DINET S.A. con RUC 20427919111 y DT DINETPERÚ S.A.C. con RUC 20518156706 son organizaciones comprometidas con la protección de los datos personales a los que tiene acceso en el desarrollo de sus actividades.
En ese sentido cumpliendo lo dispuesto por la Ley 29733, Ley de Protección de Datos Personales y su Reglamento, aprobado por el Decreto Supremo 003-2013-JUS, la presente política describe como DINET S.A. y DT DINETPERÚ S.A.C. recopilan, registran, organizan, almacenan, conservan, elaboran, modifican, extraen, consultan, utilizan, bloquean, suprimen, comunican por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales de nuestros colaboradores, proveedores y otros para nuestros distintos objetivos de negocio, que incluyen entre otros:
Asimismo, la presente Política describe los derechos que legal y constitucionalmente han sido reconocidos en favor de nuestros colaboradores, proveedores y otros; los cuales podrán ser ejercidos frente a información personal que DINET S.A. y DT DINETPERÚ S.A.C. tratan.
Las disposiciones contenidas en la presente Política se aplicarán al tratamiento de datos personales efectuado por DINET S.A. y DT DINETPERÚ S.A.C. en territorio peruano.
Los principios y disposiciones contenidos en esta Política se aplicarán a cualquier banco de datos personales de titularidad de DINET S.A. y DT DINETPERÚ S.A.C. En ese sentido, todos los procesos de DINET S.A. y DT DINETPERÚ S.A.C. que involucren el tratamiento de datos personales, deberán someterse a lo dispuesto en la presente Política.
La presente Política será de obligatorio cumplimiento para las siguientes personas:
Para un mejor entendimiento de los conceptos utilizados en el presente documento, se ha considerado la siguiente terminología:
Bloqueo: Es la medida por la que el encargado del banco de datos personales impide el acceso de terceros a los datos personales que forman parte del banco. Los datos personales no podrán ser objeto de tratamiento durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, rectificación o supresión. Se dispone también como paso previo a la cancelación por el tiempo necesario para determinar posibles responsabilidades en relación con los tratamientos, durante el plazo de prescripción legal o prevista contractualmente.
7.1 Objetivo General
Definir los principios y disposiciones para garantizar el adecuado tratamiento de los datos personales recopilados por DINET S.A. y DT DINETPERÚ S.A.C.
7.2 Objetivos Específicos
Definir las condiciones de seguridad y privacidad de la información del titular del dato en cumplimiento con la Ley y el Reglamento.
Garantizar la atención de consultas y reclamos formulados por los titulares de los datos personales en los términos establecidos en la Ley
Cumplir las instrucciones y requerimientos que imparta la Autoridad.
DINET S.A. y DT DINETPERÚ S.A.C., en su calidad de titulares de bancos de datos personales y/o responsables del tratamiento de dicha información, deben cumplir con los principios rectores en materia de protección de datos personales que establece la Ley y el Reglamento, y que se detallan a continuación:
El tratamiento de los datos personales deberá realizarse conforme a lo establecido por la Ley, la cual prohíbe la recopilación de dichos datos por medios fraudulentos, desleales o ilícitos.
Salvo las excepciones establecidas legamente en la Ley, su Reglamento y normas complementarias, el tratamiento de datos personales realizado por DINET S.A. y DT DINETPERÚ S.A.C., deberá contar con el consentimiento o la autorización del titular de los datos personales. Se considera que el tratamiento de los datos personales es lícito cuando el titular del dato personal hubiere prestado su consentimiento libre, previo, informado, expreso e inequívoco:
a. Libre: Debe haberse efectuado de manera voluntaria, sin que medie error, mala fe, violencia o dolo que pudiesen afectar la manifestación de voluntad del titular de los datos personales. El consentimiento para finalidades secundarias o accesorias (por ejemplo, vinculadas a la publicidad y prospección comercial) debe ser obtenido en forma autónoma y no puede condicionarse a la prestación del servicio principal ofrecido.
