Protección de datos

Índice

1. CÓMO TRATAMOS SUS DATOS PERSONALES

Para gestionar sus relaciones con nosotros, VidaCaixa, así como otras entidades del Grupo CaixaBank, tendrá acceso y tratará determinados datos personales para cumplir diferentes finalidades, siempre de acuerdo con lo establecido por la normativa vigente, respetando sus derechos y con total transparencia. Para ello, en el presente documento, al que puede acceder en cualquier momento desde www.ruta67.com/politica-privacidad, puede consultar el detalle completo de cómo utilizaremos sus datos en las relaciones que establezcamos con usted. Igualmente, si usted lo desea, puede solicitar en papel esta información en cualquier oficina de CaixaBank.

Las principales normativas que regulan nuestra actividad y los tratamientos que hacemos con sus datos personales son:

> El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el RGPD).

> El Reglamento Delegado (UE) 2015/35 de la Comisión, de 10 de octubre de 2014, por el que se completa la Directiva 2009/138/CE, así como los reglamentos comunitarios de ejecución de solvencia II (en adelante, Reglamento de Solvencia II).

> El Reglamento (UE) 1286/2014, de 26 de noviembre de 2014, sobre los documentos de datos fundamentales relativos a los productos de inversión minorista vinculados y los productos de inversión basados en Seguros (en adelante, Reglamento KID).

> La Directiva (UE) 2016/97, de 20 de enero de 2016, sobre la distribución de seguros (en adelante, IDD).

> La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).

> La Ley 50/1980, de 8 de octubre, de Contrato de Seguro (en adelante, la LCS).

> La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras (en adelante, la LOSSEAR).

> Ley 5/2012, de 23 de febrero, sobre Entidades de Previsión Social Voluntaria (en adelante, la Ley de EPSV).

> El Real Decreto Legislativo 1/2002, de 29 de noviembre, por el que se aprueba el texto refundido de la Ley de Regulación de los Planes y Fondos de Pensiones (en adelante, la Ley de Fondos y Planes de Pensiones).

> El Real Decreto-ley 3/2020, de 4 de febrero, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de la contratación pública en determinados sectores; de seguros privados; de planes y fondos de pensiones; del ámbito tributario y de litigios fiscales (en adelante, la Transposición de IDD).

> El Real Decreto 1060/2015, de 20 de noviembre, de ordenación, supervisión y solvencia de entidades aseguradoras y reaseguradoras (en adelante, ROSSEAR).

> El Real Decreto 304/2004, de 20 de febrero, por el que se aprueba el Reglamento de planes y fondos de pensiones (en adelante, el Reglamento de Fondos y Planes de Pensiones).

> El Decreto 203/2015, de 27 de octubre, por el que se aprueba el Reglamento de la Ley 5/2012, de 23 de febrero, sobre Entidades de Previsión Social Voluntaria (en adelante, el Reglamento de EPSV).

2. QUIÉN TRATA SUS DATOS

Responsable del tratamiento: El responsable del tratamiento de sus datos personales en sus relaciones contractuales y de negocio con nosotros («Relaciones Contractuales») es VidaCaixa, S.A.U. de Seguros y Reaseguros (en adelante, “VidaCaixa”) con NIF A-58333261 y domicilio social en Paseo de la Castellana 189, planta 1ª y 2ª, 28046 Madrid (España).

Corresponsables de tratamiento: Además, para determinados tratamientos sobre los que le informaremos en detalle más adelante, VidaCaixa trata conjuntamente sus datos con otras empresas del Grupo CaixaBank, decidiendo de manera conjunta los objetivos (“para qué se usan los datos”) y los medios utilizados (“cómo se usan los datos”) siendo, por tanto, corresponsables de esos tratamientos.

Los tratamientos para los cuales VidaCaixa trata los datos como responsable del tratamiento independiente o, conjuntamente con otras empresas del Grupo CaixaBank como corresponsables del tratamiento, se identifican y describen con detalle en el epígrafe 6 “Qué tratamientos realizamos con sus datos”. Además, encontrará la lista de las empresas que tratan sus datos, así como los aspectos esenciales de los acuerdos del tratamiento en corresponsabilidad en: www.caixabank.es/empresasgrupo.

3. DELEGADO DE PROTECCIÓN DE DATOS

VidaCaixa y las empresas del Grupo CaixaBank hemos nombrado un Delegado de Protección de Datos, que le atenderá para responder a cualquier cuestión relativa al tratamiento de sus datos personales y al ejercicio de sus derechos.

Puede contactar con el Delegado de Protección de Datos para hacerle llegar sus sugerencias, consultas, dudas o reclamaciones a través de esta dirección: www.caixabank.com/delegadoprotecciondedatos.

4. EJERCICIO DE DERECHOS Y PRESENTACIÓN DE RECLAMACIONES ANTE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD)

Usted puede ejercer sus derechos de acceso, rectificación, oposición, supresión, limitación, portabilidad de sus datos personales, a retirar su consentimiento y a no ser objeto de una decisión automatizada.

Puede acceder aquí a información concreta sobre cada derecho: https://www.aepd.es/es/derechos-y deberes/conoce-tus-derechos

Puede solicitar ejercer estos derechos a través de cualquiera de los siguientes canales: > en las oficinas de CaixaBank abiertas al público;

> mediante las opciones habilitadas en la banca digital de CaixaBank y a través de nuestras aplicaciones móviles;

> en la dirección electrónica: https://www.ruta67.com/politica-privacidad;

> mediante un escrito dirigido a la siguiente dirección: Paseo de la Castellana, nº51 de Madrid, código postal 28046.

Además, si tiene alguna reclamación derivada del tratamiento de sus datos, puede dirigirla a la Agencia Española de Protección de Datos (www.aepd.es).

5. DATOS TRATADOS

Para los tratamientos que le explicamos en el presente documento se usarán los datos que le detallamos a continuación.

No todos los datos que le informamos se utilizan para todos los tratamientos de datos. En el epígrafe 6, donde le detallamos los tratamientos de datos que realizamos, usted podrá consultar específicamente, por cada tratamiento, la tipología de datos que se tratan.

En el caso de los tratamientos basados en su consentimiento, adicionalmente le informaremos del detalle de los datos concretos que se utilizan.

Las tipologías y el detalle de los datos que utilizan los distintos tratamientos expuestos en el epígrafe 6 son los siguientes:

> Datos que usted nos ha facilitado en el alta de sus contratos o durante su relación con nosotros, nuestros agentes, promotores de planes de pensiones o EPSV, o tomadores de seguros mediante entrevistas o formularios. Estas son las tipologías de datos y el detalle de los datos:

▪ Datos identificativos y de contacto: nombre y apellidos, género, información de contacto postal, telefónica y electrónica, domicilio de residencia, nacionalidad y fecha de nacimiento, idioma de comunicación, documento identificativo.

▪ Datos de su actividad profesional o laboral y socioeconómicos: actividad profesional o laboral, ingresos o retribuciones, unidad o círculo familiar, nivel de estudios, patrimonio, datos fiscales y datos tributarios.

▪ Datos biométricos: patrón facial, biometría de voz o patrón de huella dactilar.

▪ Datos relativos a la salud: respuestas a preguntas sobre su estado de salud, enfermedades y dolencias prexistentes, historiales e informes médicos y otras pruebas diagnósticas.

▪ Datos sobre capacidad jurídica: datos sobre la facultad de obrar de una persona, establecida en sentencia judicial.

▪ Datos sobre necesidades especiales de comunicación: datos proporcionados por interesados con discapacidad para permitir la accesibilidad a la interlocución y la gestión operativa.

> Datos observados en la contratación y mantenimiento de los productos y servicios que le sean comercializados (propios o de terceros). Estas son las tipologías de datos y el detalle de los datos:

▪ Datos de contratación: productos y servicios contratados o solicitados, condición de titular, autorizado o representante del producto y servicio contratado, categorización según la normativa en materia de seguros, planes de pensiones, entidades de previsión social voluntaria, mercados de valores e instrumentos financieros (categoría MIFID), información sobre inversiones realizadas y su evolución e información y movimientos de las operaciones de financiación.

▪ Datos financieros básicos: saldos actuales e históricos de productos y servicios e historial de pago de los productos y servicios contratados.

▪ Datos de terceros observados en los extractos y recibos de cuentas a la vista y cuentas de pago: la información de los apuntes y movimientos que terceros emisores realicen en sus cuentas, incluyendo el tipo de operación, el emisor, el importe y el concepto que aparecen en los recibos y extractos de operaciones con tarjetas de débito, crédito y prepago.

▪ Datos de su condición de accionista, o no, de CaixaBank: si tiene o no acciones de CaixaBank.

▪ Datos de las comunicaciones mantenidas con usted: datos obtenidos en chats, muros, videoconferencias, llamadas telefónicas o medios equivalentes.

▪ Datos de navegación propios: los datos obtenidos de sus navegaciones por nuestras páginas web o y la navegación que realice en las mismas: historial de navegación (páginas visitadas y clics en contenidos, ID del dispositivo, ID de publicidad, dirección IP), si usted ha aceptado el uso de cookies y tecnologías similares en sus dispositivos de navegación.

▪ Datos geográficos: los datos de la ubicación de los comercios de sus operaciones con tarjeta y los datos de geolocalización de su dispositivo móvil proporcionados por la instalación y/o el uso de nuestras aplicaciones móviles, cuando así lo haya autorizado en la configuración de la propia aplicación.

> Datos inferidos o deducidos del análisis y tratamiento del resto de datos. Estas son las tipologías de datos y el detalle de los datos:

▪ Datos obtenidos de la ejecución de otros tratamientos previstos en esta política: los datos obtenidos de la realización de tratamientos previstos en esta política que se detallarán en la información de los tratamientos en los que aplique.

