Privacidad y Tratamiento de Datos Personales de GBM
1. Propósito:
El presente documento constituye la definición de las prácticas de custodia y protección, tratamiento y privacidad de datos personales que tiene GBM.
2. Alcance:
Esta política busca cumplir con las siguientes regulaciones:
2.1 Regulaciones:
2.1.1.GDPR: Enlace a la regulación completa: https://gdpr-info.eu
2.1.2.Ley Protección Datos Personales Costa Rica – N8969. Enlace a la regulación completa:
http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx?param1=NRTC&nValor1=1&nValor2=70975&nValor3=85989
2.1.3.Ley 81 de Panamá: Enlace a la regulación completa:
https://www.asamblea.gob.pa/APPS/LEGISPAN/PDF_NORMAS/2010/2019/2019_645_3008.pdf
2.1.4.Ley estatutaria 1581 de Colombia para Protección de Datos Personales:
https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981
2.1.5.La ley 172-13 de Protección de Datos personales República Dominicana:
https://www.tribunalconstitucional.gob.do/transparencia/marco-legal/leyes/ley-172-13/
2.2 Bases de Datos
2.1.6.SAP CRM – Encargado: MIS Coordinator
2.1.7.SAP ERP – Encargado: MIS Coordinator
2.1.8.Smart and Simple – MIS Coordinator
2.1.9.Jazz: Encargado – Talent Acquisition Coordinator
2.1.10. Base de Datos de Mercadeo – Encargado: Proveedor Externo: BAUM Digital, Contacto GBM:
Marketing and Operations Mng.
2.3 Responsable y Encargado de las Bases de Datos:
GBM será el responsable de las bases de datos indicadas en la sección “Bases de Datos” de esta política, con responsabilidad sobre el tratamiento de estas Bases de Datos. Esta responsabilidad incluirá: decisión sobre los datos, la finalidad, el contenido, los medios del tratamiento y el uso de la información, basado en las regulaciones indicadas en esta política.
El encargado de la Base de Datos está especificado al lado de cada Base de Datos en la sección “Base de Datos” de este documento.
2.4 Aplicabilidad de regulaciones por Base de Datos:
3. Definiciones:
• Datos Personales
• Base de Datos
• Tratamiento de Datos
• Almacenamiento de Datos
• GDPR: General Data Protection Regulation
• PII: (Personally Identifiable Information)
4. Políticas Generales:
4.1. Esta política se ampara bajo el documento PG-SDI-001 “Política de Seguridad de la Información”.
4.2. GBM obtendrá la firma de un Consentimiento Informado del titular en un medio, recomendablemente escrito, Informando sobre el propósito y tratamiento de datos, indicando la existencia de una Base de Datos, las políticas sobre el tratamiento, la forma de acceder a las mismas y la finalidad para la custodia y tratamiento de datos personales.
4.3. Los titulares de los datos personales tendrán el derecho de revisión, solicitud de modificación, portabilidad y eliminación de sus datos, asegurando la transparencia.
4.4. GBM informará al titular de los datos personales cuando haya brecha de seguridad, en la que se haya presentado filtración de datos, indicando el número interno de tiquete de Incidente Seguridad de Información, y las acciones planeadas a tomar para mitigar la brecha. IN-SDI-007 – Gestión de Incidentes de Seguridad de la Información.
4.5. Se permitirá al titular de los datos personales solicitar borrado de datos.
4.6. GBM se reserva el derecho de rechazar solicitudes de borrados de datos personales por parte de empleados activos, y esto se respalda con el Consentimiento Informado para tratamiento de Datos personales que cada empleado ha firmado.
4.7. GBM sólo hará uso interno de Datos personales y no hará transferencia de datos a terceros sin la debida autorización, sin embargo, GBM ofrece la opción de portabilidad de datos, mediante un archivo formato CSV en caso de que el dueño de los datos lo solicite.
4.8. En caso de transferencia internacional de datos, se confeccionará un consentimiento de transferencia de datos personales señalando: alcances, actividades y obligaciones del encargado, que es reflejo y aceptación de la política de manejo de datos, y dar garantía de acción pertinente, seguridad y
confidencialidad.
