De conformidad con lo dispuesto en la normativa aplicable de protección de datos de carácter personal informamos al Cliente: 

• 1. Responsable del tratamiento de datos personales (*)

CEPSA COMERCIAL PETRÓLEO, S.A.U., (en adelante, CCP o Cepsa indistintamente), con NIF: A80298896, Domicilio Social: Paseo de la Castellana, 259 A, 28046-Madrid (España) Delegado de Protección de Datos: dpo@cepsa.com. 

^(*) Si Vd. ha contratado productos y/o servicios con COMPAÑÍA ESPAÑOLA DE PETRÓLEOS, S.A. (CEPSA), NIF: A28003119 y domicilio social en Paseo de la Castellana, 259 A, CP 28046 Madrid (España), esta sociedad será considerada Responsable del Tratamiento.

• 2. Finalidad del tratamiento de los datos

Los datos de carácter personal aportados en el momento de la contratación, así como los aportados en un futuro como consecuencia de su desarrollo, serán incorporados a un registro de tratamientos titularidad de Cepsa con las siguientes finalidades:

1. Prestar, gestionar, controlar y mantener la relación contractual o comercial solicitada;
2. Gestionar la creación del ID de Cliente único dentro del Grupo Cepsa;
3. Mantener una relación directa con el cliente con fines publicitarios, promocionales y/o estadísticos (incluyendo la realización de la segmentación de perfiles para adecuar las ofertas y actividades de marketing a cada Cliente), relacionadas con las actividades que Cepsa realice por medios convencionales y/o electrónicos (correos electrónicos, SMS, ticket de compra...). Asimismo, dichas comunicaciones podrán hacer referencia a beneficios o ventajas propias o de terceras empresas, siempre comunicadas a través de Cepsa, que tendrán como base acuerdos de colaboración relacionados con los siguientes sectores: Ocio, viajes, cultura, tarjetas y medios de pago, automoción, transportes, seguros, distribución y financiación, regalos, moda, hogar, tecnología.
4. Realizar labores de segmentación y obtención de perfiles a través del análisis de la utilización de los servicios ofrecidos, con la finalidad de adecuar las ofertas y actividades de marketing a cada Cliente, ofreciendo productos y servicios personalizados.
5. Prestar los servicios y la información solicitada, ya sea por vía web, correo postal o telefónicamente. Proceder a la grabación de las conversaciones telefónicas efectuadas al Servicio de Atención al Cliente, con el fin de garantizar una mejor calidad de la prestación. Asimismo, los correos electrónicos podrán reportar una confirmación de su recepción y lectura.
6. Atender las incidencias que pudieran ocasionarse, así como elaborar encuestas de satisfacción sobre el producto o servicio contratado. Se podrá contactar con el Cliente en el supuesto de que se detectaran o existieran fundadas sospechas en relación a un posible fraude o suplantación de identidad.
7. Analizar el riesgo y cotejar o contrastar sus datos a fin de comprobar la exactitud y veracidad de los mismos en relación a las entidades prestadoras de servicios de solvencia patrimonial, crédito y prevención del fraude.
8. En su caso, gestionar el cumplimiento de las obligaciones dinerarias con respecto a los impagos que pudieran producirse por parte del Cliente. A tal fin, podrá incluirse esta información económica en un fichero de uso compartido por las Sociedades del Grupo Cepsa, consultables en www.cepsa.com, con las mismas finalidades. En este sentido, la consulta de ficheros relativos al incumplimiento de obligaciones dinerarias podrá llevar a Cepsa como Comercializadora a adoptar decisiones con efectos jurídicos o que le afecten, pudiendo, como consecuencia de ello, producirse la no entrada en vigor del contrato o condicionar su vigencia a la constitución de una garantía de pago. No obstante, Cepsa siempre otorgará al Cliente la posibilidad de alegar todo lo que estimara pertinente a fin de defender su derecho o interés.
9. Gestionar los datos del Cliente como usuario del Sitio Web.
10. Gestionar y mantener, en caso de que resulte aplicable, los datos del Cliente, a través del sistema de ventajas y beneficios promocionales “Porque TU Vuelves", así como controlar, gestionar y mantener los servicios inherentes al mismo. (Para más información ver condiciones de “Porque TU Vuelves” en www.porquetuvuelves.com).
11. En aquellos casos en que el Cliente haya accedido al Sitio Web mediante registro desde redes sociales, validar sus datos identificativos, contactar con el Cliente en el supuesto que fuera detectado o existieran fundadas sospechas en relación a un posible fraude o suplantación de su identidad o actividad en las redes, contactarle y remitirle comunicaciones y/u ofertas comerciales personalizadas mediante la obtención de perfiles y labores de segmentación, realizar estudios de publicidad comportamental u obtener muestras estadísticas que puedan ayudar a la compañía a mejorar la personalización de las ofertas que hace de sus productos y servicios.

