POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
I. Información general
Credit Report Latin American, en adelante CREDIT REPORT, para el ejercicio de algunas de sus operaciones internas y externas recolecta, utiliza, administra, transfiere, almacena y procesa información, que puede asociarse a información perteneciente a personas naturales en el desarrollo de sus actividades. La presente política busca asegurar la adecuada comunicación de su cumplimiento, en el marco del cumplimiento de la ley 29733 Ley de protección de Datos Personales, así como de su reglamento.
II. Objetivo
La presente política tiene por objeto dar a conocer el modo en que CREDIT REPORT, protege los datos de carácter personal de los clientes, proveedores, y trabajadores, desde su recolección a través de los distintos canales de la organización, sean éstos físico o digitales.
En caso de que los usuarios consideren modificar sus datos personales se podrá realizar a través de los formularios habilitados, los cuales se encuentran en el Anexo de la presente política.
Aunque es una acción voluntaria, en caso de no facilitar los datos de carácter personal, CREDIT REPORT no podrá tratarlos para las finalidades indicadas. Por tanto, la comunicación de sus datos personales a estos efectos es un requisito necesario para que CREDIT REPORT pueda atender las peticiones sobre los servicios proporcionados, comunicarse con los ciudadanos y/o llevar a cabo cualesquiera otras finalidades indicadas en este documento.
III. Alcance
Esta Política se aplica a todos los bancos de datos personales y/o archivos que contengan datos personales que sean objeto de tratamiento por parte del CREDIT REPORT.
IV. Definiciones
V. Política
5.1 Consentimiento y legitimación del tratamiento
CREDIT REPORT trata los datos de los usuarios:
(i) Cuando estos dan su consentimiento expresamente para el tratamiento de sus datos personales para las finalidades detalladas en este documento y/o;
(ii) Cuando el tratamiento es necesario para la ejecución de un contrato de prestación de servicios y productos en el que el usuario es parte.
5.2 Datos personales objeto de tratamiento y alcance
La presente política está dirigida a los datos personales correspondientes a los clientes y trabajadores, suministrados por ellos mismos, haciendo uso de su libertad, de manera voluntaria y consciente. La información recolectada y almacenada comprende datos básicos ingresados mediante formularios de registro, de contacto u otros similares; como pueden ser, por ejemplo, nombre, DNI, pasaporte, género, edad, número de teléfono, dirección de correo electrónico, país de residencia, entre otros, datos recogidos a través los diversos canales que la institución gestiona. En cualquier caso, los ciudadanos podrán ver cuáles son esenciales para la correcta prestación de los servicios y cuales tendrán carácter accesorio antes de enviar sus datos personales.
Los usuarios serán los únicos responsables sobre la veracidad y exactitud de los datos aportados. Sólo podrán ser usuarios los mayores de 18 años y/o aquellos con capacidad jurídica suficiente. Asimismo, serán el único responsable en cuanto a los datos aportados de terceros, así como de garantizar haberles informado de la presente Política de Privacidad y haber obtenido su consentimiento expreso.
5.3 Principios rectores
CREDIT REPORT tendrá en cuenta los siguientes principios en el proceso de tratamiento de los datos personales.
a. Principio de Legalidad: El tratamiento de datos personales en términos de la Ley 29733 es una actividad reglada que debe sujetarse a lo establecido en la citada norma, y en las demás disposiciones que la reglamenten. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.
b. Principio de Consentimiento: En atención al principio de consentimiento, el tratamiento de los datos personales es lícito cuando el titular del dato personal hubiera prestado su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que no ha sido expresa. Incluso el consentimiento prestado con otras declaraciones deberá manifestarse en forma expresa y clara.
c. Principio de Finalidad: En atención al principio de finalidad se considera que una finalidad está determinada cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se especifica el objeto que tendrá el tratamiento de los datos personales.Tratándose de banco de datos personales que contengan datos sensibles, su creación solo puede justificarse si su finalidad además de ser legítima es concreta y acorde con las actividades o fines explícitos del titular del banco de datos personales. Los profesionales que realicen el tratamiento de algún dato personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar secreto profesional.
d. Principio de Calidad: : Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.
e. Principio de Proporcionalidad: Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para que estos hubiesen sido recopilados.
f. Principio de Seguridad: El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos personales de que se trate.
g. Principio de Disposición de Recurso: Todo titular de datos personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerados por el tratamiento de sus datos personales.
h. Principio de Nivel de Protección Adecuado: Para el flujo fronterizo de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por la Ley o por estándares internacionales en la materia.
