ESP

Protección de datos

Clientes

1. RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES.

El Responsable del tratamiento de los datos personales del Cliente, y de las demás personas cuyos datos personales se puedan tratar (terceros vinculados al cliente), es «EDM GESTIÓN SAU SGIIC» («la Entidad»), con domicilio social en Paseo de la Castellana 78, 28046 de Madrid (T: 91 411 03 98) y oficinas en Barcelona, Avenida Diagonal, 399, 3º-1ª, 08008 de Barcelona (T: 93 416 01 43).

Contacto del Delegado de Protección de Datos:  dpo@edm.es.

2. DATOS PERSONALES QUE SON TRATADOS.

Los datos que tratará la Entidad incluirán, entre otras, las siguientes categorías: datos de carácter identificativo, de contacto, profesionales, económicos y financieros, e información de carácter empresarial.

Categoría Datos Personales
Datos identificativos Nombre y apellidos, tipo de documento fiscal, número de documento, país de emisión del documento, fecha de caducidad del documento, fecha de nacimiento, lugar de nacimiento, nacionalidad, DNI, mayoría de edad, firma, IP.
Datos de contacto Teléfono, domicilio de contacto, dirección completa, ciudad, país, código postal, dirección de correo electrónico, residencia fiscal.
Datos profesionales Cargos de responsabilidad pública, situación profesional, información acreditativa de actividad empresarial/ profesional.
Datos económicos y finanzas Situación patrimonial actual, ingresos anuales actuales (bruto).
Perfil inversor Contenido y resultado de los test de conveniencia y test de idoneidad.
Información empresarial Información sobre los titulares reales/ personas de control en la entidad, información sobre la estructura del órgano de administración y apoderados (solo para cliente persona jurídica). Información sobre familiares y menores de edad.

A partir de lo anterior, y en especial con la finalidad de poder comunicarse con el Cliente, es necesario que todos los datos que facilite a la Entidad sean correctos, completos, exactos y estén debidamente actualizados. Así, si el Cliente cambiase alguno de dichos datos y, de manera especial, la dirección postal o de correo electrónico o sus teléfonos de contacto (fijo o móvil), deberá informar de dicho cambio a la mayor brevedad posible.

En caso contrario, seguirán siendo válidas aquellas comunicaciones que la Entidad le haya enviado a las señas (dirección postal o de correo electrónico, o a los teléfonos) que figurasen en ese momento en sus ficheros.

3. TRATAMIENTO DE DATOS PERSONALES DE TERCEROS

La Entidad puede llegar a tratar datos personales de otros terceros, además del propio Cliente, como: representantes legales, titulares reales del Cliente, titulares del control de la sociedad de forma indirecta, administradores, apoderados, accionistas, familiares (pudiendo ser alguno de ellos menores de edad) y personas autorizadas con acceso consultivo al Área de Clientes de la web de EDM.

A este respecto, el Cliente declara que (i) los Datos Personales e información de tales terceros que facilite a la Entidad son veraces y se ajustan a la realidad, así como que (ii) les ha informado personal y directamente sobre su comunicación, (iii) habiendo obtenido previamente, y con este fin, su autorización. En el caso de tratamiento de datos de menores, la Entidad únicamente tratará la información relativa al menor con la debida autorización expresa del representante legal.

A estos efectos, y en el caso de que, como consecuencia de la relación contractual, se prevea el tratamiento de estos datos personales por la Entidad, EDM pone a disposición de sus Clientes y sus terceros vinculados la información de protección de datos en los siguientes enlaces de su página web, para su consulta y descarga:

Sin perjuicio de lo anterior, EDM facilitará al Cliente la cláusula informativa relativa a los terceros vinculados a él como Anexo al presente documento.

4. PROCEDENCIA DE LOS DATOS DEL CLIENTE OBJETO DEL TRATAMIENTO

Por regla general, EDM tratará los datos personales que le facilite el propio Cliente, sin perjuicio de que por razones de “Prevención de Blanqueo de Capitales y Financiación del Terrorismo” pueda recabar información sobre él que figure en fuentes terceras, como el Registro Mercantil o ficheros de información especializada como Dow Jones.

