Sistema de Información Grupo BME

El Sistema interno de información del Grupo BME (en adelante “Sistema de Información de BME”) es el cauce para informar sobre conductas irregulares, o potencialmente inapropiadas, acciones u omisiones que pudieran constituir infracciones o de las que se pudieran desprender indicios de incumplimientos tanto de la legislación vigente que resulte de aplicación, como de la normativa interna establecida en el Grupo SIX-BME, así como sobre cualquier forma de discriminación o acoso en el lugar de trabajo (en adelante, “conductas e incumplimientos”).

El Sistema de Información de BME resulta de aplicación a los empleados, así como a clientes, proveedores y a otras partes interesadas que mantengan relación con BME o cualquiera de las sociedades de su Grupo, que detecten conductas e incumplimientos en un contexto laboral o profesional y las comuniquen a través de los canales habilitados (en adelante “informantes”).

Canales internos y vías de comunicación

Los canales internos de comunicación serán, de acuerdo con la normativa vigente, el medio preferente de información. El Sistema de Información de BME integra los siguientes canales internos:

• Canal de denuncias habilitado para reportar conductas irregulares, o potencialmente inapropiadas, acciones u omisiones que pudieran constituir infracciones o de las que se pudieran desprender indicios de incumplimientos tanto de la legislación vigente que resulte de aplicación, como de la normativa interna establecida en el Grupo SIX-BME.

• Canal habilitado para denunciar conductas que puedan constituir cualquier forma de discriminación o acoso laboral o sexual, en el lugar de trabajo.

Las vías de comunicación para informar/denunciar a través de los anteriores canales son:

• Por escrito, a través de los siguientes medios:

• Correo electrónico dirigido al departamento de Cumplimiento Normativo del grupo BME: canaldedenuncias@grupobme.es

• Comunicación a través de la herramienta BME Integrity Line que se encuentra en: https://bme.integrityplatform.org/, a la que solo el personal de Cumplimiento Normativo del grupo BME tiene acceso.

  La herramienta proporciona la opción de comunicar y tramitar informaciones de forma anónima.

• Mediante reunión presencial con Cumplimiento Normativo del grupo BME a solicitud del informante, dentro del plazo máximo de siete (7) días naturales desde la comunicación.

Principios esenciales de los procedimientos de gestión:

Los procedimientos de gestión de la información recibida a través de los canales integrados en el Sistema de Información de BME, se basan en los siguientes principios:

• Confidencialidad

  El Sistema de Información de BME está diseñado y gestionado de forma que se garantice la confidencialidad de la información comunicada, de la identidad del informante, de cualquier tercero mencionado en la comunicación, así como de las actuaciones que se desarrollen en la gestión y tramitación de la misma.

• Información sobre protección de datos personales

  Se garantizará la protección de datos personales, impidiendo el acceso a los mismos por personal no autorizado.

  La información relativa a protección de datos personales se encuentra en el siguiente enlace.

• Protección frente a represalias

  Las personas que comuniquen o revelen información a través de alguno de los canales puestos a su disposición, tendrán derecho de protección siempre que actúen de buena fe y tengan motivos razonables para pensar que la información es veraz en el momento de su comunicación, aun cuando no aporten pruebas concluyentes.

  Están prohibidos expresamente los actos constitutivos de represalia, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que comuniquen información conforme lo previsto en el Sistema de información de BME.

• Protección de las personas afectadas

  Las personas afectadas tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente. Tendrán igualmente derecho a la misma protección establecida para los informantes, preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento.

Canales externos

Se podrá asimismo informar a través del canal externo de información de la Autoridad Independiente de Protección del Informante (A.A.I.) o a través de las autoridades u órganos autonómicos correspondientes, de la comisión de cualesquiera acciones u omisiones que puedan constituir:

1. Infracciones del derecho de la Unión Europea, siempre que se encuentren comprendidas entre los actos enumerados en el anexo de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, cuando afecten a los intereses financieros de la UE e incidan en el mercado interior, tal como contempla el artículo 325 y 26.2 del Tratado de Funcionamiento de la Unión Europea.

2. Infracciones penales o administrativas graves o muy graves del ordenamiento jurídico español.

Igualmente, se podrán comunicar ante las instituciones, órganos u organismos pertinentes de la Unión Europea infracciones que comprendan el ámbito de aplicación de la Directiva (UE) 2019/1937, de 23 de octubre de 2019, cuando afecten a los intereses de la Unión Europea.

Información sobre protección de datos personales

¿Quién es el Responsable del tratamiento?

El responsable del tratamiento de los datos personales incluidos en cualquier información que se comunique a través del Sistema de información de BME es Bolsas y Mercados Españoles, Sociedad Holding de Mercados y Sistemas Financieros, S.A.U. («BME Holding»), con código de identificación fiscal A-83246314 y domicilio social en Plaza de la Lealtad 1, 28014 Madrid.

¿Cuál es la finalidad y base de legitimación del tratamiento de datos personales?

Los datos personales serán tratados por BME con las siguientes finalidades:

• Analizar y gestionar la denuncia a nivel interno.

• Mantener el contacto con el informante, denunciado/afectado o tercera parte que tenga relevancia en el procedimiento.

• Realizar, si así procede, la correspondiente investigación sobre la denuncia planteada.

