INFORMACIÓN ADICIONAL SOBRE PROTECCIÓN DE DATOS
1. Responsables independientes del tratamiento de sus datos
Es Open Bank, S. A., al que nos referimos también como” el Banco, con domicilio en Av. de Cantabria, s/n, 28660 Boadilla del Monte (Madrid), que cuenta con delegado de protección de datos cuya dirección electrónica es: privacy@openbank.com. Y también a EROSKI SCOOP, con domicilio en Barrio de San Agustín, s/n 48230 ELORRIO (Vizcaya) que cuenta con delegado de protección de datos cuya dirección electrónica es: dpo@eroski.es
2. Datos tratados y fuentes de esos datos
Tratamos los mínimos datos necesarios para desarrollar las finalidades informadas a continuación. Es esencial, pues, que esos datos respondan a tu situación actual, por lo que, en caso de quedar desactualizados, debes comunicarnos los correctos. Esos datos tratados corresponden a las siguientes categorías.
2.1. Datos recabados directamente de ti
Son los que nos proporcionas directamente, a través de un formulario, de documentos requeridos (justificante de ingresos), a partir del acceso a tus cuentas, si así lo has autorizado, y los que se van generando a medida que mantienes una relación con nosotros. A continuación, te enumeramos cuáles son:
Datos identificativos y de contacto: nombre completo, DNI o NIE, domicilio, número de teléfono, dirección de correo electrónico, imagen.
Datos de características personales: estado civil, número de hijos, país de nacimiento, fecha de nacimiento, país de residencia.
Datos económicos y financieros: cuenta bancaria, ingresos, gastos.
Datos de transacciones: producto contratado, sus características (cuotas, condiciones económicas), vigencia, existencia de pagos e impagos, límites de crédito.
Datos sociodemográficos: edad, provincia donde vive, profesión, trabajo actual, pensión o desempleo ingresos medios, situación familiar.
2.2. Datos recabados de la cuenta bancaria Obtenidos de ella, solo si has consentido el acceso:
- Operaciones de la cuenta: devoluciones, embargos, descubiertos, ingresos no salariales, balance de cuenta,
hipoteca, préstamos, consumo tarjetas de crédito, ratio de endeudamiento, antigüedad nómina, empleador, tipo de residencia, otros activos, gastos.
2.3. Datos recabados del uso de la tarjeta
- Datos de compras: número de pagos, gasto medio mensual, establecimiento, importe, fecha y hora en los establecimientos EROSKI.
Igualmente, los datos de compras externas abarcarán todos los anteriores, pero referidos a las efectuadas en establecimientos distintos a los de EROSKI.
2.4. Datos recabados de otras fuentes s
Son los que obtenemos de otras entidades, siempre que tengamos legitimación para ello:
Datos de solvencia: procedentes de sistemas de información crediticia (ASNEFEQUIFAX, EXPERIAN-Fichero Badexcug) que aportan datos sobre impagados con otras entidades (importe, antigüedad, sector y entidad declarante de la deuda).
Datos de tus riesgos: que consten en la Central de Información de Riesgos de Banco de España (CIRBE) como declarados por otras entidades (riesgos acumulados, antigüedad).
Datos del historial de pagos actual y de otros productos contratados antes con las entidades del Grupo (Santander Consumer Renting, S. L. y Transolver Finance, EFC, S. A.), que comprende las cuotas abonadas y las impagadas, de operaciones que se encuentren vigentes o finalizadas.
Datos relativos a la comisión de fraude: alerta de sospecha de fraude, en CONFIRMA.
Datos procedentes de redes sociales: existencia de un perfil en una red social.
Datos de fuentes públicas: guías telefónicas o registros públicos, como el Instituto Nacional de Estadística, el Registro Mercantil, el Registro de la Propiedad, el Catastro, el Registro Central de Titularidades Reales o el Registro Público Concursal.
Datos procedentes de bases de datos para la prevención del blanqueo de capitales y la financiación del terrorismo, así como cualquier otro crimen financiero: nombre y apellidos coincidentes en listas de personas expuestas públicamente o sanciones. Esta información procede de listado oficiales, publicados por la Unión Europea.
2.5. Datos inferidos
Es decir, deducidos de todos los anteriores, con los que podemos alcanzar conclusiones y emplearlos para tomar decisiones. Estos datos no nos proporcionan información directamente de ti ni los obtenemos de otra entidad, pero sí que pueden ser asociados a tu perfil. En concreto, estos datos son las puntuaciones obtenidas para valorar tu propensión a tomar determinadas decisiones: a renovar, a cancelar antes del vencimiento o a contratar un determinado producto. En los casos en los que puedan ser tratadas todas las categorías, te lo resaltaremos indicando “todos los datos de la operación”.
