser asociados a tu perfil. En concreto, estos datos son las puntuaciones obtenidas para valorar tu propensión a tomar determinadas decisiones: a renovar, a cancelar antes del vencimiento o a contratar un determinado producto.

3. Finalidad y legitimación con las que tratamos tus datos

Le informamos de que trataremos tus datos con las siguientes finalidades y conforme a las siguientes legitimidades.

3.1. Evaluación y seguimiento de riesgos

FINALIDAD: evaluar tu idoneidad para conceder la operación solicitada, mediante un análisis de tu solvencia que permita predecir si podrás pagar las cuotas generadas. Por eso, la solicitud de tu operación requiere el análisis de tu perfil, mediante el sistema de evaluación de riesgos, que calcula una puntuación de forma exclusivamente automatizada que será tenida en cuenta para la concesión o denegación de tu solicitud. Para obtener esta puntuación, analizaremos las variables referidas a tu capacidad económica (por ejemplo, ingresos, antigüedad laboral, situación familiar, propiedades) para comprobar que es acorde con la operación requerida (tipo de producto, plazo, importe mensual) asignando más o menos peso según tu solvencia y las deudas con otras entidades, que dará lugar a la puntuación indicada. Si esta puntuación no alcanza el umbral mínimo, entendemos que tu capacidad de pago se ve reducida y, por tanto, tu solicitud será denegada o revisada por un gestor (persona física). Esta evaluación requiere el análisis de los siguientes datos: (i) identificativos, de contacto y características personales; (ii) transacciones, económicos financieros y datos de la cuenta bancaria (si lo has consentido); y (iii) relativos a la solvencia y al historial de pagos. El resultado de ello, será un dato inferido.

Igualmente, usamos tus datos identificativos y de contacto para consultar los sistemas de información crediticia (ASNEF-Equifax, EXPERIAN-Fichero Badexcug). Más información sobre estos ficheros en el tratamiento referido a Inclusión en sistemas de información crediticia. Tus datos identificativos y de contacto, de características personales e historial de pagos los consultaremos en la solicitud de la operación a la Central de Riesgos de Banco de España. Si tu solicitud es denegada, te informaremos, con especial indicación de si está motivada solo por detectar una deuda con otra entidad en un sistema de información crediticia. Tendrás derecho a impugnar la decisión tomada, a que un analista especializado pueda revisarla y a expresar tu punto de vista. Para esa revisión, podrás aportar la documentación adicional que consideres necesaria. Para llevar a cabo el análisis de la documentación aportada, podemos hacer uso de herramientas de lectura automática, que determinen la congruencia y veracidad del mismo. En caso de duda, podrán ser revisados por una persona física Cuando la operación se formalice, podremos clasificarte internamente para seguir tus riesgos y valorar la actuación que corresponda si aumenta de modo significativo esos riesgos. Esta clasificación se basará en los datos ya indicados y considerará el mayor número de productos contratados, el historial de pagos, la existencia de deudas declaradas en sistemas de información crediticia por otras entidades y la actividad realizada con el producto contratado (datos de pagos con la tarjeta o su límite). El Banco somete el sistema de evaluación y seguimiento de riesgos a revisiones periódicas, para evitar desajustes o errores en las evaluaciones que den lugar a que se concedan operaciones o denieguen solicitudes indebidamente (por ejemplo, por implicar una discriminación). Estos modelos los configuramos con datos estadísticos que no pueden ser atribuidos a una persona (ver el apartado “Seudonimización de datos”).

LEGITIMACIÓN: ejecución del contrato. La consulta a los sistemas de información crediticia se efectúa en interés legítimo del Banco de verificar el cumplimiento de tus obligaciones de pago con otras entidades, antes de conceder la operación y durante el seguimiento de ella, a fin de comprobar que solo formalizamos operaciones financieras a las que puedes hacer frente. Este tratamiento solo lo efectuaremos en el momento de la solicitud y mientras perviva la relación contractual, para seguimiento de tus riesgos. Para más información, ver “Inclusión en sistemas de información crediticia”. La consulta a la CIRBE se efectúa en interés legítimo de la entidad, al amparo de los dispuesto en la Ley 44/2002 de Medidas de reforma del Sistema Financiero. En ambos casos, no podrás oponerte al tratamiento, por concurrir motivos imperiosos para tal fin.

DESTINATARIOS: Tus datos identificativos y de contacto, de características personales e historial de pagos los notificaremos, tras formalizar la operación, a la Central de Riesgos de Banco de España. Esta cesión se efectuará en cumplimiento de una obligación legal (Ley 44/2002 de Medidas de reforma del Sistema Financiero).

