Política de Protección de Datos Personales
I. Introducción
Para Inversiones Plusservice SPA, la protección de los Datos Personales constituye una manifestación de su compromiso por el respeto de los derechos fundamentales de las personas.
Es por ello que Inversiones Plusservice SPA, exige y promueve el cumplimiento de la Normativa de Protección de Datos Personales en todas las jurisdicciones en las que realiza sus actividades, protegiendo los Datos Personales de los Colaboradores, Clientes, Proveedores y otros Titulares.
II. Objetivo
El objetivo de esta Política es establecer los principios y directrices generales que deben guiar el comportamiento de Inversiones Plusservice SPA, y de sus Colaboradores, con el fin de: i) exigir y promover el cumplimiento de la Normativa de Protección de Datos Personales; ii) promover una cultura de protección de los Datos Personales que Inversiones Plusservice SPA, Trata; iii) honrar la confianza de los Titulares de que sus Datos Personales son Tratados adecuadamente por Inversiones Plusservice SPA;; y, iv) promover una gestión segura de los Datos Personales.
III. Alcance
Esta Política es de alcance corporativo por lo que es aplicable a todo Inversiones Plusservice SPA, debiendo implementarse y exigirse su cumplimiento a todos los Colaboradores. Asimismo, Inversiones Plusservice SPA, promoverá que sus Proveedores ajusten su conducta a los estándares, lineamientos y principios establecidos en esta Política.
IV. Definiciones
Los términos que en esta Política se usan con mayúscula se encuentran definidos en el Anexo N°1.
V. Principios Generales para el Tratamiento de Datos Personales
1. Licitud
Inversiones Plusservice SPA,, Tratará los Datos Personales a los que tenga acceso de manera leal y lícita, cumpliendo en todo momento con la Normativa de Protección de Datos Personales, la normativa interna, y los compromisos sobre privacidad y protección de Datos Personales que voluntariamente adopte cada Compañía.
2. Finalidad
Inversiones Plusservice SPA, sólo hará el Tratamiento que sea adecuado y pertinente para la consecución de los fines y objetivos específicos que haya previamente determinado, los que deben ser lícitos e informados expresamente a los Titulares previo a la actividad del Tratamiento.
3. Proporcionalidad y Minimización
Inversiones Plusservice SPA, sólo accederá a Datos Personales de acuerdo con el criterio de la Necesidad de Saber y sólo hará el Tratamiento de Datos Personales que sea adecuado, relevante y limitado a la finalidad para la cual están siendo tratados.
4. Transparencia
Inversiones Plusservice SPA, deberá informar a los Titulares sobre las actividades de Tratamiento que realice, y de su finalidad, de manera clara, precisa y accesible. Esto se realizará, entre otros elementos normativos, a través de la Política de Privacidad y, cuando la Compañía así lo determine, además por cualquier otro medio de comunicación.
5. Respeto de los Derechos de los Titulares
Inversiones Plusservice SPA, deberá disponer los medios que le permitan responder al ejercicio de los derechos de los Titulares respeto de sus Datos Personales, particularmente, a los derechos de acceso, rectificación, cancelación y oposición.
6. Seguridad, Confidencialidad e Integridad
Inversiones Plusservice SPA, deberá adoptar los estándares adecuados que sean necesarios y razonables para garantizar la seguridad y confidencialidad de los Datos Personales que Trata y que permitan mitigar los riesgos de Tratamiento no autorizado, o pérdida, destrucción o daño accidental de los mismos.
7. Temporalidad
Los Datos Personales se deberán conservar únicamente por el tiempo que permita la Normativa de Protección de Datos Personales para cumplir con la finalidad para la cual se capturaron dichos datos.
8. Calidad
Inversiones Plusservice SPA, sólo hará Tratamiento de Datos Personales que sean veraces y completos, y adoptará los mecanismos que sean necesarios para asegurar que dichos datos permanezcan actualizados.
9. Responsabilidad Proactiva
Toda Compañía que actúe en calidad de Responsable de Tratamiento, deberá adoptar las medidas técnicas y organizativas que le permitan dar cumplimiento a la Normativa de Protección de Datos Personales.
Para ello, deberá incorporar la protección de los Datos Personales de los Colaboradores, Clientes y otros Titulares a lo largo de todo el ciclo de vida de los sistemas, productos, servicios, prácticas de negocio y procesos internos que supongan o impliquen Tratamiento, es decir, desde las primeras fases de desarrollo y a lo largo de todas las etapas de la operación de los mismos.