3. Finalidad y legitimación con las que tratamos tus datos en el Banco
Le informamos de que trataremos tus datos con las siguientes finalidades y conforme a las siguientes legitimidades.
3.1. Evaluación y seguimiento de riesgos
FINALIDAD: evaluar tu idoneidad para conceder la operación solicitada, mediante un análisis de tu solvencia que permita predecir si podrás pagar las cuotas generadas. Por eso, la solicitud de tu operación requiere el análisis de tu perfil, mediante el sistema de evaluación de riesgos, que calcula una puntuación de forma exclusivamente automatizada que será tenida en cuenta para la concesión o denegación de tu solicitud. Para obtener esta puntuación, analizaremos las variables referidas a tu capacidad económica (por ejemplo, ingresos, antigüedad laboral, situación familiar, propiedades) para comprobar que es acorde con la operación requerida (tipo de producto, plazo, importe mensual) asignando más o menos peso según tu solvencia y las deudas con otras entidades, que dará lugar a la puntuación indicada. Si esta puntuación no alcanza el umbral mínimo, entendemos que tu capacidad de pago se ve reducida y, por tanto, tu solicitud será denegada o revisada por un gestor (persona física). Esta evaluación requiere el análisis de los siguientes datos: (i) identificativos, de contacto y características personales; (ii) transacciones, económicos financieros y datos de la cuenta bancaria (si lo has consentido); y (iii) relativos a la solvencia y al historial de pagos. El resultado de ello, será un dato deducido. Si tu solicitud es denegada, te informaremos, con especial indicación de si está motivada solo por detectar una deuda con otra entidad en un sistema de información crediticia. Tendrás derecho a impugnar la decisión tomada, a que un analista especializado pueda revisarla y a expresar tu punto de vista. Para esa revisión, podrás aportar la documentación adicional que consideres necesaria. Cuando la operación se formalice, podremos clasificarte internamente para seguir tus riesgos y valorar la actuación que corresponda si aumenta de modo significativo esos riesgos. Esta clasificación se basará en los datos ya indicados y considerará el mayor número de productos contratados, el historial de pagos, la existencia de deudas declaradas en sistemas de información crediticia por otras entidades y la actividad realizada con el producto contratado (datos de pagos con la tarjeta o su límite). El Banco somete el sistema de evaluación y seguimiento de riesgos a revisiones periódicas, para evitar desajustes o errores en las evaluaciones que den lugar a que se concedan operaciones o denieguen solicitudes indebidamente (por ejemplo, por implicar una discriminación). Estos modelos los configuramos con datos estadísticos que no pueden ser atribuidos a una persona (ver el apartado “Seudonimización de datos”).
LEGITIMACIÓN: ejecución del contrato.
DESTINATARIOS: para evaluar y seguir tus riesgos, usamos tus datos identificativos y de contacto para consultar los sistemas de información crediticia (ASNEF-Equifax, EXPERIAN-Fichero Badexcug). La consulta la efectuamos por el interés legítimo del Banco de verificar el cumplimiento de tus obligaciones de pago con otras entidades, antes de conceder la operación y durante el seguimiento de ella, a fin de comprobar que solo formalizamos operaciones financieras a las que puedes hacer frente. Este tratamiento solo lo efectuaremos en el momento de la solicitud y mientras perviva la relación contractual, para seguimiento de tus riesgos. Para más información, ver “Inclusión en sistemas de información crediticia”.
Igualmente, tus datos identificativos y de contacto, de características personales e historial de pagos los consultaremos en la solicitud de la operación y los notificaremos, tras formalizar la operación, a la Central de Riesgos de Banco de España. Esta cesión se efectuará en cumplimiento de una obligación legal (Ley 44/2002 de Medidas de reforma del Sistema Financiero).
PLAZO DE CONSERVACIÓN: durante toda la operación y, finalizada esta, durante seis años.
3.2. Gestión y mantenimiento de la operación.
FINALIDAD: Gestión del contrato. Trataremos tus datos para emitir y gestionar la operación contratada. Este tratamiento se refiere a todas las gestiones de tu contrato: formalizarlo, mantenerlo y finalizarlo. En concreto, trataremos tus datos para registrar el contrato en los sistemas, para liquidar y cobrar las operaciones que genere, para atender las consultas que nos formules, incluida la solicitud de documentación (contratos, certificados o extractos), para activar tu tarjeta y generar duplicados de ella; para registrar los pagos y cobros con ella; para tratar las incidencias derivadas del uso y tomar medidas de prevención de pagos fraudulentos; así como, en caso necesario, comunicar y tramitar las renovaciones, migraciones, desistimientos o cancelaciones de tarjeta.