PLAZO DE CONSERVACIÓN: durante toda la operación y, finalizada esta, durante seis años.

3.2. Gestión y mantenimiento de la operación

FINALIDAD: Gestión del contrato. Trataremos tus datos para emitir y gestionar la operación contratada. Este tratamiento se refiere a todas las gestiones de tu contrato: formalizarlo, mantenerlo y finalizarlo. En concreto, trataremos tus datos para registrar el contrato en los sistemas, para liquidar y cobrar las operaciones que genere, para atender las consultas que nos formules, incluida la solicitud de documentación (contratos, certificados o extractos); para registrar los pagos y cobros con ella; para tratar las incidencias que pudieran surgir y para realizar la conciliación contable con el establecimiento en el que has contratado.

Además, podremos contactar contigo para informarte sobre aspectos referidos al contrato. Estas notificaciones pueden derivarse de obligaciones legales asociadas (por ejemplo, exigencias de Banco de España) o estrictamente vinculadas, con tu contrato (por ejemplo, información sobre funcionalidades añadidas de tu tarjeta, envío de extractos, o comunicaciones de alta en la web, referidas a incidencias, a códigos de seguridad o a confirmación de operación).

LEGITIMACIÓN: ejecución del contrato.

DESTINATARIOS: los datos podrán ser comunicados a la entidad bancaria que nos hayas indicado, para gestionar los cobros, por ser necesario para ejecutar el contrato. En caso de ser requerido, a la Agencia Tributaria, como obligación legal.

Igualmente, tus datos identificativos y de contacto y tu número de cuenta bancaria serán verificados a través de la Sociedad Española de Sistemas de Pago, S.A. (en adelante, “Iberpay”) con la exclusiva finalidad de comprobar la titularidad de la cuenta que nos hayas indicado. Te informamos de que los responsables del tratamiento de la plataforma Iberpay somos las entidades participantes en el Sistema de Compensación Electrónica (SNCE), siendo Iberpay encargado del tratamiento. También, comunicaremos al establecimiento en el que adquiriste el bien tus datos identificativos y los de la transacción para contabilizar la operación y remitir las comisiones oportunas, siendo esta necesaria para ejecutar el contrato.

Además, tus datos podrán ser notificados al Registro de Bienes Muebles, con la finalidad de llevar a cabo la inscripción registral del contrato. Esta comunicación es necesaria para ejecutar el contrato.

PLAZO DE CONSERVACIÓN: durante toda la operación y, finalizada esta, durante diez años.

3.3. Prevención del blanqueo de capitales

FINALIDAD: Trataremos también tus datos para cumplir con las obligaciones legales impuestas por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En concreto, los datos identificativos y de contacto, características personales y de transacciones los trataremos para: (i) verificar tu identidad, recopilando tu documento de identidad (DNI o NIE) para consultarlo, si es necesario para el contrato o para cumplir con la obligación legal de identificación; (ii) verificar la naturaleza de tu actividad profesional o empresarial, por medio de los datos declarados, de los documentos aportados y, si lo has consentido, de la información contemplada en la Tesorería General de la Seguridad Social (TGSS) para la lucha contra la financiación del terrorismo y formas graves de delincuencia organizada y la prevención de blanqueo de capitales; (iii) identificar si eres una persona con responsabilidad pública o políticamente expuesta y, en caso afirmativo, aplicar las medidas reforzadas de diligencia debida en las relaciones de negocio u operaciones que mantengamos contigo. (para ello, será tratados datos procedentes de bases de datos para la prevención del blanqueo de capitales y la financiación del terrorismo). En los casos en los que así te lo ofrezcamos, podrás identificarte a través de un sistema de videollamada, que capturará tu imagen y permitirá acreditar tu identidad comparándola con tu documento de identidad. Esta llamada será almacenada como prueba de haberla realizado. Te informaremos de este proceso antes de ejecutarlo.

LEGITIMACIÓN: obligación legal (ley citada en el punto anterior). La consulta a la Tesorería General de la Seguridad Social la efectuaremos solo si has dado tu consentimiento, que podrás revocar en cualquier momento, sin que ello afecte a la licitud del tratamiento previo (Convenio de colaboración entre la Tesorería General de la Seguridad Social y la Asociación Nacional de Establecimientos Financieros de Crédito, sobre intercambio de información, de 16 de marzo de 2017).

DESTINATARIOS: en caso de requerimiento u operativa sospechosa, al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales y a las fuerzas y cuerpos de seguridad del Estado, juzgados y tribunales y administraciones competentes.