▪ Datos obtenidos de la ejecución de modelos estadísticos: utilizamos los resultados de la aplicación de modelos matemáticos con los datos de los clientes, para luchar contra el fraude, deducir sus hábitos de consumo, preferencias o propensiones de contratación, cumplir con nuestras obligaciones normativas y gestionar las operativas de sus productos y/o servicios.

▪ Datos de evaluación de riesgo financiero-actuarial: Según la naturaleza del producto que contrate, estimaremos su esperanza de vida, el riesgo de que sufra un accidente, de que se vea incapacitado de cualquier forma, se jubile, pierda su empleo o sufra una enfermedad grave (riesgos financiero-actuariales), aplicando modelos matemáticos y estadísticos que utilizan datos personales.

▪ Datos de evaluación de riesgo o Scoring: en el tratamiento de datos realizado para cumplir con la normativa de prevención de blanqueo de capitales y financiación del terrorismo, como empresa corresponsable, podremos utilizar los datos deducidos por otras empresas corresponsables de su capacidad de pago o impago, o los límites de riesgo, con base en la aplicación de modelos matemáticos estadísticos.

> Datos obtenidos de fuentes de acceso público, registros públicos o fuentes externas. Estas son las tipologías de datos y el detalle de los datos:

▪ Datos de la Tesorería General de la Seguridad Social: datos identificativos y de contacto del pagador, datos de actividad profesional o laboral (CNAE, trabajador por cuenta propia y/o cuenta ajena, grupo de cotización del trabajador).

▪ Datos relativos a sanciones internacionales: datos de personas o entidades que estén incluidas en leyes, regulaciones, directrices, resoluciones, programas o medidas restrictivas en materia de sanciones económico-financieras internacionales impuestas por las Naciones Unidas, la Unión Europea, el Reino de España, así como la Office of Financial Sanctions Implementation (OFSI) of Her Majesty´s Treasury (HTM) del Reino Unido y/o el U. S. Department of the Treasury’s Office of Foreign Assets Control (OFAC).

▪ Datos demográficos y socioeconómicos: datos estadísticos no asociados a personas determinadas sino a zonas geográficas, sectores de edad o sectores de actividad profesional, que utilizaremos para ponerlos en relación con la información de los clientes.

▪ Datos sobre inmuebles y vehículos asociados a su persona: datos obtenidos del catastro y datos básicos de vehículos obtenidos de la Dirección General de Tráfico que utilizaremos para complementar la información sobre sus inmuebles y vehículos.

▪ Datos sobre administradores, cargos funcionales y vinculaciones societarias: datos extraídos de las bases de datos de INFORMA que utilizaremos para complementar la información sobre su actividad.

▪ Datos de subvenciones y seguros agrarios: datos publicados por el Fondo Español de Garantía Agraria (FEGA) y por la Entidad Estatal de Seguros Agrarios (ENESA).

▪ Datos de terceras empresas a las que usted haya dado su consentimiento para compartirlos con nosotros: datos suyos tratados por otras empresas con las que tengamos acuerdos, y a las que usted haya autorizado compartir su información con nosotros.

▪ Informaciones obtenidas de fuentes de acceso público y registros públicos: datos que proporcionan fuentes de acceso público y registros públicos para contrastar la información que usted nos facilita en el alta, mantenimiento y cumplimiento de las relaciones contractuales, información del fichero consultas situaciones concursales de Equifax, INDEF, Registro de contratos de seguro cobertura de fallecimiento, y datos adicionales de contacto obtenidos de directorios telefónicos (Páginas Blancas, Páginas Amarillas, Lleida.net) y de la base de datos de INFORMA, para contactar con nuestros clientes en el supuesto de incumplimiento de obligaciones contractuales.

Estas bases de datos se encuentran previamente legitimadas para disponer de esta información.

▪ Datos de navegación: los datos obtenidos de sus navegaciones por páginas web o aplicaciones móviles de terceros y la navegación que realice en las mismas: historial de navegación (páginas visitadas y clics en contenidos), ID del dispositivo, ID de publicidad, dirección IP, si usted ha aceptado el uso de cookies y tecnologías similares en sus dispositivos de navegación.

▪ Datos de redes sociales o internet: datos de redes sociales o internet que usted nos autorice a consultar.

6. QUÉ TRATAMIENTOS REALIZAMOS CON SUS DATOS: FINALIDADES, BASES LEGALES Y DATOS PERSONALES QUE TRATAMOS

Los tratamientos que realizaremos con sus datos son diversos, y responden a diferentes finalidades y bases jurídicas:

• Tratamientos basados en el consentimiento.

• Tratamientos necesarios para la ejecución de las relaciones contractuales. • Tratamientos necesarios para cumplir con obligaciones normativas.

• Tratamientos basados en el interés legítimo de VidaCaixa.

Adicionalmente a los tratamientos generales que le detallamos a continuación, podemos realizar tratamientos específicos no contemplados en esta política, derivados de solicitudes suyas de productos o servicios. La información detallada sobre estos tratamientos se la proporcionaremos en el momento de tramitar la solicitud concreta.

6.1 TRATAMIENTOS BASADOS EN EL CONSENTIMIENTO

Estos tratamientos tienen como base jurídica su consentimiento, según se establece en el art. 6.1.a) del Reglamento General de Protección de Datos (RGPD).

Podemos haberle solicitado ese consentimiento por diferentes canales, en la entrevista en la que usted se dio de alta como cliente, a través de su gestor o gestora de CaixaBank o de los canales electrónicos de alguna de las empresas del Grupo CaixaBank que resulte corresponsable del concreto tratamiento.

Si por alguna circunstancia, nunca le hemos solicitado su consentimiento, estos tratamientos no le aplicarán.

Puede consultar las autorizaciones que usted nos ha consentido o denegado, y modificar su decisión en cualquier momento y de manera gratuita en las oficinas de CaixaBank, en la web de VidaCaixa (https://www.ruta67.com/politica-privacidad) y en la página web o aplicaciones móviles disponibles de cada una de las empresas corresponsables del concreto tratamiento.

Los tratamientos basados en su consentimiento se indican a continuación ordenados de la (A) a la (C). Señalaremos para cada uno de ellos: la descripción de la finalidad (Finalidad), el detalle de los datos tratados (Datos tratados), si aplica, información sobre el uso de perfiles (Uso de Perfiles), otra información necesaria acerca del tratamiento (Otra información relevante) y si son, o no, tratamientos realizados en régimen de corresponsabilidad con otras empresas del Grupo CaixaBank (Corresponsables/Responsable del tratamiento).

Para el caso que usted hubiese otorgado sus consentimientos para el tratamiento de sus datos con finalidades comerciales, no a CaixaBank, sino a Bankia, con carácter previo a su fusión con CaixaBank, los tratamientos A, B y C que le indicamos a continuación se realizarán de acuerdo con las preferencias que usted indicó en su momento a Bankia.

En concreto, los tratamientos descritos en los apartados A y B siguientes únicamente se realizarán por las empresas del grupo CaixaBank en corresponsabilidad, si usted ha consentido la comunicación de datos entre las empresas del grupo Bankia (ahora CaixaBank).

A. Personalización de la oferta de productos según el análisis de sus datos

Finalidad: Si tenemos su consentimiento, utilizaremos los datos que le indicaremos a continuación, para elaborar un perfil comercial suyo que nos permita deducir sus preferencias o necesidades para ofrecerle, a través de su gestor o gestora, los productos y servicios comercializados por las empresas corresponsables que creamos que pueden interesarle en función de las preferencias y necesidades deducidas.

Mediante este tratamiento de sus datos podremos hacerle ofertas personalizadas que creamos que puedan interesarle más que las ofertas genéricas.

Además, en caso de que usted nos autorice la “Comunicación de la oferta de productos y

servicios por canales” (Apartado 6.1.B) le ofreceremos los productos y servicios comercializados por las empresas corresponsables que creamos que pueden interesarle en función de las preferencias y necesidades deducidas a través de cualquier otro canal que nos autorice.

▪ Datos tratados: No usaremos para este tratamiento datos que contengan información que revele su origen étnico o racial, sus opiniones políticas, sus convicciones religiosas o filosóficas, su afiliación sindical, el tratamiento de datos genéticos, datos biométricos dirigidos a identificarle de manera unívoca, datos relativos a la salud o datos relativos a su vida u orientación sexual

Los datos que trataremos para esta finalidad son:

▪ Datos identificativos y de contacto: nombre y apellidos, género, información de contacto postal telefónica y electrónica, domicilio de residencia, nacionalidad y fecha de nacimiento, idioma de comunicación, documento identificativo.

▪ Datos de su actividad profesional o laboral y socioeconómicos: actividad profesional o laboral, ingresos o retribuciones, unidad o círculo familiar, nivel de estudios, patrimonio, datos fiscales y datos tributarios.

▪ Datos de contratación: productos y servicios contratados o solicitados (propios o de terceros), condición de titular, autorizado o representante del producto y servicio contratado, categorización según la normativa en materia de mercados de valores e instrumentos financieros (categoría MIFID), información sobre inversiones realizadas y su evolución e información y movimientos de las operaciones de financiación.

▪ Datos financieros básicos: saldos actuales e históricos de productos y servicios e historial de pago de los productos y servicios contratados (propios o de terceros).

▪ Datos de terceros observados en los extractos y recibos de cuentas a la vista y cuentas de pago: la información de los apuntes y movimientos que terceros emisores realicen en sus cuentas, incluyendo el tipo de operación, el emisor, el importe y el concepto que aparecen en los recibos y extractos de operaciones con tarjetas de débito, crédito y prepago.

▪ Datos de su condición de accionista, o no, de CaixaBank: si tiene o no acciones de CaixaBank.

▪ Datos de las comunicaciones mantenidas con usted: datos obtenidos en chats, muros, videoconferencias, llamadas telefónicas o medios equivalentes.

▪ Datos de navegación propios: los datos obtenidos de sus navegaciones por nuestras páginas web y la navegación que realice en las mismas: historial de navegación (páginas visitadas y clics en contenidos, ID del dispositivo, ID de publicidad, dirección IP).

