Plataforma Digital de Conexión de los Archivos Históricos de Migración Croata en el Perú
| Título: Política de Protección de Datos Personales | |||
|---|---|---|---|
|
Empresa Asociación Croata Dubrovnik (en adelante “LA ASOCIACIÓN”) |
Elaboración Asesoría Legal |
Responsable: Administración |
Aprobación: Presidencia |
|
Responsable El presente documento contiene las políticas y medidas de seguridad para la protección de los Datos Personales que trata LA ASOCIACIÓN. |
La presente política está dirigida a: Usuarios de la Página Web |
||
INTRODUCCIÓN
LA ASOCIACIÓN está comprometida con mantener la privacidad y la protección de información de los Usuarios de la Página Web de LA ASOCIACIÓN
(en adelante, “Titulares de los Datos Personales”) de conformidad con lo establecido en la Ley N° 29733, Ley de Protección de Datos Personales,
su Reglamento y normas complementarias, adoptando para ello las medidas técnicas y organizativas necesarias para evitar la pérdida, mal uso,
alteración, acceso no autorizado y robo de los Datos Personales facilitados por sus titulares. Asimismo, LA ASOCIACIÓN garantiza la mejora
continua de estas medidas.
DEFINICIONES
a. APDP: Autoridad Nacional de Protección de Datos Personales.
b. Activo de Información: Todo documento físico (DF), documento digital (DD) y aplicativos informáticos (APP) que tengan un valor para LA ASOCIACIÓN y/o soporten o sean parte de la actividad, proceso o giro de negocio de la organización.
c. Banco de Datos Personales: Conjunto organizado de Datos Personales automatizados o no, independientemente del soporte, sea este físico, magnético, digital u otros que se cree, cualquiera fuera la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
d. Colaboradores: Son los trabajadores y practicantes.
e. Consentimiento: Autorización del Titular de los Datos Personales para que el Titular del Banco de Datos Personales realice Tratamiento y/o Transferencia de los mismos.
f. Datos Personales: Aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a una persona natural, que la identifica o le hace identificable directa o indirectamente a través de medios que puedan ser razonablemente utilizados. Ej: nombres y apellidos, DNI/RUC, pasaporte, sexo, profesión, edad, nacionalidad, fecha de nacimiento, dirección, teléfono, correo electrónico, fotografía, firma, voz, etc.
g. Datos sensibles: Datos Personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, hábitos personales de la esfera más íntima, información relativa a la salud física o mental, datos biométricos que por sí mismos pueden identificar al titular, datos referidos al origen racial o étnico, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical, información relacionada a la salud o a la vida sexual u otras que afecten la intimidad de la persona natural.
h. Encargado del Banco de Datos Personales: Toda persona natural, jurídica de derecho privado o entidad pública que, sola o actuando conjuntamente con otra, realiza el Tratamiento de Datos Personales por encargo del Titular del Banco de Datos Personales.
i. Normas de Protección de Datos Personales: Lo establecido en la Ley No. 29733, Ley de Protección de Datos Personales, su Reglamento y normas complementarias.
j. Política: La presente política de Protección de Datos Personales
k. Sitio Web: Es el sitio web de LA ASOCIACIÓN: https://www.nasaveza-peru.com/
l. Titular(es) de Datos Personales: Persona(s) natural a quien corresponden los Datos Personales.
m. Titular del Banco de Datos Personales: Persona natural, jurídica de derecho privado o entidad pública que determina la finalidad y contenido del Banco de Datos Personales, Tratamiento de estos y las medidas de seguridad.
n. Transferencia: Toda transmisión, suministro o manifestación de Datos Personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del Titular de Datos Personales. No se considera transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de Datos Personales.
o. Tratamiento: Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de Datos Personales.
DESARROLLO
1. RECOPILACIÓN DE LA INFORMACIÓN
Para efectos de visitar nuestro Sitio Web no existe obligación de proporcionar Datos Personales.
Para los casos en que se registre como Usuario se requerirá información personal, específica y necesaria. Tal información puede comprender Nombres, apellidos, número y tipo de documento de identidad, fecha de nacimiento, número de celular y correo electrónico.
2. CONSENTIMIENTO DE LOS TITULARES DE LOS DATOS PERSONALESPara los casos en que se registre como Usuario se requerirá información personal, específica y necesaria. Tal información puede comprender Nombres, apellidos, número y tipo de documento de identidad, fecha de nacimiento, número de celular y correo electrónico.
La aceptación de la Política de Privacidad y la presente política representa el consentimiento expreso de los Titulares de los Datos
Personales para la recopilación de sus Datos Personales y para su tratamiento para los fines específicos que motivaron su recopilación.
3. RESPONSABILIDAD POR LA INFORMACIÓN PROPORCIONADA
Los Datos Personales que los Titulares de los Datos Personales proporcionen deben ser, bajo su responsabilidad, verdaderos, completos,
exactos, vigentes y, corresponder a su verdadera identidad.
Cualquier tipo de daño o perjuicio, directo o indirecto, que se derive para LA ASOCIACIÓN o para terceros como consecuencia del incumplimiento parcial o total de la obligación referida en el punto anterior, será responsabilidad única y exclusiva de los Titulares de los Datos Personales.