4.9. Anualmente los responsables o administradores de las bases de datos deben ejecutar una actualización de los datos, haciendo también un borrado de los datos que se consideren obsoletos.
4.10. Se adoptarán las medidas técnicas que la compañía considere necesarias para la protección de las bases de datos.
5. Requisitos Específicos por Regulación:
5.1. Colombia: Ley estatutaria 1581 de Colombia para Protección de Datos Personales:
5.1.1.Aplica a Datos personales en bases de datos y a cualquier uso que se le dé, siempre que sean fines comerciales con efectos en el territorio nacional o se aplique la ley nacional, o con fines profesionales; respetando la autodeterminación informativa.
• No abarca fines personales o domésticos, que no sean comercializados. Tampoco de interés penal estatal, seguridad e inteligencia nacional o vinculados a lavado de activos y terrorismo; información periodística o editoriales, financiero-crediticio, y censos o registros civiles públicos.
5.1.2.Debe existir una persona que realiza el tratamiento por cuenta del responsable del tratamiento, cuyos deberes son:
• Actualizar, rectificar o suprimir los datos oportunamente, según sea el caso, y si es a solicitud del
encargado con un plazo de 5 días.
• No circular información controvertida por el titular y bloqueada por la Superintendencia de Industria y Comercio.
5.1.3.Debe existir una persona que decida sobre los datos y el tratamiento de estos. Cuyos deberes son:
• Documentar y registrar de la autorización.
• Garantizar la veracidad, completitud, exactitud, actualidad, comprobabilidad y compresión de la información ante el encargado.
• Actualizar la información de manera oportuna cuando haya novedades o rectificar cuando se detecte que es incorrecta, al encargado.
• Comunicar al encargado lo que sea pertinente al tratamiento autorizado.
• En caso de consultas y reclamos, informar de esto al encargado.
5.1.4.Deberes en común que tienen el responsable y Encargado del tratamiento de los datos personales:
• Brindar acceso a los datos recopilados y de revocar su tenencia (habeas data).
• Conservación y resguardo de la información para evitar perdida, adulteración o uso no autorizado o fraudulento.
• Tramitar consultas y reclamos.
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
• Cumplir con la Superintendencia de Industria y Comercio.
5.1.5.Restringir el acceso a datos solo a los autorizados.
5.1.6.Elaborar un Manual interno de políticas y procedimientos sobre el tratamiento de datos personales
• Este deberá registrarse en el Registro Nacional de Base de Datos.
5.1.7.Prohibición de Transferencia: Verificar el nivel de protección de datos del país destino de transferencia por prohibición.
5.1.8.Prohibición de Transmisión: Verificar el nivel de protección de datos del país destino de transmisión
por prohibición.
5.1.9.Confeccionar contrato transmisión de datos personales señalando alcances, actividades y obligaciones del encargado, que es reflejo y aceptación de la política de manejo de datos, y dar garantía de acción pertinente, seguridad y confidencialidad.
5.1.10. Consultas a la base de datos:
• Proveer de procedimiento y medio de consulta de información.
• Suministrar información del registro individual o de identificación del titular.
• Mantener prueba de las consultas.
• El titular debe agotar los reclamos con el responsable y/o encargado antes de proseguir con la Superintendencia de Industria y Comercio.
5.1.11. Reclamos:
• Procurar la corrección, actualización, o supresión.
• Proveer de procedimiento y medio de reclamo sobre la información.
• Prevenir de reclamo incompleto.
• Etiquetar como “reclamo en trámite” y motivo los datos.
• El titular debe agotar los reclamos con el responsable y/o encargado antes de proseguir con la Superintendencia de Industria y Comercio.
5.1.12. Describir el procedimiento usado para la recolección de datos personales, las finalidades de la recolección y la relevancia de los datos del caso
5.1.13. Demostrar la toma medidas apropiadas y efectivas considerando la naturaleza jurídica del responsable, naturaleza de los datos, tipo de tratamiento, riesgos potenciales del tratamiento.