b. Previo: Debe haberse realizado con anterioridad a la recopilación de los datos personales.
c. Expreso e inequívoco: Debe haberse manifestado en condiciones que no admitan dudas sobre su otorgamiento.
d. Informado: Debe comunicarse al titular de los datos personales de manera clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos: (i) la identidad y domicilio del titular del banco de datos personales o del responsable del tratamiento; (ii) la finalidad o finalidades del tratamiento a la que sus datos serán sometidos; (iii) la identidad de los que son o pueden ser sus destinatarios, de ser el caso; (iv) la existencia del banco de datos personales en el que se almacenarán; (v) el carácter obligatorio o facultativo de las respuestas al cuestionario que se le efectúe, cuando sea el caso; (vi) las consecuencias de proporcionar sus datos personales y la negativa de hacerlo; y, (vii) en caso corresponda, la transferencia nacional e internacional de los datos personales.
Tratándose de datos sensibles, el consentimiento deberá ser otorgado, además, por escrito, a través de una firma manuscrita, firma digital o cualquier otro mecanismo de autenticación que garantice la voluntad inequívoca del titular de los datos personales.
En el caso de datos personales que sean suministrados a DINET S.A. y DT DINETPERÚ S.A.C., por un tercero y no directamente por su titular, el tercero deberá contar con el consentimiento del titular de los datos personales mediante el cual este último (es decir, el titular del dato) autorice a dicho tercero a transferir sus datos personales en favor de DINET S.A. y DT DINETPERÚ S.A.C., las cuales podrán asegurarse de esto mediante declaración jurada, bajo responsabilidad, del referido tercero.
Toda recopilación de datos personales deberá tener una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no deberá extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyéndose los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.
Se considerará que una finalidad está determinada cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se especifica el objeto que tendrá el tratamiento de los datos personales. En el caso de banco de datos personales que contengan datos sensibles, su creación solo puede justificarse si su finalidad, además de ser legítima, es concreta y acorde con las actividades o fines explícitos del titular del banco de datos personales.
Si DINET S.A. y DT DINETPERÚ S.A.C., requieren utilizar datos personales con una finalidad distinta a la originalmente informada y autorizada por su titular, se deberá obtener del titular de los datos personales una nueva autorización.
Por otro lado, los profesionales que realicen el tratamiento de datos personales, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional.
Todo tratamiento de datos personales deberá ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
Los datos personales que vayan a ser tratados deberán ser veraces, exactos y, en la medida de lo posible, serán actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deberán conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.
El titular de los bancos de datos personales debe adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deberán ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.
El titular de datos personales deberá contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales.
Para los casos de flujo transfronterizo de datos personales, se deberá garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por la Ley o por los estándares internacionales en la materia.
9.1 Información
DINET S.A. y DT DINETPERÚ S.A.C., informarán mediante los avisos de privacidad, políticas de privacidad, carteles informativos, página web, cláusulas de protección de datos personales, entre otros medios de difusión, a los titulares de los datos personales, así como a los responsables y encargados del tratamiento, los mecanismos de protección de datos personales adoptados, así como la finalidad y demás principios que regulan el tratamiento de dichos datos. Informarán además sobre la existencia de los bancos de datos personales que custodia, y los derechos concebidos por Ley y su Reglamento a los titulares de datos personales.
9.2 Recopilación de datos personales
La información personal que recopilen DINET S.A. y DT DINETPERÚ S.A.C., variará en función de varios factores, aunque podría incluir una amplia gama de datos, entre ellos información personal de carácter sensible como datos relacionados con el estado de salud, características físicas, ingresos económicos, entre otros.