Igualmente, te informamos de la comunicación de tus datos personales a otras sociedades del Grupo Santander junto con cualquier información relevante de la operación que permita el cumplimiento por dichas sociedades de (i) la normativa interna del Grupo en materia de prevención del crimen financiero, (ii) sus obligaciones legales de prevención del blanqueo de capitales y de la financiación del terrorismo y (iii) el reporte regulatorio a las autoridades supervisoras.

Por último, solo si así lo has autorizado en la cláusula específica, tus datos podrán ser consultados en la Tesorería General de la Seguridad Social.

PLAZO DE CONSERVACIÓN: durante toda la vigencia del contrato y, finalizado este, durante diez años.

3.4. Prevención del fraude

FINALIDAD: tomar medidas que impidan la contratación fraudulenta de operaciones (como suplantaciones de identidad en la contratación o durante la vigencia de la operación o solicitudes basadas en datos no veraces), tanto en el momento de la solicitud como durante la vigencia del contrato. Para ello, todos los datos de su operación serán tratados para analizar las solicitudes, verificando la identidad del solicitante y posibles incongruencias de la información proporcionada. Esta información se podrá contrastar con datos procedentes de perfiles públicos (por ejemplo, para verificar la veracidad de tu correo electrónico, la existencia del domicilio o del teléfono), que darán lugar a una puntuación referida a la probabilidad de la comisión de fraude, pero que no se sumará a los datos que nos hayas facilitado ni determinará por sí misma la concesión o denegación de la operación.

Igualmente, en caso de reclamación o sospecha, podremos tratar los datos de transacciones y de compras para proceder a la toma de decisiones referidas a la misma (por ejemplo, bloqueos de tarjeta). Este tratamiento podrá implicar la consulta al Fichero CONFIRMA, en cuyo nombre te informamos de lo siguiente: Los solicitantes quedan informados de la comunicación de los datos de la presente solicitud al Fichero Confirma, cuya finalidad es el cotejo de solicitudes y operaciones registradas en el Fichero por parte de las entidades participantes para detectar posibles fraudes en la contratación. Dicha finalidad supone la valoración de la probabilidad de fraude de la solicitud. La base jurídica del tratamiento de los datos de carácter personal es el interés legítimo de los corresponsables del tratamiento de prevenir el fraude (Considerando 47 RGPD), para evitar posibles consecuencias económicas negativas y eventuales incumplimientos legales por parte de los solicitantes. La consulta al Fichero Confirma resulta idónea en atención al fin perseguido, y proporcional en relación con el beneficio obtenido por los corresponsables del tratamiento y el impacto en la privacidad de los solicitantes. Asimismo, el tratamiento de datos se enmarca en las expectativas razonables de los interesados al tratarse de una práctica común y producirse en el marco de una solicitud de contratación. Para evitar perjuicios y consecuencias negativas para los solicitantes se han adoptado medidas técnicas y organizativas para reforzar la confidencialidad y seguridad de esta información. El plazo máximo de conservación de los datos será de cinco años. Los corresponsables del tratamiento son las Entidades Adheridas al Reglamento del Fichero Confirma, siendo el encargado del tratamiento Confirma Sistemas de Información, S.L., con domicilio en el Paseo de la Castellana, 163, 2ª planta, Edificio Utopicus Castellana, 28046, Madrid. Los solicitantes podrán consultar el listado de Entidades que actualmente están adheridas al Reglamento del Fichero Confirma en la website www.confirmasistemas.es. Podrán participar en el Fichero Confirma las entidades que se adhieran a su Reglamento y que en su ámbito de actividad pueda ser objeto de fraude en la contratación. Los datos comunicados al Fichero Confirma podrán ser consultados por las Entidades Adheridas al Reglamento del Fichero Confirma. No está prevista la transferencia de datos a un tercer país u organización internacional. De acuerdo con la normativa vigente en materia de protección de datos, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, a no ser objeto de decisiones automatizadas individuales con efectos jurídicos, y portabilidad, dirigiéndose al domicilio del encargado del tratamiento, Confirma Sistemas de Información, S.L., en la dirección arriba indicada. Asimismo, los interesados podrán hacer uso de su derecho a presentar una reclamación ante la Autoridad de Control. Confirma Sistemas de Información, S.L. ha nombrado un Delegado de Protección de Datos con el que podrá contactar a través del correo electrónico esdpo@transunion.com, para las solicitudes en materia de privacidad relacionadas con el Fichero Confirma.

