Política de Protección de Datos Personales

1. OBJETIVO

Dar a conocer las exigencias de la Ley de Protección de Datos Personales (Ley N° 29733) y su Reglamento a todos los colaboradores de LA CASA DE LAS CARCASAS PERU S.A.C. así como garantizar su cumplimiento y establecer los lineamientos de comportamiento necesarios para el personal de la empresa y de los Terceros que le brinden servicios, respecto a la protección de los datos personales que se les confían, con el fin de asegurar el cumplimiento de la legislación aplicable y sus principios de actuación.

2. BASE LEGAL

• Ley N° 29733, Ley de Protección de Datos Personales.
• Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales.
• Directiva de Seguridad de la Información de la Ley N° 29733, Ley de Protección de Datos Personales.

3. ALCANCE

La presente Política es de observancia obligatoria para todo el personal, funcionarios y unidades que conforman LA CASA DE LAS CARCASAS PERU S.A.C. y a los terceros conforme a lo estipulado entre la empresa y ellos.

4. TERMINOS Y DEFINICIONES

ARCO
Siglas que representan los derechos del titular de los datos personales, como Accesibilidad, Rectificación, Cancelación y Oposición.

Banco de datos personales
Conjunto organizado de datos personales, automatizado o no, y con una determinada finalidad, cualquiera que sea la forma de su creación, formación, almacenamiento, organización y acceso; pudiendo inclusive pertenecer los mismos datos personales a más de un banco de datos personales.

Banco de datos personales no automatizado
Conjunto de datos de personas naturales no computarizado y estructurado conforme a criterios específicos, que permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica.

Bloqueo
Es la medida por la que el encargado del banco de datos personales impide el acceso de terceros a los datos y éstos no pueden ser objeto de tratamiento, durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, rectificación o supresión.

Cancelación
Es la acción o medida que en la Ley se describe como supresión, cuando se refiere a datos personales, que consiste en eliminar o suprimir los datos personales de un banco de datos.

Supresión
Para efectos de LA CASA DE LAS CARCASAS PERU S.A.C. la supresión consistirá en marcar los registros de manera de inhabilitar la visualización de estos en las distintas salidas de los sistemas.

Datos personales
Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.

Datos personales relacionados con la salud
Es aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética.

Datos sensibles
Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

Derecho de Información del Titular de Datos Personales
El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.

Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.

Encargado del Banco de datos personales
Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando juntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales.

Flujo transfronterizo de datos personales
Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.

Fuentes accesibles para el público
Bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, previo abono de la contraprestación correspondiente, de ser el caso. Las fuentes accesibles para el público son determinadas en el reglamento.

Principios Rectores
Principios que deben regir el uso de los datos personales:

• Consentimiento: El tratamiento de los datos personales debe mediar el consentimiento del titular.
• Finalidad: Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación y anonimización.
• Calidad: Los datos contenidos en un banco de datos personales, deben ajustarse con precisión a la realidad. Se presume que los datos directamente facilitados por el titular de estos son exactos.Seguridad: El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acorde con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.Legalidad: El tratamiento de los datos personales se hace conforme a lo establecido en la Ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.Proporcionalidad: Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.Disposición de Recursos: Todo titular de datos personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales.
• Nivel de Protección Adecuado: Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por esta Ley o por los estándares internacionales en la materia.

Procedimiento de anonimización
Tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. El procedimiento es irreversible.

Procedimiento de disociación
Tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. El procedimiento es reversible.

Rectificación
Es aquella acción genérica destinada para afectar o modificar un banco de datos personales ya sea para actualizarlo incluir información en él o específicamente rectificar su contenido con datos exactos.

Responsable del tratamiento
Es aquél que decide sobre el tratamiento de datos personales, aun cuando no se encuentren en un banco de datos personales.

Titular de datos personales
Persona natural a quien corresponde los datos personales.

Titular del banco de datos personales
Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de éstos y las medidas de seguridad.

Tratamiento de datos personales
Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

Transferencia de datos personales
Toda transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales.