4. TRATAMIENTO DE LA INFORMACIÓNCualquier tipo de daño o perjuicio, directo o indirecto, que se derive para LA ASOCIACIÓN o para terceros como consecuencia del incumplimiento parcial o total de la obligación referida en el punto anterior, será responsabilidad única y exclusiva de los Titulares de los Datos Personales.
Los Datos Personales proporcionados serán objeto de tratamiento únicamente para la finalidad específica para la que fueron suministrados.
LA ASOCIACIÓN no empleará los Datos Personales de los Titulares de los Datos Personales para ninguna finalidad distinta de la expresamente prevista en la Política, a no ser que se trate de una finalidad expresamente permitida o exigida por la normativa vigente aplicable o que LA ASOCIACIÓN haya recabado previamente el debido consentimiento de los titulares de los Datos Personales.
LA ASOCIACIÓN no compartirá ni cederá a terceros algún dato personal de los Titulares de los Datos Personales sin el consentimiento previo y expreso de este último, salvo cuando dicha comunicación sea exigida por la legislación vigente, por orden judicial o por una autoridad competente.
El Sitio Web de LA ASOCIACIÓN puede ofrecer vínculos (links) para acceder a otras páginas web que no son parte de aquellos. Es responsabilidad de los Titulares de los Datos Personales revisar las Políticas de Privacidad y Protección de Datos Personales en dichas páginas web para verificar el nivel de protección de sus Datos Personales en ese ambiente, lo que es ajeno a la responsabilidad de LA ASOCIACIÓN.
5. RESPONSABILIDADES:LA ASOCIACIÓN no empleará los Datos Personales de los Titulares de los Datos Personales para ninguna finalidad distinta de la expresamente prevista en la Política, a no ser que se trate de una finalidad expresamente permitida o exigida por la normativa vigente aplicable o que LA ASOCIACIÓN haya recabado previamente el debido consentimiento de los titulares de los Datos Personales.
LA ASOCIACIÓN no compartirá ni cederá a terceros algún dato personal de los Titulares de los Datos Personales sin el consentimiento previo y expreso de este último, salvo cuando dicha comunicación sea exigida por la legislación vigente, por orden judicial o por una autoridad competente.
El Sitio Web de LA ASOCIACIÓN puede ofrecer vínculos (links) para acceder a otras páginas web que no son parte de aquellos. Es responsabilidad de los Titulares de los Datos Personales revisar las Políticas de Privacidad y Protección de Datos Personales en dichas páginas web para verificar el nivel de protección de sus Datos Personales en ese ambiente, lo que es ajeno a la responsabilidad de LA ASOCIACIÓN.
a. El Responsable de la Seguridad de los Bancos de Datos Personales deberá:
6. LINEAMIENTOS:- Incorporar en la cultura de cumplimiento, las obligaciones vinculadas a la protección de Datos Personales.
- Asegurar el monitoreo e investigación para el cumplimiento de la Política.
- Coordinar las sanciones por el incumplimiento de la Política.
- Asegurar el desarrollo e implementación de procedimientos que permitan asegurar el cumplimiento de las Normas de Protección de Datos Personales.
- Ser interlocutor entre la APDP y LA ASOCIACIÓN.
- Gestionar la inscripción y actualización de los Bancos de Datos Personales de responsabilidad de LA ASOCIACIÓN ante la APDP.
- Dar asistencia ante las inspecciones y requerimientos de la APDP.
- Identificar las normas sobre la materia que hagan referencia a las Normas de Protección de Datos Personales.
- Ejecutar capacitaciones virtuales para que los colaboradores conozcan las normas internas de seguridad técnica.
- Definir lineamientos de seguridad para el envío de Datos Personales por medios de soporte informático.
- Definir lineamientos para mantenimiento de registros de auditoría.
- Definir lineamientos para Transferencias por correo electrónico.
- Definir lineamientos para que los Documentos Digitales cumplan con las Normas de Protección de Datos Personales.
- Identificar las normas sobre la materia que se relacionen con las Normas de Protección de Datos Personales.
- Definir lineamientos de seguridad para el Tratamiento de Datos Personales en medios físicos dentro y fuera de las instalaciones.
- Definir lineamientos de seguridad para el traslado y envío de Datos Personales por medios físicos a fin de adoptar medidas que impidan el acceso o manipulación de la información objeto del traslado.
- Definir lineamientos para que los Tratamientos de documentos físicos que contengan Datos Personales cumplan con las Normas de Protección de Datos Personales.
- Capacitar a los colaboradores sobre los controles de seguridad, definidos en las normas internas para el tratamiento de Datos Personales en documentos físicos.
- Monitorear el cumplimiento de los lineamientos de seguridad para el Tratamiento de Datos Personales en documentos físicos.
6.1. PRINCIPIOS RECTORES
LA ASOCIACIÓN, en su calidad de Titular de los Bancos de Datos Personales debe cumplir con los principios rectores de la protección de Datos Personales de conformidad con lo establecido en las Normas de Protección de Datos Personales.