LEGITIMACIÓN: interés legítimo de tratar de impedir posibles consecuencias económicas negativas para el Banco o para otras personas (en caso, por ejemplo, de suplantaciones de identidad), así como otros daños derivados de estas conductas (perjuicios personales en los interesados o incumplimiento de obligaciones legales, referidas a la identificación del cliente). El análisis elaborado contempla los impagos, la localización del titular de la operación, la documentación sospechosa de falsificación o la comprobación de la veracidad de los datos facilitados, entre otros indicios derivados de incidencias en el pago, denuncias o reclamaciones. La valoración de estos indicios responde a una política interna, que ha evaluado y definido las mejores medidas para prevenir y detectar las conductas fraudulentas, así como para mitigar el impacto sobre tu privacidad. Estas medidas implican: (i) supervisión por un analista especializado en la valoración de la conducta sospechosa de fraude de tu operación vigente; y (ii) remisión de información en caso de inclusión de la operación en sistemas de prevención del fraude internos (en cuyo caso, se informará expresamente). Este tratamiento no es oponible, por concurrir motivos imperiosos para el fin descrito.

DESTINATARIOS: además de a CONFIRMA, podremos comunicar tus datos a juzgados y tribunales, y a las fuerzas y cuerpos de seguridad del Estado, cuando concurra la obligación legal de notificar la comisión de sospechas de conductas delictivas.

PLAZO DE CONSERVACIÓN: los datos serán tratados mientras dure la operación vigente y, finalizada la misma, durante un plazo de seis años.

3.5. Gestión de impagados.

FINALIDAD: en el caso de que no abones alguna cuota o liquidación, contactaremos contigo (por teléfono, correo electrónico, SMS, de forma presencial, mediante notificaciones en la web privada o en la aplicación móvil) para informarte de esa circunstancia. Los datos serán tratados con la finalidad de poner en tu conocimiento la existencia del impago y lograr que lo resuelvas. Para ello, trataremos todos los datos identificativos y de contacto, datos de características personales, económicos y financieros y los de solvencia, así como datos obtenidos de fuentes públicas (existencia de bienes en propiedad, datos de inmueble o similares contenidos en los registros).

Igualmente, a partir de esta información, podremos definir el medio más adecuado para lograr el cumplimiento de tus obligaciones dinerarias, aplicando para ello métodos estadísticos, basados en la experiencia del Banco, que permitan determinar las acciones de recobro que puedan resultar más exitosas (ofrecimiento de acuerdos de pago, procedimiento judicial u otros). Para ello, tendremos en cuenta los siguientes datos: (i) de características personales; (ii) relativos a tu solvencia e historial de pagos; (iii) datos estadísticos en el Banco (éxito de acciones de recobro en deudas de determinada antigüedad, probabilidad de pago en función de los bienes disponibles o semejante). Para ello, emplearemos un sistema de evaluación que verifica que tus datos de contacto estén actualizados (existencia del domicilio, teléfono activo, dirección de correo electrónico disponible).

LEGITIMACIÓN: ejecución del contrato. El análisis de la estrategia de recobro más beneficiosa será efectuado en interés legítimo del Banco, de establecer los medios que resulten más eficientes para llevar a cabo las acciones (por ejemplo, porque resulten más económicas), y más satisfactorias para el deudor, por ser más ajustadas a su situación.

DESTINATARIOS: los datos no serán comunicados a terceros, salvo inicio de reclamación judicial o venta de cartera (que te sería informada expresamente). Podremos delegar en entidades dedicadas al recobro, que podrán contactar contigo, y cuya gestión es efectuada en nuestro nombre.

PLAZO DE CONSERVACIÓN: los datos serán conservados mientras perviva la situación de impago.

3.6. Inclusión en sistemas de información crediticia.

FINALIDAD: informar de las cuotas que impagues a partir de 50 euros a uno o los dos sistemas de información crediticia siguientes: ASNEF (ASNEF-EQUIFAX, SERVICIOS DE INFORMACIÓN SOBRE SOLVENCIA Y CRÉDITO S. L., apartado de Correos 10546, 28080 Madrid; correo electrónico sac@equifax.es; más información en https://www2.equifax.es/consumidores/salesforce/privacyPolicy) y Fichero BADEXCUG (EXPERIAN BUREAU DE CRÉDITO, S. A., apartado de Correos 1188, 28108 Alcobendas (Madrid; correo electrónico badexcug@experian.com; más info en www.experian.es). El Banco y cada una de las entidades citadas actuarán como corresponsables del tratamiento de tus datos. Estos serán tratados con la finalidad de mantener un registro de los impagos producidos, que podrán consultar otras entidades con las que mantengas una relación contractual (financieras, telecomunicaciones, eléctricas...) o con las que hayas decidido contratar. Cuando notifiquemos tus datos a esos sistemas, recibirás una comunicación de ellos para informarte de la inclusión de tus datos. Podrás ejercer tus derechos de acceso, rectificación, supresión, limitación, oposición al tratamiento y portabilidad de los datos dirigiéndote al Banco o a cada uno de los sistemas indicados. Para cualquier reclamación referida a la existencia, antigüedad e importe de la deuda, deberás dirigirte a nosotros.