• Eventual remisión a las autoridades competentes.

El tratamiento de datos personales por parte de BME se podrá realizar:

• En los supuestos de comunicación internos, en base a una obligación legal según dispone el 6.1.c) del Reglamento General de Protección de Datos (en adelante, “RGPD”) cuando sea obligatorio disponer de un sistema interno de información según establece la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

• En el supuesto de una revelación pública, en base a una misión de interés público según indica el art. 6.1.e) del RGPD.

• En el caso del tratamiento de las categorías especiales de datos personales por razones de un interés público esencial se podrá realizar conforme a lo previsto en el artículo 9.2.g) del RGPD

¿Qué datos personales se recogen y tratan?

Se pueden tratar los siguientes datos personales:

• Del informante (si la denuncia no es anónima): nombre completo, correo electrónico, domicilio, número de teléfono móvil o cualquier otro dato incluido en la descripción de la comunicación.

• Del afectado/denunciado: los datos que el denunciante indique en la descripción de la comunicación y los que puedan averiguarse en la investigación.

• Del testigo u otros terceros: datos averiguados de terceras partes bien indicadas en la comunicación por el informante o relevantes para la investigación que se lleve a cabo y que aporten información significativa.

¿Quién accede a los datos personales?

El acceso a los datos personales contenidos en el Sistema de información de BME quedará limitado exclusivamente al Responsable del Sistema y las personas que realizan funciones de control interno y cumplimiento en el departamento de Compliance y, cuando sea necesario, al Comité de Prevención Penal. Con carácter excepcional, se podrá permitir dicho acceso a:

• El Responsable de Recursos Humanos cuando proceda adoptar medidas disciplinarias contra un empleado.

• El Responsable de Asesoría Jurídica cuando: (1) proceda la adopción de medidas legales; o (2) la comunicación referencie al Responsable del Sistema o a algún miembro/s del Departamento de Cumplimiento y tengan que inhibirse.

• Los Encargados del tratamiento que se designen.

• La Comisión de Auditoría y Riesgos de BME cuando se necesario.

• El Delegado de Protección de Datos.

Asimismo, el tratamiento de los datos personales por otras personas será lícito cuando resulte necesario, para la adopción de medidas correctoras en BME o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan.

BME cuenta con los servicios de EQS Group AG, suministrador de la plataforma de Integrity Line y ofrece garantías respecto a la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones. De forma general, solo podrán tener acceso a la gestión de las informaciones recibidas a través del Sistema de información de BME terceras partes que aporten garantías adecuadas

La identidad del informante, en caso de que se hubiera identificado, sólo podrá ser comunicada a la Autoridad Judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora. La persona a la que se refieran los hechos relatados en la información comunicada no será en ningún caso informada de la identidad del informante.

¿Qué medidas técnicas y organizativas se utilizan?

BME se asegurará de adoptar todas las medidas técnicas y organizativas necesarias destinadas a preservar la identidad y garantizar la máxima confidencialidad de los datos que corresponden a las personas afectadas y a cualquier tercero que se mencione en la información proporcionada.

Las personas que, en el desempeño de sus obligaciones, tengan conocimiento de las informaciones presentadas a través de cualquiera de los canales, estarán obligadas a mantener el secreto profesional, especialmente en lo que respecta a la identidad de los informantes.

Tanto EQS Group AG como el software desarrollado para EQS Integrity Line están certificados según el estándar de seguridad de la información ISO 27001. La plataforma garantiza el pleno cumplimiento del RGPD y garantiza el anonimato del informante para que su identidad no pueda ser rastreada por medios técnicos.

¿Cuál es el plazo de conservación?

Los datos personales del informante, afectados y terceros mencionados en la comunicación se conservarán únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación de los hechos denunciados o informados. Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a la inmediata supresión de los datos. Si la falta de veracidad pudiera constituir un ilícito penal, se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.

Transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, procederá la supresión de los datos, salvo que su conservación sirva para dejar evidencia del funcionamiento del Sistema Interno de Información de BME. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo.

¿Cómo se puede realizar el ejercicio de derechos?

Los informantes, afectados, denunciados, testigos y otros terceros cuyos datos personales sean tratados, serán referenciados como “Interesados” al efecto del ejercicio de derechos.

Los Interesados podrán ejercer sus derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, así como contactar con el Delegado de Protección de Datos de las Partes a través de la siguiente dirección:

• Delegado de Protección de Datos del Grupo BME: protecciondedatos@grupobme.es
  Plaza de la Lealtad, 1, 28014 Madrid
  
  

Los Interesados también podrán presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Sin perjuicio de lo anterior, las características del proceso de investigación podrán modificar el ámbito del ejercicio de cualquiera de estos derechos:

• Ninguno de los Interesados cuyos datos personales se traten durante esta investigación podrá ejercer el derecho a cancelación.

• El derecho de acceso a la información incluida en el sistema de información estará limitado a la información relacionada con los datos personales del Interesado que la solicita (no se puede acceder a los datos de terceros).

• Ninguno de los Interesados a los que se refieran los hechos relatados en la comunicación podrá oponerse a ser investigado. En caso de que alguno de estos Interesados ejerciese el derecho de oposición, se presumirá que, salvo prueba en contrario, existen motivos legítimos para el tratamiento de sus datos personales.