Política de Protección de Datos
Procedimiento para cumplimiento de la Ley de Protección de Datos Personales N° 29733
1. Contexto
En el Perú, desde octubre del 2013 se encuentra vigente la Ley N°29733 – Ley de Protección de Datos Personales y desde mayo del 2015 es de cumplimiento obligatorio por todas las empresas que operen en el país.
Esta ley garantiza el derecho primordial de las personas a la protección de su privacidad, todo tipo de tratamiento de los datos personales realizado por COLTUR PERU S.A.C. (COLTUR) debe ser en estricto cumplimiento de los principios rectores enunciados en la ley.
2. Propósito
Recopilar los lineamientos, recomendaciones y procedimientos en la manipulación de datos personales de forma que se garantice y evidencie el cumplimiento de la ley de protección de datos personales N° 29733.
3. Alcance
Los lineamientos, recomendaciones y procedimientos establecidos en el presente documento son de carácter obligatorio y aplicar para todo el personal del Grupo COLTUR encargado de tratamiento de datos personales o que interactúe con los datos personales.
4. Definiciones
- Banco de datos personales.
Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso. Por ejemplo, la base de datos de Clientes de COLTUR.
- Datos personales.
Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados. Un ejemplo serían los números de documento de identidad de los clientes de COLTUR.
- Encargado de tratamiento de datos personales.
Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales. Por ejemplo, los colaboradores de COLTUR con acceso al banco de datos de clientes.
- Flujo transfronterizo de datos personales.
Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban. Un ejemplo de este concepto se daría en caso COLTUR alojara su base de datos de clientes en un servicio de Microsoft.
- Nivel suficiente de protección para los datos personales.
Nivel de protección que abarca por lo menos la consignación y el respeto de los principios rectores de esta Ley, así como medidas técnicas de seguridad y confidencialidad, apropiadas según la categoría de datos de que se trate.
- Titular de datos personales.
Persona natural a quien corresponde los datos personales.
- Titular del banco de datos personales.
Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.
- Tratamiento de datos personales.
Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
5. Principios rectores
La Ley N°29733 – Ley de Protección de Datos Personales define los siguientes principios rectores:
Tabla 1. Principios rectores de la Ley N° 29733
A continuación, se detallarán los lineamientos, recomendaciones y procedimientos para cada uno de los principios definidos:
5.1 Principio de legalidad y valor de los principios
- El principio de legalidad debe ser garantizado siempre mediante contrato, tanto para colaboradores internos del Grupo COLTUR, como para locadores de servicios y proveedores externos.
- En el caso de los colaboradores internos del Grupo COLTUR, esto se asegura mediante el artículo octavo del Contrato de trabajo.
- En el caso de los locadores de servicios que participen de las operaciones del Grupo COLTUR, esto se asegura mediante el artículo quinto – Confidencialidad del Contrato de Locación de servicio.
- Para los casos de personas naturales o jurídicas que por la naturaleza de su colaboración deban realizar alguna tarea de tratamiento de datos personales para el Grupo COLTUR y que no entren por los flujos mencionados en el punto ‘b’ o ‘c’, deberán firmar de forma expresa su compromiso de cumplimiento de la Ley N°29733 – Ley de Protección de Datos Personales.
5.2 Principio de consentimiento
- El consentimiento para el tratamiento de datos personales debe ser solicitado a los titulares de los datos personales de forma libre, previa, informada, expresa e inequívoca mediante la aceptación de las condiciones que propone el Grupo COLTUR para el manejo de dicha información.
- Los titulares de los datos personales otorgan su consentimiento utilizando el formato “Autorización para el tratamiento de datos personales y sensibles”. El formato puede ser digitalizado y con la aceptación del titular de los datos personales al momento de la recolección de datos se cumple el principio de consentimiento.
- El consentimiento es solicitado al momento de la recolección de datos, siendo que el Grupo COLTUR no necesariamente será responsable de esta tarea, pero si realizará tratamiento de datos personales, debe verificar que al momento de la recolección de datos se autorice por el titular de los datos personales que la información será compartida al Grupo COLTUR.
5.3 Principio de finalidad
- La(s) finalidad(es) de recopilar los datos personales debe ser expuesta como parte del consentimiento que aceptan los titulares de los datos personales. De esta forma, los titulares de los datos personales están informados del uso que se dará a los datos que se están recolectando. Un ejemplo de finalidad podría ser: “Gestión de reservas de hospedaje y/o transporte: Los datos recibidos serán traslados principalmente a los proveedores de alojamiento (hoteles) y transporte ya sea terrestre o aéreo”.