LEGITIMACIÓN: interés legítimo de las entidades participantes en el sistema de información crediticia de contar con información actualizada sobre el incumplimiento de las obligaciones de pago, para evitar un sobrendeudamiento. Este tratamiento no es oponible, por concurrir motivos imperiosos para tal fin. El tratamiento queda sujeto a lo recogido en el artículo 20 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.

DESTINATARIOS: sistemas de información crediticia ASNEF y BADEXCUG.

PLAZO DE CONSERVACIÓN: los datos se mantendrán durante cinco años, salvo que se solvente la deuda antes.

3.7. Defensa de reclamaciones y procedimientos judiciales.

FINALIDAD: la totalidad de los datos tratados (incluidas las llamadas y videos que pudieran haberse grabado) podrán ser empleados para la formulación y defensa de reclamaciones, judiciales o extrajudiciales, iniciadas por esta entidad o por ti.

LEGITIMACIÓN: la atención de reclamaciones se sustenta en la obligación definida por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero. Respecto a los procedimientos judiciales, ejecución del contrato (en caso de reclamaciones de deuda) o interés legítimo del Banco, de ejercitar las acciones legales que estime, así como para defenderse de aquellas que pudieran dirigirse contra la sociedad, todo ello en virtud del derecho a la tutela judicial efectiva. Este tratamiento no es oponible, por concurrir motivos imperiosos para tal fin.

DESTINATARIOS: Juzgados y Tribunales, administraciones públicas, organismos de representación de consumidores.

PLAZO DE CONSERVACIÓN: hasta finalización de la prescripción de acciones legales.

3.8. Auditorías y verificación de cumplimiento.

FINALIDAD: la totalidad de los datos tratados (incluidas las llamadas y videos que pudieran haberse grabado) podrán ser consultados para la ejecución de los controles de verificación de cumplimiento implementados internamente, así como en el marco de las auditorías que, derivado de obligaciones legales o de procesos de calidad interna, sean desarrolladas.

LEGITIMACIÓN: interés legítimo en verificar la idoneidad de sus procesos, a los efectos de cumplir con sus obligaciones legales y estándares de calidad interna para la identificación, control y mitigación de riesgos legales u operativos. Este tratamiento no es oponible, por concurrir motivos imperiosos para tal fin.

Igualmente, pueden concurrir auditorías efectuadas como consecuencia de obligaciones legales (p.ej., auditoría de cuentas).

DESTINATARIOS: los datos podrán ser visualizados por entidades dedicadas a la prestación de servicios de Auditoría.

PLAZO DE CONSERVACIÓN: mientras dure el contrato y, finalizado, hasta un plazo de diez años.

3.9. Seudonimización de datos.

FINALIDAD: Llevamos a cabo un proceso de seudonimización de los datos, que impide la identificación del titular de la operación, salvo en los casos en los que son requeridos por las autoridades competentes. Este proceso se realiza con la finalidad de efectuar análisis estadísticos para configurar los modelos necesarios para la evaluación y análisis de los riesgos, la propensión a determinadas acciones (por ejemplo, a contratar un producto determinado, a defraudar o a impagar) y la evolución de la compañía.

LEGITIMACIÓN: interés legítimo. El Banco requiere, para el desarrollo de su actividad, llevar a cabo estudios que permitan implementar mejoras en los productos y servicios (estudio de rentabilidades, tasas de impago, duración de contratos, mejoras en los modelos de riesgos) con datos que permitan conocer la actividad, sin que se necesite tu identificación. Por lo tanto, este tratamiento es necesario para preservar tu privacidad. Para ello, serán suprimidos los datos identificativos y de contacto, así como los que puedan conducir a identificarte (empresa, domicilio completo). Para reducir el efecto de este tratamiento, hemos tomado las siguientes medidas: (i) no se tratan datos que permitan tu identificación (lo que se conoce como seudonimizar), que solo podrán recuperarse a petición de una Administración y con intervención del delegado de protección de datos; (ii) una vez seudonimizados, no se van a tomar decisiones que puedan afectarte de forma individual.

DESTINATARIOS: no se comunican a otras personas ni entidades.

PLAZO DE CONSERVACIÓN: hasta plazos de prescripción de acciones legales.

