Política de Tratamiento de Datos Personales

1. Propósito

El presente documento constituye la definición de las prácticas de custodia y protección,
tratamiento y privacidad de datos personales, aplicable a todas las empresas del Grupo empresarial de GBM:

  • General Business Machines Corporation
  • General Business Machines Colombia, S.A.S.
  • GBM de Costa Rica, S.A.
  • G.B.M. de Nicaragua, S.A.
  • GBM de Panamá, S.A.
  • GBM de El Salvador, S.A. de C.V.
  • GBM de Honduras, S.A.
  • GBM de Guatemala, S.A.
  • GBM Dominicana, S.A.

2. Alcance

Esta política busca cumplir con las siguientes regulaciones:

2.1 Regulaciones:

2.2 Bases de Datos

  • 2.1.9.SAP CRM - Encargado: MIS Coordinator
  • 2.1.10. SAP ERP - Encargado: MIS Coordinator
  • 2.1.11. Smart and Simple – Encargado: MIS Coordinator
  • 2.1.12. Jazz: Encargado – Encargado: Talent Acquisition Coordinator
  • 2.1.13. Base de Datos de Mercadeo – Encargado: Marketing and Operations Manager

2.3 Responsable y Encargado de las Bases de Datos:

GBM será el responsable de las bases de datos indicadas en la sección “Bases de Datos” de esta política, con
responsabilidad sobre el tratamiento de estas Bases de Datos. Esta responsabilidad incluirá: decisión sobre los
datos, la finalidad, el contenido, los medios del tratamiento y el uso de la información, basado en las regulaciones
indicadas en esta política.

El encargado de la Base de Datos está especificado al lado de cada Base de Datos en la sección “Base de Datos”
de este documento.

2.4 Aplicabilidad de regulaciones por Base de Datos:

La aplicabibilidad de esta Política está definida por la interrelación entre las Bases de Datos de titularidad de GBM
y su correspondiente contenido, y las indicaciones normativas aplicables de cada país donde se ubica GBM, sus
afiliadas y subsidiarias.


En cumplimiento con la regulación de GDPR, aplica para bases de datos formalmente establecidas para la custodia
de datos personales, que almacenen datos personales de ciudadanos europeos que residen en países de la Unión
Europea.


Conforme a la normativa de la República de Costa Rica, se indica que aplica a Datos personales en bases de
datos que sean utilizadas con fines comerciales; con efectos en el territorio nacional o se aplique la ley nacional,
o con fines profesionales; respetando la autodeterminación informativa.


El criterio normativo de Panamá, es que aplica para Las Bases de Datos que se encuentren en el territorio de la
República de Panamá, que almacenen o contengan datos personales de nacionales o extranjeros o que el
responsable del tratamiento de los datos esté domiciliado en el país.


De conformidad con la normativa Colombiana, aplica a Datos personales en bases de datos y a cualquier uso que
se le dé, siempre que sean fines comerciales con efectos en el territorio nacional o se aplique la ley nacional, o
con fines profesionales; respetando la autodeterminación informativa.


Y por último, sustentado en la aplicabilidad expuesta en la normativa de República Dominicana, aplica para Datos
personales en bases de datos y/o cualquier uso que se le dé, siempre que sean fines comerciales con efectos en
el territorio nacional o se aplique la ley nacional dominicano; respetando la autodeterminación informativa.

Aplicabilidad de Regulaciones a BD de Daros Personales GBM

3. Definiciones

  • Datos Personales: Cualquier información concerniente a personas naturales, que las identifica o hace identificable.
  • Almacenamiento de Datos: Conservación o custodia de Datos en una base de datos establecida en cualquier medio provisto, incluido el de las Tecnologías de la Información y la Comunicación (TICs).
  • Base de Datos: Conjunto ordenado de datos de cualquier naturaleza, cualquiera que sea el formato, modalidad de su creación, organización o almacenamiento, que permite relacionar los daos entre sí, así como realizar cualquier tipo de tratamiento o transmisión de estos por parte de su custodio.
  • Tratamiento de Datos: Cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permita recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, asociar, disociar, comunicar, ceder, intercambiar, transferir, transmitir o cancelar datos, o utilizarlos en cualquier otra forma.
  • Titular de datos personales:
    • General Data Protection Regulation (GDPR): Es una regulación de la Unión Europea que establece normas para la protección de datos personales de ciudadanos europeos.
    • Personally Identifiable Information (PII): Conjunto de Datos que componen la información personal de un individuo y que pueden llevar a la identificación única del mismo.