A modo de ejemplo, los datos personales y datos sensibles recopilados DINET S.A. y DT DINETPERÚ S.A.C., son los siguientes:
9.3 Finalidad de recopilación de datos personales
Los datos personales facilitados por los titulares de los datos son recopilados por DINET S.A. y DT DINETPERÚ S.A.C., para las siguientes finalidades:
En el caso de datos personales recopilados de trabajadores:
En el caso de datos personales recopilados de proveedores:
DINET S.A. y DT DINETPERÚ S.A.C., nunca utilizarán datos personales y/o datos sensibles para fines distintos de aquellos descritos con anterioridad, salvo que cuente con el consentimiento previo, voluntario, expreso e informado del titular de los datos personales o de manera excepcional siempre que la Ley y/o el Reglamento lo establezcan expresamente.
9.4 Calidad de los datos personales
Los datos personales deberán ser adecuados, pertinentes y no excesivos en relación con la finalidad para la cual se recopilan. Los datos personales a los que DINET S.A. y DT DINETPERÚ S.A.C. tendrán acceso serán aquellos que el titular del dato personal facilite voluntariamente en función a la naturaleza de los servicios prestados y la relación que exista entre los titulares de los datos con DINET S.A. y DT DINETPERÚ S.A.C.
Los datos personales facilitados por sus titulares tienen que ser exactos y correctos de forma que respondan con veracidad a su situación actual. En caso contrario estos datos serán cancelados.
9.5 Temporalidad del dato
Culminada la finalidad o una vez trascurrido el plazo máximo establecido para la cual fueron recolectados los datos personales, estos serán eliminados de los bancos de datos personales de DINET S.A. y DT DINETPERÚ S.A.C.; sin embargo, y de manera excepcional, podrán conservarlos en caso estas puedan exigir algún tipo de responsabilidad contra el titular de los datos personales o en caso lo determine la normativa aplicable.
9.6 Tratamiento de datos personales y consentimiento
Los datos personales facilitados por los titulares de los datos se almacenarán en los bancos de datos de titularidad de DINET S.A. y DT DINETPERÚ S.A.C. y serán tratados para poder llevar a cabo las finalidades expuestas en la sección 9.3
Los bancos de datos personales se deberán inscribir en el Registro Nacional de Protección de Datos Personales de la Autoridad.
Los datos personales que faciliten los titulares de los datos sólo podrán ser conocidos y manejados por el personal de DINET S.A. y DT DINETPERÚ S.A.C. o por terceros autorizados que necesiten conocer dicha información para poder brindar los servicios o atender las finalidades para las cuales fueron otorgados. Estos datos personales serán tratados de forma leal y lícita y no serán utilizados para otras finalidades incompatibles con las especificadas.
9.7 Comunicación por transferencia de datos personales
DINET S.A. y DT DINETPERÚ S.A.C. no compartirán los datos personales que faciliten los titulares de los datos con terceros sin su consentimiento previo, voluntario, expreso e informado.
Sin perjuicio de lo señalado, DINET S.A. y DT DINETPERÚ S.A.C. informan a los titulares de datos personales que su información podrá ser comunicada a las entidades administrativas, autoridades judiciales y/o policiales, siempre que estas la requieran y se encuentren autorizadas por alguna normativa particular.
9.8 Confidencialidad de los datos personales
Los datos personales proporcionados por los titulares de los datos serán tratados con total confidencialidad. Respecto de los datos personales relativos a la salud, DINET S.A. y DT DINETPERÚ S.A.C. tienen el compromiso de guardar secreto profesional indefinidamente respecto de estos y garantiza el deber de guardarlos adoptando todas las medidas de seguridad necesarias.
9.9 Seguridad de los datos personales
DINET S.A. y DT DINETPERÚ S.A.C. han adoptado medidas técnicas de seguridad y confidencialidad apropiadas a la categoría de los datos personales tratados y necesarias para mantener el nivel de seguridad requerido con el objetivo de evitar la alteración, pérdida o el tratamiento o accesos no autorizados a dicha información que puedan afectar a la integridad, confidencialidad y disponibilidad de la información.