Del mismo modo, la relación contractual con EDM también puede derivarse de la actividad comercial de un tercero colaborador (como puede ser una entidad financiera con la que el Cliente mantenga relación de negocios). En este último caso, será dicho tercero colaborador quien, bajo su solicitud, nos habrá facilitado sus datos personales.

5. FINALIDADES PERSEGUIDAS CON EL TRATAMIENTO DE DATOS PERSONALES, Y SU CORRESPONDIENTE BASE LEGITIMADORA.

La Entidad tratará los datos personales del Cliente con las siguientes finalidades y conforme a las bases legitimadoras descritas a continuación:

5.1. Alta como cliente de EDM. Desarrollo, gestión y mantenimiento de la relación contractual

  • La Entidad tratará los datos del Cliente (tanto los que facilite él mismo directamente, como los que se deriven de la relación contractual que se mantenga con él) para poder formalizar debidamente sus relaciones contractuales, y para su posterior desarrollo, ejecución, cumplimiento y mantenimiento. De este modo, la Entidad tratará los datos del Cliente para poderle prestar los servicios financieros previstos en cada contrato, así como para mantener con él las sucesivas comunicaciones que deban mantener.
  • A lo largo del proceso de alta como Cliente, y firma y formalización de sus contratos con EDM, la Entidad podría requerir la grabación de su voz para verificar previamente su identidad. Del mismo modo, en el trascurso de la relación negocial y dando también cumplimiento a las exigencias regulatorias que nos resultan de aplicación, podría haber ocasiones en las que también sea necesaria la grabación de la voz del Cliente al deberse grabar sus conversaciones telefónicas o comunicaciones electrónicas con EDM como medio de prueba de las operaciones y servicios de que se trate.  
  • Además, se procederá al almacenamiento y digitalización del documento de identidad del Cliente, así como, en su caso, a su visualización (por cualesquiera medios, formatos y soportes) con la exclusiva finalidad de verificar su identidad cuando sea necesario para llevar a cabo y ejecutar los contratos u operaciones que hubiera formalizado u ordene a la Entidad.
  • En el caso de que el Cliente sea una persona jurídica (una sociedad mercantil, por ejemplo), EDM tratará los datos personales de la persona física que la represente para comprobar sus facultades de representación, bastanteando sus poderes, y determinar de este modo si son idóneos para poder representar y obligar contractualmente a la persona jurídica.   

En cualquier caso, el Cliente será informado de todo lo anterior antes de que vaya a formalizar cada contrato, de tal manera que reciba información legal sobre las condiciones bajo las que se llevará a cabo dicho tratamiento de datos, antes de contratar cada producto o servicio.

Los datos que se soliciten como “obligatorios” se deberá a que son, precisamente, necesarios para el mantenimiento de la relación contractual y/o de negocio con la Entidad o para el cumplimiento de obligaciones legales. Por ello, el hecho de no facilitarlos supondría la imposibilidad de atender su solicitud y prestarle el servicio o producto solicitado.

Clasificación del cliente- Test de Idoneidad y Test de Conveniencia

Existe una serie de tratamiento adicionales que EDM deberá llevar a cabo, dando así cumplimiento a lo dispuesto en la normativa MiFID II (integrada por la Directiva 2014/65/EU relativa a los mercados de instrumentos financieros y el Reglamento Delegado (UE) 2017/565 de la Comisión de 25 de abril de 2016).

Así, en primer lugar, EDM deberá clasificar al Cliente en una de las siguientes tres categorías: minorista, contraparte elegible y profesional, atendiendo a su nivel de conocimientos y experiencia en el mercado financiero, y su capacidad de comprender y asumir los riesgos que toda inversión en instrumentos financieros supone.

Además, y en función de los servicios que el Cliente haya solicitado o vaya a contratar con EDM, y para recomendarle los productos que mejor se ajusten a su situación personal, con carácter previo a formalizar la contratación de productos o servicios financieros que resulten especialmente complejos, la Entidad deberá analizar tanto sus conocimientos y experiencia inversora previa como sus objetivos de inversión y situación financiera.  De este modo, EDM realizará unos “perfilados” que se conocen como «Test de idoneidad» y «Test de conveniencia»:

  • Por un lado, cuando la Entidad vaya a prestar el servicio de asesoramiento no independiente en materia de inversión o el servicio de gestión de carteras, para poder recomendarle al Cliente los productos que mejor se ajusten a su situación personal, la Entidad deberá analizar tanto sus conocimientos y experiencia inversora previa como sus objetivos de inversión y situación financiera, realzando así un “perfilado de conocimiento y experiencia” que se conoce como «Test de idoneidad», que se realizará con arreglo a la información que haya facilitado el propio Cliente. De este modo, en función del resultado que se obtenga de dicho Test se le asignará al Cliente un perfil inversor específico. Los detalles y efectos del resultado de dicho Test de Idoneidad se detallan en la Cláusula 3.2. del Contrato Marco.
  • Por otro lado, cuando la Entidad preste al Cliente el servicio de comercialización de IIC deberá previamente verificar si tiene conocimientos y experiencia inversora que le permiten entender el instrumento financiero que desea contratar, y sus riesgos, analizando así si es conveniente o no para él. La Entidad llevará a cabo lo anterior a través del denominado «Test de Conveniencia», cuyos efectos regulatorios y excepciones se detallan en la Cláusula 3.1. del Contrato Marco.
  • De estos test de conveniencia, además, la Entidad debe mantener un registro de las evaluaciones de conveniencia efectuadas. Así se lo impone en el artículo 56 del Reglamento delegado (UE) 2017/565 de la Comisión de 25 de abril de 2016.

Tanto el Test de Conveniencia como el Test Idoneidad se llevan a cabo de manera automatizada. Para ello, la Entidad sigue un sistema que clasifica y evalúa automáticamente a los clientes a partir de la información - personal y económica- previamente facilitada por ellos: en el primero de los dos y a grandes rasgos, su formación académica y perfil profesional, así como su experiencia previa en productos y servicios de inversión, o la frecuencia y volumen de las operaciones que haya realizado con anterioridad. Y en el Test de Idoneidad, además, información sobre su nivel de ingresos y ahorro, los compromisos financieros que tenga asumidos, los objetivos que persigue con su inversión, su tolerancia al riesgo y la rentabilidad perseguida.

A este respecto, la Entidad somete dicho sistema a revisiones periódicas, a fin de evitar posibles desajustes, errores o imprecisiones en la evaluación y clasificación de los clientes. En cualquier caso, y sin perjuicio de lo anterior, si el Cliente no está conforme con el resultado de su clasificación podrá impugnarla, aportando la información que considere oportuna para ello, e incluso solicitar la intervención personal de su gestor en la Entidad, por tener derecho a no ser objeto de decisiones íntegramente automatizadas.

Los datos que se solicitan como “obligatorios” son necesarios para el mantenimiento de dicha relación contractual. De este modo, el hecho de no facilitarlos supondría la imposibilidad de atender la solicitud del Cliente.

Todo lo anterior se llevará a cabo al amparo de la base legitimadora prevista en el artículo 6.1.b) del Reglamento General europeo 2016/679, de Protección de Datos: ser necesario para la ejecución de un contrato en el que el interesado (en este caso, el Cliente) es parte, o para la aplicación a petición de éste de medidas precontractuales.

5.2. Obligaciones legales

La Entidad también tratará los datos personales del Cliente para cumplir las diferentes obligaciones legales que en cada momento le resulten exigibles, incluyendo, entre otras, las previstas en las siguientes normas:

  • La Ley 58/2003, de 17 de diciembre, General Tributaria,
  • el Real Decreto-ley 21/2017, de 29 de diciembre, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia del mercado de valores;
  • y, especialmente, la Ley 10/2010 de Prevención de Blanqueo de Capitales y Financiación del Terrorismo. En concreto, y a este al respecto:
    • En función del riesgo asignado al Cliente en materia de prevención del blanqueo de capitales y de la financiación del terrorismo, para dar cumplimiento a lo establecido en dicha Ley y en aplicación de las medidas de diligencia debida correspondiente la Entidad deberá obtener y conservar determinada información de sus clientes al fin de identificar y comprobar debidamente (i) su identidad, (ii) su actividad profesional o empresarial, (iii) el titular real, (iv) el origen de sus fondos y (v) el origen de su patrimonio.
    • Asimismo, en materia de prevención del blanqueo de capitales estarán también incluidos los siguientes tratamientos de datos: (i) obtención de toda la información que sea pertinente para tales fines, (ii) obtención de información de terceras fuentes como son ficheros de información especializada o fuentes públicas disponibles en internet, sobre sus clientes titulares o intervinientes en las cuentas, representantes legales y titulares reales, (iii) obtención de datos provenientes de la Entidad con la que se hayan acordado funciones de diligencia debida, y (iv) comunicar determinadas operaciones y cualquier otros datos personales, al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

