Política de tratamiento de datos sucursal Perú

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Ver más…

Política de tratamiento de datos

1. Origen

Manual que incluye las políticas asociadas al cumplimiento integral de la Ley N°29733, Ley de Protección de Datos Personales, por la cual se dictan disposiciones generales para la protección de datos personales, y el Decreto Supremo N°016-2024-JUS, Reglamento de la Ley N°29733 Ley de protección de datos personales, mediante el cual se imparten lineamientos cuyo objetivo principal es garantizar los derechos, libertades y garantías constitucionales; así como el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos, conforme a lo consagrado en el Art. 16 de la misma.

 

2. Introducción

El Congreso de la República por medio de la Ley N°29733 del 2011 dicta disposiciones generales para la protección integral de los datos personales en Perú, así mismo se reglamenta por medio de Decreto Supremo 016-2024-JUS de 2013.

ACI PROYECTOS S.A.S. SUCURSAL DEL PERU (en delante la compañía) en cumplimiento de la normatividad vigente peruana y con el interés de garantizar los derechos de los titulares, decide poner en marcha las políticas contenidas en el presente documento, con respecto a conocer, actualizar, rectificar, suprimir y revocar la autorización respecto a las informaciones que hayan recogido sobre ellas en las bases de datos que la Compañía, ha recopilado para las finalidades previstas en la Ley y las autorizaciones respectivas las cuales han sido tratadas conforme a lo establecido por el régimen nacional de protección de datos personales.

El conocimiento y la aplicación del contenido en este documento, así como de los demás manuales y códigos relacionados es obligatorio para todos los empleados y directivos de la compañía y estará disponible, tanto para las autoridades, como para los clientes, proveedores y terceras partes que quieran conocer los parámetros en que se garantizan y se desarrollan las actividades de protección de datos personales.

La compañía se permite informar a todos los interesados, que los datos personales que obtenga en virtud de las operaciones que se soliciten o celebren con la Compañía, serán tratados conforme a los principios y deberes definidos en la Ley N°29733 de 2011 y demás normas que traten y regulen esta materia. Para todos los fines pertinentes, el domicilio de ACI PROYECTOS S.A.S. SUCURSAL DEL PERÚ será Av. Benavides # 1555 Oficina 703 – Miraflores, teléfono: (01) 243 4567 y la página web www.aciproyectos.com

3. Objetivo

La presente política tiene como objetivo principal brindar los lineamientos necesarios con el fin de garantizar la protección de datos personales que son tratados dentro de la compañía por medio de las diferentes bases de datos físicas o virtuales, así mismo, dar a conocer las políticas en gestión de los datos personales y su protección, para dar cumplimiento integral a la ley, políticas y procedimientos de atención de derechos de los titulares, criterios de recolección, almacenamiento, uso, circulación y supresión que se dará a los datos personales.

4. Alcance

Las presentes políticas se rigen por la normatividad expedida por el Gobierno Nacional, la cual es de obligatorio cumplimiento y debe ser acatada por todas las personas naturales o jurídicas, solo de esta manera se logrará dar trámite a las disposiciones legales, conforme a solicitudes y reclamaciones realizadas por los titulares de la información y sus autorizados, así lograr la protección de los intereses y necesidades en su integridad de los datos tratados por la compañía y sus titulares.

En el desarrollo de sus actividades comerciales y sus relaciones laborales ACI PROYECTOS S.A.S. SUCURSAL DEL PERU, en adelante “la empresa”, ha diseñado su Política de Protección de Datos Personales, la cual establece las reglas bajo las cuales la empresa hará uso de los datos personales que reposan en nuestros registros, de conformidad con lo establecido en la Ley N°29733 de 2011 y el Decreto Supremo N°016-2024-JUS de 2024.

Esta política aplica para toda la información personal registrada en las bases de datos de ACI PROYECTOS S.A.S. SUCURSAL DEL PERU, quien actúa en calidad de responsable del tratamiento de los datos personales. 

5. Marco normativo

  • Ley N°29733 de 2011
  • Decreto Supremo N°016-2024-JUS de 2024

6. Definiciones

Las siguientes son las definiciones consagradas en la Ley N°29733 de 2011, que permitirán conocer el desarrollo de cada uno de los temas planteados en el presente documento:

  • Datos personales: Es aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, de localización, identificadores en línea o de cualquier otro tipo concerniente a aspectos físicos, económicos, culturales o sociales de las personas naturales que las identifica o las hace identificables. Se considera identificable cuando se puede verificar la identidad de la persona de manera directa o indirectamente a partir de la combinación de datos a través de medios que puedan ser razonablemente utilizados.
  • Banco de datos personales: Es el conjunto de datos de personas naturales computarizado o no, y estructurado conforme a criterios específicos, que permita acceder sin esfuerzos desproporcionados a los datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica.
  • Responsable del tratamiento: Es la persona natural, persona jurídica de derecho privado o entidad pública que decide sobre la finalidad y medios del tratamiento de datos personales. Esta definición no se restringe al titular del banco de datos, sino que incluye a cualquier persona que decida sobre el tratamiento de datos personales, aun cuando no se encuentre en un banco de datos personales.
  • Encargado del tratamiento de datos personales: Es la persona natural, persona jurídica de derecho privado o entidad pública que realiza tratamiento de datos por cuenta u orden del responsable de tratamiento o titular del banco de datos personales.
  • Elaboración de perfiles: Es la forma de tratamiento automatizado de datos personales que permite evaluar aspectos de una persona natural, de manera específica y continua, para analizar o predecir aspectos relativos a su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamientos o hábitos, ubicación o movimientos.
  • Bloqueo: Es la medida que consiste en la identificación y reserva de los datos personales adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización, durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, rectificación o supresión, en concordancia con lo que dispone el tercer párrafo del artículo 20 de la Ley.

Se dispone también como paso previo a la cancelación por el tiempo necesario para determinar posibles responsabilidades en relación a los tratamientos durante el plazo de prescripción legal o prevista contractualmente.

  • Área responsable de la atención a peticiones, quejas, reclamos y consultas: Las peticiones, quejas, reclamos y consultas formuladas por los titulares de datos serán atendidas por un área específica de ACI PROYECTOS S.A.S. SUCURSAL DEL PERÚ a través de la figura del responsable de Protección de Datos, adscrita a la misma.
  • Datos personales relacionados con la salud: Es aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo la información que se derive de un acto médico, el grado de discapacidad y su información genética.
  • Datos sensibles: Es aquella información relativa a datos genéticos o biométricos de la persona natural, datos neuronales, datos morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la afiliación sindical, salud física o mental u otras análogas que afecten su intimidad.
  • Desindexación: Es el proceso mediante el cual una dirección URL o contenido específico de un sitio web es eliminado o excluido de los resultados de motores de búsqueda. Este procedimiento, dependiendo de la situación y las circunstancias específicas, puede ser efectuado por el propietario del sitio web o por el motor de búsqueda.
  • Dirección General de Transparencia, Acceso a la información Pública y Protección de Datos Personales: Es el órgano encargado de ejercer la Autoridad Nacional de Protección de Datos Personales a que se refiere el artículo 32 de la Ley, pudiendo usarse indistintamente cualquiera de dichas denominaciones en el presente Reglamento.
  • Cancelación: Es la acción o medida que en la Ley se describe como supresión, cuando se refiere a datos personales, que consiste en eliminar o suprimir los datos personales.
  • Emisor o Exportador de Datos Personales: Es el titular del banco de datos personales o aquel que resulte responsable del tratamiento de dichos datos, situado dentro del territorio nacional y que realiza una transferencia de datos personales a otro país, conforme a lo dispuesto en el presente Reglamento.
  • Receptor o Importador de Datos Personales: Es toda persona natural o jurídica de derecho privado, incluyendo las sucursales, filiales, vinculadas o similares o entidades públicas, que recibe los datos en caso de transferencia internacional, ya sea como titular del banco de datos personales o encargado del tratamiento.
  • Evaluación de impacto relativo a la protección de datos personales: Es el mecanismo de responsabilidad proactiva que consiste en que el titular del banco de datos personales o responsable del tratamiento de datos realice, de forma previa al tratamiento de los mismos, un análisis o evaluación del impacto o riesgos que implica el tratamiento de esos datos.
  • Fines de tránsito: Implica que los medios no son usados para la finalidad específica de realizar el tratamiento de datos personales, tales como procesamiento, almacenamiento, descarga, visualización y/o similares, sino exclusivamente para hacer pasar datos personales de un lugar a otro.
  • Flujo transfronterizo de datos personales: Se denomina flujo transfronterizo o transferencia internacional de datos personales a la transferencia de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.
  • Incidente se seguridad de datos personales: Es toda vulneración de la seguridad que ocasione la destrucción, pérdida, alteración ilícita de los datos personales o la comunicación o exposición no autorizada a dichos datos.
  • Oficial de datos personales: Es la persona designada por el responsable de tratamiento o encargado del tratamiento de datos personales para la verificación, asesoramiento e implementación del cumplimiento del régimen jurídico sobre protección de datos personales.
  • Rectificación: Es aquella acción destinada a afectar o modificar un dato personal ya sea para actualizarlo o corregirlo con datos exactos.
  • Representante: Es la persona natural o jurídica designada de manera expresa, por el titular del banco de datos personales o responsable, para fines del tratamiento de datos personales.
  • Tratamiento: Es cualquier operación o conjunto de operaciones, automatizados o no, que se realicen sobre los datos personales o conjuntos de datos personales.
  • Tercero: Es toda persona natural, persona jurídica de derecho privado o entidad pública, distinta del titular de los datos personales, del titular del banco de datos o responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa de aquellos.