▪ Datos geográficos: los datos de la ubicación de los comercios de sus operaciones con tarjeta y los datos de geolocalización de su dispositivo móvil proporcionados por la instalación y/o el uso de nuestras aplicaciones móviles, cuando así lo haya autorizado en la configuración de la propia aplicación.

▪ Datos obtenidos de la ejecución de otros tratamientos previstos en esta política:

o Datos de clasificación de clientes: (Tratamiento definido en el epígrafe 6.4.A)

▪ Datos obtenidos de la ejecución de modelos estadísticos: utilizamos los resultados de la aplicación de modelos matemáticos con los datos de los clientes para deducir sus hábitos de consumo, preferencias o propensiones de contratación o clasificación de clientes.

▪ Datos sobre inmuebles y vehículos asociados a tu persona: datos obtenidos del catastro y datos básicos de vehículos obtenidos de la Dirección General de Tráfico que utilizaremos para complementar la información sobre sus inmuebles y vehículos.

▪ Datos de subvenciones y seguros agrarios: datos publicados por el Fondo Español de Garantía Agraria (FEGA) y por la Entidad Estatal de Seguros Agrarios (ENESA).

▪ Datos de navegación: los datos obtenidos de sus navegaciones por páginas web o aplicaciones móviles de terceros y la navegación que realice en las mismas: historial de navegación (páginas visitadas y clics en contenidos, ID del dispositivo, ID de publicidad, dirección IP).

▪ Datos de redes sociales o internet: datos de redes sociales internet que usted nos autorice a consultar.

Uso de perfiles: Para este tratamiento elaboraremos un perfil comercial que utilizaremos exclusivamente para personalizarle nuestra oferta de productos y servicios:

▪ Finalidad del perfil: El perfil utilizado tiene como finalidad deducir los productos y servicios que creamos que pueden interesarle, en base a la información que tenemos sobre usted, para ofrecerle su contratación en lugar de dirigirle ofertas comerciales genéricas.

▪ Consecuencias: Si usted autoriza el tratamiento utilizaremos perfiles comerciales para decidir qué productos o servicios le ofrecemos comercialmente. Si no lo autoriza, no usaremos su información para personalizarle la oferta comercial.

Este perfilado no lo utilizamos, en ningún caso, para la denegación de ningún producto o servicio, ni para determinar límites de crédito. La no aceptación de este tratamiento no impide, limita o condiciona su acceso a nuestro catálogo completo de productos y servicios que usted tiene siempre a su disposición.

En caso de que solicite la contratación de cualquier producto o servicio, su solicitud será evaluada con usted conforme a nuestros procedimientos ordinarios, sin que la aceptación o no del análisis de sus datos para la personalización de la oferta de productos afecte a esta evaluación.

La no aceptación de este tratamiento tampoco impedirá que contactemos con usted para la gestión operativa de los productos y servicios que tenga contratados.

▪ Lógica: El perfil de un cliente se calcula a partir de los datos indicados en el apartado “datos tratados”.

A estos datos se les aplican fórmulas matemáticas obtenidas a partir de comportamientos observados en el pasado en clientes de similares características para de esta forma inferir el comportamiento del cliente a futuro. Estas fórmulas matemáticas permiten determinar la importancia de cada uno de los datos tratados en el resultado final del perfil del solicitante.

Dicho resultado final es la probabilidad de que el cliente esté interesado en un producto o servicio.

Otra información relevante: A continuación, encontrará otra información importante sobre este tratamiento:

▪ Vigencia del tratamiento: Solo realizaremos este tratamiento de sus datos si usted nos ha dado su consentimiento para ello, y su consentimiento permanecerá vigente mientras usted no lo retire. Si cancela todos sus productos o servicios con nosotros, pero olvida retirar su consentimiento, nosotros lo haremos automáticamente.

▪ Corresponsables del tratamiento: Las siguientes empresas del Grupo CaixaBank tratarán sus datos en corresponsabilidad para este tratamiento.

▪ CaixaBank, S.A.

▪ CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U.

▪ Nuevo Micro Bank, S.A.U.

▪ Wivai Select Place, S.A.U,

▪ ImaginersGen, S.A.

▪ VidaCaixa, S.A.U. de Seguros y Reaseguros

Encontrará los aspectos esenciales de los acuerdos del tratamiento en corresponsabilidad en: www.caixabank.es/empresasgrupo.

B. Comunicación de la oferta de productos y servicios por canales

Finalidad: Si tenemos su consentimiento, pondremos a su disposición nuestra oferta de productos y servicios a través de los siguientes canales que usted nos autorice: aplicaciones móviles, entornos digitales y canales electrónicos, carta o teléfono.

Los datos que usaremos para la comunicación por los canales que nos autorice, variarán en función de su nos ha autorizado, o no, la personalización de la oferta según el análisis de sus datos:

▪ Si no tenemos su consentimiento para personalizarle nuestra oferta comercial (tratamiento A anterior), utilizaremos únicamente sus datos identificativos y de contacto para trasladarle ofertas genéricas.

▪ Si nos ha dado su consentimiento para personalizarle nuestra oferta comercial (tratamiento A anterior), también utilizaremos la información de su perfil comercial que se detalla en el tratamiento 6.1.A, para trasladarle ofertas personalizadas.

Datos tratados: Los datos que trataremos para esta finalidad son:

▪ Datos identificativos y de contacto: nombre y apellidos, género, información de contacto postal, telefónica y electrónica, domicilio de residencia, idioma de comunicación.

Otra información relevante: A continuación, encontrará otra información importante sobre este tratamiento:

▪ Corresponsables del tratamiento: Las siguientes empresas del Grupo CaixaBank tratarán sus datos en corresponsabilidad para este tratamiento:

▪ CaixaBank, S.A.

▪ CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U.

▪ Nuevo Micro Bank, S.A.U.

▪ Wivai Select Place, S.A.U,

▪ ImaginersGen, S.A.

▪ VidaCaixa, S.A.U. de Seguros y Reaseguros

Encontrará los aspectos esenciales de los acuerdos del tratamiento en corresponsabilidad en: www.caixabank.es/empresasgrupo

C. Cesión de datos a otras empresas para la remisión de ofertas comerciales

Finalidad: Si tenemos su consentimiento, cederemos los datos que le indicaremos a continuación a otras empresas con las que tengamos acuerdos, con el propósito de que le hagan ofertas comerciales de los productos y servicios que comercializan.

Si no nos consiente este tratamiento, no cederemos sus datos. Si nos consiente, los datos que comunicaremos a otras empresas variarán en función de si nos ha autorizado, o no, la personalización de la oferta de productos según el análisis de sus datos.

Si no tenemos su consentimiento para personalizarle nuestra oferta comercial (tratamiento A anterior), facilitaremos a esas empresas únicamente sus datos identificativos y de contacto.

Si nos ha dado su consentimiento para personalizarle nuestra oferta comercial (tratamiento A anterior), también comunicaremos a esas empresas información de su perfil comercial, que consiste en la información deducida sobre sus preferencias y necesidades, así como información deducida sobre su probabilidad de pago o impago, o sobre límites de riesgo.

Esas terceras empresas a las que podríamos ceder sus datos se dedican a las siguientes actividades:

▪ bancarias

▪ servicios de inversión

▪ seguros, reaseguros, planes de pensiones y entidades de previsión social voluntaria ▪ capital riesgo

▪ inmobiliarias

▪ viarias

▪ venta y distribución de bienes y servicios,

▪ servicios de consultoría

▪ ocio y

▪ benéfico-sociales

Datos tratados:

No usaremos para este tratamiento datos que contengan información que revele su origen étnico o racial, sus opiniones políticas, sus convicciones religiosas o filosóficas, su afiliación sindical, el tratamiento de datos genéticos, datos biométricos dirigidos a identificarle de manera unívoca, datos relativos a la salud o datos relativos a su vida u orientación sexual

Estos son los datos suyos que usaremos si consiente que comuniquemos sus datos a terceras empresas, pero no tenemos su consentimiento para personalizarle nuestra oferta comercial de productos y servicios (tratamiento A anterior):

Si usted nos ha dado su consentimiento para personalizarle nuestra oferta comercial de productos y servicios (tratamiento A anterior), además, usaremos los siguientes datos:

▪ Datos obtenidos de la ejecución de modelos estadísticos: utilizamos los resultados de la aplicación de modelos matemáticos con los datos de los clientes, para deducir sus hábitos de consumo, preferencias y/o propensiones de contratación o clasificación de clientes.

Otra información relevante: A continuación, encontrará otra información importante sobre este tratamiento:

▪ Información sobre la cesión: Si llegamos a algún acuerdo con una tercera empresa para cederle sus datos, la empresa destinataria le informará de esta circunstancia, así como de los datos cedidos y los detalles del tratamiento que pretende llevar a cabo.

▪ Corresponsables del tratamiento: Las siguientes empresas del Grupo CaixaBank tratarán sus datos en corresponsabilidad para este tratamiento:

▪ CaixaBank, S.A.

▪ CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U.

▪ Nuevo Micro Bank, S.A.U.

▪ Wivai Select Place, S.A.U,

▪ ImaginersGen, S.A.

▪ VidaCaixa, S.A.U. de Seguros y Reaseguros

Encontrará los aspectos esenciales de los acuerdos del tratamiento en corresponsabilidad en: www.caixabank.es/empresasgrupo.

6.2 TRATAMIENTOS NECESARIOS PARA LA EJECUCIÓN DE LAS RELACIONES

CONTRACTUALES Y LA TOMA DE MEDIDAS PRECONTRACTUALES (art. 6.1.b) RGPD)

Son tratamientos necesarios para que usted pueda establecer y mantener Relaciones Contractuales con nosotros. Si se opusiera a ellos, finalizaríamos esas relaciones, o no las podríamos establecer si aún no las hubiéramos iniciado.