4. Políticas Generales

4.1. Esta política se ampara bajo el documento PG-SDI-001 “Política de Seguridad de la Información”.
 
4.2. GBM obtendrá la firma de un Consentimiento Informado del titular en un medio, recomendablemente escrito, Informando sobre el propósito y tratamiento de datos, indicando la existencia de una Base de Datos, las políticas sobre el tratamiento, la forma de acceder a las mismas y la finalidad para la custodia y tratamiento de datos personales.
 
4.3. Los titulares tendrán derecho a: Conocer, actualizar y rectificar sus Datos Personales.
  • Solicitar prueba del consentimiento informado otorgado.
  • Ser informado, previa solicitud, respecto del uso que les ha dado a sus Datos Personales.
  • Presentar quejas por infracciones a lo dispuesto en la ley.
  • Revocar el consentimiento informado y/o solicitar la supresión de los datos.
  • Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.
4.4. En caso del Tratamiento de Datos personales de personas menores de edad con motivo de Prácticas Profesionales efectuadas con GBM, el otorgamiento de los datos personales de estos titulares deberá estar sustentado en un convenio entre GBM y la correspondiente institución educativa. Los datos personales proporcionados serán únicamente los indispensables para llevar a cabo la relación contractual para la Práctica Profesional. Los datos personales proporcionados por las personas menores de edad son tratados bajo los lineamientos de la presente Política, con las correspondientes medidas de seguridad y entendidos como Datos sensibles.
 
4.5. GBM informará al titular de los datos personales cuando haya brecha de seguridad, en la que se haya presentado filtración de datos, indicando el número interno de tiquete de Incidente Seguridad de Información, y las acciones planeadas a tomar para mitigar la brecha. IN-SDI-007 - Gestión de Incidentes de Seguridad de la Información.
 
4.6. Se permitirá al titular de los datos personales solicitar borrado de datos.
 
4.7. GBM se reserva el derecho de rechazar solicitudes de borrados de datos personales por parte de
empleados activos, y esto se respalda con el Consentimiento Informado para tratamiento de Datos
personales que cada empleado ha firmado.
 
4.8. GBM sólo hará uso interno de Datos personales y no hará transferencia de datos a terceros sin la debida
autorización, sin embargo, GBM ofrece la opción de portabilidad de datos, mediante un archivo formato
CSV en caso de que el dueño de los datos lo solicite.
 
4.9. En caso de transferencia internacional de datos, se confeccionará un consentimiento de transferencia de
datos personales señalando: alcances, actividades y obligaciones del encargado, que es reflejo y
aceptación de la política de manejo de datos, y dar garantía de acción pertinente, seguridad y
confidencialidad.
 
4.10. Anualmente los responsables o administradores de las bases de datos deben ejecutar una
actualización de los datos, haciendo también un borrado de los datos que se consideren obsoletos.
 