5.4 Principio de proporcionalidad
- Para el cumplimiento de este principio se debe elaborar una Ficha – Mapeo de datos personales, que describa los datos personales recolectados (o recibidos por terceros), porque son necesarios, si son obligatorios u opcionales.
5.5 Principio de calidad
a. Para garantizar la seguridad de los datos personales recolectados, todo se almacena de forma digital, protegido por usuario/contraseña y por la seguridad que provee la red interna del Grupo COLTUR. Más detalle de este tema se desarrollará en el punto 5.6 Principio de seguridad.
b. Debido a eventuales auditorías y por temas tributarios (regulados en Perú por la SUNAT) los datos personales de clientes se almacenarán por 5 años a partir de su registro en el banco de datos personales y carpetas de archivos del Grupo COLTUR.
c. Actualmente, se está realizando una adaptación en la base de datos para que a partir de agosto del 2022 se cumpla lo definido en el punto b.
d. Además, el Grupo COLTUR tiene definido un mecanismo de TI-PR-008 Copia de seguridad de información v2 para garantizar la seguridad y persistencia de los datos personales almacenados:
5.6 Principio de seguridad
a. El Grupo COLTUR utiliza 2 medios para almacenar los datos personales recolectados. Una base de datos local (banco de datos personales) y una carpeta de archivos alojada en la nube mediante el servicio Onedrive de Microsoft.
b. La base de datos local se consume mediante el Sistema de Gestión del Grupo COLTUR, utiliza como mecanismo de seguridad la autenticación mediante credenciales usuario/contraseña. Además, la base de datos se encuentra alojada físicamente en servidores internos del Grupo COLTUR, su acceso está restringido a la red interna del grupo.
c. El Sistema de Gestión del Grupo COLTUR, define perfiles con accesos restringidos a los datos personales almacenados. La creación y eliminación de usuarios nuevos sigue el procedimiento definido en el TI- PR-005 Atención de creación y eliminación de usuarios.
d. La carpeta de archivos alojada en la nube mediante el servicio Onedrive de Microsoft utiliza como mecanismo de seguridad la autenticación mediante credenciales usuario/contraseña. Además, los usuarios con acceso a Onedrive también están distribuidos mediante perfiles que les brindan acceso solo a los datos personales necesarios para cumplir con lo definido a su perfil.
e. La Declaración de privacidad (de datos personales) de Microsoft puede ser consultada en: https://privacy.microsoft.com/es-mx/privacystatement. Adicionalmente, Microsoft provee un “Centro de confianza” con recomendaciones y prácticas implementadas en el tratamiento de los datos personales provistas por sus clientes: https://www.microsoft.com/es-ww/trust-center/privacy?rtc=1.
5.7 Principio de disposición de recurso
a. El Grupo COLTUR ha definido como mecanismo administrativo que se utilice la casilla de correo electrónico: info@colturperu.com para recibir las solicitudes que consideren convenientes los titulares de datos personales.
b. Las solicitudes serán recibidas operativamente por el personal responsable del tratamiento de datos personales y atendidas en un plazo no mayor a los 30 días hábiles.
5.8 Principio de nivel de protección adecuado
a. Para la recepción de datos personales mediante flujos transfronterizos, el Grupo COLTUR debe garantizar que la información sea enviada protegida por lo menos por una contraseña (Ejemplo: comprimida en un archivo ZIP, o la protección por contraseña que provee Microsoft Office).
b. Para el escenario en que el Grupo COLTUR realice un envío transfronterizo de datos personales, debe solicitar al destinario que pueda evidenciar un cumplimiento equiparable a lo previsto en la ley o por los estándares internacionales en la materia.
6. MEDIDAS A APLICAR
El incumplimiento de lo definido para cualquier de los principios generará de forma preventiva la suspensión inmediata del acceso a los recursos informáticos con el fin de garantizar la estabilidad y el buen funcionamiento de estos. El Departamento de TI tiene la responsabilidad de realizar auditorías para verificar el cumplimiento de los lineamientos especificados para cada principio en el presente documento y notificará el incumplimiento de manera escrita al usuario infractor, con copia a su Responsable de área. En el caso de faltas graves y/o reincidencia en coordinación con Recursos Humanos y la Gerencia del área se decidirá las acciones a tomar.