• 3. Datos personales de terceros

En el caso de que los datos personales aportados pertenecieran a un tercero, el Cliente garantiza que ha informado a dicho tercero de esta Política de Privacidad y ha obtenido su autorización para facilitar sus datos a Cepsa con las finalidades señaladas. Igualmente garantiza que los datos aportados son exactos y actualizados, siendo responsable de cualquier daño o perjuicio, directo o indirecto, que pudiera ocasionarse como consecuencia del incumplimiento de tal obligación.

• 4. Plazos de conservación de los datos personales

Los datos personales proporcionados se conservarán mientras que se mantenga la relación contractual, no se solicite su supresión por el interesado y no deban eliminarse por ser necesarios para el cumplimiento de una obligación legal o para la formulación, ejercicio y defensa de reclamaciones.

Si el Cliente revoca su consentimiento o ejercita los derechos de cancelación o supresión, sus datos se conservarán bloqueados a disposición de la Administración de Justicia durante los plazos establecidos legalmente para atender a las posibles responsabilidades nacidas del tratamiento de los mismos.

• 5. Legitimación para el tratamiento de los datos

La legitimación para el tratamiento realizado se basa en:

1. El Cliente ha aportado sus datos personales para relaciones precontractuales o contractuales, y por tanto su tratamiento es necesario para el mantenimiento de dicha relación.  
2. Las obligaciones legales aplicables a Cepsa que requieren del tratamiento de los datos personales de acuerdo con los servicios prestados.
3. El interés legítimo de Cepsa para los tratamientos estrictamente necesarios para la prevención del fraude durante la contratación, o para el envío de comunicaciones comerciales directamente relacionadas con los servicios contratados.
4. El consentimiento del Cliente, para el resto de supuestos entre los cuales se encuentra el envío de comunicaciones comerciales de productos, servicios, beneficios y/o ventajas de terceros, siempre a través de Cepsa, con fines publicitarios o promocionales, para la instalación de sistemas de seguimiento que informan sobre los hábitos de navegación según la Política de Cookies, o para la utilización de información relacionada con su localización geográfica. En ningún caso la retirada de este consentimiento condiciona la ejecución del contrato principal.

• 6. Origen de los datos personales

Los datos personales que tratará Cepsa para la prestación del servicio contratado han sido facilitados en su gran mayoría de manera directa por el propio Cliente durante el proceso de contratación, tales como el nombre, los apellidos, dirección, datos de contacto, datos de medios de pago. El Cliente se responsabiliza de su veracidad y actualización.

Asimismo, Cepsa podrá obtener información recogida a través de la web, así como del uso del servicio contratado, tales como datos estadísticos o de navegación, o en su caso, de intereses y consumo a través de “Porque TU Vuelves” de Cepsa.

Asimismo, si el Cliente ha accedido a la página web a través de su registro en redes sociales, Cepsa podrá obtener la información pública disponible por Internet como su identificador de usuario, nombre, sexo, fecha de nacimiento, “clics” en “me gusta”, “tweets” efectuados, número de seguidores, número de usuarios seguidos e información del perfil como su biografía y la información de ubicación (si fue declarada por el usuario). En el caso de Facebook, el Cliente podrá seleccionar de entre los permisos que le son solicitados aquellos que no desee proporcionar.

Cepsa utilizará un sistema de autentificación por “token” (clave codificada de seguridad que facilita la red social) para la identificación o registro del usuario y poder facilitarle de esta forma el acceso al área privada de Cliente.

En ningún caso serán recabados datos de terceras personas físicas ajenas al propio usuario. Los datos del Cliente serán los registrados por usted en la red social y los análisis comportamentales y segmentaciones que se lleven a cabo a partir de los comentarios o “tweets”, se realizarán de forma completamente automática y sin intervención humana. El Cliente es informado de la posibilidad de editar la información que quiere compartir con Cepsa, pudiendo permitir un acceso más amplio o restringido a su información según desee, así como la posibilidad de que dispone de revocar en cualquier momento el consentimiento otorgado.