Asimismo, DINET S.A. y DT DINETPERÚ S.A.C. cuentan con las medidas de índole legal, técnica y organizativa necesarias para garantizar la seguridad de los datos personales y evitar su alteración, pérdida y tratamiento y/o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos personales almacenados y los riesgos a que están expuestos, ya sea que provengan de la acción humana, del medio físico o natural, tal y como establece la legislación peruana vigente de protección de datos personales.
DINET S.A. y DT DINETPERÚ S.A.C. también han implementado medidas de seguridad adicionales para reforzar la confidencialidad e integridad de la información y continuamente mantienen la supervisión, control y evaluación de los procesos para asegurar la privacidad de los datos personales.
Sin perjuicio de lo señalado, DINET S.A. y DT DINETPERÚ S.A.C. manifiestan que la transmisión de información mediante redes de comunicación y de Internet no es totalmente segura. Por ello, y a pesar de que las empresas realizan sus mejores esfuerzos para proteger los datos personales, no puede garantizar la seguridad de estos durante su tránsito de manera virtual. En tal sentido, toda la información que los titulares de los datos proporcionen utilizando redes de comunicación e internet, se enviarán por su cuenta y riesgo.
Las medidas de seguridad técnicas, legales y organizaciones adoptadas por DINET S.A. y DT DINETPERÚ S.A.C. se detallan en el Anexo 1 de la presente Política.
9.10 Ejercicio de Derechos ARCO
El ejercicio de los derechos ARCO se deberá efectuar conforme a lo dispuesto en la Ley, el Reglamento y el procedimiento para el ejercicio de los derechos ARCO implementado por DINET S.A. y DT DINETPERÚ S.A.C.
En ese sentido, DINET S.A. y DT DINETPERÚ S.A.C. se comprometen a atender a aquellos titulares de datos personales que deseen ejercer sus derechos ARCO conforme a lo dispuesto en la Ley, el Reglamento y el procedimiento para el ejercicio de los derechos ARCO implementado por DINET S.A. y DT DINETPERÚ S.A.C.
Para dar respuesta a su solicitud de ejercicio de los derechos ARCO, el área correspondiente contará con los siguientes plazos: (i) 8 días si se trata del ejercicio del derecho a la información; (ii) 20 días si el derecho ejercido corresponde al de acceso; y, (iii) 10 días en caso de que se ejerza el derecho de rectificación, cancelación u oposición. Estos plazos, con excepción del derecho a la información, podrán ser prorrogables por un lapso similar, debiendo ser comunicado oportunamente al titular de los datos personales.
9.11 Menores de edad
Con el objetivo de proteger la privacidad de los menores de edad, DINET S.A. y DT DINETPERÚ S.A.C. no realizarán tratamiento alguno sobre datos personales de menores de edad sin contar con el previo consentimiento de los titulares de la patria potestad o tutores del menor.
9.12 Obligaciones en el tratamiento de datos personales
De conformidad con lo dispuesto en el artículo 28 de la Ley, serán aplicables a DINET S.A. y DT DINETPERÚ S.A.C. y, de ser el caso, al encargado de tratamiento las obligaciones que se detallan a continuación:
a) Efectuar el tratamiento de datos personales, previo consentimiento informado, libre, expreso e inequívoco del titular de los datos personales.
b) No recopilar datos personales por medios fraudulentos, desleales o ilícitos.
c) Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explicitas y lícitas para las que se hayan obtenido.
d) No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación.
e) Almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular.
f) Suprimir y sustituir o, en su caso, completar los datos personales objeto de tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto, sin perjuicio de los derechos del titular al respecto.
g) Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación.
h) Proporcionar a la Autoridad la información relativa al tratamiento de datos personales que esta le requiera y permitirle el acceso a los bancos de datos personales que administra, para el ejercicio de sus funciones, en el marco de un procedimiento administrativo en curso solicitado por la parte afectada.
Anexo 1: Medidas de seguridad implementadas.