5. POLITICA DE PROTECCIÓN DE DATOS PERSONALES

5.1 Compromisos de Conducta

LA CASA DE LAS CARCASAS PERU S.A.C. comprende y reconoce que el tratamiento de los datos personales brindados por los distintos usuarios que interactúan con LA CASA DE LAS CARCASAS PERU S.A.C. mediante cualquier canal de recopilación de datos personales, merece el mayor cuidado e interés, es por ello que se compromete a cumplir con los siguientes compromisos, con el fin de guardar la integridad de los titulares de los datos personales

5.1.1 Compromiso de cumplimiento de Principios Rectores

LA CASA DE LAS CARCASAS PERU S.A.C. y sus colaboradores se comprometen a tratar los datos personales de sus distintos Bancos de Datos Personales respetando los principios rectores establecidos en la Ley de Protección de Datos Personales, y su Reglamento. Dichos principios son: Consentimiento, Finalidad, Calidad, Proporcionalidad, Legalidad y Seguridad.

Los datos serán recopilados únicamente si el titular de este está dispuesto a suministrarlo mediante su expresión de voluntad plasmada en cualquier medio de recopilación utilizada por LA CASA DE LAS CARCASAS PERU S.A.C. Dicho consentimiento debe venir acompañado de una explicación clara sobre la finalidad. La finalidad debe ser determinada, explícita y lícita.

En ningún caso el uso del dato personal se debe extender a otra finalidad que no haya sido la establecida en la entrega del consentimiento. Sólo se solicitará la información que se utilizará para cumplir con el proceso de LA CASA DE LAS CARCASAS PERU S.A.C. la información solicitada debe ser adecuada, relevante y sin excesos.

LA CASA DE LAS CARCASAS PERU S.A.C. rechaza la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

LA CASA DE LAS CARCASAS PERU S.A.C. adoptará las medidas organizativas, jurídicas y técnicas descritas en la Directiva de Seguridad con el objetivo de asegurar la integridad de los Datos Personales brindados a la empresa.

Los datos utilizados por LA CASA DE LAS CARCASAS PERU S.A.C. deben ser exactos, veraces y actualizados.

5.1.2 Compromiso de cumplimiento de Medidas de Seguridad

LA CASA DE LAS CARCASAS PERU S.A.C. ha adoptado las Medidas de Seguridad Organizativas, Jurídicas y Técnicas apropiadas según la categoría de Banco de Datos descritos en la Directiva de Seguridad de la Información, con el objetivo de evitar la pérdida, alteración, tratamiento o accesos no autorizados que puedan afectar la integridad y confidencialidad de la información:

Con el Objetivo de alinearse con la Directiva de Seguridad de la Información, LA CASA DE LAS CARCASAS PERU S.A.C. se compromete a cumplir con todas las medidas de seguridad organizativas, jurídicas y técnicas implementadas para garantizar la seguridad de los datos personales; es decir, evitar su alteración, pérdida, tratamiento o acceso no autorizado; tanto información física como digital.

En caso de presentarse una incidencia con los datos personales, LA CASA DE LAS CARCASAS PERU S.A.C. informará de la misma y de inmediato tomará las medidas correctivas necesarias para evitar afectar la integridad de los datos personales y del titular de este. Como medida preventiva, LA CASA DE LAS CARCASAS PERU S.A.C. mantendrá actualizados tanto los procedimientos como los controles de seguridad y revisará periódicamente la efectividad de estos.

5.1.3 Compromiso de cumplimiento de Mejora Continua

Con el objetivo de garantizar la integridad de los Datos Personales y a los titulares del mismo, LA CASA DE LAS CARCASAS PERU S.A.C. se reserva el derecho de actualizar la presente Política de Protección de Datos Personales cuando lo considere necesario. Con esto se garantizará que el cuidado de los datos personales sea un proceso que se revise periódicamente y se mantenga un alto nivel de eficiencia operativa que es lo que el cuidado de la información personal requiere.