Además, podremos contactar contigo para informarte sobre aspectos referidos al contrato. Estas notificaciones pueden derivarse de obligaciones legales asociadas (por ejemplo, exigencias de Banco de España) o estrictamente vinculadas, con tu contrato (por ejemplo, información sobre funcionalidades añadidas de tu tarjeta, envío de extractos, o comunicaciones de alta en la web, referidas a incidencias, a códigos de seguridad o a confirmación de operación).
LEGITIMACIÓN: ejecución del contrato.
DESTINATARIOS: los datos podrán ser comunicados a la entidad bancaria que nos hayas indicado, para gestionar los cobros, por ser necesario para ejecutar el contrato. En caso de ser requerido, a la Agencia Tributaria, como obligación legal.
PLAZO DE CONSERVACIÓN: durante toda la operación y, finalizada esta, durante diez años.
3.3. Prevención del blanqueo de capitales
FINALIDAD: Trataremos también tus datos para cumplir con las obligaciones legales impuestas por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. En concreto, los datos identificativos y de contacto, características personales y de transacciones los trataremos para: (i) verificar tu identidad, recopilando tu documento de identidad (DNI o NIE) para consultarlo, si es necesario para el contrato o para cumplir con la obligación legal de identificación; (ii) verificar la naturaleza de tu actividad profesional o empresarial, por medio de tu información, de los documentos aportados y, si lo has consentido, de la información contemplada en la Tesorería General de la Seguridad Social (TGSS) para la lucha contra la financiación del terrorismo y formas graves de delincuencia organizada y la prevención de blanqueo de capitales; (iii) identificar si eres una persona con responsabilidad pública o políticamente expuesta y, en caso afirmativo, aplicar las medidas reforzadas de diligencia debida en las relaciones de negocio u operaciones que mantengamos contigo. En los casos en los que así te lo ofrezcamos, podrás identificarte a través de un sistema de videollamada, que capturará tu imagen y permitirá acreditar tu identidad comparándola con tu documento de identidad. Esta llamada será almacenada como prueba de haberla realizado. Te informaremos de este proceso antes de ejecutarlo.
LEGITIMACIÓN: obligación legal (ley citada en el punto anterior). La consulta a la Tesorería General de la Seguridad Social la efectuaremos solo si has dado tu consentimiento, que podrás revocar en cualquier momento, sin que ello afecte a la licitud del tratamiento previo (Convenio de colaboración entre la Tesorería General de la Seguridad Social y la Asociación Nacional de Establecimientos Financieros de Crédito, sobre intercambio de información, de 16 de marzo de 2017).
DESTINATARIOS: en caso de requerimiento u operativa sospechosa, al Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales y a las fuerzas y cuerpos de seguridad del Estado, juzgados y tribunales y administraciones competentes.
Igualmente, te informamos de la comunicación de tus datos personales a otras sociedades del Grupo Santander junto con cualquier información relevante de la operación que permita el cumplimiento por dichas sociedades de (i) la normativa interna del Grupo en materia de prevención del crimen financiero, (ii) sus obligaciones legales de prevención del blanqueo de capitales y de la financiación del terrorismo y (iii) el reporte regulatorio a las autoridades supervisoras.
Por último, solo si así lo has autorizado en la cláusula específica, tus datos podrán ser consultados en la Tesorería General de la Seguridad Social.
PLAZO DE CONSERVACIÓN: durante toda la vigencia del contrato y, finalizado este, durante diez años.