LA ASOCIACIÓN, en su calidad de Titular de los Bancos de Datos Personales, tiene la obligación de obtener el Consentimiento de los Titulares de los Datos Personales para poder realizar el Tratamiento y Transferencia de sus Datos Personales, teniendo en cuenta las disposiciones de las Normas de Protección de Datos Personales y los lineamientos establecidos por Ley. El Consentimiento debe ser:
De acuerdo con el artículo 14° de la Ley de Protección de Datos Personales, el Titular del Banco de Datos Personales o el responsable del Tratamiento no necesita obtener la autorización del Titular de los Datos Personales cuando realice Tratamiento en los siguientes supuestos señalados en el artículo 14° de la Ley de Protección de Datos Personales
6.4. PROTECCIÓN DE DATOS PERSONALES DE LOS COLABORADORES
En razón a que los Datos Personales de los colaboradores de LA ASOCIACIÓN son necesarios para ejecutar una relación contractual en la que el titular del dato personal es parte, LA ASOCIACIÓN no está obligado a requerir su consentimiento para el tratamiento de Datos Personales, incluyendo la contratación de un proveedor para su tratamiento.
6.5. TRATAMIENTO DE LOS DATOS PERSONALES DE MENORES DE EDAD
LA ASOCIACIÓN no realiza Tratamiento de los Datos Personales de menores de edad.
6.6. MEDIDAS DE SEGURIDAD
El Titular del Banco de Datos Personales debe implementar las medidas de seguridad correspondientes de acuerdo con el tipo de activo de información que soporte los Datos Personales. LA ASOCIACIÓN debe asegurar el cumplimiento de las Políticas de Seguridad de la Información y otras políticas internas sobre el tratamiento de los Activos de Información y de los riesgos relacionados.
Dichas políticas deberán contener lineamientos para asegurar el cumplimiento de las Normas de Protección de Datos Personales, asegurando el adecuado:
6.7. ATENCIÓN DE DERECHOS PROTEGIDOSLA ASOCIACIÓN, en su calidad de Titular de los Bancos de Datos Personales debe cumplir con los principios rectores de la protección de Datos Personales de conformidad con lo establecido en las Normas de Protección de Datos Personales.
- Principio de Legalidad: El tratamiento de los Datos Personales se hace conforme a lo establecido en la Ley. Se prohíbe la recopilación de los Datos Personales por medios fraudulentos, desleales o ilícitos.
- Principio de Consentimiento: El tratamiento de Datos Personales es lícito cuando el Titular de los Datos Personales prestó su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa.
- Principio de Finalidad: Se considera que una finalidad está determinada, cuando haya sido expresada con claridad, sin lugar a confusión y cunado de manera objetiva se especifica el objeto que tendrá el Tratamiento de los Datos Personales. Las personas que realicen el Tratamiento de algún Dato Personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar el secreto profesional.
- Principio de Proporcionalidad: Todo tratamiento de Datos Personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
- Principio de Calidad: Los Datos Personales contenidos en un Banco de Datos Personales deben ajustarse con precisión a la realidad. Se presume que los datos directamente facilitados por el Titular de los mismos son exactos.
- Principio de Seguridad: En el Tratamiento de los Datos Personales deben adoptarse las medidas de seguridad que resulten necesarios a fin de evitar cualquier tratamiento contrario a las Normas de Protección de Datos Personales, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio tecnológico utilizado.
- Principio de Disposición de Recurso: Todo Titular de Datos Personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerables por el tratamiento de sus Datos Personales.
- Principio de Nivel de Protección Adecuado: Para el flujo transfronterizo de Datos Personales, se debe garantizar un nivel suficiente de protección para los Datos Personales que se vayan a tratar o por lo menos, equiparable a lo previsto por las normas de Protección de Datos Personales o por lo estándares internacionales en la materia.
LA ASOCIACIÓN, en su calidad de Titular de los Bancos de Datos Personales, tiene la obligación de obtener el Consentimiento de los Titulares de los Datos Personales para poder realizar el Tratamiento y Transferencia de sus Datos Personales, teniendo en cuenta las disposiciones de las Normas de Protección de Datos Personales y los lineamientos establecidos por Ley. El Consentimiento debe ser:
- Libre: sin que medie error, mala fe, violencia o dolo que pueda afectar la manifestación de voluntad del Titular de Datos Personales, la cual debe ser voluntaria.
- Previo: debe ser pedido antes de la recopilación y Tratamiento de los Datos Personales.
- Expreso e inequívoco: debe ser manifestado en condiciones que no admitan dudas de su otorgamiento. La manifestación de voluntad del titular de Datos Personales puede ser verbal cuando ésta es exteriorizada oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral; o escrita mediante documento con firma autógrafa, huella dactilar u otro autorizado por el ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel o similar (ej. “hacer clic” es una manifestación escrita válida a través de un medio digital), en el caso de los Datos Sensibles, el Consentimiento manifestado debe ser por escrito.