5.2 Obtención de datos personales y consentimiento del titular de datos personales

 LA CASA DE LAS CARCASAS PERU S.A.C. prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos. Dicha recopilación de datos personales debe ser actualizada, necesaria, pertinente y adecuada, con relación a las finalidades determinadas, explícitas y lícitas para las que se hayan obtenido. Así mismo, se debe garantizar la calidad de los datos contenidos en el banco de datos personales, y aplicar las medidas de seguridad necesarias que ayuden a prevenir la adulteración, pérdida y desviación de datos personales.

Previo a cualquier tratamiento de datos personales, el encargado de cada banco de datos tiene la responsabilidad de garantizar que se cuente con el consentimiento del titular de datos personales, el cual debe ser previo, informado, expreso e inequívoco, así mismo deben ser recopilados y utilizados para una finalidad determinada, explícita y lícita, por lo que no debe extenderse a otra que no haya sido establecida en el momento de su recopilación.

Es obligación del responsable de cada área verificar que los Bancos de Datos a su cargo contengan Datos Personales obtenidos con el consentimiento de su titular; de lo contrario sola y exclusivamente, podrán mantener la información necesaria para el cumplimiento de las obligaciones contractuales. En consecuencia, el encargado de cada área deberá eliminar de su Banco de Datos toda la información que no fuera necesaria para la ejecución de las obligaciones contractuales y que no cuenten con consentimiento. 

Si los datos personales son sensibles, el consentimiento debe ser otorgado por escrito, a través de firma manuscrita, firma digital o cualquier mecanismo de autenticación que garantice la voluntad inequívoca del titular del dato personal sensible.

En caso de necesitar efectuar el tratamiento de datos personales de un menor de edad (menores de 14 años), se requerirá del consentimiento de los titulares o tutores de los mismos.

5.3 Tratamiento de Datos Personales

El área de sistemas deberá velar por el cumplimiento de las medidas técnicas de la directiva de Seguridad de la Información de la Ley de Protección de Datos Personales, especificadas en MEDIDAS DE SEGURIDAD PARA LOS BANCOS DE DATOS PERSONALES, del presente documento.

El área de sistemas es responsable de la protección de activos de información que incluyen datos personales, con el fin de asegurar la confidencialidad, disponibilidad e integridad de los mismos. Como tal, se encargan de suprimir los datos personales cuando estos hayan dejado de ser necesarios o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación.

5.4 Transferencia de Datos Personales

Los Encargados de los bancos de datos deberán asegurarse de que toda transferencia de datos personales cuente con el consentimiento del titular de los datos personales, salvo excepciones previstas en la Ley y su Reglamento.

Toda transferencia de datos personales, tanto a nivel nacional como internacional, procederá con autorización de cada encargado del banco de datos personales, y el medio por el cual se llevará a cabo dicha transferencia de datos deberá cumplir con la política de seguridad de la información vigente. En caso sea necesario efectuar un flujo transfronterizo de datos personales, los encargados de cada banco de datos deben garantizar que el proveedor destinatario mantenga los niveles de protección adecuados conforme a la ley vigente.

LA CASA DE LAS CARCASAS PERU S.A.C en acuerdo con la normativa vigente mediante flujo transfronterizo de datos, otorga facultad de tratamiento y resguardo de los datos personales a la empresa  CARCAMOVIL, S.L., ( “LA CASA DE LAS CARCASAS”), con N.I.F B10438638 y domicilio social en Polígono Industrial El Pocito, Pac. Z3, 10400, Jaraíz de la Vera, Cáceres, España.

LA CASA DE LAS CARCASAS se compromete al cumplimiento de su obligación de secreto y confidencialidad de los datos de carácter personal conforme a lo dispuesto en la legislación aplicable.

Los Derechos de los usuarios, tales como: acceder a sus datos personales; solicitar la rectificación de cualquier dato inexacto; solicitar la supresión de sus datos; solicitar que se limite el tratamiento de sus datos; oponerse al tratamiento de sus datos; solicitar la portabilidad de sus datos, y a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de todos; pueden ser ejercidos  ante LA CASA DE LAS CARCASAS escribiendo a la  dirección de correo electrónico: hola@lacasadelascarcasas.es indicando el motivo de su petición

5.5 Encargados de Bancos de Datos Personales

LA CASA DE LAS CARCASAS PERU S.A.C. define que los encargados de cada área serán responsables de los bancos de datos personales, los cuales tendrán responsabilidad directa y velarán por el cumplimiento de la presente política.