Del mismo modo, si el Cliente formulase ante el Fondo General de Garantía de Inversiones alguna reclamación, y dicho Fondo requiriese a EDM para contrastar la información que le hubiera sido facilitada, tal y como disponen el Real Decreto 628/2010, de 14 de mayo, y demás normativa concordante, EDM deberá ceder los datos personales obtenidos del Cliente para contestar a la reclamación.

Por otro lado, dando cumplimiento a las obligaciones regulatorias que debe cumplir la Entidad, a lo largo del proceso de alta como Cliente y firma y formalización de este contrato, se podría requerir la grabación de su voz e imagen para verificar su identidad. Del mismo modo, en el trascurso de la relación negocial y dando cumplimiento a las exigencias regulatorias que nos resultan de aplicación, podría haber ocasiones en las que también sea necesaria la grabación de la voz del Cliente. En estos casos se conservará la grabación como medio de prueba del servicio prestado. En todo caso, cuando así vaya a suceder, la Entidad informará al Cliente previa y expresamente de todo ello y de las condiciones legales en las que se llevará a cabo dicho tratamiento de datos.

Estas obligaciones de índole legal existirán y serán cumplidas por la Entidad incluso una vez terminada la relación contractual, mientras esté legalmente obligada a ello.

Tales tratamientos se llevarán a cabo al amparo de la base legitimadora prevista en el artículo 6.1.c) del Reglamento General europeo 2016/679, de Protección de Datos: ser necesarios para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (la Entidad).

5.3. Intereses legítimos de la Entidad

La Entidad también llevará a cabo otros tratamientos adicionales al amparo del interés legítimo previsto en el artículo 6.1.f) del referido Reglamento de Protección de Datos, por cuanto considera que no perjudican la privacidad de los Clientes. Dicho precepto legitima aquellos tratamientos que son «necesarios para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño».

Sobre tales tratamientos, el Cliente tiene derecho a (i) obtener más información sobre en qué consiste ese «interés legítimo», (ii) a saber cómo ha llegado la Entidad a la conclusión de que no perjudican su privacidad, (iii) o directamente a oponerse a ellos. Podrá hacerlo tal y como se indica en el siguiente apartado 9, indicando el tratamiento concreto al que se opone y los motivos en los que funda su petición.

Pasamos a detallar y explicar estos tratamientos. De todos ellos y de acuerdo al Reglamento europeo al que nos hemos referido, la Entidad ha hecho lo que se conoce como «prueba de sopesamiento». Se trata de un análisis interno para confirmar que el interés legítimo de EDM no perjudica los intereses de sus Clientes en la protección de sus datos personales. En resumen, que su privacidad no resulta perjudicada. Si el Cliente quiere más información sobre dicha prueba, puede solicitarlo a través de la dirección de correo dirección: dpo@edm.es.

  • Cuando el cliente sea una persona jurídica, EDM tratará los datos de carácter identificativo y de contacto de sus personas de contacto para satisfacer el interés legítimo que tiene de mantener el contacto con aquella durante la vigencia del contrato. Así lo permite el artículo 19.1.b) de la LOPD. 
  • Tratamiento intra grupo, para fines de administración interna. Las demás empresas del Grupo EDM y del Grupo Mutua Madrileña (al cual pertenece EDM) podrán tener acceso a los datos del Cliente para, tal y como permite el Reglamento General Europeo en materia de Protección de Datos, llevar a cabo labores internas de carácter administrativo, contable, de control y de gestión y reporte. Esta comunicación de datos intra grupo se encuentra legitimada también para garantizar el cumplimiento de nuestras obligaciones en materia de prevención del blanqueo de capitales y financiación del terrorismo.
  • Asimismo, en función del riesgo asignado al Cliente, la Entidad realizará un seguimiento reforzado de la presente relación de negocio, incrementando el número y frecuencia de los controles aplicados. Para ello, se podrán consultar fuentes y bases de datos internas y externas (Dow Jones e Informa), así como los registros públicos correspondientes, como los Registros Mercantiles de cada sociedad.
  • Anonimización. EDM también podrá realizar procedimientos de anonimización de los datos del Cliente para que no pueda ser identificado, con el objetivo de utilizar esa información, cuando ya sea anónima, con fines estadísticos internos.