3.4. Prevención del fraude
FINALIDAD: tomar medidas que impidan la contratación fraudulenta de operaciones (como suplantaciones de identidad en la contratación o durante la vigencia de la operación o solicitudes basadas en datos no veraces), tanto en el momento de la solicitud como durante la vigencia del contrato. Para ello, todos los datos de su operación serán tratados para analizar las solicitudes, verificando la identidad del solicitante y posibles incongruencias de la información proporcionada. Esta información se podrá contrastar con datos procedentes de perfiles públicos (por ejemplo, para verificar la veracidad de tu correo electrónico, la existencia del domicilio o del teléfono), que darán lugar a una puntuación referida a la probabilidad de la comisión de fraude, pero que no se sumará a los datos que nos hayas facilitado ni determinará por sí misma la concesión o denegación de la operación. Este tratamiento podrá implicar la consulta al Fichero CONFIRMA, en cuyo nombre te informamos de lo siguiente: Los solicitantes quedan informados de la comunicación de los datos de la presente solicitud al Fichero Confirma, cuya finalidad es el cotejo de solicitudes y operaciones registradas en el Fichero por parte de las entidades participantes para detectar posibles fraudes en la contratación. Dicha finalidad supone la valoración de la probabilidad de fraude de la solicitud. La base jurídica del tratamiento de los datos de carácter personal es el interés legítimo de los corresponsables del tratamiento de prevenir el fraude (Considerando 47 RGPD), para evitar posibles consecuencias económicas negativas y eventuales incumplimientos legales por parte de los solicitantes. La consulta al Fichero Confirma resulta idónea en atención al fin perseguido, y proporcional en relación con el beneficio obtenido por los corresponsables del tratamiento y el impacto en la privacidad de los solicitantes. Asimismo, el tratamiento de datos se enmarca en las expectativas razonables de los interesados al tratarse de una práctica común y producirse en el marco de una solicitud de contratación. Para evitar perjuicios y consecuencias negativas para los solicitantes se han adoptado medidas técnicas y organizativas para reforzar la confidencialidad y seguridad de esta información. El plazo máximo de conservación de los datos será de cinco años. Los corresponsables del tratamiento son las Entidades Adheridas al Reglamento del Fichero Confirma, siendo el encargado del tratamiento Confirma Sistemas de Información, S.L., con domicilio en el Paseo de la Castellana, 163, 2ª planta, Edificio Utopicus Castellana, 28046, Madrid. Los solicitantes podrán consultar el listado de Entidades que actualmente están adheridas al Reglamento del Fichero Confirma en la website www.confirmasistemas.es. Podrán participar en el Fichero Confirma las entidades que se adhieran a su Reglamento y que en su ámbito de actividad pueda ser objeto de fraude en la contratación. Los datos comunicados al Fichero Confirma podrán ser consultados por las Entidades Adheridas al Reglamento del Fichero Confirma. No está prevista la transferencia de datos a un tercer país u organización internacional. De acuerdo con la normativa vigente en materia de protección de datos, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, a no ser objeto de decisiones automatizadas individuales con efectos jurídicos, y portabilidad, dirigiéndose al domicilio del encargado del tratamiento, Confirma Sistemas de Información, S.L., en la dirección arriba indicada. Asimismo, los interesados podrán hacer uso de su derecho a presentar una reclamación ante la Autoridad de Control. Confirma Sistemas de Información, S.L. ha nombrado un Delegado de Protección de Datos con el que podrá contactar a través del correo electrónico esdpo@transunion.com, para las solicitudes en materia de privacidad relacionadas con el Fichero Confirma
LEGITIMACIÓN: interés legítimo de tratar de impedir posibles consecuencias económicas negativas para el Banco o para otras personas (en caso, por ejemplo, de suplantaciones de identidad), así como otros daños derivados de estas conductas (perjuicios personales en los interesados o incumplimiento de obligaciones legales, referidas a la identificación del cliente). El análisis elaborado contempla los impagos, la localización del clientede la operación, la documentación sospechosa de falsificación o la comprobación de la veracidad de los datos facilitados, entre otros indicios derivados de incidencias en el pago, denuncias o reclamaciones. La valoración de estos indicios responde a una política interna, que ha evaluado y definido las mejores medidas para prevenir y detectar las conductas fraudulentas, así como para mitigar el impacto sobre tu privacidad. Estas medidas implican: (i) supervisión por un analista especializado en la valoración de la conducta sospechosa de fraude de tu operación vigente; y (ii) remisión de información en caso de inclusión de la operación en sistemas de prevención del fraude internos (en cuyo caso, se informará expresamente). Este tratamiento no es oponible, por concurrir motivos imperiosos para el fin descrito.
DESTINATARIOS: además de a CONFIRMA, podremos comunicar tus datos a juzgados y tribunales, y a las fuerzas y cuerpos de seguridad del Estado, cuando concurra la obligación legal de notificar la comisión de sospechas de conductas delictivas.
PLAZO DE CONSERVACIÓN: los datos serán tratados mientras dure la operación vigente y, finalizada la misma, durante un plazo de seis años.
3.5. Gestión de impagados.
FINALIDAD: en el caso de que no abones alguna cuota o liquidación, contactaremos contigo (por teléfono, correo electrónico, SMS, de forma presencial, mediante notificaciones en la web privada o en la aplicación móvil) para informarte de esa circunstancia. Los datos serán tratados con la finalidad de poner en tu conocimiento la existencia del impago y lograr que lo resuelvas. Para ello, trataremos todos los datos identificativos y de contacto, datos de características personales, económicos y financieros y los de solvencia, así como datos obtenidos de fuentes públicas (existencia de bienes en propiedad, datos de inmueble o similares contenidos en los registros).