Los tratamientos necesarios para la ejecución de las relaciones contractuales se indican a continuación ordenados de la (A) a la (C). Señalaremos para cada uno de ellos: la descripción de la finalidad (Finalidad), la tipología de los datos tratados (Datos tratados), si procede, información sobre el uso de perfiles (Uso de Perfiles), otra información necesaria acerca del tratamiento (Otra información relevante) y si son o no tratamientos realizados en régimen de corresponsabilidad con otras empresas del Grupo CaixaBank (Corresponsables/Responsable del tratamiento).

A. Formalización, mantenimiento y ejecución de las relaciones contractuales

Finalidad: En nuestra condición de entidad aseguradora, necesitamos tratar datos de carácter personal en las distintas fases en las que se desarrolla su contrato de seguro y productos de pensiones y previsión social voluntaria. La finalidad de este tratamiento de datos es formalizar, mantener y gestionar las relaciones contractuales que establezcamos con usted, incluido el tratamiento de sus solicitudes o mandatos, así como las gestiones previas a una contratación (relaciones precontractuales) y el establecimiento de medidas para asegurar el cumplimiento de los contratos que tenga con nosotros.

Este tratamiento implica la recogida y registro de los datos y formalización de la firma de documentos necesarios para el proceso de suscripción de productos ofrecidos por VidaCaixa, tanto para productos de tipo individual (productos instrumentados directamente con clientes) como para productos colectivos (productos instrumentados para empresas, asociaciones u otros colectivos).

Además, incluye la gestión de la operativa de dichos productos o servicios que haya contratado. Esto es, la gestión ordinaria y operacional del contrato (como cambios de beneficiarios, actualizaciones de condiciones por promociones, ampliaciones de pólizas, y actualización de productos), los cobros de las cuantías económicas derivadas del contrato, los pagos de prestaciones, rescates o cualquier concepto que derive del cumplimiento de un contrato vinculado a un producto contratado por usted, y los traspasos externos y movilizaciones de planes de pensiones.

Con esta finalidad, también se realizarán las comunicaciones derivadas de la gestión de las relaciones contractuales y las operaciones relativas a la gestión de pólizas en las que intervienen distintas entidades aseguradoras entre las cuales se reparten la cobertura del riesgo asegurado (la gestión del llamado “coaseguro”).

Datos tratados: Las tipologías de datos que tratamos para esta finalidad, cuyo contenido está detallado en el epígrafe 5, son:

▪ Datos identificativos y de contacto

▪ Datos financieros

▪ Datos de su actividad profesional o laboral y Socioeconómicos

▪ Datos de las comunicaciones mantenidas con usted

▪ Datos obtenidos de la ejecución de modelos estadísticos

▪ Datos relativos a sanciones internacionales

▪ Informaciones obtenidas de fuentes de acceso público y registros públicos ▪ Datos de salud

Otra información relevante:

▪ Comunicaciones de datos: En el ámbito de los planes de pensiones de empleo y las EPSV comunicaremos algunos de sus datos a terceros que, según prevé la normativa reguladora de esta actividad, desempeñan un papel imprescindible para el correcto desempeño de nuestras obligaciones contractuales. En concreto, cederemos sus datos a actuarios, comisiones de control, entidades depositarias, auditores y otras figuras con competencias legalmente atribuidas a tal efecto. Igualmente, en el ámbito de los productos de seguro y también de la previsión, será necesario que comuniquemos datos a supervisores, administraciones y registros públicos y entidades reaseguradoras.

▪ Tratamiento de datos de salud: En la ejecución de cualquier contrato de seguro del que usted sea parte podremos tratar sus datos de salud, al resultar estos necesarios para el desarrollo de la relación contractual que mantenemos con usted.

▪ Responsable del tratamiento: El responsable de este tratamiento es VidaCaixa. Este tratamiento no se realiza en corresponsabilidad.

B. Análisis de exigencias y necesidades

Finalidad: Previamente a la celebración del contrato, como entidad aseguradora que interviene en la distribución de sus propios productos, en algunos casos necesitaremos que usted nos proporcione determinada información que nos permita valorar y evaluar sus necesidades y exigencias.

Adicionalmente, cuando ofrezcamos asesoramiento sobre un producto de inversión basado en seguros, necesitaremos obtener la siguiente información sobre usted:

• Conocimientos y experiencia en el ámbito de la inversión propio de la clase de producto. • Situación financiera, incluida su capacidad para soportar pérdidas.

• Objetivos de inversión, incluida su tolerancia al riesgo.

La finalidad de esta evaluación será poder ofrecerle, con carácter previo, información y, en su caso, asesoramiento objetivo, para que así tome sus decisiones con criterio fundado. La anterior información se obtendrá con el fin de que le podamos recomendar los productos de inversión basados en seguros que sean idóneos para usted y que mejor se ajusten a su nivel de tolerancia al riesgo y a su capacidad para soportar las pérdidas.

Datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos identificativos y de contacto

▪ Datos Financieros

▪ Datos de su actividad profesional o laboral y Socioeconómicos

▪ Preferencias de inversión

Otra información relevante: A continuación, encontrará otra información importante sobre este tratamiento.

▪ Obligaciones normativas: Este tratamiento se realiza en base a lo dispuesto al Real Decreto ley 3/2020, de 4 de febrero, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de la contratación pública en determinados sectores; de seguros privados; de planes y fondos de pensiones; del ámbito tributario y de litigios fiscales.

Responsable del tratamiento: El responsable de este tratamiento es VidaCaixa. Este tratamiento no se realiza en corresponsabilidad.

C. Análisis de la declaración de estado de salud para la valoración del riesgo del interesado previo a la contratación de un producto de seguro

Finalidad: Permitir que, ante una solicitud por su parte para la contratación de un producto de seguro de riesgo individual, podamos conocer y valorar todas las circunstancias que puedan influir en la valoración del riesgo que supondría para VidaCaixa contratarle un producto de seguro teniendo en cuenta su estado de salud y hábitos de vida.

Usted está obligado a declarar el riesgo que pretende asegurar y para que pueda cumplir con ese deber y VidaCaixa pueda valorar adecuadamente sus circunstancias particulares, podemos realizarle cuestionarios sobre su situación personal, hábitos de vida y salud, requerirle que se someta a controles médicos y solicitarle declaraciones sobre cualquiera de dichos aspectos.

Datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos identificativos y de contacto

▪ Datos financieros

▪ Datos de su actividad profesional o laboral y Socioeconómicos:

▪ Datos de salud

Otra información relevante:

▪ Tratamiento de datos de salud: Trataremos sus datos de salud, al resultar estos necesarios para el desarrollo de la relación contractual que mantenemos con usted

▪ Responsable del tratamiento: El responsable de este tratamiento es VidaCaixa. Este tratamiento no se realiza en corresponsabilidad.

▪ Obligaciones normativas: Este tratamiento se realiza en base a lo dispuesto en la normativa aplicable a estos productos:

o La Ley 50/1980, de 8 de octubre, de Contrato de Seguro.

o La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.

6.3 TRATAMIENTOS NECESARIOS PARA CUMPLIR CON OBLIGACIONES NORMATIVAS

Estos tratamientos de datos tienen como base jurídica el hecho de que son necesarios para cumplir una obligación legal que nos es exigible, según se establece en el art. 6.1.c) del Reglamento General de Protección de Datos (RGPD).

Por tanto, son necesarios para que usted pueda establecer y mantener Relaciones Contractuales con nosotros. Si no quisiera que realicemos este tratamiento, deberíamos finalizar esas relaciones, o no las podríamos establecer si aún no las hubiéramos iniciado.

Los tratamientos necesarios para cumplir con obligaciones normativas se indican a continuación ordenados de la (A) a la (E). Señalaremos para cada uno de ellos: la descripción de la finalidad (Finalidad), la tipología de los datos tratados (Datos tratados), si procede, información sobre el uso de perfiles (Uso de Perfiles), otra información necesaria acerca del tratamiento (Otra información relevante) y si son o no tratamientos realizados en régimen de corresponsabilidad con otras empresas del Grupo CaixaBank (Corresponsables/Responsable del tratamiento).

A. Tratamiento para cumplir con la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo

Finalidad: La finalidad de este tratamiento es la adopción de las medidas impuestas a nuestra actividad por la Ley 10/2010, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo.

Las operaciones de tratamiento que se realizan para cumplir la normativa sobre prevención del blanqueo de capitales de la financiación del terrorismo son:

▪ Recabar la información y documentación que permite cumplir con las medidas de diligencia debida y de conocimiento de los clientes;

▪ Comprobar la información que usted nos facilite;

▪ Verificar si usted desempeña o ha desempeñado cargos de responsabilidad pública;

▪ Categorizar su nivel de riesgo, en función del cual se aplicarán las distintas medidas de diligencia debida con base en la normativa de Prevención del Blanqueo de Capitales y Financiación del Terrorismo;

▪ Realizar el análisis de las operaciones que se ejecutan a través de CaixaBank, de acuerdo con lo que establecen las obligaciones legales;

▪ Verificar su relación con sociedades y, si es necesario, su posición de control en la estructura de propiedad de las mismas, y;

▪ Comunicar y actualizar mensualmente su información en el Fichero de Titularidades Financieras, responsabilidad del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

Tipologías de datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos identificativos y de contacto

▪ Datos de su actividad profesional o laboral y socioeconómicos

▪ Datos de contratación

▪ Datos financieros básicos

▪ Datos de terceros observados en los extractos y recibos de cuentas a la vista y cuentas de pago

▪ Datos de las comunicaciones mantenidas con usted

▪ Datos obtenidos de la ejecución de otros tratamientos previstos en esta política: ▪ Datos de evaluación de riesgo o scoring

▪ Datos obtenidos de la ejecución de modelos estadísticos

▪ Datos sobre administradores, cargos funcionales y vinculaciones societarias ▪ Datos de la Tesorería General de la Seguridad Social

▪ Informaciones obtenidas de fuentes de acceso público y registros públicos

Uso de perfiles: Este tratamiento implica la elaboración de un perfil que utilizamos exclusivamente para la adopción de las medidas impuestas a nuestra actividad por la Ley 10/2010, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo.