VI. Directrices Generales Relativas al Tratamiento
1. Implementación de un Programa de Cumplimiento
La Compañía deberá implementar un programa de cumplimiento en materia de protección de Datos Personales que, de acuerdo con la naturaleza de sus actividades, incorpore los objetivos generales y principios establecidos en esta Política.
Dichos programas deberán contener los elementos que permitan: i) establecer, comunicar, promover y guiar las conductas esperadas de los Colaboradores y Proveedores en relación con la protección de los Datos Personales; ii) velar por la existencia de un estándar único para todo Inversiones Plusservice SPA, en materia de protección de Datos Personales; iii) identificar, gestionar y medir de manera continua los riesgos asociados a las actividades de Tratamiento de la Compañía; iv) designar un Colaborador que ejercerá las funciones y responsabilidades de Oficial de Cumplimiento de Protección de Datos Personales para la implementación, gestión y mantenimiento de dichos programas; y, v) asignar los recursos financieros y humanos suficientes para la adecuada implementación del programa.
2. Área de Cumplimiento de Protección de Datos Personales
Los principales objetivos del área de Cumplimiento de Protección de Datos Personales serán: i) promover, junto con los líderes de la Compañía, una cultura de protección de Datos Personales en Inversiones Plusservice SPA; ii) proponer las normas generales que deberán implementarse para la correcta ejecución del Programa de Protección de Datos Personales y de la presente Política; y, iii) asegurarse que los programas de cumplimiento en materia de protección de Datos Personales se implementen y ejecuten.
3. Seguridad de la Información
Inversiones Plusservice SPA, contará con un área especializada que definirá y diseñará las medidas de seguridad técnicas y organizativas que se implementarán con el propósito de dar cumplimiento a la Normativa de Protección de Datos Personales y su normativa interna.
4. Flujo Transfronterizo de Datos Personales
Los Datos Personales podrán ser comunicados, cedidos, transferidos y transmitidos para su Tratamiento entre Compañías y a terceros, que se encuentren en países distintos. Esto podrá realizarse siempre que: i) se cumpla con la Normativa de Protección de Datos Personales y la normativa interna sobre la materia; y, ii) el destinatario de dichos datos cuente con medidas de protección de los derechos de los Titulares, y niveles de seguridad, al menos equivalentes a los de la Compañía de la cual provienen.
5. Encargado de Tratamiento
Cualquier Compañía que, como Responsable de Tratamiento, recurra a los servicios de uno o más Proveedores en carácter de Encargados de Tratamiento, deberá considerar como un elemento relevante en la selección de estos últimos, las medidas de protección de los derechos de los Titulares y de seguridad de los Datos Personales que aquellos ofrezcan. Para ello, en los procesos de contratación de dichos Proveedores se deberán realizar las actividades de debida diligencia o revisión que defina el Oficial de Cumplimiento de Protección de Datos Personales.
Asimismo, cualquier Compañía que recurra a los servicios de uno o más Proveedores deberá incorporar, en su relación contractual con estos últimos, elementos de control que aseguren que éstos cumplan con un nivel de protección de los Datos Personales al menos equivalente al estándar de protección de la Compañía.
6. Obligación de Registrar
La Compañía deberá mantener un registro en el cual dejará constancia de las actividades de Tratamiento que realice desde que los Datos Personales ingresan a sus bases de datos y hasta que dichos datos sean eliminados, o ya no sea posible identificar a los Titulares a los que se refieren.
VII. Canal de Denuncia
Los Colaboradores podrán canalizar a través del Canal de Denuncias, la información de la que dispongan o las denuncias, respecto a cualquier actividad anómala, prohibida o que se contraponga con lo dispuesto en esta Política. El canal también estará a disposición de los Proveedores y Clientes para los fines antes señalados.
Las vías de comunicación del Canal de denuncias son: i) por correo electrónico remitido a la dirección riosjm@plusspay.com ii) por teléfono al número 56937161646; iii) presencialmente acudiendo directamente a las oficinas de Inversiones Plusservice SPA.
VIII. Cumplimiento de la Política
Todo Colaborador tiene la responsabilidad de dar fiel cumplimiento a la Normativa de Protección de Datos Personales, a esta Política y a la normativa interna sobre protección de Datos Personales.
Asimismo, el área de Cumplimiento de Protección de Datos Personales, junto con el Oficial de Cumplimiento de Protección de Datos Personales velarán por el fiel y oportuno cumplimiento de esta Política debiendo adoptar las medidas que sean necesarias en caso de detectar algún incumplimiento.
IX. Incumplimiento a las Disposiciones de esta Política
Cualquier infracción a esta Política por parte de un Colaborador dará lugar a medidas disciplinarias en contra del infractor, de acuerdo con lo establecido en el Código de Conducta, la Normativa de Protección de Datos Personales de la Compañía.