4.11. Se adoptarán las medidas técnicas que la compañía considere necesarias para la protección de
las bases de datos.

5. Requisitos Específicos por Regulación

5.1. Colombia - Ley estatutaria 1581 de Colombia para Protección de Datos Personales y Decreto 1377 de 2013:
 
  • 5.1.1.Aplica a Datos personales en bases de datos y a cualquier uso que se le dé, siempre que sean fines comerciales con efectos en el territorio nacional o se aplique la ley nacional, o con fines profesionales; respetando la autodeterminación informativa. No abarca fines personales o domésticos, que no sean comercializados. Tampoco de interés penal estatal, seguridad e inteligencia nacional o vinculados a lavado de activos y terrorismo; información periodística o editoriales, financiero-crediticio, y censos o registros civiles públicos.
  • 5.1.2.Los Datos recolectados, incluyen, pero no se limitan a, los siguientes: nombre y apellido, nacionalidad, estado civil, sexo, edad, número de identificación, dirección física y electrónica de correspondencia, libreta militar, tarjeta profesional, firma, huella dactilar, fecha y lugar de nacimiento, teléfono de contacto, historial laboral y académico, datos médicos en caso de emergencia, referencias laborales, familiares, y la relacionada con otras compañías o con entidades públicas; fotografías recientes, imágenes en cámaras de vigilancia; información indispensable del examen ocupacional, cargo o profesión del cónyuge, compañero permanente, padres o de cualquier familiar en caso de aparente conflicto de interés.
  • 5.1.3.Teniendo en cuenta las características de la Compañía, las actividades que desarrolla, y las finalidades descritas en la presente Política, la Compañía requiere realizar el Tratamiento de algunos Datos Sensibles, en la forma y condiciones que se indican a lo largo del documento. No obstante, el Titular tiene derecho a no contestar las preguntas que le sean formuladas y a no entregar dichos Datos.
  • 5.1.4.Debe existir una persona que realiza el tratamiento por cuenta del responsable del tratamiento, cuyos deberes son: Actualizar, rectificar o suprimir los datos oportunamente, según sea el caso, y si es a solicitud del encargado con un plazo de 5 días. No circular información controvertida por el titular y bloqueada por la Superintendencia de Industria y Comercio.
  • 5.1.5.Debe existir una persona que decida sobre los datos y el tratamiento de estos. Cuyos deberes son:
    • Documentar y registrar de la autorización.
    • Garantizar la veracidad, completitud, exactitud, actualidad, comprobabilidad y compresión de la
      información ante el encargado.
    • Actualizar la información de manera oportuna cuando haya novedades o rectificar cuando se
      detecte que es incorrecta, al encargado.
    • Comunicar al encargado lo que sea pertinente al tratamiento autorizado.
    • En caso de consultas y reclamos, informar de esto al encargado.
      .1.1. Deberes en común que tienen el responsable y Encargado del tratamiento de los datos
      personales:
      Brindar acceso a los datos recopilados y de revocar su tenencia (habeas data).
    • Conservación y resguardo de la información para evitar perdida, adulteración o uso no autorizado
      o fraudulento.
    • Tramitar consultas y reclamos.
    • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los
      códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
      Cumplir con la Superintendencia de Industria y Comercio.
  • 5.1.6.Restringir el acceso a datos solo a los autorizados.
  • 5.1.7.Elaborar un Manual interno de políticas y procedimientos sobre el tratamiento de datos personales.
    • Este deberá registrarse en el Registro Nacional de Base de Datos.
  • 5.1.8.Prohibición de Transferencia: Verificar el nivel de protección de datos del país destino de transferencia por prohibición.
  • 5.1.9.Prohibición de Transmisión: Verificar el nivel de protección de datos del país destino de transmisión por prohibición.
  • 5.1.10. Confeccionar contrato transmisión de datos personales señalando alcances, actividades y obligaciones del encargado, que es reflejo y aceptación de la política de manejo de datos, y dar garantía de acción pertinente, seguridad y confidencialidad.
  • 5.1.11. Consultas a la base de datos:
    • Proveer de procedimiento y medio de consulta de información.
    • Suministrar información del registro individual o de identificación del titular.
    • Mantener prueba de las consultas.
    • El titular debe agotar los reclamos con el responsable y/o encargado antes de proseguir con la Superintendencia de Industria y Comercio.
  •  5.1.12. Reclamos:
    • Procurar la corrección, actualización, o supresión.
    • Proveer de procedimiento y medio de reclamo sobre la información.
    • Prevenir de reclamo incompleto.
    • Etiquetar como “reclamo en trámite” y motivo los datos.
    • El titular debe agotar los reclamos con el responsable y/o encargado antes de proseguir con la Superintendencia de Industria y Comercio.
  •  5.1.13. Describir el procedimiento usado para la recolección de datos personales, las finalidades de la recolección y la relevancia de los datos del caso.
  • 5.1.14. Demostrar la toma medidas apropiadas y efectivas considerando la naturaleza jurídica del responsable, naturaleza de los datos, tipo de tratamiento, riesgos potenciales del tratamiento.
    • El responsable debe Brindar los datos de la persona jurídica: denominación o razón social, número
      de identificación tributario, ubicación, contacto; o sus datos personales si es persona física.