▪ Finalidad: El perfil utilizado tiene como finalidad impedir la contratación de operativas susceptibles de ser objeto de blanqueo de capitales o financiación del terrorismo.

▪ Consecuencias: Los perfiles son herramientas que ayudan a las unidades de prevención de blanqueo de capitales y de la financiación del terrorismo a determinar si las operativas son susceptibles o no de ser objeto de blanqueo de capitales o financiación del terrorismo y, por tanto, a aceptarlas o no.

Corresponsables del tratamiento: Las siguientes empresas del Grupo CaixaBank tratarán sus datos en corresponsabilidad para este tratamiento.

▪ CaixaBank, S.A.

▪ CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U.

▪ VidaCaixa, S.A. de seguros y reaseguros

▪ BPI Vida e Pensões – Companhia de Seguros, S.A.

▪ Nuevo Micro Bank, S.A.U.

▪ CaixaBank Asset Management SGIIC, S.A.U

▪ Telefónica Consumer Finance, E.F.C., S.A.

▪ Buildingcenter, S.A.U.

▪ Livingcenter Activos Inmobiliarios, S.A.U.

▪ Unión de Crédito para la Financiación Mobiliaria e Inmobiliaria, CREDIFIMO, E.F.C., S.A.U.

▪ Corporación Hipotecaria Mutual, S.A.U., Establecimiento Financiero de Crédito ▪ CaixaBank Wealth Management Luxembourg, S.A.

▪ CaixaBank Asset Management Luxembourg, S.A.

▪ BPI Gestão de Ativos, SGOIC, S.A.

▪ Banco BPI, S.A.

▪ Bankia Habitat, S.L.U.

▪ Puerto Triana, S.A.U.

Encontrará los aspectos esenciales de los acuerdos del tratamiento en corresponsabilidad en: www.caixabank.es/empresasgrupo

B. Tratamiento para cumplir con la normativa en materia tributaria

Finalidad: La finalidad de este tratamiento es la adopción de las medidas impuestas a nuestra actividad por la Ley 58/2003, de 17 de diciembre, General Tributaria, el Real Decreto 1021/2015, de 13 de noviembre, por el que se establece la obligación de identificar la residencia fiscal de las personas que ostenten la titularidad o el control de determinadas cuentas financieras y de informar acerca de las mismas en el ámbito de la asistencia mutua, y demás normativas fiscales vigentes.

Las operaciones de tratamiento que se realizan para cumplir la normativa en materia tributaria son:

▪ Recabar la información y documentación relativa a su fiscalidad que establezcan las normas fiscales, y;

▪ Comunicar a la administración pública los datos relativos a su fiscalidad, cuando así esté establecido por las normas o sea requerido por la autoridad.

Tipologías de datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos identificativos y de contacto

▪ Datos de su actividad profesional o laboral y socioeconómicos

▪ Datos de contratación

▪ Datos financieros básicos

Otra información relevante:

▪ Corresponsables del tratamiento: Las siguientes empresas del Grupo CaixaBank tratarán sus datos en corresponsabilidad para este tratamiento:

▪ CaixaBank, S.A.

▪ VidaCaixa, S.A. de seguros y reaseguros

▪ Nuevo Micro Bank, S.A.U.

▪ CaixaBank Asset Management SGIIC, S.A.U

Encontrará los aspectos esenciales de los acuerdos del tratamiento en corresponsabilidad en: www.caixabank.es/empresasgrupo

C. Tratamiento para el cumplimiento de las obligaciones derivadas de las políticas de sanciones y contramedidas financieras internacionales

Finalidad: La finalidad de este tratamiento es la adopción de las medidas impuestas a nuestra actividad en los programas de sanciones y contramedidas financieras internacionales adoptados por la Unión Europea y el Reino de España.

Para cumplir los programas de sanciones y contramedidas financieras internacionales nosotros contrastaremos si usted consta en listas de personas o entidades que estén incluidas en leyes, regulaciones, directrices, resoluciones, programas o medidas restrictivas en materia de sanciones económico-financieras internacionales impuestas por las Naciones Unidas, la Unión Europea, el Reino de España.

Tipologías de datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos identificativos y de contacto

▪ Datos relativos a sanciones internacionales

Otra información relevante: A continuación, encontrará otra información importante sobre este tratamiento:

▪ Programas de sanciones: VidaCaixa consulta los programas de sanciones económico financieras internacionales adoptadas por la Office of Financial Sanctions Implementation (OFSI) of Her Majestry’s Treasury (HTM) de Reino Unido y el U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) en base a nuestro interés legítimo, que detallamos en el apartado 6.4.

Corresponsables del tratamiento: Las siguientes empresas del Grupo CaixaBank tratarán sus datos en corresponsabilidad para este tratamiento:

▪ VidaCaixa, S.A. de seguros y reaseguros

▪ CaixaBank, S.A.

▪ CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U.

▪ Nuevo Micro Bank, S.A.U.

▪ CaixaBank Asset Management SGIIC, S.A.U

▪ Telefónica Consumer Finance, E.F.C., S.A.

▪ Buildingcenter, S.A.U.

▪ Livingcenter Activos Inmobiliarios, S.A.U.

▪ Unión de Crédito para la Financiación Mobiliaria e Inmobiliaria, CREDIFIMO, E.F.C., S.A.U.

▪ Corporación Hipotecaria Mutual, S.A.U., Establecimiento Financiero de Crédito ▪ Banco BPI, S.A.

▪ CaixaBank Wealth Management Luxembourg, S.A.

▪ Bankia Habitat, S.L.U.

▪ CaixaBank Equipment Finance, S.A.

▪ Puerto Triana, S.A.U.

▪ CaixaBank Asset Management Luxembourg, S.A.

▪ BPI Gestão de Ativos, SGOIC, S.A.

▪ BPI Vida e Pensões – Companhia de Seguros, S.A.

Encontrará los aspectos esenciales de los acuerdos del tratamiento en corresponsabilidad en: www.caixabank.es/empresasgrupo

D. Tratamiento para la atención de quejas y reclamaciones

Finalidad: La atención de las consultas, quejas y reclamaciones que se realicen ante VidaCaixa de acuerdo con la normativa aplicable que se cita en el apartado 1 del presente documento. VidaCaixa está obligada a disponer de un departamento o servicio de atención al cliente para atender y resolver las quejas y reclamaciones que los tomadores, asegurados, beneficiarios, terceros perjudicados o derechohabientes de cualesquiera de ellos puedan presentar, relacionados con sus intereses y derechos legalmente reconocidos.

Asimismo, en el ámbito de la previsión social voluntaria, de acuerdo en la Ley de Regulación de Planes y Fondos de Pensiones y la Ley de EPSV, el Defensor del Partícipe o del Asociado es una figura de carácter obligatorio, ajena a la organización, que actúa con independencia de criterio y cuyas decisiones resultan vinculantes para VidaCaixa.

A su vez, la LOPDGDD obliga al responsable del tratamiento, en este caso VidaCaixa, a atender las reclamaciones que se presenten ante su Delegado de Protección de Datos, así como a atender los derechos en materia de protección de datos que puedan ejercer los interesados.

Las operaciones de tratamiento que se realizan para cumplir la normativa en materia de tratamiento de atención de quejas y reclamaciones son:

▪ Recepción de la queja o reclamación por el Servicio de Atención al cliente de VidaCaixa y por el Defensor del Partícipe o Asociado;

▪ Atención de los derechos en materia de protección de datos y consultas relativas a VidaCaixa realizadas ante el Delegado de Protección de datos del Grupo CaixaBank;

▪ Comunicación de datos a nuestro supervisor sectorial, la Dirección General del Seguro y Fondos de Pensiones o, en su caso, el Gobierno del País Vasco; y

▪ Contestación en el plazo establecido a la queja o reclamación presentada en cualquiera de las instancias anteriormente descritas, así como las actividades necesarias para colaborar con la autoridad de control.

Datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos identificativos y de contacto

▪ Datos sobre capacidad jurídica

▪ Datos sobre necesidades especiales de comunicación

▪ Datos de contratación

▪ Datos financieros básicos

▪ Datos de las comunicaciones mantenidas con usted

▪ Datos de navegación propios

▪ Datos de salud

Otra información relevante:

▪ Comunicaciones de datos: Necesitaremos compartir sus datos personales con el Defensor del Partícipe o del Asociado y con los supervisores, para que pueda resolver los expedientes/reclamaciones que les corresponda según se ha descrito anteriormente

▪ Responsable del tratamiento: El responsable de este tratamiento es VidaCaixa. Este tratamiento no se realiza en corresponsabilidad.

▪ Tratamiento de datos de salud: Podremos tratar sus datos de salud, al resultar estos necesarios para el desarrollo de la relación contractual que mantenemos con usted.

E. Valoración, selección y tarificación de riesgos financiero-actuariales (incluye la toma de decisiones automatizadas)

Finalidad: Definir la política de selección de riesgos y tarificación de VidaCaixa. Para ello es preciso que VidaCaixa valore el riesgo que asume con la contratación de nuevos contratos de seguro por sus clientes, así como el riesgo que tiene ya asumido con los contratos que ya tiene vigentes.

Uso de perfiles y tratamientos automatizados: Para este tratamiento elaboraremos perfiles que utilizaremos exclusivamente para valorar de manera continua el riesgo asumido por VidaCaixa con los contratos que tiene vigentes y definir la política de selección de nuevos riesgos y la estrategia de suscripción y tarificación de VidaCaixa. Los datos personales se parametrizarán e integrarán en modelos matemáticos para llevar a cabo cálculos y valoraciones de riesgo asociado a la posibilidad de que se materialice un siniestro o contingencia que dé lugar al cobro de una prestación, de forma automatizada. Así, se clasificará a los clientes en términos de riesgo sobre la base de los datos abajo indicados para determinar, en primer lugar, qué tipo de control de suscripción en su caso deberá aplicarse para acceder a un nuevo producto de seguro y, en segundo lugar, la tarifa que le corresponda y que se utilizará para el cálculo de las provisiones técnicas.