Se considerará falta gravísima a esta Política el Tratamiento de Datos Personales por parte de un Colaborador sin contar con el Habilitante Legal que así lo autorice.
X. Documentos Relacionados
- Código de Conducta
- Programa de Protección de Datos Personales
- Procedimiento de Privacidad por Diseño
- Procedimiento para Compartir Datos entre Compañías
- Norma de Taxonomía de Datos Personales
- Procedimiento para la Identificación y Registro de Habilitante Legal
- Política General de la Seguridad de la Información
- Política de Cumplimiento de Seguridad de la Información
Anexo N°1 — Definiciones
Las palabras y términos que se definen seguidamente, cuando ellos se escriban con mayúscula inicial según se hace en sus respectivas definiciones que siguen más adelante, fuere o no necesario conforme a las reglas ortográficas del uso de las mayúsculas, e independientemente del lugar de esta Política en que se utilicen, o si se emplean en una persona, número, modo, tiempo o variable gramatical, según sea necesario para el adecuado entendimiento de la misma, tendrán los significados que a cada una de dichas palabras o términos se les adscribe a continuación:
“Cliente” significa todo usuario o adquirente de un servicio o producto comercializado por la Compañía al público en general como, asimismo, cualquier persona que visite una tienda, sucursal, local, oficina o, en general, cualquier espacio físico o virtual en el que la Compañía desarrolle sus actividades comerciales.
“Colaborador” significa i) toda y cualquier persona vinculada a una Compañía por un contrato de trabajo y/o que preste servicios a honorarios; y, ii) todos los miembros y asesores del Directorio, consejo de administración o cualquier otro órgano colegiado de administración superior que conforme a la ley aplicable corresponda una Compañía.
“Compañía” significa aquella empresa Inversiones Plusservice SPA, de la cual lo que se dice en este documento pueda predicarse para un caso específico.
“Dato Personal” significa el relativo a cualquier información concerniente a personas naturales o jurídicas, identificadas o identificables como, por ejemplo: el nombre, número de identificación, domicilio, teléfono, correo electrónico, datos de geolocalización, uso y visita de sitios web, historial de navegación, hábitos de compra y datos biométricos, entre otros.
“Encargado de Tratamiento” significa cualquier persona natural o jurídica, que realiza el Tratamiento de Datos Personales, por cuenta de un tercero que tiene el carácter de Responsable de Tratamiento.
“Habilitante Legal” significa la disposición normativa o consensual, que conforme a la ley autoriza a una Compañía para realizar el Tratamiento de Datos Personales de un Titular.
“Necesidad de Saber” significa aquel criterio en virtud del cual: i) Inversiones Plusservice SPA, sólo accederá a los Datos Personales que son imprescindibles para la consecución de los fines que se buscan con una actividad de Tratamiento; y, ii) los Datos Personales deben conocerse y/o Tratarse única y exclusivamente por quien tiene un rol que desempeñar que requiere dicho conocimiento y/o Tratamiento, sólo respecto de aquellos datos y en la oportunidad que sean estrictamente indispensables para cumplir con dicho rol.
“Normativa de Protección de Datos Personales” significa toda norma vinculante que establezca un estatuto jurídico de Protección de Datos Personales aplicable a una Compañía.
“Oficial de Cumplimiento de Protección de Datos Personales” significa el Colaborador encargado de la implementación, gestión y mantenimiento del Programa de Protección de Datos Personales de una Compañía.
“Política de Privacidad” significa el documento a través del cual una Compañía informa a los Titulares, entre otras materias: i) las actividades de Tratamiento que realiza; ii) qué Datos Personales Trata; iii) la Base de Legalidad de dichas actividades; y, iv) los canales de comunicación a través de los cuales el Titular puede ejercer los derechos que le correspondan.
“Proveedor” significa aquella persona natural o jurídica que ha abastecido, abastece, pretende o podría, de manera razonablemente previsible, abastecer de bienes o servicios a una Compañía.
“Responsable de Tratamiento” significa cualquier persona natural o jurídica que, por sí misma o en asociación con otros, adopta decisiones sobre una base de datos y/o sobre la actividad de Tratamiento que se realizará.
“Titular” significa aquella persona natural [o jurídica] a la que se refieren los Datos Personales y que por tanto es la dueña de los Datos.
“Tratar” significa cualquier operación o conjunto de operaciones que recaen sobre los Datos Personales, de carácter automatizado o no, que permitan recolectar, capturar, transmitir, transferir, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, rectificar, ceder, transformar, eliminar o cancelar Datos Personales, o utilizarlos en cualquier otra forma.