EDM pretende mejorar continuamente para adaptarse a los intereses y preferencias de los Clientes, mejorar la manera en que se prestan los servicios y para evaluar si éstos están satisfechos con la atención que reciben. Para ello, EDM tratará datos asociados a la relación e interacciones que mantenga con el Cliente, para elaborar documentos internos que, en todo caso, contendrán información general o agregada y no personalizada sobre dicho Cliente. Es decir, previamente a elaborar esta documentación interna, desde la Entidad se realizarán procedimientos de anonimización de los datos de los Clientes, que provocarán que ya no se les pueda identificar con la información que consta en esos documentos, dado que los datos que contengan pasarán a ser anónimos.

Estos documentos a los que se hace referencia son estudios de mercado que permiten a EDM conocer y estimar las preferencias comerciales de los clientes. También hacen referencia a estadísticas internas que permiten a EDM conocer qué productos son más utilizados por los Clientes, con qué frecuencia se contratan y/o utilizan y cuál es su nivel de satisfacción.

EDM llevará a cabo lo anterior con base en el interés legítimo de la Entidad de mejorar su actividad y resultados económicos, crecer dentro del sector financiero y a fin de prestar un servicio que los Clientes perciban de manera positiva. En términos prácticos, permite conocer el grado de satisfacción de los Clientes con los servicios de inversión de EDM.

De acuerdo con la normativa de protección de datos, EDM ha elaborado la correspondiente «prueba de sopesamiento» y, teniendo en cuenta la naturaleza del tratamiento, ha llevado a cabo también una evaluación de impacto de protección de datos a través de la cual se han analizado los riesgos derivados de esta anonimización de los datos de los Clientes y las medidas idóneas para mitigar tales riesgos. Como resultado de lo anterior, EDM entiende que este tratamiento no supone una afectación a la privacidad del Cliente, en la medida en que se tratarán los datos mínimos e indispensables para cumplir con el objetivo de mejorar nuestra actividad económica y prestar un servicio mejor valorado. Además, la elaboración de los documentos que arriba se mencionan se realizará con los datos anónimos y agregados, que hacen que no resulte posible que se les vuelva a identificar.

  • Detección de posibles intentos de fraude. La Entidad podrá tratar los datos personales del Cliente con la finalidad de prevenir y detectar posibles situaciones de fraude (tales como accesos indebidos a la información personal de los clientes, posibles suplantaciones de identidad o cualquier situación que pueda ser interpretada como un uso fraudulento o no deseado), con el objetivo de proteger sus intereses.

En el supuesto de detectarse algún intento de fraude que afecte a los datos personales del Cliente, y salvo que concurra una circunstancia de interés público u otra causa legal que lo impida, se le informará de ello, se revisará la información disponible y, en su caso, se le podrá solicitar colaboración e información adicional. Paralelamente, de manera cautelar, por seguridad y hasta que se efectúen las comprobaciones oportunas, la Entidad podrá paraliza cualquier decisión sobre sus datos personales. Si en dichos intentos se vieran implicadas otras entidades financieras, la Entidad podría verse obligada a mantenerlas debidamente informadas.

Todo lo anterior se llevará a cabo por el interés legítimo de la Entidad y del Cliente, al deber cumplir con un adecuado control del riesgo y evitar posibles intentos de fraude, y proteger así la estabilidad e integridad del sistema financiero.

En este supuesto, la Entidad también ha llevado a cabo una «prueba de sopesamiento» para asegurarse de que sus intereses en materia de prevención de fraude no perjudicaban los derechos de sus Clientes en materia de Protección de Datos. Así, su conclusión es que prevalece su interés, por ser una medida necesaria para proteger la integridad y funcionamiento de sus servicios, y evitar y prevenir la realización de conductas fraudulentas en contra de los intereses, tanto suyos como de sus clientes. Al fin y al cabo, este tratamiento tiene como objetivo identificar a aquellas personas que puedan haber actuado de manera fraudulenta, para evitar futuras contrataciones irregulares por su parte, o adoptar las medidas necesarias para proteger el interés del responsable frente al fraude.

