Política de Privacidad y protección de datos
Elaborado Por
Oficial de Seguridad
Aprobado Por
Gerente General
Fecha de Publicación
20/03/2025
Versión
1
Registro de Revisiones
| FECHA | REGISTRO DE REVISIONES DEL DOCUMENTO |
|---|---|
| 21/07/2023 | Definición política de privacidad y protección de datos |
| 18/08/2023 | Revisada por el Comité de Seguridad de la Información |
| 22/08/2023 | Aprobado por Gerencia General |
| 19/03/2024 | Actualización formato de documento |
| 12/03/2025 | Revisada por el Comité de Seguridad de la Información |
| 20/03/2025 | Aprobado por Gerencia General |
OBJETIVO
Establecer directrices que permitan a Dimacofi proteger los datos personales de los titulares para evitar posibles fugas, daños, cambios sin autorización u otras acciones que dañen el prestigio o que afecten de forma negativa a los clientes.
ALCANCE
Esta política considera todos los dispositivos tecnológicos, medios y/o documentos, en los que se almacenen y registren datos personales de titulares pertenecientes a Dimacofi y que no se encuentren exentos de forma específica por razones tecnológicas o por alguna justificación del negocio.
DEFINICIONES
- Activo de información: Para Dimacofi un activo de información será considerado como un conjunto de datos, definidos y gestionados como una sola unidad para que pueda ser comprendido, compartido, protegido y explotado eficazmente, cuando este contenga información importante que deba ser protegida frente a cualquier situación que suponga un riesgo o amenaza. Dentro de los activos de información se considerarán los ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones, software del sistema, por nombrar algunos.
- Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
- Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular de los datos para el tratamiento de éstos, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
- Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
- Datos personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Dato sensible: Información que afectan la intimidad de las personas o cuyo uso indebido puede generar discriminación (origen racial, ideología, orientación policita, convicciones filosóficas y religiosas, estado de salud físico o psíquico, orientación sexual, identidad de género e identidad genética y biométrica).
- Encargado del tratamiento: Persona natural o jurídica, que realiza el tratamiento de datos personales por cuenta del responsable del tratamiento.
- Responsable del tratamiento: Persona natural o jurídica, que por sí misma o en asociación con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realice materialmente.
- Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
- Tratamiento de datos: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión, que pueden o no ser automatizados.
- Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
- Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio, cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
REGLAS DE LA POLÍTICA
Las distintas gerencias del negocio en conjunto con el área de Seguridad de la Información deberán desarrollar, establecer y mantener medidas de seguridad que permitan gestionar los datos personales de los clientes y usuarios, y propios de la organización mediante lo expresado a continuación.
Almacenamiento de los Datos
Todos los datos personales de clientes y usuarios administrados por Dimacofi deberán ser correctamente inventariados, identificando su clasificación, lugar de almacenamiento, medidas de control aplicadas al dato, grupo de usuarios que pueden acceder a él, fecha de recolección.
Considerando que los datos personales son considerados confidenciales, deberán ser encriptados tanto durante su transmisión, transporte y reposo
Uso de los Datos
Los datos cedidos por el cliente o usuario deberán ser ocupados para los fines y tiempos que fueron pactados.
El acceso a los mismos deberá regirse por el principio de necesidad de saber y mínimos privilegios.
El flujo de los datos dentro de los procesos de negocio deberá documentarse y actualizarse con el objeto de identificar mecanismos específicos de protección.
Resolución de Incidentes
Todos los incidentes de seguridad que puedan surgir producto de la presente normativa deberán ser reportados al Oficial de Seguridad de la Información.
Gestión de Datos por Terceros
Todos los datos cedidos a un tercero deberán ser anonimizados. La entidad no deberá aplicar ningún tratamiento al dato para volverlo identificable.
Todos los datos cedidos a un tercero no serán ocupados para fines distintos a los que fueron pactados según los contratos vigentes con la entidad.
Los terceros que realicen tratamiento sobre los datos personales (anonimizados) que hayan sido cedidos por Dimacofi deberán firmar un acuerdo de confidencialidad.
Clasificación de los Datos
De acuerdo con la normativa interna en conjunto con las disposiciones legales, Dimacofi contempla los datos personales y de uso de Dimacofi como confidenciales.
Derechos de los Titulares de los Datos
Las personas naturales cuyos datos personales sean objeto de tratamiento por parte de Dimacofi, tienen los siguientes derechos, los cuales pueden ejercer en cualquier momento:
- Derecho de acceso: El titular de los datos tiene derecho a solicitar y obtener del responsable confirmación acerca de si los datos personales que le conciernen están siendo tratados por él y en tal caso acceder a dichos datos y a la siguiente información.
- Derecho rectificación: El titular de los datos tiene derecho a solicitar y obtener del responsable la rectificación de los datos personales que le conciernen y que están siendo tratados por él, cuando sean inexactos, desactualizados o incompletos.
- Derecho de cancelación: El titular de los datos tiene derecho a solicitar y obtener del responsable la cancelación o supresión de los datos personales que le conciernen cuando estos no resulten necesarios en relación con los fines del tratamiento.
- Derecho de oposición: El titular de los datos, tiene derecho a oponerse ante el responsable a que se realice un tratamiento específico o determinado de los datos personales que le conciernen.
- Derecho a la portabilidad: El titular de los datos, tiene derecho a solicitar mediante un formulario estándar y estructurado una copia de los datos contenidos dentro de la organización que sean de uso común, para ser transferidos o comunicados a otro responsable.
Temporalidad de los Datos
Los datos clasificados como personales deberán cesar en su utilización una vez que haya expirado el plazo para el cual fue solicitado.
El área responsable de la utilización deberá adoptar las medidas necesarias para asegurar su eliminación.
En caso de no ser necesario su almacenamiento y custodia, los mismos deberán ser eliminados en forma segura de todos los lugares en donde se encuentren alojados.
Principios
Se aplicarán de manera armónica e integral los siguientes principios:
Principio de licitud del tratamiento: Los datos personales sólo pueden tratarse con el consentimiento de su titular o por disposición de la ley.
Principio de finalidad: Los datos personales deben ser recolectados y tratados con fines específicos, explícitos y lícitos.
Principio de proporcionalidad: Los datos personales que sean tratados deben limitarse a aquellos que resulten necesarios para la finalidad para la cual fueron recolectados.
Principio de calidad: Los datos personales deben ser exactos, updated (actualizados) y responder con veracidad a la situación real de su titular. La contravención a esta obligación da lugar a que este solicite que los datos sean modificados, bloqueados o eliminados.
Principio de responsabilidad: Quienes realicen tratamiento de los datos personales serán legalmente responsables del cumplimiento de los principios, obligaciones y deberes en conformidad de la ley.
Principio de seguridad de los datos: Se establece la obligación del responsable de los registros o bases donde se almacenen datos personales, de cuidar de ellos con la debida diligencia, haciéndose responsable de los daños causados.
Principio de información y consentimiento del titular: La persona debe ser informada sobre el propósito del almacenamiento de sus datos y su eventual publicación, y la autorización debe realizarse de forma expresa y por escrito. Dicha autorización puede ser revocada sin necesidad de causa justificada, pero ello no tiene efecto retroactivo.