Igualmente, a partir de esta información, podremos definir el medio más adecuado para lograr el cumplimiento de tus obligaciones dinerarias, aplicando para ello métodos estadísticos, basados en la experiencia del Banco, que permitan determinar las acciones de recobro que puedan resultar más exitosas (ofrecimiento de acuerdos de pago, procedimiento judicial u otros). Para ello, tendremos en cuenta los siguientes datos: (i) de características personales; (ii) relativos a tu solvencia e historial de pagos; (iii) datos estadísticos en el Banco (éxito de acciones de recobro en deudas de determinada antigüedad, probabilidad de pago en función de los bienes disponibles o semejante). Para ello, emplearemos un sistema de evaluación que verifica que tus datos de contacto estén actualizados (existencia del domicilio, teléfono activo, dirección de correo electrónico [email] disponible).
LEGITIMACIÓN: ejecución del contrato. El análisis de la estrategia de recobro más beneficiosa será efectuado en interés legítimo de Open Bank, de establecer los medios que resulten más eficientes para llevar a cabo las acciones (por ejemplo, porque resulten más económicas), y más satisfactorias para el deudor, por ser más ajustadas a su situación.
DESTINATARIOS: los datos no serán comunicados a terceros, salvo inicio de reclamación judicial o venta de cartera (que te sería informada expresamente). Open Bank podrá delegar en entidades dedicadas al recobro, que podrán contactar contigo, y cuya gestión es efectuada en nuestro nombre.
PLAZO DE CONSERVACIÓN: los datos serán conservados mientras perviva la situación de impago.
3.6. Inclusión en sistemas de información crediticia.
FINALIDAD: informar de las cuotas que impagues a partir de 50 euros a uno o los dos sistemas de información crediticia siguientes: ASNEF (ASNEF-EQUIFAX, SERVICIOS DE INFORMACIÓN SOBRE SOLVENCIA Y CRÉDITO S. L., apartado de Correos 10546, 28080 Madrid; correo electrónico sac@equifax.es; más información en www.asnef.com) y Fichero BADEXCUG (EXPERIAN BUREAU DE CRÉDITO, S. A., apartado de Correos 1188, 28108 Alcobendas (Madrid; correo electrónico badexcug@experian.com; más info en www.experian.es). El Banco y cada una de las entidades citadas actuarán como corresponsables del tratamiento de tus datos. Estos serán tratados con la finalidad de mantener un registro de los impagos producidos, que podrán consultar otras entidades con las que mantengas una relación contractual (financieras, telecomunicaciones, eléctricas...) o con las que hayas decidido contratar. Cuando notifiquemos tus datos a esos sistemas, recibirás una comunicación de ellos para informarte de la inclusión de tus datos. Podrás ejercer tus derechos de acceso, rectificación, supresión, limitación, oposición al tratamiento y portabilidad de los datos dirigiéndote al Banco o a cada uno de los sistemas indicados. Para cualquier reclamación referida a la existencia, antigüedad e importe de la deuda, deberás dirigirte a nosotros.
LEGITIMACIÓN: interés legítimo de las entidades participantes en el sistema de información crediticia de contar con información actualizada sobre el incumplimiento de las obligaciones de pago, para evitar un sobrendeudamiento. Este tratamiento no es oponible, por concurrir motivos imperiosos para tal fin. El tratamiento queda sujeto a lo recogido en el artículo 20 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.
DESTINATARIOS: sistemas de información crediticia ASNEF y BADEXCUG.
PLAZO DE CONSERVACIÓN: los datos se mantendrán durante cinco años, salvo que se solvente la deuda antes.
3.7. Defensa de reclamaciones y procedimientos judiciales.
FINALIDAD: la totalidad de los datos tratados (incluidas las llamadas y videos que pudieran haberse grabado) por Open Bank podrán ser empleados para la formulación y defensa de reclamaciones, judiciales o extrajudiciales, iniciadas por esta entidad o por ti.
LEGITIMACIÓN: la atención de reclamaciones se sustenta en la obligación definida por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero. Respecto a los procedimientos judiciales, ejecución del contrato (en caso de reclamaciones de deuda) o interés legítimo de Open Bank, de ejercitar las acciones legales que estime, así como para defenderse de aquellas que pudieran dirigirse contra la sociedad, todo ello en virtud del derecho a la tutela judicial efectiva. Este tratamiento no es oponible, por concurrir motivos imperiosos para tal fin.
DESTINATARIOS: Juzgados y Tribunales, administraciones públicas, organismos de representación de consumidores.