5.2. Unión Europea - GDPR:

 

  • 5.2.1. Aplica apara bases de datos formalmente establecidas para la custodia de datos personales, que almacenen datos personales de ciudadanos europeos que residen en países de la Unión Europea.
  • 5.2.2.Ciudadanos de la Unión Europea deben tener total visibilidad de los datos que tengamos en custodia de ellos.
  • 5.2.3.El proveedor de Servicio debe contemplar la Privacidad de los datos desde el diseño de la solución, por defecto.
  • 5.2.4.PII (Personally Identifiable Information) tiene que ser debidamente protegida de manera que conserve el anonimato de un individual.
  • 5.2.5.El proveedor de servicio debe contar con Políticas de retención y destrucción de datos.
  • 5.2.6.Debe existir un proceso en donde se notifica dentro de 72 horas a las autoridades y usuario afectado, cuando hay una filtración de información personal.
5.3. Panamá – Ley 81 y Decreto Ejecutivo 285:
 
  • 5.3.1.Aplica para Las Bases de Datos que se encuentren en el territorio de la República de Panamá, que almacenen o contengan datos personales de nacionales o extranjeros o que el responsable del tratamiento de los datos esté domiciliado en el país.
  • 5.3.2.Aplica en caso de que el tratamiento de datos personales sea necesario para cumplimiento de una obligación contractual.
  • 5.3.3.Se deben determinar tiempos o periodos de retención de datos personales.
  • 5.3.4.Cuando aplique, se debe contar con un registro de Transferencia de datos a terceros.
  • 5.3.5.Debe existir protocolos, procesos o procedimientos de gestión y transferencia SEGURA que protejan los derechos de los titulares de los datos.
  • 5.3.6.Si se realiza el tratamiento de Datos Personales vía internet, las condiciones de privacidad y servicios deben ser anunciadas a los titulares de esos datos.
  • 5.3.7.Se debe confeccionar un procedimiento de eliminación de datos una vez finalizada la relación contractual con el cliente.
5.4. Costa Rica – Ley No. 8969 y Decreto No. 37554-JP:
 
  • 5.4.1. Aplica a Datos personales en bases de datos que sean utilizadas con fines comerciales; con efectos en el territorio nacional o se aplique la ley nacional, o con fines profesionales; respetando la autodeterminación informativa.
  • No abarca fines internos, personales, domésticos, que no sean comercializados.
  • 5.4.2. Se debe Actualizar o suprimir la información de manera oportuna cuando haya novedades o rectificar cuando se detecte que es incorrecta, en un plazo de 5 días hábiles.
  • 5.4.3. Adoptar las medidas técnicas y organizacionales para garantizar la seguridad de los datos, tanto mecanismos físicos y lógicos actualizados, para conservación y resguardo de la información para evitar pérdida, adulteración o uso no autorizado o fraudulento.
  • 5.4.4. Se deben tramitar las solicitudes de la Prodhab (Agencia de Protección de datos de los Habitantes)
    incluyendo el cumplimiento de solicitudes como consultar, actualizar, rectificar, suprimir datos; y no
    circular información controvertida por el titular y bloqueada por Prodhab.
    • GBM atenderá los procesos de denuncia ante autoridades ProdHab, acatará las medidas
      cautelares impuestas o responder a los procesos de cobro en caso de incumplimiento de sanción.
    • Política y Procedimiento de Tratamiento de Datos Personales deben ser registrados ante Prodhab.
    • Base de Datos debe ser inscrita ante Prodhab.
    • El medio para notificaciones por parte de Prodhab a GBM será el email support@gbm.net (Service
      Desk).
  • 5.4.5. Se debe documentar la Descripción del tipo de datos personales tratados.
  • 5.4.6. Se debe crear y actualizar un inventario de infraestructura tecnológica que contiene la Base de Datos
    personales.
  • 5.4.7. Se deben documentar fines los y usos de la base de datos. Tipos de datos personales del
    tratamiento y el Procedimiento de obtención de datos; también Descripción de la técnica de
    tratamiento y medidas de seguridad.
  • 5.4.8. Los siguientes son causales de denuncia por parte de un titular de datos ante Prodhab:
    • No se otorga información suficiente al interesado.
    • Mecanismos inseguros o sin garantía de inalterabilidad.
    • Falta de consentimiento informado y expreso del titular.
    • Transferencia de datos contrario a las normas o sin consentimiento.
    • Fines distintos a los declarados.
    • Negativa injustificada de dar acceso al titular sobre los datos.
    • Negativa injustificada de eliminar o rectificar datos.
    • Falta de consentimiento para datos sensibles.
    • Mala fe o violencia en la obtención de datos.
    • Levantamiento del secreto contrario a las normas.
    • Falta de inscripción en Prodhab.
5.5. República Dominicana – Ley N172-13
 
