ES

Políticas de Privacidad

POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES

I. Información general

Credit Report Latin American, en adelante CREDIT REPORT, para el ejercicio de algunas de sus operaciones internas y externas recolecta, utiliza, administra, transfiere, almacena y procesa información, que puede asociarse a información perteneciente a personas naturales en el desarrollo de sus actividades. La presente política busca asegurar la adecuada comunicación de su cumplimiento, en el marco del cumplimiento de la ley 29733 Ley de protección de Datos Personales, así como de su reglamento.

II. Objetivo

La presente política tiene por objeto dar a conocer el modo en que CREDIT REPORT, protege los datos de carácter personal de los clientes, proveedores, y trabajadores, desde su recolección a través de los distintos canales de la organización, sean éstos físico o digitales.
En caso de que los usuarios consideren modificar sus datos personales se podrá realizar a través de los formularios habilitados, los cuales se encuentran en el Anexo de la presente política.
Aunque es una acción voluntaria, en caso de no facilitar los datos de carácter personal, CREDIT REPORT no podrá tratarlos para las finalidades indicadas. Por tanto, la comunicación de sus datos personales a estos efectos es un requisito necesario para que CREDIT REPORT pueda atender las peticiones sobre los servicios proporcionados, comunicarse con los ciudadanos y/o llevar a cabo cualesquiera otras finalidades indicadas en este documento.

III. Alcance

Esta Política se aplica a todos los bancos de datos personales y/o archivos que contengan datos personales que sean objeto de tratamiento por parte del CREDIT REPORT.

IV. Definiciones

  • Responsable del tratamiento: es la persona física o jurídica que, solo o junto con otros, determina los fines y medios del tratamiento de datos de carácter personal; es decir, CREDIT REPORT será el responsable de los datos personales obtenidos a través de sus diversos canales de recolección y facilitados por los usuarios de CREDIT REPORT, así como de las empresas que forman parte (a través de servicios proporcionados a la institución).
  • Titular de los datos personales: es la persona a la cual le pertenecen los datos personales compartidos y tratados.
  • Datos de carácter personal: es toda aquella información sobre una persona física identificada o identificable (el usuario), como por ejemplo el nombre, DNI, pasaporte, datos de localización o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de una persona.
  • Tratamiento: sería cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales (automatizados o no) como pueden ser la recogida, el registro, organización, modificación, consulta, utilización, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos de carácter personal.
  • Derecho de acceso: es el derecho del Usuario de conocer qué datos está tratando CREDIT REPORT y obtener una copia de estos.
  • Derecho de rectificación: es el derecho del usuario de actualizar, rectificar y/o corregir sus datos personales.
  • Derecho de oposición: es el derecho del usuario de oponerse en todo momento al tratamiento de sus datos personales por parte de CREDIT REPORT.
  • Derecho de cancelación («derecho al olvido»): es el derecho del usuario de solicitar la supresión de sus datos en cualquier documento, archivo o lugar en el que éstos estén accesibles
  • Derecho de limitación del tratamiento: es el derecho del usuario de exigir que se limite el tratamiento de sus datos cuando se produzca alguna de las circunstancias establecidas en la legislación, como pueden ser el tratamiento ilícito de los datos o que CREDIT REPORT ya no los necesite.

    • V. Política

    5.1 Consentimiento y legitimación del tratamiento

    CREDIT REPORT trata los datos de los usuarios:
    (i) Cuando estos dan su consentimiento expresamente para el tratamiento de sus datos personales para las finalidades detalladas en este documento y/o;
    (ii) Cuando el tratamiento es necesario para la ejecución de un contrato de prestación de servicios y productos en el que el usuario es parte.

    5.2 Datos personales objeto de tratamiento y alcance

    La presente política está dirigida a los datos personales correspondientes a los clientes y trabajadores, suministrados por ellos mismos, haciendo uso de su libertad, de manera voluntaria y consciente. La información recolectada y almacenada comprende datos básicos ingresados mediante formularios de registro, de contacto u otros similares; como pueden ser, por ejemplo, nombre, DNI, pasaporte, género, edad, número de teléfono, dirección de correo electrónico, país de residencia, entre otros, datos recogidos a través los diversos canales que la institución gestiona. En cualquier caso, los ciudadanos podrán ver cuáles son esenciales para la correcta prestación de los servicios y cuales tendrán carácter accesorio antes de enviar sus datos personales.
    Los usuarios serán los únicos responsables sobre la veracidad y exactitud de los datos aportados. Sólo podrán ser usuarios los mayores de 18 años y/o aquellos con capacidad jurídica suficiente. Asimismo, serán el único responsable en cuanto a los datos aportados de terceros, así como de garantizar haberles informado de la presente Política de Privacidad y haber obtenido su consentimiento expreso.