5.4 Finalidades de los datos personales
CREDIT REPORT utilizará los datos personales proporcionados por los usuarios para las siguientes finalidades:
Trabajadores y colaboradores:
Locadores de servicio (personas naturales como proveedores):
5.5 Derechos de los titulares
El titular de los datos personales tendrá los siguientes derechos:
a. Los derechos de información, acceso, rectificación, cancelación, oposición y tratamiento objetivo de datos personales sólo pueden ser ejercidos por el titular de datos personales, sin perjuicio de las normas que regulan la representación.
b. El ejercicio de alguno o algunos de los derechos no excluye la posibilidad de ejercer alguno o algunos de los otros, ni puede ser entendido como requisito previo para el ejercicio de cualquiera de ellos.
c. Conocer, actualizar y rectificar sus datos personales frente a CREDIT REPORT o frente al encargado del tratamiento designado. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
d. Ser informado por parte de CREDIT REPORT o por parte del encargado del tratamiento designado, previa solicitud, respecto del uso que les ha dado a sus datos personales.
e. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Autoridad Nacional de Protección de Datos Personales haya determinado que en el tratamiento CREDIT REPORT o el encargado del tratamiento designado, han incurrido en conductas contrarias a la Ley 29733 y la Constitución.
f. Acceder en forma gratuita en las condiciones definidas en este documento, a sus datos personales que hayan sido objeto de tratamiento.
5.6 Condiciones para el tratamiento de datos
a. Autorización del Titular:
Para que CREDIT REPORT realice cualquier acción de tratamiento de datos personales, se requiere la autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al titular su manifestación automatizada o pueden ser por escrito o de forma oral con el registro y almacenamiento de la evidencia correspondiente.
CREDIT REPORT adoptará los procedimientos necesarios para solicitar, a más tardar en el momento de recolección de los datos, la autorización del Titular para el tratamiento de estos e informará los datos personales que serán recolectados, así como todas las finalidades específicas del tratamiento para los cuales se obtiene el consentimiento.
Los datos personales que se encuentren en fuentes de acceso público podrán ser tratados porCREDIT REPORT siempre y cuando sean por naturaleza datos públicos.
En caso de realizarse cambios sustanciales en el contenido de las políticas de tratamiento de datos de CREDIT REPORT’s en relación con la identificación del responsable y a la finalidad del tratamiento de los datos personales, los cuales afecten el contenido de la autorización, CREDIT REPORT comunicará estos cambios a los titulares, antes o más tardar al momento de implementar las nuevas políticas, además obtendrá del Titular una nueva autorización cuando el cambio se refiera a la finalidad del tratamiento. Para la comunicación de los cambios y la autorización se podrán utilizar medios técnicos que faciliten dicha actividad.
b. Casos en que no es necesaria la autorización
c. Suministro de la Información
La información solicitada por el titular será suministrada por CREDIT REPORT del mismo modo como fue formulada la solicitud.
d. Deber de Informar al Titular
CREDIT REPORT, al momento de solicitar al titular la autorización, deberá informarle de manera clara y expresa lo siguiente:
e. Revocatoria de la autorización y/o supresión de datos:
Los titulares podrán en todo momento solicitar a CREDIT REPORT, la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de estos, mediante la presentación de una solicitud, conforme a lo establecido la Ley 29733 de 2011 y el reglamento DS No. 003-2013-JUS de 2013.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber contractual de permanecer en la base de datos de CREDIT REPORT.
f. Personas a quienes se les puede suministrar la información:
La información acerca de los datos personales que hayan sido materia de tratamiento por parte de CREDIT REPORT podrá suministrarse a las siguientes personas:
g. Flujo transfronterizo:
La información proporcionada al CREDIT REPORT que pudiera ser almacenada o procesada fuera del territorio nacional, en estos casos los criterios de seguridad de la información definidos e implementados por la institución aseguran que dicha información solo sea compartida a través de intermediarios con el mismo nivel de seguridad establecido.
5.7 Seguridad de los datos personales
CREDIT REPORT cumple con las medidas de protección de datos de carácter personal legalmente requeridas y ha adoptado las medidas razonablemente exigibles conforme a los conocimientos técnicos actuales y buenas prácticas para la custodia y gestión de la información a fin de evitar la pérdida, mal uso, alteración, intrusión ilegítima y sustracción de los datos de carácter personal que facilitan los usuarios.