PLAZO DE CONSERVACIÓN: mientras pervivan acciones legales derivadas del procedimiento o reclamación.
3.8. Auditorías y verificación de cumplimiento.
FINALIDAD: la totalidad de los datos tratados (incluidas las llamadas y videos que pudieran haberse grabado) por Open Bank podrán ser consultados para la ejecución de los controles de verificación de cumplimiento implementados internamente, así como en el marco de las auditorías que, derivado de obligaciones legales o de procesos de calidad interna, sean desarrolladas.
LEGITIMACIÓN: interés legítimo en verificar la idoneidad de sus procesos, a los efectos de cumplir con sus obligaciones legales y estándares de calidad interna para la identificación, control y mitigación de riesgos legales u operativos. Este tratamiento no es oponible, por concurrir motivos imperiosos para tal fin.
Igualmente, pueden concurrir auditorías efectuadas como consecuencia de obligaciones legales (p.ej., auditoría de cuentas).
DESTINATARIOS: los datos podrán ser visualizados por entidades dedicadas a la prestación de servicios de Auditoría.
PLAZO DE CONSERVACIÓN: mientras dure el contrato y, finalizado, hasta un plazo de diez años.
3.9. Seudonimización de datos.
FINALIDAD: Llevamos a cabo un proceso de seudonimización de los datos, que impide la identificación del cliente de la operación, salvo en los casos en los que son requeridos por las autoridades competentes. Este proceso se realiza con la finalidad de efectuar análisis estadísticos para configurar los modelos necesarios para la evaluación y análisis de los riesgos, la propensión a determinadas acciones (por ejemplo, a contratar un producto determinado, a defraudar o a impagar) y la evolución de la compañía.
LEGITIMACIÓN: interés legítimo. Open Bank requiere, para el desarrollo de su actividad, llevar a cabo estudios que permitan implementar mejoras en los productos y servicios (estudio de rentabilidades, tasas de impago, duración de contratos, mejoras en los modelos de riesgos) con datos que permitan conocer la actividad, sin que se necesite tu identificación. Por lo tanto, este tratamiento es necesario para preservar tu privacidad. Para ello, serán suprimidos los datos identificativos y de contacto, así como los que puedan conducir a identificarte (empresa, domicilio completo). Para reducir el efecto de este tratamiento, hemos tomado las siguientes medidas: (i) no se tratan datos que permitan tu identificación (lo que se conoce como seudonimizar), que solo podrán recuperarse a petición de una Administración y con intervención del delegado de protección de datos; (ii) una vez seudonimizados, no se van a tomar decisiones que puedan afectarte de forma individual.
DESTINATARIOS: no se comunican a otras personas ni entidades.
PLAZO DE CONSERVACIÓN: hasta plazos de prescripción de acciones legales.
3.10. Acciones comerciales del Banco
FINALIDAD: enviarte comunicaciones comerciales referidas a los productos del Banco ligados a tu condición de cliente de la Tarjeta EROSKI club Mastercard, por cualquier vía. Estas comunicaciones comprenderán, información referida a sorteos y concursos, estatus de tu operación, préstamos, información sobre propuestas de cambio de forma de pago, de extracciones de efectivo en Caja EROSKI, en cajeros automáticos o a través de transferencia a su cuenta bancaria, aumentos de límite y seguros de protección de pagos del bien adquirido o del producto contratado. El Banco no remitirá, en ningún caso, comunicaciones referidas a otras tarjetas emitidas por él o por terceros.,
LEGITIMACIÓN: interés legítimo de Open Bank en mejorar su actividad comercial ofertando sus productos, siempre que sean similares a los que ya tienes y por tu condición de cliente de la Tarjeta EROSKI, y solo mientras perviva la relación contractual. Solo se producirá con todos los datos de tu operación proporcionados por ti. Puedes oponerte al mismo en cada comunicación recibida, solicitándolo a nuestro domicilio o en https://sces.es/rbt3rb.
PLAZO DE CONSERVACIÓN: mientras dure el contrato. No obstante lo anterior, en el momento en el que quedase extinguida la relación entre EROSKI y el Banco, éste último solo utilizará los datos de los clientes para gestionar y liquidar las relaciones existentes entre los titulares de los productos y para el cumplimiento de las obligaciones legalmente establecidas.
3.11. Relación entre
Open Bank y EROSKI S.COOP
FINALIDAD: Club de fidelización EROSKI club Mastercard.
LEGITIMACIÓN: consentimiento del interesado.