    5.3 Principios rectores

    CREDIT REPORT tendrá en cuenta los siguientes principios en el proceso de tratamiento de los datos personales.

    a. Principio de Legalidad: El tratamiento de datos personales en términos de la Ley 29733 es una actividad reglada que debe sujetarse a lo establecido en la citada norma, y en las demás disposiciones que la reglamenten. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

    b. Principio de Consentimiento: En atención al principio de consentimiento, el tratamiento de los datos personales es lícito cuando el titular del dato personal hubiera prestado su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el consentimiento prestado con otras declaraciones deberá manifestarse en forma expresa y clara.

    c. Principio de Finalidad: En atención al principio de finalidad se considera que una finalidad está determinada cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se especifica el objeto que tendrá el tratamiento de los datos personales.Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justificarse si su finalidad además de ser legítima es concreta y acorde con las actividades o fines explícitos del titular del banco de datos personales. Los profesionales que realicen el tratamiento de algún dato personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional.

    d. Principio de Calidad: : Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.

    e. Principio de Proporcionalidad: Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para que estos hubiesen sido recopilados.

    f. Principio de Seguridad: El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.

    g. Principio de Disposición de Recurso: Todo titular de datos personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales.

    h. Principio de Nivel de Protección Adecuado: Para el flujo fronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por la Ley o por estándares internacionales en la materia.

    5.4 Finalidades de los datos personales

    CREDIT REPORT utilizará los datos personales proporcionados por los usuarios para las siguientes finalidades:

    Trabajadores y colaboradores:

  • CREDIT REPORT solicitará a sus trabajadores información personal para cumplir con los requerimientos normativos laborales vigentes y/o el desarrollo de proyectos relacionados a recursos humanos como registro de nóminas, asistencia de personal, selección de personal, registro de beneficios, entre otros.

    • Locadores de servicio (personas naturales como proveedores):

  • Poder gestionar el pago de los servicios y productos solicitados.
  • Para contactar sobre la prestación de los servicios y productos contratados.

    • 5.5 Derechos de los titulares

    El titular de los datos personales tendrá los siguientes derechos:

    a. Los derechos de información, acceso, rectificación, cancelación, oposición y tratamiento objetivo de datos personales sólo pueden ser ejercidos por el titular de datos personales, sin perjuicio de las normas que regulan la representación.
    b. El ejercicio de alguno o algunos de los derechos no excluye la posibilidad de ejercer alguno o algunos de los otros, ni puede ser entendido como requisito previo para el ejercicio de cualquiera de ellos.
    c. Conocer, actualizar y rectificar sus datos personales frente a CREDIT REPORT o frente al encargado del tratamiento designado. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
    d. Ser informado por parte de CREDIT REPORT o por parte del encargado del tratamiento designado, previa solicitud, respecto del uso que les ha dado a sus datos personales.
    e. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Autoridad Nacional de Protección de Datos Personales haya determinado que en el tratamiento CREDIT REPORT o el encargado del tratamiento designado, han incurrido en conductas contrarias a la Ley 29733 y la Constitución.
    f. Acceder en forma gratuita en las condiciones definidas en este documento, a sus datos personales que hayan sido objeto de tratamiento.

    5.6 Condiciones para el tratamiento de datos

    a. Autorización del Titular:

    Para que CREDIT REPORT realice cualquier acción de tratamiento de datos personales, se requiere la autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al titular su manifestación automatizada o pueden ser por escrito o de forma oral con el registro y almacenamiento de la evidencia correspondiente.

    CREDIT REPORT adoptará los procedimientos necesarios para solicitar, a más tardar en el momento de recolección de los datos, la autorización del Titular para el tratamiento de estos e informará los datos personales que serán recolectados, así como todas las finalidades específicas del tratamiento para los cuales se obtiene el consentimiento.

    Los datos personales que se encuentren en fuentes de acceso público podrán ser tratados porCREDIT REPORT siempre y cuando sean por naturaleza datos públicos.

    En caso de realizarse cambios sustanciales en el contenido de las políticas de tratamiento de datos de CREDIT REPORT’s en relación con la identificación del responsable y a la finalidad del tratamiento de los datos personales, los cuales afecten el contenido de la autorización, CREDIT REPORT comunicará estos cambios a los titulares, antes o más tardar al momento de implementar las nuevas políticas, además obtendrá del Titular una nueva autorización cuando el cambio se refiera a la finalidad del tratamiento. Para la comunicación de los cambios y la autorización se podrán utilizar medios técnicos que faciliten dicha actividad.

    b. Casos en que no es necesaria la autorización

  • Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
  • Datos de naturaleza pública.
  • Casos de urgencia médica o sanitaria.
  • Tratamiento de información autorizado por la Ley para fines históricos, estadísticos o científicos.
  • Datos relacionados con el Registro Civil de las Personas.