La referencia a “tercero” que hace el artículo 30 de la Ley constituye una excepción al significado previsto en este numeral. 

7. Política de tratamiento de datos

De acuerdo con la normatividad vigente, los responsables y los encargados del tratamiento de datos personales, tienen la obligación de contar con las Políticas de Tratamiento de la Información, cuyo contenido básico es el siguiente:

  • Tratamiento al que se someterán los datos y finalidad de este cuando no se informe por privacidad.
  • Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del responsable del tratamiento de los datos.
  • Derechos que tiene el titular de la información.
  • Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y/o revocar la autorización.
  • Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
  • Fecha de entrada en vigor de la política de tratamiento de la información y período de vigencia de la base de datos.

 

Cualquier cambio sustancial en las políticas de tratamiento de datos personales debe ser comunicado oportunamente a los titulares de una manera eficiente, antes de implementar las nuevas políticas. Esta notificación debe realizarse por medio del envío del aviso a las direcciones electrónicas de los titulares cuyo uso debe estar autorizado previamente por los mismos y puede ser apoyado por publicaciones en medios masivos como el correo del encargado de datos personales protecciondedatospersonales@aciproyectos.com

8. Finalidad del tratamiento

De acuerdo con lo establecido en la Ley N°29733 y de conformidad con las autorizaciones impartidas por los titulares de la información, la compañía realizará operaciones o conjunto de operaciones que incluyen recolección de datos, su almacenamiento, uso, circulación y/o supresión. Este Tratamiento de datos se realizará exclusivamente para las finalidades autorizadas y previstas en la presente Política y en las autorizaciones específicas otorgadas por parte del titular. De la misma forma se realizará Tratamiento de Datos Personales cuando exista una obligación legal o contractual para ello, siempre bajo los lineamientos de las políticas de Seguridad de la Información contemplada en la Compañía.

Debido a la naturaleza jurídica de la Compañía, los datos personales podrán ser tratados en todos los casos con el propósito de servicios de Supervisión (Interventoría) de Proyectos a nivel Nacional e Internacional dando solución a las necesidades de los clientes, para la ejecución de proyectos de infraestructura de índole público y privado.

Así mismo y en ejecución del objeto social de la compañía, los datos personales serán tratados de acuerdo con el grupo de interés y en proporción a la finalidad o finalidades que tenga cada tratamiento, como se describe a continuación:

8.1. Titulares en general

El tratamiento de Datos Personales por parte de la compañía tendrá las siguientes finalidades:

  • Controlar las solicitudes relacionadas con los servicios prestados por la Compañía.
  • Remitir las respuestas de las consultas y derechos de petición a los peticionarios.
  • Adelantar los trámites, servicios y otros procedimientos administrativos que sean solicitados a la Compañía.
  • Realizar campañas, actividades de divulgación y capacitaciones.
  • Actualizar bases de datos, incluyendo los casos en que se requiera transmitir o transferir a un tercero, la información para la validación, depuración, enriquecimiento y homogenización de datos, previo cumplimiento de las exigencias legales.
  • Manejo de la información por parte de proveedores para las gestiones relacionadas con tramites y servicios definidos en sus respectivos vínculos con la Compañía y siempre que ello sea estrictamente necesario.
  • Elaborar estudios, estadísticas, encuestas, análisis de tendencias, relacionados con los servicios que presta la compañía.
  • Presentar informes a entidades externas que permitan dar cumplimiento a las exigencias legales y a análisis estadísticos requeridos a la Compañía.
  • Gestionar la información necesaria para el cumplimiento de las obligaciones tributarias, contractuales, comerciales y de registros comerciales, corporativos y contables.
  • Transmitir la información a encargados nacionales o internacionales con los que se tenga una relación operativa que provean los servicios necesarios para la debida operación de la Compañía.
  • Prestar los servicios de información a través de los diferentes medios de contacto.
  • Grabación de imágenes o cualquier otro registro que sirva de soporte y evidencia.
  • La consulta en listas vinculantes y restrictivas.
  • Las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, y en todo caso de acuerdo con la Ley y en el marco de las funciones que le son atribuibles a la Compañía. 