Más concretamente, la Entidad entiende que este interés legítimo no afecta a la privacidad de sus Clientes, basándose para ello en los siguientes aspectos. (i) la protección de los intereses de la Entidad frente a conductas fraudulentas es una actividad legítima reconocida en el mercado y expresamente regulada por la Agencia de Protección de Datos, (ii) los datos personales tratados serán los estrictamente necesarios en relación con la operación (o intento de operación) fraudulenta y (iii) la propia normativa de protección de datos establece la prevención del fraude como un supuesto de interés legítimo, al amparo del considerando 47 del Reglamento General de Protección de Datos.

Al referir el tratamiento de los «datos estrictamente necesarios», la Entidad se refiere a aquellos datos personales indispensables para detectar una operación fraudulenta, esto es: datos identificativos, datos económicos financieros y datos relativos a la operación de que se trate.

En todo caso, el Cliente tiene derecho a obtener más información sobre los intereses legítimos de EDM, así como solicitar su derecho de oposición, indicando el tratamiento concreto al que se opone y los motivos relacionados con su situación particular que justifican dicha oposición.

5.4. Acciones comerciales por parte de la Entidad

La Entidad podrá, si el Cliente no se opone a este tratamiento a través de los canales habilitados al efecto, tratar sus datos de carácter personal para remitirle información, tanto por medios electrónicos como ordinarios, sobre otros servicios o productos ofrecidos por ella. En este sentido, y mientras siga siendo Cliente, la Entidad podrá enviarle comunicaciones comerciales sobre sus propios productos y servicios, similares a otros que hubiera contratado, así como información relativa a eventos y actividades informativas y promocionales que organice y lleve a cabo.

Para la realización y envío de las mencionadas comunicaciones, EDM no generará ninguna clase de perfil con base en patrones comunes de comportamiento, ni a su historial de contratación, preferencias y gustos inversores.

Al igual que en los casos anteriores, hemos llevado a cabo una «prueba de sopesamiento» y hemos confirmado que el interés legítimo de EDM no perjudica los intereses de sus Clientes.  De hecho, así lo contemplan también, de manera expresa el Considerando 47 del Reglamento General europeo 2016/679 y el artículo 21 de la Ley de Servicios de la Sociedad de la Información Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, antes citados.

Como conclusión y resumen de dicha prueba de sopesamiento, entendemos que prevalece el interés de la Entidad en realizar este tratamiento, principalmente para poder mantener una relación estable y continuada con el Cliente, mediante el ofrecimiento e información de nuevos productos de inversión.

En todo caso, si quisiera conocer todos los detalles del análisis realizado al respecto puede solicitarlo a través de la dirección:   dpo@edm.es.

La Entidad llevará a cabo lo anterior mientras siga siendo Cliente y salvo que le indique lo contrario, oponiéndose tal y cómo se detalla en el siguiente apartado 9.

6. PLAZO DE CONSERVACIÓN DE LOS DATOS

La Entidad tratará los datos del Cliente mientras se mantenga en vigor la relación contractual. Así, la Entidad tratará dichos datos personales mientras sean necesarios para la finalidad para la que el Cliente se los facilitó.

Asimismo, la Entidad también conservará los datos del Cliente, una vez finalizada su relación contractual, para cumplir cuantas obligaciones legales le sean exigibles y durante los plazos que determine en cada caso la normativa aplicable. En principio, y principalmente, durante el plazo de 10 años tal y como impone la normativa de prevención de blanqueo de capitales y financiación del terrorismo.

Tras ello, y por un lado, la Entidad mantendrá los datos personales del Cliente debidamente bloqueados, de conformidad con lo previsto legalmente, para hacer frente a posibles reclamaciones y para tenerlos a disposición de las autoridades competentes que los puedan requerir, durante los plazos de prescripción legalmente establecidos.