3.10. Pruebas y entrenamiento de modelos basados en Inteligencia Artificial

FINALIDAD: tus datos podrán ser incluidos en el proceso de prueba de nuevas herramientas tecnológicas, que pueden incluir inteligencia artificial, para verificar su correcto funcionamiento y entrenar los modelos utilizados por las mismas con el fin último de asegurar que el sistema ejecuta adecuadamente el proceso. Para dicho fin, trataremos todos los datos de tu operación (a excepción de aquellos que puedan ser considerados como categoría especial, es decir, datos referidos a tu raza, religión, estado de salud, entre otros). En los casos en los que sea posible, solo serán tratados datos seudonimizados.

LEGITIMACIÓN: interés legítimo. El Banco requiere, para el desarrollo de su actividad, llevar a cabo estudios que permitan implementar mejoras en la tecnología empleada (por ejemplo, para mejorar el tiempo de evaluación de solicitudes, para proporcionar un servicio más rápido al cliente o para identificar casos de fraude, entre otros) que exige la adopción de medidas y controles que comprueben su correcto funcionamiento. Por ello, el interés perseguido por el Banco es prevenir errores en la ejecución de los procesos a través de herramientas tecnológicas. Para reducir el efecto de este tratamiento, hemos tomado las siguientes medidas: (i) solo se tratarán los datos para verificar que la tecnología funciona correctamente, sin que suponga la toma de una decisión sobre ti; (ii) salvo que sea imprescindible, serán suprimidos los datos identificativos y de contacto, así como los que puedan conducir a identificarte (empresa, domicilio completo). Podrás oponerte a este tratamiento, dirigiéndote a privacy@openbank.com.

DESTINATARIOS: no se comunican a otras personas ni entidades.

PLAZO DE CONSERVACIÓN: los datos serán tratados para la ejecución de las pruebas. Transcurridas las mismas, los datos empleados serán suprimidos del sistema afectado

3.11. Acciones comerciales del Banco

3.11.1. De productos del Banco (solo con datos proporcionados por ti al Banco)

FINALIDAD: enviarte comunicaciones comerciales por cualquier vía disponible en cada momento (correo, teléfono, SMS, aplicaciones de mensajería instantánea, correo electrónico, web push, pop-up o cualquier otro medio electrónico o telemático). Estas comunicaciones se referirán a productos que oferte el Banco y que consideremos que pueden serte de interés, por ser similares al que ya tienes contratado y por ser probable que sea concedido. Por ejemplo, podremos enviarte información referida a sorteos y concursos, estatus de tu operación, préstamos, tarjetas, aumentos de límite o cuentas corrientes, Para ello definiremos tu perfil de cliente solo con los datos contenidos en nuestros sistemas: datos identificativos y de contacto, para podértelas enviar; datos de las transacciones, para determinar si es un producto semejante al contratado y si puedes hacer frente a sus cuotas sin que suponga un sobreendeudamiento; y los sociodemográficos, para estimar si, estadísticamente, es un producto que sea contratado por personas con tus características.

Igualmente, podremos verificar que las campañas se han distribuido correctamente, la estadística de apertura y las tasas de éxito (por ejemplo, contrataciones tras el envío.

LEGITIMACIÓN: interés legítimo del Banco de incentivar la contratación de nuevos productos que favorezcan nuestra actividad comercial, de ofrecerte contratar nuevos productos y mejorar las condiciones de los que ya tienes contratados, que favorezcan tu situación económica. Solo se producirá con los datos de tu contrato proporcionados por ti, mientras perviva la relación contractual y para productos similares a los que ya tienes. Puedes oponerte a este tratamiento en cada comunicación recibida, escribiendo a nuestra dirección o a https://sces.es/rbt3rb.

PLAZO DE CONSERVACIÓN: mientras dure el contrato.