- Informado: el Titular de Datos Personales debe ser informado por el Titular del Banco de Datos Personales de manera clara, expresa, sencilla y de manera previa a su recopilación, sobre la finalidad para la cual sus Datos Personales serán tratados, quiénes son o pueden ser sus destinatarios, la existencia del Banco de Datos Personales en que se almacenarán, así como la identidad y domicilio del Titular del Banco, y de ser el caso, del Encargado del Banco de Datos Personales, el carácter obligatorio y facultativo de sus respuestas al cuestionario que se le proponga, las consecuencias de proporcionar sus Datos Personales y de su negativa a hacerlo, el tiempo durante el cual se conserven los Datos Personales, la Transferencia de sus Datos Personales y la posibilidad de ejercer los derechos que la Ley de Protección de Datos Personales y los medios previstos para ello.
De acuerdo con el artículo 14° de la Ley de Protección de Datos Personales, el Titular del Banco de Datos Personales o el responsable del Tratamiento no necesita obtener la autorización del Titular de los Datos Personales cuando realice Tratamiento en los siguientes supuestos señalados en el artículo 14° de la Ley de Protección de Datos Personales
6.4. PROTECCIÓN DE DATOS PERSONALES DE LOS COLABORADORES
En razón a que los Datos Personales de los colaboradores de LA ASOCIACIÓN son necesarios para ejecutar una relación contractual en la que el titular del dato personal es parte, LA ASOCIACIÓN no está obligado a requerir su consentimiento para el tratamiento de Datos Personales, incluyendo la contratación de un proveedor para su tratamiento.
6.5. TRATAMIENTO DE LOS DATOS PERSONALES DE MENORES DE EDAD
LA ASOCIACIÓN no realiza Tratamiento de los Datos Personales de menores de edad.
6.6. MEDIDAS DE SEGURIDAD
El Titular del Banco de Datos Personales debe implementar las medidas de seguridad correspondientes de acuerdo con el tipo de activo de información que soporte los Datos Personales. LA ASOCIACIÓN debe asegurar el cumplimiento de las Políticas de Seguridad de la Información y otras políticas internas sobre el tratamiento de los Activos de Información y de los riesgos relacionados.
Dichas políticas deberán contener lineamientos para asegurar el cumplimiento de las Normas de Protección de Datos Personales, asegurando el adecuado:
- Control de Accesos (¿quién puede acceder? ¿cuándo? ¿desde cuándo? ¿qué puede hacer?)
- Almacenamiento seguro de los Datos Personales (respaldos, áreas con acceso protegido)
- Transferencia segura de Datos Personales fuera de LA ASOCIACIÓN (medios de transporte autorizados, medidas de seguridad como cifrado para evitar accesos no autorizados, pérdida o corrupción de información durante el tránsito)
- Traslado seguro de Datos Personales para impedir acceso o su manipulación.
- Tratamiento de los Datos Personales en documentos físicos (copia o reproducción de los documentos, custodia, traslado, destrucción)
LA ASOCIACIÓN debe garantizar la atención de los derechos protegidos que pueda ejercer el Titular de los Datos Personales. Para ello deberán mantener disponibles canales, procedimientos e información para atender las solicitudes en los plazos establecidos por las Normas de Protección de Datos Personales. Los derechos que puede ejercer el Titular de los Datos Personales son:
7. EJERCICIO DE DERECHOS ARCO- Acceso / Información:
El derecho de acceso es aquel derecho a ser informado sobre cuáles son los Datos Personales incluidos en los Bancos de Datos de responsabilidad de LA ASOCIACIÓN, así como de las condiciones y generalidad del Tratamiento y Transferencia de los mismos.
El derecho de información es aquel derecho del Titular de Datos Personales a que se le brinde toda la información sobre la finalidad para la cual sus Datos Personales serán tratados, quiénes son o pueden ser sus destinatarios, la existencia del Banco de Datos Personales en que se almacenarán así como la identidad y domicilio del Titular de los Datos Personales y, de ser el caso, del Encargado del Banco de Datos Personales, de la Transferencia de sus Datos Personales, de las consecuencias de proporcionarlos y de su negativa a hacerlo, del tiempo de conservación de los mismos y de la posibilidad de ejercer los derechos que la ley le concede.
- Rectificación / Actualización:
Aquel derecho del Titular de Datos Personales a actualizar, incluir o modificar sus Datos Personales. Aplica cuando los datos son parcial o totalmente inexactos, incompletos, erróneos, falsos o están desactualizados. El Titular de Datos Personales deberá especificar los datos que sea desea sean rectificados, actualizados y/o incluidos, así como la corrección y/o incorporación que quiera que LA ASOCIACIÓN realice y deberá adjuntar los documentos de sustento necesarios para que la rectificación y/o inclusión solicitada sea procedente.
- Cancelación / Supresión::
Aquel derecho del Titular de Datos Personales a solicitar la supresión o cancelación total o parcial de sus Datos Personales de un Banco de Datos Personales. Esta solicitud procede si los Datos Personales del titular hubieran dejado de ser necesarios o pertinentes para la finalidad que fueron recopilados, cuando; (i) hubiera vencido el plazo para su Tratamiento, (ii) decida revocar su Consentimiento para el Tratamiento de los mismos y (iii) en los casos en los que el Tratamiento no sea conforme a las Normas de Protección de Datos Personales.