    • c. Suministro de la Información

    La información solicitada por el titular será suministrada por CREDIT REPORT del mismo modo como fue formulada la solicitud.

    d. Deber de Informar al Titular

    CREDIT REPORT, al momento de solicitar al titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

  • El tratamiento al cual serán sometidos sus datos personales y la finalidad de este.
  • El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
  • Los derechos que le asisten como titular
  • La identificación, dirección física o electrónica y teléfono del responsable del tratamiento

    • e. Revocatoria de la autorización y/o supresión de datos:

    Los titulares podrán en todo momento solicitar a CREDIT REPORT, la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de estos, mediante la presentación de una solicitud, conforme a lo establecido la Ley 29733 de 2011 y el reglamento DS No. 003-2013-JUS de 2013.

    La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber contractual de permanecer en la base de datos de CREDIT REPORT.

    f. Personas a quienes se les puede suministrar la información:

    La información acerca de los datos personales que hayan sido materia de tratamiento por parte de CREDIT REPORT podrá suministrarse a las siguientes personas:

  • TA los titulares, sus causahabientes o sus representantes legales.
  • A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
  • A los terceros autorizados por el titular o por la Ley.

    • g. Flujo transfronterizo:
    La información proporcionada al CREDIT REPORT que pudiera ser almacenada o procesada fuera del territorio nacional, en estos casos los criterios de seguridad de la información definidos e implementados por la institución aseguran que dicha información solo sea compartida a través de intermediarios con el mismo nivel de seguridad establecido.

    5.7 Seguridad de los datos personales

    CREDIT REPORT cumple con las medidas de protección de datos de carácter personal legalmente requeridas y ha adoptado las medidas razonablemente exigibles conforme a los conocimientos técnicos actuales y buenas prácticas para la custodia y gestión de la información a fin de evitar la pérdida, mal uso, alteración, intrusión ilegítima y sustracción de los datos de carácter personal que facilitan los usuarios.

    5.8 Procedimientos

    El titular o sus causahabientes tienen derecho a presentar ante el CREDIT REPORT , consultas y/o reclamaciones, previa verificación de su identidad, a través de un medio escrito dirigido a la siguiente dirección en cualquier momento, retirar su consentimiento para el tratamiento de los datos de carácter personal y/o podrá ejercer sus derechos de acceso, información, rectificación, oposición, supresión, limitación, olvido, portabilidad y a no ser objeto de decisiones individualizadas, dirigiéndose mediante un escrito dirigido al CREDIT REPORT con la referencia «DATOS PERSONALES» a las siguientes direcciones:

    – Dirección Física /Legal: Calle Enrique Palacios 360, piso 4 Miraflores, Lima
    – Email: datospersonales@crlacorp.com

    CREDIT REPORT responderá la consulta y/o reclamación por el mismo medio que fue formulada:

    a) Consultas (Acceso / Información)
    Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en la base de datos de CREDIT REPORT, quien suministrará al solicitante toda la información contenida en sus bases de datos, vinculada con la identificación del Titular. El titular podrá consultar de forma gratuita sus datos personales cada vez que existan modificaciones sustanciales en el tratamiento de datos de CREDIT REPORT. Toda consulta se responderá por el mismo medio que fue formulada dentro de los 05 días hábiles siguientes a su presentación. Para el cumplimiento de este derecho, el Titular o sus causahabientes deberán de presentar el formulario de Acceso, el cual se encuentra en el Anexo de la presente política.

    b) Reclamos (Solicitudes / Peticiones)

    El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de rectificación, cancelación u oposición, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 29733 de 2011, podrán presentar una solicitud al Titular del Banco de Datos Personales o al responsable del
    Tratamiento de CREDIT REPORT.

    En el caso que la información proporcionada en la solicitud sea insuficiente o errónea de forma que no permita su atención,CREDIT REPORT podrá requerir dentro de los siete (7) días siguientes de recibida la solicitud, documentación adicional al titular de los datos personales para atenderla. (Artículo 56 del reglamento).