Consecuencias: Este perfilado automatizado no lo utilizamos, en ningún caso, para la denegación de ningún producto o servicio, ni para aplicarle una tarifa superior a la que le resultaría de aplicación en caso de valorar el riesgo de su operación de manera no automatizada. En cualquier caso, tiene derecho a solicitarnos voluntariamente contestar a un cuestionario de salud o someterse a pruebas médicas que serán tenidas en cuenta en el proceso de contratación. La asignación de un perfil de riesgo llevará asociado la determinación de la tarifa aplicable que, en ningún caso será superior a la que le correspondería a un cliente que decidiese someter a un control de suscripción ordinario.

Lógica: El perfil de un cliente se calcula a partir de los datos indicados en el apartado “datos tratados”. A estos datos se les aplican fórmulas matemáticas obtenidas a partir de comportamientos observados en el pasado en clientes de similares características para medir según el horizonte temporal que corresponda a cada tipo de contrato las posibilidades de que se de alguna de las circunstancias que obligue a VidaCaixa a abonarle una prestación. Estas fórmulas matemáticas permiten determinar la importancia de cada uno de los datos tratados en el resultado final del perfil del cliente.

A modo ejemplificativo, se estimará con base en cálculos financiero-actuariales y la experiencia de otros clientes en circunstancias similares, su esperanza de vida, el riesgo de que sufra un accidente, se vea incapacitado de cualquier forma, se jubile, pierda su empleo o sufra una enfermedad grave.

Datos tratados:

▪ Datos identificativos y de contacto: NIF/NIE/Pasaporte, nombre y apellidos, fecha de nacimiento, dirección postal, correo electrónico, teléfono (fijo o móvil) e idioma de comunicación.

▪ Datos financieros: Productos y servicios contratados, condición de titular/beneficiario/apoderado, Condición de interviniente no cliente, categorización MIFID e Historial de pago

▪ Socioeconómicos: Actividad profesional, nivel de estudios, retribuciones / ingresos, patrimonio (propiedades), unidad / círculo familiar, datos fiscales o de tributación

▪ Laborales: Datos de la relación laboral (puesto, antigüedad, …).

▪ Datos de las comunicaciones mantenidas con usted.

▪ Datos observados en la contratación y mantenimiento de los productos y servicios que le sean comercializados.

▪ Datos obtenidos de la ejecución de modelos estadísticos.

▪ Datos relativos a sanciones internacionales.

▪ Informaciones obtenidas de fuentes de acceso público y registros públicos. ▪ Categorías especiales de datos: Datos de salud.

Otra información relevante:

▪ Responsable del tratamiento: El responsable de este tratamiento es VidaCaixa. Este tratamiento no se realiza en corresponsabilidad.

▪ Tratamiento de datos de salud: Podremos tratar sus datos de salud, al resultar estos necesarios para el cumplimiento de la normativa de ordenación de la actividad aseguradora.

▪ Obligaciones normativas: Este tratamiento se realiza en base a lo dispuesto en la normativa aplicable a estos productos:

o La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.

6.4. TRATAMIENTOS BASADOS EN EL INTERÉS LEGÍTIMO DE VIDACAIXA (art. 6.1.f) RGPD)

Estos tratamientos tienen como base jurídica la satisfacción de intereses legítimos perseguidos por VidaCaixa o por un tercero, siempre que sobre esos intereses no prevalezcan los intereses de usted, o sus derechos y libertades fundamentales, según se establece en el art. 6.1.f) del Reglamento General de Protección de Datos (RGPD).

La realización de estos tratamientos implicará que habremos realizado una ponderación entre sus derechos y nuestro interés legítimo en la cual habremos concluido que el último prevalece. En caso contrario, no realizaríamos el tratamiento. Usted puede consultar en cualquier momento el análisis de ponderación del interés legítimo de un tratamiento mandando su consulta a la dirección de correo electrónico delegado.proteccion.datos@caixabank.com.

Asimismo, le recordamos que tiene derecho a oponerse a los tratamientos basados en el interés legítimo. Si usted entiende que VidaCaixa y, en su caso, las empresas corresponsables, han de tener en cuenta alguna situación particular u otros motivos que justifiquen que dejemos de realizar el tratamiento de datos, puede solicitarlo de forma sencilla y gratuita a través de los canales que le indicamos en el epígrafe 4.

Detallamos estos tratamientos a continuación, ordenados de la (A) a la (F). Señalaremos para cada uno de ellos: el Interés Legítimo de VidaCaixa (Interés Legítimo de VidaCaixa) la descripción de la finalidad (Finalidad), la tipología de los datos tratados (Datos tratados), si procede, información sobre el uso de perfiles (Uso de perfiles), otra información necesaria acerca del tratamiento (Otra información relevante) y si son o no tratamientos realizados en régimen de corresponsabilidad con otras empresas del Grupo CaixaBank (Corresponsables/Responsable del tratamiento).

A. Gestión del desempeño de empleados, agentes y proveedores

Interés Legítimo de VidaCaixa: El interés legítimo de VidaCaixa para realizar este tratamiento es gestionar las relaciones con los empleados, agentes y proveedores en base a su desempeño profesional, asegurando el buen y eficiente funcionamiento de la compañía.

Finalidad: hacer seguimiento y evaluar el desempeño, objetivos y retos profesionales de empleados, agentes y proveedores, mediante el análisis de las operaciones y contrataciones que estos mantienen con los clientes.

Datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos de contratación.

▪ Datos financieros básicos.

Otra información relevante:

▪ Derecho de oposición al tratamiento: Si usted entiende que VidaCaixa ha de tener en cuenta alguna situación particular u otros motivos que justifique que dejemos de realizar el tratamiento de datos, puede solicitarlo de forma sencilla y gratuita a través de los canales que le indicamos en el epígrafe 4.

B. Gobierno de producto

Interés Legítimo de VidaCaixa: Cumplir con exigencias normativas en materia de diseño y gobierno de producto y garantizar que al diseñar productos y públicos objetivos se toma en consideración todos los riesgos pertinentes para el mercado en cuestión y la coherencia de la estrategia de distribución prevista.

Finalidad: Analizar los datos personales abajo mencionados para evaluar de forma continua necesidades y exigencias y, a partir de lo anterior, diseñar nuevos productos o modificar los preexistentes, para que se ajusten a las necesidad y exigencias de los clientes. Además, comunicar a nuestros distribuidores las características que deberá reunir el público objetivo al que se dirija la oferta comercial del producto. VidaCaixa supervisará su labor de distribución y la de sus distribuidores, analizará operaciones reales y verificará que sus productos se comercializan a su público objetivo.

Uso de perfiles: Para este tratamiento elaboraremos perfiles que utilizaremos exclusivamente para definir públicos objetivos y segmentos dentro de dichos propios públicos objetivos con el objetivo de favorecer que los productos de seguro que se diseñen solo sean comercializados a aquellos clientes respecto a los que mejor se ajuste atendiendo a sus necesidades y exigencias. Este perfilado no lo utilizamos, en ningún caso, para la denegación de ningún producto o servicio.

Consecuencias: El perfilado se utilizará para definir las características objetivas y subjetivas que deberán darse en una determinada situación para ofrecerle un producto a un cliente, pero no impedirá que, si un cliente solicita de manera proactiva el acceso a un determinado producto o servicio, dicha solicitud se analice y resuelva de forma ordinaria. Igualmente, el perfil podrá definir qué grupo de clientes dentro del público objetivo se considera preferente (público preferente), por ser aquellos cuyas necesidades y exigencias mejor se verían atendidas por el producto en cuestión. En ningún caso el uso de estos perfiles servirá para determinar el precio de acceso o tarifa de ninguno de los productos definidos por VidaCaixa.

Lógica: La asignación de valores a los perfiles para la determinación de las características del público objetivo y, en su caso, público preferente responderá a cálculos a partir de los datos indicados en el apartado “datos tratados”. A estos datos se les aplican fórmulas matemáticas obtenidas a partir de comportamientos observados en clientes de similares

características para valorar sus necesidades y exigencias. Estas fórmulas matemáticas permiten determinar la importancia de cada uno de los datos tratados en el resultado final del perfil del solicitante.

Datos tratados:

▪ Datos identificativos y de contacto.

▪ Datos de su actividad profesional o laboral y socioeconómicos.

▪ Datos de contratación.

▪ Datos financieros básicos.

▪ Datos observados en la contratación y mantenimiento de los productos y servicios que le sean comercializados.

▪ Datos de las comunicaciones mantenidas con usted.

▪ Informaciones obtenidas de fuentes de acceso público y registros públicos. Otra información relevante:

▪ Responsable del tratamiento: El responsable de este tratamiento es VidaCaixa. Este tratamiento no se realiza en corresponsabilidad.

▪ Obligaciones normativas: Este tratamiento se realiza en base a lo dispuesto en la normativa aplicable a estos productos:

o La Directiva (UE) 2016/97, de 20 de enero de 2016, sobre la distribución de seguros.

o Directrices preparatorias relativas a los procedimientos de gobernanza y vigilancia de productos para las empresas de seguros y los distribuidores de seguros.

C. Prevención del fraude

Interés Legítimo de VidaCaixa: Impedir y dificultar conductas fraudulentas que perjudican no solo a VidaCaixa sino al sector en general.

Finalidad: Adoptar las medidas necesarias para detectar, prevenir, evitar o revertir, si se concretan sus efectos, todas aquellas operaciones o conductas maliciosas llevadas a cabo en alguna de las fases de subscripción y contratación de seguros ofrecidos por VidaCaixa, así como evitar otras que supongan pérdidas económicas o reputacionales, a la entidad, o a sus clientes, como, por ejemplo, rescates o movilizaciones fraudulentas u otras operativas en el ámbito de la gestión de planes de pensiones, EPSV o en la operativa de gestión de pagos y cobros con carácter más amplio.