El Titular de Datos Personales debe tener en cuenta que su solicitud no procederá cuando sus datos sean necesarios para ejecutar la relación contractual que mantiene con LA ASOCIACIÓN, ni cuando deban ser conservados durante los plazos previstos en las disposiciones legales vigentes ni cuando sean conservados en virtud de razones históricas, estadísticas o científicas de acuerdo con la legislación aplicable.
Aquel derecho del Titular de Datos Personales a revocar su consentimiento para el Tratamiento de sus Derechos Personales en cualquier momento, sin justificación previa y siempre que dicho tratamiento se realice para finalidades adicionales a aquellas que dan lugar a su Tratamiento autorizado. En ese sentido, la solicitud de revocación no procederá si los Datos Personales son necesarios para la ejecución de la relación contractual que el Titular de los Datos Personales mantiene LA ASOCIACIÓN, no si debemos conservar los mismo por razones históricas, estadísticas o científicas de acuerdo con la legislación aplicable. Sin perjuicio del ejercicio del derecho de revocación, el Titular del Banco Personal conservará la información que corresponda por el plazo previsto en las disposiciones vigentes.
- Oposición:
Aquel derecho del Titular de Datos Personales a oponerse a figurar en un Banco de Datos Personales de responsabilidad de LA ASOCIACIÓN o al Tratamiento de su información personal cuando no hubiere prestado Consentimiento para su recopilación por haber sido tomados de fuentes de acceso al público o cuando habiendo prestado su Consentimiento, acredite la existencia de motivos fundados y legítimos relativos a una concreta situación personal que justifique el ejercicio de este derecho.
Los Titulares de los Datos Personales podrán ejercitar sus derechos de Información, Acceso, Rectificación, Cancelación, Revocación y Oposición (ARCO) al uso de sus Datos Personales, de conformidad con la Ley de Protección de Datos Personales, Ley N° 29733. En ese sentido, los Titulares de los Datos Personales tienen derecho, entre otros, a acceder a su información personal, a solicitar la rectificación de datos inexactos y a revocar su consentimiento para el tratamiento de la misma; asimismo, podrá solicitar la supresión de sus datos u oponerse al tratamiento de los mismos, incluso cuando estos ya no resulten necesarios para los fines que motivaron su recopilación.
El ejercicio de estos derechos es gratuito. Para ello, debe ingresar al siguiente link: [COMPLETAR] y completar la información requerida en el apartado “Solicitud de Atención de Derechos ARCO” y debe adjuntar la copia del documento de identidad (DNI/CE/Pasaporte) que acredite su titularidad sobre los Datos Personales respecto de los cuales ejercerá su derecho.
La atención de la solicitud será efectuada de acuerdo a los plazos previstos en la normatividad de protección de Datos Personales.
8. PRESENTACIÓN DE REPORTES DE POTENCIALES VIOLACIONES A LAS NORMAS DE PROTECCIÓN DE DATOS PERSONALES Y SEÑALES DE ALERTA.El ejercicio de estos derechos es gratuito. Para ello, debe ingresar al siguiente link: [COMPLETAR] y completar la información requerida en el apartado “Solicitud de Atención de Derechos ARCO” y debe adjuntar la copia del documento de identidad (DNI/CE/Pasaporte) que acredite su titularidad sobre los Datos Personales respecto de los cuales ejercerá su derecho.
La atención de la solicitud será efectuada de acuerdo a los plazos previstos en la normatividad de protección de Datos Personales.
El colaborador de LA ASOCIACIÓN deberá informar al Responsable de la Seguridad de los Bancos de Datos Personales de cualquier acto ilícito o incumplimiento de la Política para garantizar el cumplimiento de las Normas de Protección de Datos Personales. LA ASOCIACIÓN adoptará las medidas necesarias para proteger la confidencialidad de cualquier reporte, sujeto a ley, regulaciones o procedimientos legales.
LA ASOCIACIÓN tiene estrictamente prohibido tomar represalias contra los colaboradores que, o bien elaboran reportes de buena fe y/o participan en informar cualquier acto ilícito o incumplimiento de la Política. Cabe precisar que cualquier colaborador que tome represalias estará sujeto a sanciones disciplinarias.
9. BANCOS DE DATOS PERSONALESLA ASOCIACIÓN tiene estrictamente prohibido tomar represalias contra los colaboradores que, o bien elaboran reportes de buena fe y/o participan en informar cualquier acto ilícito o incumplimiento de la Política. Cabe precisar que cualquier colaborador que tome represalias estará sujeto a sanciones disciplinarias.
9.1. Identificación y domicilio del titular de los Bancos de Datos
10. MEDIDAS DISCIPLINARIAS
LA ASOCIACIÓN con domicilio en Av. San Felipe Nro. 568 Jesús María- Lima.
9.2. Los Datos Personales que se proporcione a LA ASOCIACIÓN serán almacenados en los siguientes Bancos de Datos:
9.2.1. Banco de Datos Personales de Usuarios de la Página Web
9.3. Consentimiento Informado- Ubicación del banco de Datos Personales: 2155 E GoDaddy Way Tempe, Arizona 85284, EEUU; Avenida San Felipe 568, Jesús María.
- Finalidad: Recopilar los datos personales de los usuarios de la página web para el envío de promociones para hacerse socio y participar de las actividades de la Asociación. Así también, para que los usuarios puedan encontrar información de sus antepasados.