Asimismo, podrían recogerse datos de localización geográfica del dispositivo o terminal del Cliente, siempre y cuando haya otorgado su consentimiento para ello, con la finalidad de facilitar la prestación de servicios, realizar acciones publicitarias y ofrecerle información personalizada y adecuada a su ubicación. El Cliente podrá en cualquier momento desactivar el acceso a los datos de geolocalización, así como revocar el consentimiento prestado para su geolocalización, mediante la configuración de los ajustes de su dispositivo o terminal.

• 7. Cesiones y destinatarios de los datos personales 

Todas las cesiones de datos que realizará Cepsa resultan necesarias para el cumplimiento de las finalidades indicadas, o se realizan para cumplir una obligación legal, respecto de las siguientes Empresas y Organismos públicos:

1. Sociedades del Grupo Cepsa, consultables en www.cepsa.com.
2. Las Administraciones Públicas y la Administración de Justicia.
3. Sociedades prestadoras de servicios de solvencia patrimonial, crédito y prevención del fraude, para el análisis del riesgo y para el cotejo o contraste de sus datos a fin de comprobar la exactitud y veracidad de los mismos y a empresas proveedoras de Servicios de Pago.
4. Sociedades de seguro, reaseguro, fondos de garantía, o cualquier otro tercero que actúe como garante del riesgo o de las transacciones que el Cliente efectúe con medios de pago Cepsa, en caso en el que el emisor del medio de pago tenga acuerdos con las Sociedades indicadas y con la única finalidad de identificar su registro como Titular de una tarjeta o un medio de pago Cepsa.
5.  En su caso, empresas distribuidoras, con el fin de gestionar el acceso a la red, la identidad del Cliente, dirección, consumo y las situaciones de impago, quedando dichos datos incorporados en el fichero del Sistema de información de puntos de suministro, cuyo responsable es la Empresa Distribuidora.
6. Empresas y entidades colaboradoras de Cepsa, para la organización, gestión, y/o promoción de concursos, eventos, promociones o sorteos, en caso de que el Participante haya decidido inscribirse y/o formar parte de estos.
7. Proveedores de Cepsa: Cepsa ha contratado su infraestructura informática y la gestión de clientes con modelo de “computación en la nube” a Amazon Web Services, Inc. y a Salesforce.com Inc. al amparo del acuerdo EU-US Privacy Shield. Información disponible en: https://www.privacyshield.gov/participant?id=a2zt0000000TOWQAA4
   La Unión Europea ha autorizado las Normas Corporativas Vinculantes (BCRs) de Salesforce.com Inc. que le permite realizar transferencias internacionales de datos en su Grupo Empresarial. No obstante lo indicado, el Cliente otorga su consentimiento expreso e inequívoco para la transmisión internacional de sus datos personales a sociedades domiciliadas en países que no tienen una normativa de protección de datos adecuada.    
8. Cepsa ha contratado como Proveedores a Google, Weborama Ibérica, S.L. o Salesforce.com Inc., con la finalidad de medir el tráfico web, y el comportamiento de los Clientes. Información disponible para el Cliente en la Política de Cookies de Cepsa en el Sitio Web y la de sus Proveedores en sus sitios web:
   Weborama Ibérica, S.L. - http://www.weborama.com/e-privacy/our-commitment/
   Google Analytics - https://support.google.com/analytics/answer/181881?hl=es
   Salesforce.com, Inc.- https://www.salesforce.com/company/privacy/full_privacy.jsp#nav_info

• 8. Derechos de los Clientes

El Cliente podrá ejercitar ante Cepsa Comercial Petróleo, S.A.U., en caso de que resulten de aplicación, los derechos de acceso, rectificación o supresión, limitación de su tratamiento, oposición, portabilidad y a oponerse a decisiones individuales automatizadas. Asimismo, podrá revocar su consentimiento en caso de que lo haya otorgado para alguna finalidad específica, pudiendo modificar sus preferencias en todo momento.

El Cliente podrá ejercitar sus derechos en la dirección de correo electrónico: derechos.arco@cepsa.com, o en el domicilio social de Cepsa Comercial Petróleo, S.A.U. (Ref.: Protección de Datos-Asesoría Jurídica), en el Paseo de la Castellana, 259 A, 28046-Madrid (España). Se informa al Cliente que puede dirigir cualquier tipo de reclamación en materia de protección de datos personales a la Agencia Española de Protección de Datos www.agpd.es, Autoridad de Control de España.