Las principales operaciones de tratamiento que se realizan en la lucha contra el fraude son:

▪ Verificar la identidad de los clientes que se relacionan con la entidad para prevenir procesos de suscripción fraudulentos o con voluntad de defraudar, por ejemplo, contratando un seguro respecto a un riesgo que ya ha ocurrido u ocultando de manera dolosa información sobre estado de salud;

▪ Revisar y analizar las contrataciones y operaciones que se realizan en nuestros sistemas para detectar conductas maliciosas o fraudulentas, por ejemplo, a la hora de tramitar una prestación, un rescate, o una movilización de un plan de pensiones.

Uso de perfiles y tratamientos automatizados: este tratamiento implica la elaboración de un perfil relativo a su operativa y actividades habituales que utilizamos exclusivamente para identificar situaciones operativas o interacciones no habituales, anómalas o alejadas de su perfil de comportamientos que pueden ser indicativas de intento de fraude. Su uso comporta la aplicación de medidas que van desde la revisión detallada de la operación, a su bloqueo o denegación de ejecución automática. Para la prevención del fraude utilizaremos tratamientos automatizados para tratar de detectar operaciones fraudulentas.

Consecuencias: En caso de que se le informe que una operación no puede ejecutarse por existir indicios de fraude, ello no le impedirá aportar información o documentación adicional que sirva a VidaCaixa para reevaluar su caso y eventualmente descartar la motivación fraudulenta.

Lógica: El tratamiento consistirá en comparar sus datos y operativas preexistentes con las actuales con el objetivo de detectar incoherencias de forma automatizada.

Datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos identificativos y de contacto.

▪ Datos de su actividad profesional o laboral y socioeconómicos.

▪ Datos de contratación.

▪ Datos financieros básicos.

▪ Datos observados en la contratación y mantenimiento de los productos y servicios que le sean comercializados.

▪ Datos de las comunicaciones mantenidas con usted.

▪ Datos relativos a sanciones internacionales.

▪ Informaciones obtenidas de fuentes de acceso público y registros públicos. ▪ Datos de salud.

Otra información relevante:

▪ Tratamiento de datos de salud: Podemos tratar sus datos de salud con esta finalidad porque así lo permite normativa sobre ordenación de la actividad aseguradora.

▪ Responsable del tratamiento: El responsable de este tratamiento es VidaCaixa.

▪ Obligaciones normativas: Este tratamiento se realiza en base a lo dispuesto en la normativa aplicable a estos productos:

▪ La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.

D. Creación de informes estadísticos y modelos matemáticos para el seguimiento y la gestión de la actividad de VidaCaixa

Interés legítimo de VidaCaixa: El interés legítimo de VidaCaixa para realizar este tratamiento es diseñar, organizar y optimizar su actividad empresarial y su actividad comercial de la manera más eficiente posible, para lo que es necesario disponer de informes sobre la gestión y actividad de la compañía y del mercado, así como algoritmos matemáticos de análisis avanzado de información.

Finalidad: Elaborar informes sobre la actividad de la compañía y su relación con el mercado, sobre la composición y evolución de su base de clientes y sobre la conveniencia y eficacia de sus productos, servicios y riesgos que permitan su eficiente dirección y gestión y crear modelos estadísticos y matemáticos que permitan realizar los tratamientos detallados en esta política.

Datos tratados: Las tipologías de datos que trataremos para esta finalidad son las que se han identificado previamente en cada uno de los tratamientos, pero a estos datos se les aplicaran, cuando sea posible, técnicas de anonimización (es decir, se alterará su información para que, irreversiblemente, no se le pueda identificar de ninguna forma) o seudonimización (codificando o cifrando sus datos) para garantizar que esos tratamientos no tienen impacto en los derechos de sus titulares, y que el resultado de los tratamientos son informes con información estadística o agregada, o fórmulas matemáticas o algorítmicas.

Otra información relevante:

▪ Responsable del tratamiento: El responsable de este tratamiento es VidaCaixa. Este tratamiento no se realiza en corresponsabilidad.

E. Comunicaciones comerciales para asegurados, partícipes y beneficiarios de productos colectivos contratados por una persona jurídica.

Interés legítimo de VidaCaixa: Poner en valor la marca y la oferta comercial de VidaCaixa frente a sus clientes y ofrecerles productos y servicios relacionados con aquellos que ya tuviesen contratados y que sirviesen a necesidades conexas. VidaCaixa entiende que ello resulta también en beneficio de sus clientes y no defrauda sus expectativas.

Finalidades: Con fines comerciales, promocionales y de marketing, VidaCaixa puede enviar comunicaciones a sus clientes de productos colectivos y con ello poner en valor su marca, sus productos y sus servicios. Además, a aquellos clientes que sean participes, asegurados o beneficiarios de productos contratados por personas jurídicas, VidaCaixa podrá ofrecerles

productos y servicios que guarden relación con aquellos otros productos de VidaCaixa que ya pudieran tener contratados.

A diferencia de los tratamientos basados en el consentimiento (A y B del epígrafe 6.1), no requeriremos su consentimiento cuando sea un cliente actual y le comuniquemos ofertas de productos y servicios ofrecidos únicamente por nosotros y similares a los que ya ha contratado.

Datos tratados:

▪ Datos identificativos y de contacto.

▪ Datos de su actividad profesional o laboral y socioeconómicos.

▪ Datos de contratación.

▪ Datos financieros básicos.

▪ Datos observados en la contratación y mantenimiento de los productos y servicios que le sean comercializados.

▪ Datos de las comunicaciones mantenidas con usted.

Otra información relevante:

▪ Fin del tratamiento: Este tratamiento dejará de llevarse a cabo y no recibirá más comunicaciones de este tipo en caso de (i) dejar de ser cliente de VidaCaixa, (ii) ejercer su derecho de oposición en cualquier momento; y (iii) en caso de que haya rechazado recibir cualquier tipo de comunicación comercial.

H. Políticas de sanciones y contramedidas financieras internacionales de OFSI y OFAC

Interés legítimo de VidaCaixa: El interés legítimo de VidaCaixa y las empresas corresponsables detalladas en este epígrafe para realizar este tratamiento, es el cumplimiento de los programas de sanciones y contramedidas financieras internacionales de Estados Unidos y Reino Unido, para poder desarrollar su actividad mercantil en esos países.

Finalidades: La finalidad de este tratamiento es la adopción de las medidas previstas en los programas de sanciones y contramedidas financieras internacionales adoptados por la Office of Financial Sanctions Implementation (OFSI) of Her Majesty´s Treasury (HTM) del Reino Unido y el U. S. Department of the Treasury’s Office of Foreign Assets Control (OFAC).

Para cumplir estos programas de sanciones y contramedidas financieras internacionales las empresas corresponsables contrastaremos si usted consta en listas de personas o entidades que estén incluidos en las medidas restrictivas de esos dos organismos.

Tipologías de datos tratados: Las tipologías de datos que trataremos para esta finalidad, cuyo contenido está detallado en el epígrafe 5 son:

▪ Datos identificativos y de contacto

▪ Datos relativos a sanciones internacionales

Otra información relevante: A continuación, encontrará otra información importante sobre este tratamiento:

▪ Derecho de oposición al tratamiento: Si usted entiende que CaixaBank ha de tener en cuenta alguna situación particular u otros motivos que justifiquen que dejemos de realizar el tratamiento de datos, puede solicitarlo de forma sencilla y gratuita a través de los canales que le indicamos en el epígrafe 4.

Corresponsables del tratamiento: Las siguientes empresas del Grupo CaixaBank tratarán sus datos en corresponsabilidad para este tratamiento:

▪ VidaCaixa, S.A. de seguros y reaseguros

▪ CaixaBank, S.A.

▪ CaixaBank Payments & Consumer, E.F.C., E.P., S.A.U.

▪ Nuevo Micro Bank, S.A.U.

▪ CaixaBank Asset Management SGIIC, S.A.U

▪ Telefónica Consumer Finance, E.F.C., S.A.

▪ Buildingcenter, S.A.U.

▪ Livingcenter Activos Inmobiliarios, S.A.U.

▪ Unión de Crédito para la Financiación Mobiliaria e Inmobiliaria, CREDIFIMO, E.F.C., ▪ S.A.U.

▪ Corporación Hipotecaria Mutual, S.A.U., Establecimiento Financiero de Crédito ▪ Banco BPI, S.A.

▪ CaixaBank Wealth Management Luxembourg, S.A.

▪ Bankia Habitat, S.L.U.

▪ CaixaBank Equipment Finance, S.A.

▪ Puerto Triana, S.A.U.

▪ CaixaBank Asset Management Luxembourg, S.A.

▪ BPI Gestão de Ativos, SGOIC, S.A.

▪ BPI Vida e Pensões – Companhia de Seguros, S.A.

Encontrará los aspectos esenciales de los acuerdos del tratamiento en corresponsabilidad en: www.caixabank.es/empresasgrupo.

7. DESTINATARIOS DE LOS DATOS: TERCEROS QUE PODRÁN TENER ACCESO A SUS DATOS PERSONALES

Responsable y Corresponsables del tratamiento de los datos

Los datos que tratamos en su condición de cliente de VidaCaixa los tratamos desde VidaCaixa.

Los datos que tratamos en el marco de la corresponsabilidad, en los términos indicados a lo largo de la presente política, serán compartidos con los corresponsables (las empresas del Grupo CaixaBank), para las finalidades y sobre las bases legitimadoras indicadas anteriormente en el apartado 6.