  • 5.5.1. Aplica para Datos personales en bases de datos y/o cualquier uso que se le dé, siempre que sean fines comerciales con efectos en el territorio nacional o se aplique la ley nacional dominicano; respetando la autodeterminación informativa.
  • No abarca fines personales o domésticos, que no sean comercializados. Tampoco de interés penal estatal, de fallecidos, o meramente laborales y de su correspondiente organización.
  • 5.5.2.Necesidad de obtener Consentimiento informado no aplica para: fuentes de acceso público, fines mercadológicos, derivadas de relaciones comerciales, laborales, contractuales, profesionales.
  • 5.5.3.Debida diligencia en el tratamiento de los datos:
    • Actualizar, rectificar o suprimir los datos oportunamente, según sea el caso, a solicitud del titular con un plazo de 10 días hábiles.
    • En caso de cesión o transferencia, se debe notificar la rectificación en un plazo de 5 días hábiles.
    • En caso de consultas y reclamos, etiquetar con “reclamo en revisión” o “información impugnada” los datos que correspondan.
  • 5.5.4.GBM implementará procedimientos para cumplir con las siguientes solicitudes de acción sobre las bases de datos aplicables:
    • Tramitar las consultas y/o reclamos del titular.
    • Garantizar la veracidad, completitud, exactitud, actualidad, comprobabilidad y compresión de la información.
    • Restringir el acceso solo a los autorizados.
    • Conservación y resguardo de la información al implementar las medidas necesarias, para evitar perdida, adulteración, consulta, acceso, o uso no autorizado.
    • Actualizar, rectificar o suprimir los datos oportunamente, según sea el caso, a solicitud del titular con un plazo de 10 días hábiles.
    • Actuar en función del secreto profesional, incluso después de finalizada la relación.
    • Brindar acceso al titular a sus datos con acreditación de su identidad, en un plazo de 5 días hábiles.
    • Brindar acceso al titular a su información, aunque se estime negativa o realizar modificaciones ordenadas en caso de no proceder con los reclamos del titular, si hay previa acción judicial.
    • Mantener los datos actualizados, y rectificar o suprimir según corresponda.
  • 5.5.5.En caso de cancelación del motivo del tratamiento de datos, se suprimirán los datos cuando se cumpla el plazo de prescripción, salvo obligaciones legales persistentes.
  • 5.5.6.En caso de tratarse de Pasantes o Prácticas Profesionales dentro de GBM (siempre dentro de la aplicabilidad de la regulación), el Tratamiento de datos personales y sensibles cuidará los derechos de la niñez y adolescencia.
    • GBM velará por la protección del desarrollo físico, moral, psicológico e intelectual, su honor y su
      reputación, y que no constituyan injerencias arbitrarias o ilegales en su vida privada e intimidad familiar o que puedan estigmatizar su conducta o comportamiento.
  • 5.5.7.GBM Será responsable de evitar:
    • Inserción de datos falsos de forma dolosa o de mala fe.
    • Proporcionar información falsa a un tercero de forma dolosa o de mala fe.
    • Acceso sin autorización y violentando la confidencialidad a la base de datos de forma dolosa o de mala fe.
    • Revelar información sujeta a secreto estando obligado.
    • Acceso fraudulento y sin autorización a la base de datos de forma dolosa o de mala fe.
    • Violación de las obligaciones de manera dolosa o de mala fe.

El Centro de Servicio de GBM es una unidad que genera valor agregado, respaldo, continuidad y confianza a nuestro cliente GBM mediante la prestación de servicios de soporte técnico de computadoras portátiles, tabletas, PC’s y otros equipos relacionados.

Para la prestación de sus servicios, el Centro de Servicio de GBM se compromete con la comunicación eficaz y oportuna con el cliente, proveedores y partes interesadas, el cumplimiento de requisitos contractuales, legales y reglamentarios, normativos, requisitos propios de GBM y del cliente, así como con la mejora continua de su sistema de gestión de calidad.