7. DESTINATARIOS DE LOS DATOS

Los datos personales del cliente podrán ser comunicados a terceros cuando sea necesario para el cumplimiento, la ejecución, el desarrollo y el mantenimiento de este contrato, o para la prestación de cualquier servicio (de inversión y auxiliares) que el Cliente pueda solicitar a la Entidad. Asimismo, también podrán ser comunicados a los siguientes terceros:

  • Cuando sea necesario para ejecutar cualquier orden del Cliente que implique la suscripción de participaciones en fondos gestionados por otras Gestoras de fondos, EDM les cederá los datos personales del cliente que resulten necesarios, y únicamente a los efectos de ejecutar su petición.
  • Si el cliente ha otorgado su autorización, con el fin de agilizar la tramitación y formalización de su inversión con fondos gestionados por otras Gestoras de fondos, EDM les cederá la documentación del cliente que conste en sus bases de datos, en materia de Prevención de Blanqueo de Capitales y Financiación del Terrorismo, FATCA y CRS.
  • A aquellos Organismos Públicos, Autoridades e Instituciones a los que la Entidad esté legalmente obligado a facilitarlos como, por ejemplo, a la Comisión Nacional del Mercado de Valores, a la Agencia Tributaria o a los Juzgados y Tribunales, o Fuerzas y Cuerpos de Seguridad del Estado que le requieran información del Cliente.
  • Entidades depositarias de los fondos contratados.
  • Del mismo modo, al Fondo General de Garantía de Inversiones, en el supuesto de que el Cliente formule ante el mismo alguna clase de reclamación, y dicho Fondo quiera contrastar con EDM la información que le haya sido facilitada.
  • A las demás empresas del Grupo, para otras cuestiones de carácter interno, de control, contable y administrativo.

Al margen de las anteriores comunicaciones de datos, la Entidad contará con la colaboración de terceros proveedores de servicios que pueden tener acceso a los datos personales del Cliente y que los tratarán en nombre y por cuenta de la Entidad.

A este respecto, la Entidad sigue unos criterios adecuados de selección de proveedores de servicios con el fin de dar cumplimiento a sus obligaciones en materia de protección de datos y se compromete a suscribir con ellos el correspondiente contrato de tratamiento de datos, mediante el que les impondrá, entre otras, las siguientes obligaciones: aplicar medidas técnicas y organizativas apropiadas; tratar los datos personales para las finalidades pactadas y atendiendo únicamente a las instrucciones documentadas de la Entidad; y suprimir o devolver los datos al banco una vez finalice la prestación de los servicios.

En concreto, la Entidad podrá contratar la prestación de servicios por parte de terceros proveedores que desempeñan su actividad, a título enunciativo, en los siguientes sectores: servicios de logística, asesoramiento jurídico, servicios privados de tasación, homologación de proveedores, empresas de servicios profesionales multidisciplinares, empresas relacionadas con el mantenimiento, empresas proveedoras de servicios tecnológicos, empresas proveedoras de servicios informáticos, empresas de seguridad física, prestadores de servicios de mensajería instantánea, empresas de gestión y mantenimiento de infraestructuras y empresas de servicios de centro de llamadas.

8. ANÁLISIS DE RIESGOS EN PROTECCIÓN DE DATOS

La Entidad ha llevado a cabo análisis de riesgos en materia de protección de datos de todos los tratamientos identificados en el presente documento. Se trata de una evaluación en la que, partiendo de la necesidad y la proporcionalidad del tratamiento a realizar con respecto a su finalidad, evalúa los riesgos para los derechos y libertades del Cliente, y contempla las medidas previstas para afrontarlos, gestionarlos y tratar de mitigarlos, garantizando así la protección de sus datos personales.

En las cuestiones analizadas se han tenido en cuenta los aspectos relativos a: volumen de datos objeto de cada tratamiento; participación de terceros en el flujo de datos; evaluación de aspectos personales de personas físicas; categorización/segmentación; realización de labores de gestión de solvencia; utilización como referencia ficheros externos; contratación de proveedores externos; cesión de datos; bases de legitimación del tratamiento y la posibilidad de ejercer los derechos en materia de protección de datos por los interesados, entre otros.

Tras los análisis realizados, la Entidad ha llevado a cabo las Evaluaciones de Impacto de Protección de Datos que se han determinado tras los análisis de riesgos previos realizados. Cualquier información adicional sobre ellos, puede solicitárnosla en la dirección electrónica: dpo@edm.es.