DESTINATARIOS: el Banco, en la medida en que nos hayas dado tu autorización, cederá periódicamente a EROSKI., los datos relativos a operaciones y compras realizadas en el resto de establecimientos no adheridos que admitan la tarjeta EROSKI club Mastercard como medio de pago, con la finalidad de gestionar, mantener y controlar el club de fidelidad, adscrito a la tarjeta, con estudios, elaboración de perfiles, segmentaciones sobre sus datos o cruces con otros ficheros responsabilidad de EROSKI, para ofrecerte promociones de productos o servicios del sector en el que EROSKI desarrolla su actividad, por medios de comunicación electrónica o no.
PLAZO DE CONSERVACIÓN: durante la vigencia del contrato.
Además, ten en cuenta que pueden darse requerimientos legales que impliquen un tratamiento de datos personales. Por eso, es posible que Open Bank deba atender solicitudes de información de órganos judiciales, administrativos o reguladores. También es posible que tus datos deban tratarse para cumplir con exigencias normativas (por ejemplo, Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito).
4. Datos recabados en EROSKI, finalidades y legitimación
4.1. Tipos de datos y su origen: • Datos recabados directamente de ti: datos de carácter personal facilitados en la solicitud de la tarjeta (datos identificativos, de características personales y profesion
ales, y el número de cuenta bancaria), los derivados de procesos informáticos (cookies, hábitos de navegación o uso de medios digitales vinculados con la tarjeta) y del uso de la misma (compras y operaciones en establecimientos EROSKI y adheridos a la tarjeta; número de pagos, gasto medio mensual, establecimiento, importe, fecha y hora en los establecimientos EROSKI).
Datos recabados a través del Banco: los datos de compras externas derivados del uso de la tarjeta; número de pagos, gasto medio mensual, establecimiento, importe, fecha y hora.
Datos inferidos: a partir de datos lícitamente obtenidos (entre otros, los de referenciación geográfica).
4.2. Finalidad y licitud del tratamiento Estos datos serán tratados con las siguientes finalidades y conforme a las siguientes legitimidades:
4.2.1. Gestión, mantenimiento y control del Club de fidelización adscrito a la tarjeta EROSKI club Mastercard
FINALIDAD: EROSKI, almacenará en un fichero los datos de carácter personal facilitados en la solicitud de la tarjeta (datos identificativos, de características personales y profesionales y el número de cuenta bancaria), así como los derivados de procesos informáticos y del uso de la tarjeta (los datos obtenidos de las compras y operaciones realizadas en establecimientos EROSKI adheridos) con la finalidad de gestionar, mantener y controlar la ejecución del contrato, en cuanto al club de fidelidad asociado a la tarjeta, con estudios, elaboración de perfiles, segmentaciones sobre sus datos o cruces con otros ficheros responsabilidad de EROSKI, para ofrecerte promociones ligadas a la condición de cliente, por medios de comunicación electrónica o no, referentes a productos o servicios del sector donde EROSKI desarrolla su actividad (fidelización, seguros, prestamos, alimentación, hogar, textil, ópticas, inmobiliaria, telecomunicaciones, carburantes, consumo, deporte, ocio, tiempo libre, turismo, estética, perfumería y medios de pago). Este tratamiento es necesario para desarrollar y ejecutar este contrato, y por eso, debes facilitar los datos que se requieren. En caso contrario, no se le podrán aplicar las ventajas de la «Tarjeta EROSKI club Mastercard». No obstante lo anterior, el cliente puede oponerse a que EROSKI trate tus datos con fines promocionales y le remita este tipo de envíos.
LEGITIMACIÓN: ejecución del contrato.
DESTINATARIOS: EROSKI, para su programa de fidelidad, denominado EROSKI club, que puede acordar tratamientos con colaboradores que también desarrollan su actividad en los sectores enumerados en el primer párrafo de este punto. En ocasiones, podría ser necesario comunicar a esos colaboradores el número de socio de EROSKI club o EROSKI club Oro, asociado a la tarjeta EROSKI club Mastercard, para que verifiquen que pueden aplicar la promoción acordada al Socio; En caso contrario, esos colaboradores no siempre podrían aplicar las ventajas a los socios de EROSKI club y EROSKI club Oro.
Plazo de conservación: EROSKI tratará tus datos mientras tu tarjeta esté en vigor o el titular siga de alta en el programa de fidelidad propio, EROSKI club o EROSKI club Oro, al que se asociará, en general, a todo titular de tarjeta EROSKI club Mastercard.
4.2.2. Prevención del fraude.
LEGITIMACIÓN: interés legítimo de tratar de impedir posibles consecuencias económicas negativas que pudieran ocasionarse tanto para EROSKI como para terceros.
DESTINATARIOS: los datos podrán ser notificados a Juzgados y Tribunales, así como a las Fuerzas y Cuerpos de Seguridad, en cumplimiento de la obligación legal de notificar la comisión de sospechas de conductas delictivas.