5.1.14. Inscribir ante el Registro Nacional de Base de Datos de Colombia, la base datos de manera ordenada y mantenerla actualizada.
• El responsable debe Brindar los datos de la persona jurídica: denominación o razón social, número de identificación tributario, ubicación, contacto; o sus datos personales si es persona física.
5.2. Unión Europea – GDPR:
5.2.1. Aplica apara bases de datos formalmente establecidas para la custodia de datos personales, que almacenen datos personales de ciudadanos europeos que residen en países de la Unión Europea.
5.2.2.Ciudadanos de la Unión Europea deben tener total visibilidad de los datos que tengamos en custodia de ellos.
5.2.3.El proveedor de Servicio debe contemplar la Privacidad de los datos desde el diseño de la solución, por defecto.
5.2.4.PII (Personally Identifiable Information) tiene que ser debidamente protegida de manera que conserve el anonimato de un individual.
5.2.5.El proveedor de servicio debe contar con Políticas de retención y destrucción de datos
5.2.6.Debe existir un proceso en donde se notifica dentro de 72 horas a las autoridades y usuario afectado, cuando hay una filtración de información personal.
5.3. Panamá – Ley 81:
5.3.1.Aplica para Las Bases de Datos que se encuentren en el territorio de la República de Panamá, que almacenen o contengan datos personales de nacionales o extranjeros o que el responsable del tratamiento de los datos esté domiciliado en el país.
5.3.2.Aplica en caso de que el tratamiento de datos personales sea necesario para cumplimiento de una obligación contractual
5.3.3.Se deben determinar tiempos o periodos de retención de datos personales.
5.3.4.Cuando aplique, se debe contar con un registro de Transferencia de datos a terceros.
5.3.5.Debe existir protocolos, procesos o procedimientos de gestión y transferencia SEGURA que protejan los derechos de los titulares de los datos.
5.3.6.Si se realiza el tratamiento de Datos Personales vía internet, las condiciones de privacidad y servicios deben ser anunciadas a los titulares de esos datos.
5.3.7.Se debe confeccionar un procedimiento de eliminación de datos una vez finalizada la relación contractual con el cliente.
5.4. Costa Rica – Ley N8969:
5.4.1. Aplica a Datos personales en bases de datos que sean utilizadas con fines comerciales; con efectos en el territorio nacional o se aplique la ley nacional, o con fines profesionales; respetando la autodeterminación informativa.
• No abarca fines internos, personales, domésticos, que no sean comercializados.
5.4.2. Se debe Actualizar o suprimir la información de manera oportuna cuando haya novedades o rectificar cuando se detecte que es incorrecta, en un plazo de 5 días hábiles.
5.4.3. Adoptar las medidas técnicas y organizacionales para garantizar la seguridad de los datos, tanto mecanismos físicos y lógicos actualizados, para conservación y resguardo de la información para evitar pérdida, adulteración o uso no autorizado o fraudulento.
5.4.4. Se deben tramitar las solicitudes de la Prodhab (Agencia de Protección de datos de los Habitantes) incluyendo el cumplimiento de solicitudes como consultar, actualizar, rectificar, suprimir datos; y no circular información controvertida por el titular y bloqueada por Prodhab.
• GBM atenderá los procesos de denuncia ante autoridades ProdHab, acatará las medidas cautelares impuestas o responder a los procesos de cobro en caso de incumplimiento de sanción.
• Política y Procedimiento de Tratamiento de Datos Personales deben ser registrados ante Prodhab
• Base de Datos debe ser inscrita ante Prodhab
• El medio para notificaciones por parte de Prodhab a GBM será el email support@gbm.net (Service Desk)
5.4.5. Se debe documentar la Descripción del tipo de datos personales tratados.
5.4.6. Se debe crear y actualizar un inventario de infraestructura tecnológica que contiene la Base de Datos personales.
5.4.7. Se deben documentar fines los y usos de la base de datos. Tipos de datos personales del tratamiento y el Procedimiento de obtención de datos; también Descripción de la técnica de tratamiento y medidas de seguridad.