5.8 Procedimientos
El titular o sus causahabientes tienen derecho a presentar ante el CREDIT REPORT , consultas y/o reclamaciones, previa verificación de su identidad, a través de un medio escrito dirigido a la siguiente dirección en cualquier momento, retirar su consentimiento para el tratamiento de los datos de carácter personal y/o podrá ejercer sus derechos de acceso, información, rectificación, oposición, supresión, limitación, olvido, portabilidad y a no ser objeto de decisiones individualizadas, dirigiéndose mediante un escrito dirigido al CREDIT REPORT con la referencia «DATOS PERSONALES» a las siguientes direcciones:
– Dirección Física /Legal: Calle Enrique Palacios 360, piso 4 Miraflores, Lima
– Email: datospersonales@crlacorp.com
CREDIT REPORT responderá la consulta y/o reclamación por el mismo medio que fue formulada:
a) Consultas (Acceso / Información)
Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en la base de datos de CREDIT REPORT, quien suministrará al solicitante toda la información contenida en sus bases de datos, vinculada con la identificación del Titular. El titular podrá consultar de forma gratuita sus datos personales cada vez que existan modificaciones sustanciales en el tratamiento de datos de CREDIT REPORT. Toda consulta se responderá por el mismo medio que fue formulada dentro de los 05 días hábiles siguientes a su presentación. Para el cumplimiento de este derecho, el Titular o sus causahabientes deberán de presentar el formulario de Acceso, el cual se encuentra en el Anexo de la presente política.
b) Reclamos (Solicitudes / Peticiones)
El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de rectificación, cancelación u oposición, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 29733 de 2011, podrán presentar una solicitud al Titular del Banco de Datos Personales o al responsable del
Tratamiento de CREDIT REPORT.
En el caso que la información proporcionada en la solicitud sea insuficiente o errónea de forma que no permita su atención,CREDIT REPORT podrá requerir dentro de los siete (7) días siguientes de recibida la solicitud, documentación adicional al titular de los datos personales para atenderla. (Artículo 56 del reglamento).
En un plazo de diez (10) días de recibido el requerimiento, contado desde el día siguiente de la recepción de este, el titular de datos personales acompañará la documentación adicional que estime pertinente para fundamentar su solicitud. En caso contrario, se tendrá por no presentada dicha solicitud. Los tiempos máximos de respuesta ante los reclamos de acuerdo con el reglamento de la ley son:
Salvo el plazo establecido para el ejercicio del derecho de información, los plazos que correspondan para la respuesta o la atención de los demás derechos podrán ser ampliados una sola vez, y por un plazo igual, como máximo, siempre y cuando las circunstancias lo justifiquen. La justificación de la ampliación del plazo deberá comunicarse al titular del dato
personal dentro del plazo que se pretenda ampliar.
c) Requisito de Procedibilidad
El Titular o causahabiente sólo podrán elevar queja ante la Autoridad Nacional de Protección de Datos Personales una vez hayan agotado el trámite de consulta o reclamo ante CREDIT REPORT.
5.9 Deberes de CREDIT REPORT en el tratamiento de datos
5.10 Deberes del encargado del tratamiento de datos
Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la Ley y en otras que rijan su actividad:
5.11 Medidas de seguridad
CREDIT REPORT toma todas las precauciones razonables y medidas de índole técnico alineadas a las buenas prácticas proporcionadas por el estándar ISO 27001:2013 implementando en la institución un Sistema de Gestión de Seguridad de la Información – SGSI, a fin de garantizar la seguridad de los datos de carácter personal de los Titulares, principalmente
aquellos destinados a impedir su alteración, perdida y tratamiento o acceso no autorizado. La aplicación de las medidas de seguridad tiene como fin procurar la conservación, confidencialidad, integridad, y disponibilidad de los datos.
Los lineamientos de seguridad de CREDIT REPORT se encuentran respaldados por las políticas de seguridad de la información construidas bajo las mejores prácticas y estándares de seguridad existentes y dando cumplimiento a las regulaciones vigentes.Dichas políticas son de estricto cumplimiento por los funcionarios directos e indirectos, locadores
de servicios y proveedores, que desempeñan labores al interior de CREDIT REPORT.
5.12 Conservación de los datos
Los períodos de conservación de los datos personales de los usuarios por parte de CREDIT REPORT serán diferentes en función de la finalidad del tratamiento, por ello los datos serán conservados mientras esté vigente una relación contractual para la prestación de productos y servicios entre CREDIT REPORT y los usuarios y/o mientras los usuarios no soliciten la eliminación de los datos personales. Asimismo, los usuarios entienden y aceptan que ciertos datos de carácter personal deberán ser conservados por CREDIT REPORT por normatividad legal y según plazos establecidos en la legislación.
5.13 Modificaciones en la política
CREDIT REPORT podrá realizar cambios y actualizar la presente política en función de novedades o exigencias legislativas, jurisprudenciales y/o por necesidades de la institución, entre otras; por ello se recomienda a los usuarios que revisen esta política regularmente y/o cada vez que accedan al sitio web.