PLAZO DE CONSERVACIÓN: los datos serán tratados mientras ambas estén activas en la relación comercial/negocial, así como durante el plazo de prescripción de obligaciones legales, que pudieran nacer de posibles responsabilidades vinculadas al tratamiento de las mismas.
5. Otros destinatarios y transferencias internacionales de datos
Contamos con la colaboración de proveedores que pueden acceder a tus datos y que los tratarán en nuestro nombre y por nuestra cuenta. Seguimos un proceso riguroso para seleccionar los proveedores y verificar que cumplen con la normativa de protección de datos.
Además, firmamos un contrato en el que estos proveedores se obligan a aplicar medidas técnicas y organizativas apropiadas, tratar los datos personales atendiendo solo a las instrucciones documentadas del Banco; y suprimir o devolver los datos a Banco. Contrataremos los servicios de entidades que desempeñan su actividad en sectores como los siguientes: servicios tecnológicos, seguridad física, mensajería instantánea, entidades de gestión de impagados y centro de llamadas. Entre los encargados del tratamiento está Salesforce Inc, ubicada en Estados Unidos, país que no pertenece al Espacio Económico Europeo y que ha aportado garantías adecuadas al Banco, mediante la firma de «cláusulas contractuales tipo». Si deseas más información sobre estas cláusulas, por favor, indícanoslo.
Igualmente, los datos podrán tratarlos proveedores ubicados en Reino Unido, país considerado con nivel adecuado de protección por la Decisión de Ejecución (UE) 2021/1772 de la Comisión de 28 de junio de 2021. Para tener información actualizada sobre las transferencias de datos realizadas, consulta www.santanderconsumer.com, en el apartado «política de privacidad».
6. Tus derechos Te detallamos los derechos que te reconoce la normativa.
Puedes ejercerlos dirigiéndote a: – El Banco, al delegado de protección de datos e en el formulario de solicitud: https://sces.es/rbt3rb, o por correo postal a Ciudad Grupo Santander, Av. de Cantabria, s/n, 28660 Boadilla del Monte (Madrid). En ambos casos debes concretar el derecho ejercitado y acompañar una copia de tu DNI o NIE, para localizar tus datos en los sistemas y validar tu identidad. No será necesario que aportes copia de tu DNI o NIE si solicitas la baja de comunicaciones comerciales. – A EROSKI a través del Servicio de Atención al Cliente (944 943 444), del sitio web para aclarar cualesquiera dudas acerca del Programa https://www.eroski.es/contacto/ y asimismo, podrá dirigirse por escrito al SERVICIO DE ATENCIÓN AL CLIENTE de EROSKI S. COOP. Bº San Agustin s/n48230 Elorrio (Bizkaia Tienes derecho a: Acceder: puedes obtener confirmación sobre si estamos tratando datos personales que te conciernen, o no y, en tal caso, conocer cuáles se tratan y con qué fines. Rectificar: en caso de datos inexactos. Suprimir: entre otros motivos, si ya no son necesarios para los fines que se recogieron. Limitar el tratamiento de tus datos: en cuyo caso únicamente los conservaremos para el ejercicio o la defensa de reclamaciones. Oponerte al tratamiento: dejaremos de tratar los datos, salvo por motivos legítimos imperiosos o el ejercicio o la defensa de posibles reclamaciones. Impugnar la decisión adoptada de forma únicamente automatizada, con la finalidad de que esta sea revisada por una persona, especialista en la materia. Portar tus datos para remitirlos directamente a otra entidad, designada por ti, en un formato estructurado, de uso común y lectura mecánica. Retirar el consentimiento otorgado, sin que ello afecte a la licitud del tratamiento.
Igualmente, te informamos que el Banco cuenta con un delegado de protección de datos, al que puedes acudir para formular las consultas, reclamaciones o incidencias que estimes (por ejemplo, si consideras que no debes estar en un sistema de información crediticia, si no comprendes alguna parte de esta política, si tienes dudas sobre nuestros intereses legítimos o si ya has reclamado y no has obtenido respuesta satisfactoria, entre otras que consideres). Para ello, puedes dirigirte al domicilio social o a la dirección de correo electrónico ya señalados. También puedes reclamar ante la Agencia Española de Protección de Datos (como autoridad de control para la protección de datos), especialmente cuando no hayas obtenido satisfacción en el ejercicio de tus derechos, mediante escrito dirigido a Agencia Española de Protección de Datos, c/ Jorge Juan, 6, 28001 Madrid o a través de la web https://www.aepd.es.