5.6 Excepciones a esta política

Es de aplicabilidad a LA CASA DE LAS CARCASAS PERU S.A.C. toda aquella exigencia definida por la Ley de Protección de Datos Personales, salvo que exista otra ley específica que prime y sea aplicable sobre la Ley de Protección de Datos Personales.

5.7 Responsabilidades de LA CASA DE LAS CARCASAS PERU S.A.C. ante la Autoridad Nacional de Protección de Datos Personales

Es responsabilidad de LA CASA DE LAS CARCASAS PERU S.A.C. proporcionar la información relativa al tratamiento de datos personales a la Autoridad Nacional de Protección de Datos Personales cuando esta lo requiera, así mismo permitirles el acceso a los bancos de datos personales que LA CASA DE LAS CARCASAS PERU S.A.C. administra.

5.8 Acuerdo de Confidencialidad de colaboradores

Toda persona que labore en LA CASA DE LAS CARCASAS PERU S.A.C. con acceso a datos personales deberá suscribir un acuerdo de confidencialidad, través del cual se brinda protección a la información perteneciente a los Bancos de datos personales.

5.9 Contratación de terceros que efectúan un tratamiento de datos personales

Todo tercero con quien LA CASA DE LAS CARCASAS PERU S.A.C. comparta información de datos personales deberá considerar y cumplir, como parte del servicio vigente, con las exigencias de lo cual deberá ser formalizado mediante un contrato u orden de servicio firmado por ambas partes.

Será de responsabilidad de cada órgano y unidades orgánicas la regularización de los contratos vigentes con terceros mediante la inclusión de las adendas necesarias que contemplen los términos de la ley. De ser el caso, el responsable de los bancos de datos personales brindará el asesoramiento correspondiente en cuanto a los términos tratados y definidos en el contrato.

5.10 Ejercicio de Derechos del Titular de Datos Personales

Se deben almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular.

LA CASA DE LAS CARCASAS PERU S.A.C. debe posibilitar el ejercicio de los derechos del titular de los datos personales:

Derecho de Información:

• Finalidad para la que sus datos serán tratados.
• Quiénes son o pueden ser sus destinatarios.
• Identidad y domicilio del titular del banco de datos personales.
• La transferencia de los datos personales.
• Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo.
• Tiempo de conservación de los datos.

Derecho de Acceso:

• Obtener la información, de manera gratuita, que sobre sí mismo sea objeto de tratamiento en bancos de datos.
• La forma en que sus datos fueron recopilados.
• Razones que motivaron su recopilación
• A solicitud de quién se realizó la recopilación.
• Transferencias realizadas o que se prevén hacer.

Derecho de rectificación, cancelación y oposición:

• Cuando se hubiere advertido omisión, error o falsedad.
• Cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hayan sido recopilados.
• Cuando hubiera vencido el plazo establecido para su tratamiento.

5.11 Limitaciones al Consentimiento

No se requiere el consentimiento del Titular de los datos personales para realizar el tratamiento de sus datos en los siguientes casos:

Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias.

Cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público.

Cuando se trate de datos personales relativos a la solvencia patrimonial y de crédito, conforme a ley.

Cuando medie norma para la promoción de la competencia en los mercados regulados emitida en ejercicio de la función normativa por los organismos reguladores a que se refiere la Ley 27332, Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o la que haga sus veces, siempre que la información brindada no sea utilizada en perjuicio de la privacidad del usuario.

Cuando los datos personales sean necesarios para la ejecución de una relación contractual en la que el titular de datos personales sea parte, o cuando se trate de datos personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.

Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.

Cuando el tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical y se refiera a los datos personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin consentimiento de aquellos.

 Cuando se hubiera aplicado un procedimiento de anonimización o disociación.

Cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de datos personales.