9. DERECHOS EN MATERIA DE PROTECCIÓN DE DATOS.

En cualquier momento el Cliente, así como los demás terceros cuyos datos personales trate EDM como entidad legalmente responsable, podrán ejercitar los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, o retirar el consentimiento que pueda haber prestado. Podrán hacerlo, de manera gratuita, solicitándolo -por escrito, con indicación de sus datos y facilitando una copia de su DNI- a «EDM GESTION, SAU SGIIC», en el domicilio social de Paseo de la Castellana 78, 28046 de Madrid, en las oficinas de Barcelona, Avenida Diagonal, 399, 3º-1ª, 08008, o mediante un escrito dirigido a dpo@edm.es.

También podrán reclamar ante EDM y/o ante la Agencia de Protección de Datos (www.aepd.es), especialmente cuando no hayan obtenido satisfacción en el ejercicio de sus derechos.

El Cliente también tendrá derecho a no ser objeto de una decisión adoptada de manera íntegramente automatizada que produzca efectos jurídicos en él, o que le afecte significativamente de modo similar. A este respecto, y cuando así vaya a suceder, (a) EDM le proporcionará información significativa sobre la lógica aplicada, así como la importancia y posibles consecuencias de dicho tratamiento, y (b) el Cliente tendrá derecho a solicitar la intervención personal de uno de los gestores de EDM, a expresar su punto de vista y a impugnar la decisión que se pueda haber adoptado de tal forma automatizada.

10. DELEGADO DE PROTECCIÓN DE DATOS DE EDM.

EDM ha designado una persona de su Organización, como «Delegada de Protección de Datos», para velar por la debida protección de los datos personales de nuestros Clientes, así como para garantizar que en EDM se cumplen todas las exigencias legales en materia de protección de datos de carácter personal.

Esta persona será la encargada de facilitar toda la información que se solicite en materia de protección de datos. Para contactar con él, puedes hacerse a través de la siguiente dirección:  dpo@edm.es.

ANEXO: TRATAMIENTO DE DATOS PERSONALES DE TERCEROS VINCULADOS AL CLIENTE

EDM GESTIÓN, S.A.U. S.G.I.I.C. (en adelante, «EDM»), como entidad legalmente responsable, le informa de que tratará sus datos personales por su condición de familiar, representante legal, titular real, titular de control de la sociedad de forma indirecta, persona autorizada con acceso consultivo al Área de Clientes de la web de EDM, administrador, apoderado y/o accionista de uno de nuestros Clientes , que nos ha facilitado sus datos personales en el marco de la contratación de un producto o servicio de EDM y a los efectos de hacerle llegar la presente cláusula informativa en materia de protección de datos.

En este sentido, EDM tratará sus datos personales como entidad legalmente responsable, con el fin de comprobar y verificar debidamente su identidad, en su condición de familiar, representante legal, titular real, titular de control de la sociedad de forma indirecta, persona autorizada con acceso consultivo al Área Clientes de la web de EDM, administrador, apoderado y/o accionista de nuestro Cliente. Se trata de una información que EDM está obligada a tratar para dar cumplimiento a lo dispuesto en la Ley 10/2010 de Prevención de Blanqueo de Capitales, en el marco de la ejecución del contrato suscrito con el Cliente.

Adicionalmente, con respecto a los terceros con acceso consultivo al Área de Clientes, EDM tratará sus datos con el fin de gestionar tales permisos de acceso a los efectos de poder consultar sus posiciones. Tales permisos se mantendrán hasta la retirada de la autorización por parte del Cliente.

Los datos personales de los terceros vinculados al Cliente no se comunicarán a ningún tercero, salvo cuando legalmente lo requieran las autoridades públicas, organismos oficiales o entidades de supervisión bancaria. Sus datos personales no se utilizarán para ningún otro fin.

Asimismo, ponemos en su conocimiento que la normativa vigente en materia de protección de datos de carácter personal le reconoce los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento, así como a no ser objeto de una decisión íntegramente automatizada, todo ello cuando legalmente corresponda, así como a interponer la correspondiente reclamación ante la Agencia Española de Protección de Datos si considera vulnerados sus derechos.

Para más información legal en materia de privacidad, puede solicitar la Información adicional sobre protección de datos al Delegado de Protección de Datos de EDM mediante el envío de un correo electrónico a  dpo@edm.es.