3.11.2. De productos del Banco (con datos proporcionados al Banco por ti y otras entidades)

FINALIDAD: personalizar las ofertas comerciales para enviarte comunicaciones comerciales sobre nuestros propios productos y servicios, mientras esté vigente la relación contractual, e incluso después de haberla finalizado, por un periodo máximo de seis años (salvo que revoques antes el consentimiento). Remitiremos las comunicaciones comerciales por medios automatizados y no automatizados (correo, teléfono, SMS, mensajería instantánea, correo electrónico, web push, pop-up o cualquier otro medio electrónico o telemático disponible en cada momento) y tendrán en cuenta el análisis de tu perfil comercial de cliente. Generaremos este perfil a partir del análisis de tus patrones de comportamiento y riesgo y de los datos recibidos de otras entidades. Para este tratamiento, el Banco tratará las siguientes categorías de datos personales: datos identificativos y de contacto, económicos y financieros, sociodemográficos, referidos a la transacción, relativos a la solvencia y al historial de pagos. A ellas, añadirá datos de otras entidades (ASNEFEQUIFAX, Fichero Badexcug, fuentes accesibles al público, tales como registros mercantiles, Catastro o el INE). La finalidad que perseguimos con la creación de estos perfiles es poder realizar un análisis de tus características económicas y personales, ajustado a tu situación personal, con el fin de determinar cuáles son los productos comercializados por esta entidad que van a serte ofrecidos, en función de dos variables: tu predisposición a contratar el producto y la probabilidad de concederte la operación. La creación del perfil será el resultado de una decisión automatizada, en la que se aplicará la siguiente lógica: valoraremos (i) la propensión de clientes semejantes a ti de contratar productos como los ofertados, aplicando los datos de tu operación y los procedentes de terceros (INE u otros datos estadísticos), y (ii) valoraremos tu capacidad para hacer frente al pago del mismo, mediante una evaluación de riesgos (para más información, ver “Evaluación y seguimiento de riesgos”), para lo que realizaremos una consulta ASNEF-EQUIFAX y Fichero Badexcug.

PLAZO DE CONSERVACIÓN: mientras dure el contrato y, finalizado este, hasta que revoques tu consentimiento o transcurran seis años. 3.11.3 Acciones del Banco sobre productos del Grupo TENDAM

FINALIDAD: enviarte acciones comerciales personalizadas sobre los productos y servicios de terceras empresas por medios automatizados y no automatizados (por correo, teléfono, SMS, aplicaciones de mensajería instantánea, correo electrónico, web push, pop-up o cualquier otro medio electrónico o telemático disponible en cada momento) sobre las empresas los productos comercializados por las empresas del Grupo TENDAM (Cortefiel, Pedro del Hierro, Women’secret, Fifty, Springfield, Hoss Intropia, Slowlove, High Spirits y Dash&Stars). Para ello, serán tratados exclusivamente datos identificativos y de contacto (para llevar a cabo el envío) y referidos a las transacciones (para conocer que dispones de una Tarjeta).

LEGITIMACIÓN: consentimiento. Podrás autorizar este tratamiento indicando “Si” en la casilla habilitada o en la conversación telefónica de confirmación de la operación. Este consentimiento podrá ser revocado en cualquier momento, dirigiéndote a Legitimación: consentimiento. Podrás autorizar este tratamiento indicando “Sí” en la casilla habilitada o en la conversación telefónica de confirmación de la operación. Este consentimiento podrás revocarlo en cualquier momento, dirigiéndote a https://sces.es/rbt3rb.

PLAZO DE CONSERVACIÓN: mientras dure el contrato y, finalizado este, hasta que revoques tu consentimiento o transcurran seis años.

3.12. Relación con TENDAM

FINALIDAD: gestión del club de fidelidad. Por su parte, TENDAM tratará los datos que facilites para gestionar tu pertenencia al club de fidelidad. Esta gestión implica que TENDAM y el Banco mantengan actualizados los datos identificativos y de contacto.

Igualmente, para gestionar el club de fidelidad, TENDAM conocerá los datos de los pagos efectuados en sus propios establecimientos. El Banco no interviene en este tratamiento, que es responsabilidad de TENDAM.

LEGITIMACIÓN: ejecución del contrato.

DESTINATARIOS: El Banco podrá comunicar a TENDAM (dpo@tendam.es) tus datos para gestionar el club de fidelidad.

PLAZO DE CONSERVACIÓN: durante la vigencia del contrato.

FINALIDAD: comunicar los datos de compras para que TENDAM gestione el club de fidelidad. TENDAM tratará los datos recibidos de Open Bank, sobre compras en establecimientos no adheridos que admitan la tarjeta como medio de pago, con la finalidad de efectuar acciones promocionales ajustadas a tu perfil y gestionar el programa de descuentos asociado al club de fidelidad de Cortefiel y Pedro del Hierro.

LEGITIMACIÓN: consentimiento. Esta finalidad queda sujeta a tu consentimiento, que podrás manifestar indicando “Sí” en la casilla prevista para eso o en la conversación telefónica mantenida. Podrás revocar o anular el consentimiento en cualquier momento dirigiéndote a https://sces.es/rbt3rb o al domicilio social del Banco. Ten en cuenta que, si no lo prestas, los beneficios del Club Cortefiel y Pedro del Hierro no podrán aplicarse para las compras efectuadas fuera de los establecimientos Cortefiel y Pedro del Hierro.

DESTINATARIOS: TENDAM RETAIL, S. A (Av. del Llano Castellano, 51, 28034 Madrid). Para comunicar con el delegado de protección de datos, dpo@tendam.es)

PLAZO DE CONSERVACIÓN: durante la vigencia del contrato o hasta que revoques el consentimiento.