- Usos previstos: gestión de listas de clientes; publicidad y prospección comercial; fines estadísticos, históricos o científicos; gestión de listas de asociados; actividades asociativas, culturales, recreativas y deportivas; actividades profesionales y educación.
- Datos Personales sometidos a tratamiento: nombres y apellidos, N° DNI, N° Ruc, N° de pasaporte, carné de extranjería, dirección de correo electrónico, número de celular, fecha de nacimiento y edad.
- Procedimientos de obtención: Formularios y Transmisión electrónica.
- Fuentes de obtención: El propio titular de los Datos Personales.
- Los destinatarios de transferencias de Datos Personales.
- Flujo transfronterizo: Prestaciones de servicios de alojamiento web. - Transferencia nacional: No
Los titulares de los Datos Personales manifiestan expresamente que han sido debidamente informados de todos los usos previstos antes mencionados.
Asimismo, a través de la aceptación de la presente Política de Protección de Datos Personales los titulares de los Datos Personales autorizan y
otorgan su consentimiento, de manera previa, libre, expresa e inequívoca y gratuita, para el tratamiento de su información nacional e
internacionalmente, de conformidad con las finalidades antes descritas. Sin perjuicio de lo anterior, los Usuarios reconocen y aceptan que
cualquier tratamiento de su información que sea necesaria para la ejecución de la relación contractual no requieren de su consentimiento.
Cabe precisar que, LA ASOCIACIÓN no requiere consentimiento para tratar sus datos personales obtenidos de fuentes accesibles al público; asimismo,
podrá tratar sus datos personales de fuentes no públicas, siempre que dichas fuentes cuenten con su consentimiento para tratar y transferir dichos
datos personales.
9.4. Registro de Bancos de Datos Personales
LA ASOCIACIÓN está obligada a inscribir en el Registro Nacional de Datos Personales, administrado por la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia (MINJUS), los Bancos de Datos Personales bajo su responsabilidad, sea que se encuentren en soportes físicos (archivos, almacenes) o digitales (aplicativos, Excel, Access, etc.)
Asimismo, sólo se deben registrar los Bancos de Datos Personales matrices. En ese sentido, se deberá informar al Responsable de la Seguridad de los Bancos de Datos Personales, sobre los Bancos de Datos Personales existentes que se identifiquen y que no hayan sido registrados ante el MINJUS o que cualquier área vaya a crear, quien analizará si ese Banco de Datos Personales es parte de algún otro banco ya registrado o si requiere registrarse como Banco de Datos Personales matriz.
9.5. IDENTIFICACIÓN DE LOS BANCOS DE DATOS PERSONALES Asimismo, sólo se deben registrar los Bancos de Datos Personales matrices. En ese sentido, se deberá informar al Responsable de la Seguridad de los Bancos de Datos Personales, sobre los Bancos de Datos Personales existentes que se identifiquen y que no hayan sido registrados ante el MINJUS o que cualquier área vaya a crear, quien analizará si ese Banco de Datos Personales es parte de algún otro banco ya registrado o si requiere registrarse como Banco de Datos Personales matriz.
Los Datos Personales que se proporcione a LA ASOCIACIÓN serán almacenados en los Bancos de Datos Personales correspondientes, los cuales se encuentran en proceso de registro ante el MINJUS.
Las infracciones a la Política o la falta de cooperación con una investigación interna podrán dar lugar a la aplicación de sanciones disciplinarias según la gravedad del caso, que pueden llegar hasta la separación del colaborador de LA ASOCIACIÓN de sus funciones, en concordancia con la legislación laboral; sin perjuicio de las acciones civiles y penales que pudieran corresponder.
11. MEDIDAS DE SEGURIDAD
11.1. Seguridad para el tratamiento de la información digital
12. CAMBIOS EN LA POLÍTICA
Los sistemas informáticos que manejen Bancos de Datos Personales deberán incluir en su funcionamiento:
El control de acceso a la información de Datos Personales incluyendo la gestión de accesos desde el registro de un usuario, la gestión de los privilegios de dicho usuario, la identificación del usuario ante el sistema, entre los que se encuentran usuario-contraseña, uso de certificados digitales, tokens, entre otros, y realizar una verificación periódica de los privilegios asignados, los cuales deben estar definidos mediante un procedimiento documentado a fin de garantizar su idoneidad.
Generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre otros.
Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a los datos mediante procedimientos de identificación y autenticación que garanticen la seguridad del tratamiento de los Datos Personales.
11.2. Conservación, respaldo y recuperación de los Datos PersonalesEl control de acceso a la información de Datos Personales incluyendo la gestión de accesos desde el registro de un usuario, la gestión de los privilegios de dicho usuario, la identificación del usuario ante el sistema, entre los que se encuentran usuario-contraseña, uso de certificados digitales, tokens, entre otros, y realizar una verificación periódica de los privilegios asignados, los cuales deben estar definidos mediante un procedimiento documentado a fin de garantizar su idoneidad.
Generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre otros.
Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a los datos mediante procedimientos de identificación y autenticación que garanticen la seguridad del tratamiento de los Datos Personales.