    En un plazo de diez (10) días de recibido el requerimiento, contado desde el día siguiente de la recepción de este, el titular de datos personales acompañará la documentación adicional que estime pertinente para fundamentar su solicitud. En caso contrario, se tendrá por no presentada dicha solicitud. Los tiempos máximos de respuesta ante los reclamos de acuerdo con el reglamento de la ley son:

  • TDerecho de información será de cinco (05) días contados desde el día siguiente de la presentación de la solicitud correspondiente.
  • TDerecho de acceso será de veinte (20) días contados desde el día siguiente de la presentación de la solicitud por el titular de datos personales.
  • Derechos de rectificación, cancelación u oposición, el plazo máximo de respuesta del titular del banco de datos personales o responsable del tratamiento será de diez (10) días contados desde el día siguiente de la presentación de la solicitud correspondiente.

    • Salvo el plazo establecido para el ejercicio del derecho de información, los plazos que correspondan para la respuesta o la atención de los demás derechos podrán ser ampliados una sola vez, y por un plazo igual, como máximo, siempre y cuando las circunstancias lo justifiquen. La justificación de la ampliación del plazo deberá comunicarse al titular del dato
    personal dentro del plazo que se pretenda ampliar.

    c) Requisito de Procedibilidad

    El Titular o causahabiente sólo podrán elevar queja ante la Autoridad Nacional de Protección de Datos Personales una vez hayan agotado el trámite de consulta o reclamo ante CREDIT REPORT.

    5.9 Deberes de CREDIT REPORT en el tratamiento de datos

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Solicitar y conservar, en las condiciones previstas en la Ley, copia de la respectiva autorización otorgada por el Titular.
  • Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
  • Tomar las medidas orientadas a conservar la información bajo las condiciones de seguridad para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Tomar las medidas para que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible
  • Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
  • Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
  • Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley.
  • Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
  • Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos
  • Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado el reclamo y no haya finalizado el trámite respectivo.
  • Informar a solicitud del Titular sobre el uso dado a sus datos.
  • Informar a la Autoridad Nacional de Protección de Datos Personales cuando se presenten
    violaciones a las políticas de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Cumplir las instrucciones, requerimientos y recomendaciones que imparta la Autoridad Nacional de Protección de Datos Personales.

    • 5.10 Deberes del encargado del tratamiento de datos

    Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley y en otras que rijan su actividad:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Tomar las medidas para conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
  • Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
  • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la Ley.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Autoridad Nacional de Protección de Datos Personales.
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
  • Informar a la Autoridad Nacional de Protección de Datos Personales cuando se presenten violaciones a las políticas de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Cumplir las instrucciones y requerimientos que imparta la Autoridad Nacional de Protección de Datos Personales.
  • Salvaguardar la seguridad de las bases de datos en los que se contengan datos Personales.
  • Guardar confidencialidad respecto del Tratamiento de los datos personales.

    • 5.11 Medidas de seguridad

    CREDIT REPORT toma todas las precauciones razonables y medidas de índole técnico alineadas a las buenas prácticas proporcionadas por el estándar ISO 27001:2013 implementando en la institución un Sistema de Gestión de Seguridad de la Información – SGSI, a fin de garantizar la seguridad de los datos de carácter personal de los Titulares, principalmente
    aquellos destinados a impedir su alteración, perdida y tratamiento o acceso no autorizado. La aplicación de las medidas de seguridad tiene como fin procurar la conservación, confidencialidad, integridad, y disponibilidad de los datos.
    Los lineamientos de seguridad de CREDIT REPORT se encuentran respaldados por las políticas de seguridad de la información construidas bajo las mejores prácticas y estándares de seguridad existentes y dando cumplimiento a las regulaciones vigentes.Dichas políticas son de estricto cumplimiento por los funcionarios directos e indirectos, locadores
    de servicios y proveedores, que desempeñan labores al interior de CREDIT REPORT.

    5.12 Conservación de los datos

    Los períodos de conservación de los datos personales de los usuarios por parte de CREDIT REPORT serán diferentes en función de la finalidad del tratamiento, por ello los datos serán conservados mientras esté vigente una relación contractual para la prestación de productos y servicios entre CREDIT REPORT y los usuarios y/o mientras los usuarios no soliciten la eliminación de los datos personales. Asimismo, los usuarios entienden y aceptan que ciertos datos de carácter personal deberán ser conservados por CREDIT REPORT por normatividad legal y según plazos establecidos en la legislación.

    5.13 Modificaciones en la política

    CREDIT REPORT podrá realizar cambios y actualizar la presente política en función de novedades o exigencias legislativas, jurisprudenciales y/o por necesidades de la institución, entre otras; por ello se recomienda a los usuarios que revisen esta política regularmente y/o cada vez que accedan al sitio web.