5.4.8. Los siguientes son causales de denuncia por parte de un titular de datos ante Prodhab:
• No se otorga información suficiente al interesado.
• Mecanismos inseguros o sin garantía de inalterabilidad.
• Falta de consentimiento informado y expreso del titular.
• Transferencia de datos contrario a las normas o sin consentimiento.
• Fines distintos a los declarados.
• Negativa injustificada de dar acceso al titular sobre los datos.
• Negativa injustificada de eliminar o rectificar datos.
• Falta de consentimiento para datos sensibles.
• Mala fe o violencia en la obtención de datos.
• Levantamiento del secreto contrario a las normas.
• Falta de inscripción en Prodhab.
5.5. República Dominicana – Ley N172-13
5.5.1. Aplica para Datos personales en bases de datos y/o cualquier uso que se le dé, siempre que sean fines comerciales con efectos en el territorio nacional o se aplique la ley nacional dominicano; respetando la autodeterminación informativa.
• No abarca fines personales o domésticos, que no sean comercializados. Tampoco de interés penal estatal, de fallecidos, o meramente laborales y de su correspondiente organización.
5.5.2.Necesidad de obtener Consentimiento informado no aplica para: fuentes de acceso público, fines mercadológicos, derivadas de relaciones comerciales, laborales, contractuales, profesionales.
5.5.3.Debida diligencia en el tratamiento de los datos:
• Actualizar, rectificar o suprimir los datos oportunamente, según sea el caso, a solicitud del titular con un plazo de 10 días hábiles.
• En caso de cesión o transferencia, se debe notificar la rectificación en un plazo de 5 días hábiles.
• En caso de consultas y reclamos, etiquetar con “reclamo en revisión” o “información impugnada” los datos que correspondan.
5.5.4.GBM implementará procedimientos para cumplir con las siguientes solicitudes de acción sobre las bases de datos aplicables:
• Tramitar las consultas y/o reclamos del titular
• Garantizar la veracidad, completitud, exactitud, actualidad, comprobabilidad y compresión de la información
• Restringir el acceso solo a los autorizados.
• Conservación y resguardo de la información al implementar las medidas necesarias, para evitar perdida, adulteración, consulta, acceso, o uso no autorizado.
• Actualizar, rectificar o suprimir los datos oportunamente, según sea el caso, a solicitud del titular con un plazo de 10 días hábiles.
• Actuar en función del secreto profesional, incluso después de finalizada la relación.
• Brindar acceso al titular a sus datos con acreditación de su identidad, en un plazo de 5 días hábiles.
• Brindar acceso al titular a su información, aunque se estime negativa o realizar modificaciones ordenadas en caso de no proceder con los reclamos del titular, si hay previa acción judicial.
• Mantener los datos actualizados, y rectificar o suprimir según corresponda.
5.5.5.En caso de cancelación del motivo del tratamiento de datos, se suprimirán los datos cuando se cumpla el plazo de prescripción, salvo obligaciones legales persistentes.
5.5.6.En caso de tratarse de Pasantes o Prácticas Profesionales dentro de GBM (siempre dentro de la
aplicabilidad de la regulación), el Tratamiento de datos personales y sensibles cuidará los derechos de la niñez y adolescencia.
• GBM velará por la protección del desarrollo físico, moral, psicológico e intelectual, su honor y su reputación, y que no constituyan injerencias arbitrarias o ilegales en su vida privada e intimidad
familiar o que puedan estigmatizar su conducta o comportamiento.
5.5.7.GBM Será responsable de evitar:
• Inserción de datos falsos de forma dolosa o de mala fe.
• Proporcionar información falsa a un tercero de forma dolosa o de mala fe.
• Acceso sin autorización y violentando la confidencialidad a la base de datos de forma dolosa o de mala fe.
• Revelar información sujeta a secreto estando obligado.
• Acceso fraudulento y sin autorización a la base de datos de forma dolosa o de mala fe.
• Violación de las obligaciones de manera dolosa o de mala fe.