Los ambientes en los que se procese, almacene o transmita la información deberán ser implementados, con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad física y ambiental recomendados en la norma técnica peruana NTP-ISO/IEC 17799 para poder gestionar un Sistema de Seguridad de la Información (SSI), al igual que la norma internacional ISO 27001, en la edición que se encuentre vigente.
Adicionalmente, se deben contemplar los mecanismos de respaldo de seguridad de la información de la base de Datos Personales con un procedimiento que contemple la verificación de la integridad de los datos almacenados en el respaldo, incluyendo cuando sea pertinente, la recuperación completa ante una interrupción o daño, garantizando el retorno al estado en el que se encontraba al momento en que se produjo la interrupción o daño. (Ítem 2.3.3.1 de la Directiva)
11.3. Transferencia lógica o electrónica de los Datos PersonalesAdicionalmente, se deben contemplar los mecanismos de respaldo de seguridad de la información de la base de Datos Personales con un procedimiento que contemple la verificación de la integridad de los datos almacenados en el respaldo, incluyendo cuando sea pertinente, la recuperación completa ante una interrupción o daño, garantizando el retorno al estado en el que se encontraba al momento en que se produjo la interrupción o daño. (Ítem 2.3.3.1 de la Directiva)
El intercambio de Datos Personales desde los ambientes de procesamiento o almacenamiento hacia cualquier destino fuera de las instalaciones físicas de la entidad, solo procederá con la autorización del titular del banco de Datos Personales y se hará utilizando los medios de transporte autorizados por el mismo, tomando las medidas necesarias, entre las que se encuentran cifrado de datos, firmas digitales, información, entre otros, destinados a evitar el acceso no autorizado, pérdida o corrupción durante el tránsito hacia su destino.
11.4. Almacenamiento de documentación no automatizada
Los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados con Datos Personales deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco de datos.
Si por las características de los locales que se dispusiera no fuera posible cumplir lo establecido en el apartado anterior, se adoptarán las medidas alternativas, conforme a las directivas de la Dirección General de Protección de Datos Personales.
11.5. Copia o reproducciónSi por las características de los locales que se dispusiera no fuera posible cumplir lo establecido en el apartado anterior, se adoptarán las medidas alternativas, conforme a las directivas de la Dirección General de Protección de Datos Personales.
La generación de copias o la reproducción de los documentos únicamente podrán ser realizadas bajo el control del personal autorizado.
Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.
11.6. Acceso a la documentaciónDeberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.
El acceso a la documentación se limitará exclusivamente al personal autorizado.
Se establecerán mecanismos que permitan identificar y tener un control de los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo a las directivas de seguridad que emita la Dirección General de Protección de Datos Personales.
11.7. Traslado de documentación no automatizada.Se establecerán mecanismos que permitan identificar y tener un control de los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo a las directivas de seguridad que emita la Dirección General de Protección de Datos Personales.
Siempre que se proceda al traslado físico de la documentación contenida en un banco de datos, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.
11.8. Prestaciones de servicios sin acceso a Datos Personales.
El responsable o el encargado de la información o tratamiento adoptarán las medidas adecuadas para limitar el acceso del personal a Datos Personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de Datos Personales.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los Datos Personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
11.9. Determinar y dar a conocer una política de protección de Datos PersonalesCuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los Datos Personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
Una declaración breve y directa que demuestre el compromiso institucional y el involucramiento de sus autoridades con la protección de los Datos Personales en el tratamiento que se dé a los Datos Personales contenidos en el banco de Datos Personales bajo su titularidad
11.10. Mantener la gobernabilidad completa de los procesos involucrados en el tratamiento de los Datos Personales
Conocer los procesos y procedimientos y tener control de las decisiones sobre los procesos involucrados en el tratamiento de Datos Personales cuando estos sean tercerizados o no.
11.11. Adoptar un enfoque de riesgos y basar las decisiones en el plan de tratamiento de riesgos del banco de Datos Personales.
A través de una Política de Protección de Datos Personales, la empresa deberá tomar decisiones enfocadas en mitigar los riesgos identificados en cada Banco de Datos Personales.
11.12. Desarrollar y mantener un documento maestro de seguridad de la información del banco de Datos Personales.
A través de una Política de Protección de Datos Personales, la empresa mantendrá un documento maestro de seguridad de la información del Banco de Datos Personales.
11.13. Desarrollar y mantener actualizado un documento de compromiso de confidencialidad en el tratamiento de Datos Personales, aplicable al personal relacionado con el tratamiento de Datos Personales.
La empresa asegura la confidencialidad en el tratamiento de Datos Personales, a través de la firma de acuerdos con el personal y con terceros relacionados con el tratamiento de Datos Personales. Estos acuerdos deben incluir en su contenido una cláusula PDP (Ítems 2.1.1, 2.1.2, 2.2.1., 2.2.2. y 2.2.3. de la Directiva) y la Política de Protección de Datos Personales deberán ser revisados siempre que existan nuevas normas, sentencias y/o resoluciones sobre Protección de Datos Personales; así como cuando la organización de la empresa sufra una modificación sustancial.