Además, ten en cuenta que podemos recibir requerimientos legales que impliquen un tratamiento de datos personales. Por ello, es posible que tengamos que atender solicitudes de información de órganos judiciales, administrativos o reguladores. También es posible que tus datos deban ser tratados para atender exigencias normativas (por ejemplo, Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito).

4. Otros destinatarios y transferencias internacionales de datos

Contamos con la colaboración de proveedores que pueden acceder a tus datos y que los tratarán en nuestro nombre y por nuestra cuenta. Seguimos un proceso riguroso para seleccionar los proveedores y verificar que cumplen con la normativa de protección de datos.

Además, firmamos un contrato en el que estos proveedores se obligan a aplicar medidas técnicas y organizativas apropiadas, tratar los datos personales atendiendo solo a las instrucciones documentadas del Banco; y suprimir o devolver los datos a Banco. Contrataremos los servicios de entidades que desempeñan su actividad en sectores como los siguientes: servicios tecnológicos, seguridad física, mensajería instantánea, entidades de gestión de impagados y centro de llamadas. Podemos contar con proveedores o terceros ubicados fuera del Espacio Económico Europeo. Para garantizar que el tratamiento de tus datos es realizado de conformidad con lo dispuesto en la normativa, garantizaremos que solo se transmiten a terceros ubicados en países con un nivel de adecuación, adheridos a mecanismos que lo garanticen (por ejemplo, Data Privacy Framework) o aportando garantías adecuadas (como la firma de «cláusulas contractuales tipo»).

Igualmente, los datos podrán tratarlos terceros ubicados en Reino Unido, país considerado con nivel adecuado de protección por la Decisión de Ejecución (UE) 2021/1772 de la Comisión de 28 de junio de 2021. Para tener información actualizada sobre las transferencias de datos realizadas, consulta www.openbank, en el apartado «política de privacidad». o dirígete a privacy@openbank.com.

5. Tus derechos Te detallamos los derechos que te reconoce la normativa.

Puedes ejercerlos dirigiéndote al delegado de protección de datos: – En el formulario de solicitud: https://sces.es/rbt3rb, o – por correo postal a Ciudad Grupo Santander, Av. de Cantabria, s/n, 28660 Boadilla del Monte (Madrid). En ambos casos debes concretar el derecho ejercitado y acompañar una copia de tu DNI o NIE, para localizar tus datos en los sistemas y validar tu identidad. No será necesario que aportes copia de tu DNI o NIE si solicitas la baja de comunicaciones comerciales. Tienes derecho a:

Acceder: puedes obtener confirmación sobre si estamos tratando datos personales que te conciernen, o no y, en tal caso, conocer cuáles se tratan y con qué fines.
Rectificar: en caso de datos inexactos.
Suprimir: entre otros motivos, si ya no son necesarios para los fines que se recogieron.
Limitar el tratamiento de tus datos: en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones.
Oponerte al tratamiento: dejaremos de tratar los datos, salvo por motivos legítimos imperiosos o el ejercicio o la defensa de posibles reclamaciones.
Impugnar la decisión adoptada de forma únicamente automatizada, con la finalidad de que esta sea revisada por una persona, especialista en la materia.
Portar tus datos para remitirlos directamente a otra entidad, designada por ti, en un formato estructurado, de uso común y lectura mecánica.
Retirar el consentimiento otorgado, sin que ello afecte a la licitud del tratamiento. Igualmente, te informamos que el Banco cuenta con un delegado de protección de datos, al que puedes acudir para formular las consultas, reclamaciones o incidencias que estimes (por ejemplo, si consideras que no debes estar en un sistema de información crediticia, si no comprendes alguna parte de esta política, si tienes dudas sobre nuestros intereses legítimos o si ya has reclamado y no has obtenido respuesta satisfactoria, entre otras que consideres). Para ello, puedes dirigirte al domicilio social o a la dirección de correo electrónico ya señalados. También puedes reclamar ante la Agencia Española de Protección de Datos (como autoridad de control para la protección de datos), especialmente cuando no hayas obtenido satisfacción en el ejercicio de tus derechos, mediante escrito dirigido a Agencia Española de Protección de Datos, c/ Jorge Juan, 6, 28001 Madrid o a través de la web https://www.aepd.es. De igual modo, puedes retirar el consentimiento otorgado a TENDAM RETAIL, S.A., a través de correo postal a Av. del Llano Castellano, 51, 28034 Madrid). Para comunicar con el delegado de protección de datos, dpo@tendam.es, indicando “a la atención del delegado de protección de datos.

Politica de Privacidad Tarjeta CORTEFIEL