Autoridades, organismos y registros oficiales

Tal como se le informa respecto a cada uno de los tratamientos en el apartado 6 del presente documento, VidaCaixa está obligada legalmente a facilitar información obtenida en el marco de las contrataciones de productos y servicios a las autoridades u organismos oficiales de otros países situados tanto dentro como fuera de la Unión Europea (en cuyo caso se le informará en los términos previstos en el apartado 8) en el marco de la lucha contra la financiación del terrorismo y formas graves de delincuencia organizada y la prevención del blanqueo de capitales, así como en el marco del cumplimiento de la normativa legal del sector asegurador indicada anteriormente. Además, VidaCaixa, respecto a los seguros con cobertura de fallecimiento, en su condición de entidad aseguradora, deberá de comunicar su existencia y datos fundamentales a un registro público legalmente constituido a tal efecto (Ley 20/2005, de 14 de noviembre, sobre la creación del Registro de Contratos de Seguros de cobertura de fallecimiento).

La base legal para estas cesiones es el cumplimiento con las obligaciones legales indicadas.

Comunicaciones de datos necesarias para la ejecución de relaciones contractuales

Tal como se ha mencionado anteriormente, en el ámbito de los planes de pensiones de empleo y las EPSV, es posible que para le ejecución de las relaciones contractuales que mantenemos con usted sea necesario que comuniquemos algunos de sus datos a terceros que participen de la relación como, por ejemplo, actuarios, comisiones de control, entidades depositarias, auditores u otras figuras con competencias legalmente atribuidas a tal efecto. Igualmente, en el ámbito de los productos de seguro y también de la previsión, será necesario que comuniquemos datos a supervisores, administraciones y registros públicos. En todos estos casos, se comunicarán sus datos personales únicamente en la medida que sea necesario para el correcto desenvolvimiento de sus contrato de seguro, con esta única finalidad y base legal.

Además, en el ámbito asegurador y en los términos previstos por la LOSSEAR, será necesario comunicar datos a entidades reaseguradoras. La funcionalidad principal del contrato de reaseguro consiste en gestionar la exposición de riesgo de VidaCaixa, como entidad aseguradora, esencialmente con el objeto de reducirlo mediante su traslado, en mayor o menor medida, a la entidad reaseguradora. El reaseguro es, por tanto, un instrumento de vital importancia para la gestión del balance y la solvencia de VidaCaixa como entidad aseguradora. En el marco de la contratación de reaseguros, la LOSSEAR expresamente establece que las entidades aseguradoras podrán comunicar a sus entidades reaseguradoras, sin consentimiento del tomador del seguro, asegurado, beneficiario o tercero perjudicado, los datos que sean estrictamente necesarios para la celebración del contrato de reaseguro o la realización de las operaciones conexas, entendiéndose por tales la realización de

estudios estadísticos o actuariales, análisis de riesgos o investigaciones para sus clientes, así como cualquier otra actividad relacionada o derivada de la actividad reaseguradora. La cesión de dichos datos para cualquier finalidad distinta de las establecidas en el párrafo anterior requerirá de su consentimiento. El reasegurador no tendrá ningún tipo de contacto directo con los asegurados.

Comunicación de datos en la externalización de servicios en encargados de tratamiento

En ocasiones, recurrimos a prestadores de servicios con acceso potencial a datos de carácter personal. Estos prestadores aportan garantías adecuadas y suficientes en relación con el tratamiento de datos, ya que llevamos a cabo una selección responsable de prestadores de servicio que incorpora requerimientos específicos en el supuesto de que los servicios impliquen el tratamiento de datos de carácter personal.

Estos proveedores tratarán los datos personales siguiendo nuestras instrucciones como encargados del tratamiento, en nuestro nombre y por nuestra cuenta.

La tipología de servicios que podemos encargar a prestadores de servicios es:

> Servicios de backoffice financiero

> Servicios de apoyo administrativo

> Servicios de auditoría y consultoría

> Servicios jurídicos

> Servicios de pago

> Servicios de marketing y publicidad

> Servicios de encuestas

> Servicios de call center

> Servicios logísticos

> Servicios de seguridad física

> Servicios informáticos (seguridad de los sistemas y de la información, ciberseguridad, sistemas de información, arquitectura, alojamiento, proceso de datos)

> Servicios de telecomunicaciones (voz y datos)

> Servicios de impresión, ensobrado, envíos postales y mensajería

> Servicios de custodia y destrucción de la información (digital y física)

> Servicios de mantenimiento de edificios, instalaciones y equipos

8. PLAZOS DE CONSERVACIÓN DE LOS DATOS

Conservación para el mantenimiento de las relaciones contractuales

Con carácter ordinario, trataremos sus datos mientras sigan vigentes las relaciones contractuales que hayamos establecido con usted.

Conservación de las autorizaciones y datos basados en el consentimiento

Cuando tratemos sus datos sobre la base de su consentimiento, los conservaremos hasta que usted revoque dicho consentimiento. En todo caso, si usted cancela o termina todos sus contratos de productos y servicios con las empresas del grupo CaixaBank, automáticamente dejaremos sin efecto los consentimientos que nos haya otorgado y que no haya revocado hasta el momento, desde el momento que deje de ser cliente.

Conservación de datos cuya base legitimadora sea nuestro interés legítimo

Cuando tratemos sus datos sobre la base de nuestro interés legítimo o el de terceros, en los términos descritos en la presente política, los conservaremos hasta que dicho interés legítimo cese, cuando ejerza su derecho de oposición al tratamiento en concreto, o cuando sus derechos e intereses prevalezcan sobre nuestro interés legítimo o el de terceros. En todo caso, si usted cancela o termina todos sus contratos de productos y servicios con las empresas del grupo CaixaBank, automáticamente, desde el momento que

deje de ser cliente, dejaremos de tratar los datos personales cubiertos por nuestro interés legítimo o el de terceros, salvo en el supuesto habilitado por LOSSEAR para prevenir el fraude en la contratación de seguros, tal como se indica a continuación.

Conservación para el cumplimiento de obligaciones legales

Como entidad aseguradora y mercantil, estamos sometidos a distinta normativa que nos impone obligaciones de conservación de documentación. En cumplimiento con esta normativa, mantendremos los datos personales mientras perduren dichas obligaciones con el único fin de cumplir con estas normas.

En este sentido, le informamos que la documentación mercantil (contratos, facturas, etc.) la conservaremos durante 6 años según prevé el Código de Comercio. Asimismo, en cumplimiento con la normativa de prevención de blanqueo de capitales, conservamos su información en relación con los seguros de vida por un periodo de 10 años.

Formulación, ejercicio y defensa de reclamaciones y prevención del fraude en la contratación de seguros

Una vez revocadas las autorizaciones de uso de sus datos mediante la retirada de su consentimiento, el ejercicio de su derecho de oposición, el cese del interés legítimo o finalizadas las relaciones contractuales o de negocio que haya establecido con nosotros, y siempre que una ley no nos obligue a conservar la documentación; conservaremos sus datos únicamente para permitir la formulación, ejercicio o defensa de reclamaciones durante el plazo de prescripción de las acciones derivadas de las relaciones contractuales

por 5 años. Además, podremos mantener dichos datos más allá del plazo de vigencia de las relaciones contractuales exclusivamente con la finalidad de evitar conductas fraudulentas, en los términos descritos anteriormente, y aplicando las medidas técnicas y organizativas necesarias para garantizar que solo son utilizados para estas finalidades, conservando los datos personales bloqueados en los términos previstos en la normativa de protección de datos para ponerlos a disposición de las autoridades.

Destrucción de los datos

Finalmente, destruiremos sus datos cuando hayan transcurrido los plazos de conservación que imponen las normas que regulan la actividad de VidaCaixa y los plazos de prescripción de las acciones administrativas o judiciales derivadas de las relaciones establecidas entre usted y nosotros.

9. TRANSFERENCIAS DE DATOS FUERA DEL ESPACIO ECONÓMICO EUROPEO

En VidaCaixa tratamos sus datos dentro del Espacio Económico Europeo y, con carácter general, contratamos prestadores de servicios ubicados también dentro del Espacio Económico Europeo o en países que han sido declarados por la Comisión Europea con un nivel adecuado de protección.

Si necesitamos utilizar proveedores de servicios o reaseguradores que realicen tratamientos fuera del Espacio Económico Europeo o en países que no han sido declarados con un nivel adecuado de protección, nos aseguraríamos de garantizar la seguridad y legitimidad del tratamiento sus datos y le informaremos de ello.

Para ello, exigimos las garantías adecuadas a esos proveedores de servicios de acuerdo con lo establecido en el RGPD de manera que dispongan, por ejemplo, de normas corporativas vinculantes que garanticen la protección de la información de manera similar a la que establecen las normas europeas, o que suscribiesen las cláusulas tipo de la Unión Europea. Puede solicitarnos acceso a dichas garantías poniéndose en contacto con nosotros a través de nuestro delegado de protección de datos.

10. DECISIONES AUTOMATIZADAS

En el epígrafe 6 de este documento le informamos de los tratamientos que incorporan decisiones automatizadas.

Adicionalmente, si durante las relaciones contractuales que mantiene con nosotros fuéramos a utilizar mecanismos que pudieran adoptar decisiones basadas única y exclusivamente en el tratamiento automatizado (es decir, sin la participación de una persona) que pudiesen producir efectos jurídicos sobre usted, o que le pudiesen afectar significativamente (por ejemplo, denegarle la contratación de un

determinado producto), le informaremos sobre ello en la propia documentación contractual del producto o servicio que nos haya solicitado, así como de la lógica en virtud de la cual se adopta la decisión.

Asimismo, en ese momento, adoptaremos medidas para salvaguardar sus derechos e intereses facilitándole el derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.

11. REVISIÓN

Realizaremos una revisión de este documento cada vez que resulte necesario para mantenerle debidamente informado, por ejemplo, con motivo de la publicación de nuevas normas o criterios, o la realización de nuevos tratamientos.

Le avisaremos por los canales de comunicación habituales siempre que se produzcan cambios sustancias o importantes en esta información sobre protección de datos.