Asimismo, la empresa deberá desarrollar un procedimiento de auditoría respecto de las medidas de seguridad implementadas, teniendo como mínimo una auditoría anual, la cual se realizará a dentro de los 120 días posteriores del cierre de cada año, es decir del 31 de diciembre. (Ítems 2.1.9., 2.3.4.11 y 2.3.4.12 de la Directiva)
LA ASOCIACIÓN debe restringir el uso de equipos de fotografía, video, audio u otra forma de registro en el área de tratamiento de Datos Personales salvo autorización del titular del banco de Datos Personales, es decir, se podría colocar un cartel de acceso a solo personal autorizado en el área que se están almacenando Datos Personales de forma no automatizada, es decir, papel (archivadores, files, etc.) (Ítem 2.3.4.10 de la Directiva)
LA ASOCIACIÓN debe asegurar la seguridad en el flujo transfronterizo de Datos Personales, a través de la firma de un acuerdo que incluya una cláusula de PDP con el proveedor de los respectivos softwares a los que se envía Datos Personales de manera internacional.
Así también, LA ASOCIACIÓN debe asegurar la seguridad en servicios de tratamiento de Datos Personales por medios tecnológicos tercerizados, a través de la firma de un acuerdo que incluya una cláusula de PDP con el proveedor de dichos medios tecnológicos tercerizados.
En suma, LA ASOCIACIÓN debe aplicar las acciones correctivas respectivas y procurar una mejora continua a través de:
Asimismo, la empresa deberá desarrollar un procedimiento de auditoría respecto de las medidas de seguridad implementadas, teniendo como mínimo una auditoría anual, la cual se realizará a dentro de los 120 días posteriores del cierre de cada año, es decir del 31 de diciembre. (Ítems 2.1.9., 2.3.4.11 y 2.3.4.12 de la Directiva)
LA ASOCIACIÓN debe restringir el uso de equipos de fotografía, video, audio u otra forma de registro en el área de tratamiento de Datos Personales salvo autorización del titular del banco de Datos Personales, es decir, se podría colocar un cartel de acceso a solo personal autorizado en el área que se están almacenando Datos Personales de forma no automatizada, es decir, papel (archivadores, files, etc.) (Ítem 2.3.4.10 de la Directiva)
LA ASOCIACIÓN debe asegurar la seguridad en el flujo transfronterizo de Datos Personales, a través de la firma de un acuerdo que incluya una cláusula de PDP con el proveedor de los respectivos softwares a los que se envía Datos Personales de manera internacional.
Así también, LA ASOCIACIÓN debe asegurar la seguridad en servicios de tratamiento de Datos Personales por medios tecnológicos tercerizados, a través de la firma de un acuerdo que incluya una cláusula de PDP con el proveedor de dichos medios tecnológicos tercerizados.
En suma, LA ASOCIACIÓN debe aplicar las acciones correctivas respectivas y procurar una mejora continua a través de:
- La implementación de la Política de Protección de Datos Personales. (Ítem 2.1.6 y 2.1.7 de la Directiva)
- La ejecución del Taller de Concientización anual. (Ítem 2.1.8 de la Directiva)
- La ejecución de auditoría anual. (Ítems 2.1.9., 2.3.4.11 y 2.3.4.12 de la Directiva)
- Revisar periódicamente la efectividad de las medidas de seguridad adoptadas y registrar dicha verificación en un documento adjunto al banco de Datos Personales. (Ítem 2.1.4 de la Directiva)
- Se deben realizar pruebas de recuperación de los Datos Personales respaldados para comprobar que las copias de respaldo pueden ser utilizadas en caso de ser requerido.
- Los equipos utilizados para el tratamiento de los Datos Personales deben recibir mantenimiento preventivo y correctivo de acuerdo a las recomendaciones y especificaciones del proveedor para asegurar su disponibilidad e integridad. El mantenimiento de los equipos debe ser realizado por personal autorizado. (Ítem 2.3.4.3 de la Directiva)
- Los equipos utilizados para el tratamiento de los Datos Personales deben contar con software de protección contra software malicioso (virus, troyanos, spyware, etc.), para proteger la integridad de los Datos Personales. El software de protección debe ser actualizado frecuentemente de acuerdo a las recomendaciones y especificaciones del proveedor. (Ítem 2.3.4.4 de la Directiva)
- Toda información electrónica que contiene Datos Personales debe ser almacenada en forma segura empleando mecanismos de control de acceso y cifrada para preservar su confidencialidad. (Ítem 2.3.4.5 de la Directiva)
- La información de Datos Personales que se transmite electrónicamente debe ser protegida para preservar su confidencialidad e integridad. (Ítem 2.3.4.6 de la Directiva)
LA ASOCIACIÓN se reserva el derecho de modificar y/o actualizar la Política como parte de su mejora continua, ya sea para adaptarla a futuros cambios normativos, brindar una mejor calidad de servicio o comunicar nuevas alternativas relacionadas a la presente Política.
No será necesaria la comunicación de los cambios que se introduzcan a la Política, ya que la versión actualizada se publica en: nullpoliticaprivacidad
No será necesaria la comunicación de los cambios que se introduzcan a la Política, ya que la versión actualizada se publica en: nullpoliticaprivacidad