    8.2. Socios, accionistas y empleados

  • Realizar las actividades necesarias para dar cumplimiento a las obligaciones legales en relación con los empleados y exempleado de la compañía.
  • El tratamiento de la información personal y del núcleo familiar para la vinculación y la de ellos cuando sea el caso, a las diferentes entidades del régimen de seguridad social en salud cualquiera que sea su denominación, Fondos de Pensiones y de Cesantías, Administradoras de Riesgos laborales, Cursos de Educación Continuada, Exámenes Médicos de Salud Ocupacional, de Optometría, de Riesgo Psicosocial, Capacitaciones o de cualquier otro examen practicado en virtud del cargo, y durante todo el tiempo que dure la vinculación a la Empresa
  • Controlar el cumplimiento de requisitos relacionados con el Sistema General de Seguridad Social.
  • Directorio corporativo con la finalidad de contacto de los empleados.
  • En caso de datos biométricos capturados a través de sistemas de videovigilancia o grabación su tratamiento tendrá como finalidad:
    • Identificación, seguridad y la prevención de fraude interno y externo.
    • Monitorear y registrar las áreas de trabajo para la prevención de accidentes o situaciones peligrosas. 
    • Ser sustento probatorio para las actuaciones administrativas o judiciales que se requiera.
  • Los datos personales de menores de edad serán tratados con la finalidad de dar cumplimiento a las obligaciones legales.
  • Para el caso de los participantes en convocatorias de selección, los datos personales tratados como finalidad para adelantar las gestiones de los procesos de selección; las hojas de vida se gestionarán garantizando el principio de acceso restringido.
  • Informar y comunicar las generalidades de los eventos desarrollados por la Compañía por los medios y en las formas que se consideren convenientes.
  • Gestionar la cadena presupuestal de la Compañía: pagos de la Compañía, emisión de certificados de ingresos y retenciones (personas naturales y jurídicas) y relaciones de pagos.
  • Gestionar el proceso Contable de la Compañía.
  • La consulta en listas vinculantes y restrictivas.
  • Trámites que se deban adelantar para procedimientos disciplinarios o terminaciones de contrato de trabajo.
  • Emisión de Certificados Laborales solicitados a través de correo electrónico o cualquier otro medio autorizado por la compañía. 

8.3. Proveedores

  • Para todos los fines relacionados con el objeto de los procesos de selección, contractuales o relacionados con éstos.
  • Realizar todos los trámites internos y el cumplimiento de obligaciones contables, tributarias y de ley.
  • Gestionar la cadena presupuestal de la Compañía: pagos de la Compañía, emisión de certificados de ingresos y retenciones (personas naturales y jurídicas) y relaciones de pagos.
  • Gestionar el proceso Contable de la compañía.
  • Realizar todas las actividades necesarias para el cumplimiento de las diferentes etapas contractuales en las relaciones con proveedores.
  • Expedir las certificaciones contractuales solicitadas por los proveedores de la Compañía o solicitudes de los entes de control.
  • Directorio Corporativo para Contacto de Proveedores.
  • Mantener un archivo digital que permita contar con la información correspondiente a cada contrato.
  • La consulta en listas vinculantes y restrictivas.
  • Evaluar la calidad de los servicios prestados.
  • Las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, y en todo caso de acuerdo con la Ley y en el marco de las funciones que le son atribuibles a la Compañía. 

8.4. Clientes

  • Gestionar y mantener la relación con el cliente, incluyendo la comunicación sobre productos, servicios y actualizaciones relevantes.
  • Cumplir con las obligaciones derivadas de contratos con los clientes, como la entrega de productos y servicios.
  • Mejorar la calidad de los productos y servicios ofrecidos, basándose en las preferencias y feedback de los clientes.
  • Para todos los fines relacionados con el objeto de los procesos de selección, contractuales o relacionados con éstos.
  • Realizar todos los trámites internos y el cumplimiento de obligaciones contables, tributarias y de ley.
  • Gestionar la cadena presupuestal de la Compañía: pagos de la Compañía, emisión de certificados de ingresos y retenciones (personas naturales y jurídicas) y relaciones de pagos.
  • Gestionar el proceso Contable de la compañía.
  • Proporcionar soporte y asistencia al cliente, resolviendo consultas, quejas y solicitudes de manera eficiente.
  • Proteger la seguridad de los clientes y la empresa, incluyendo la prevención y detección de fraudes y actividades ilícitas.
  • Procesar los datos personales para cumplir con las obligaciones legales y regulatorias aplicables, como la retención de datos para auditorías y reportes.
  • Personalizar la experiencia del cliente, ofreciendo recomendaciones y contenido adaptado a sus intereses y necesidades.
  • Gestionar pagos, facturación y cualquier otra transacción financiera relacionada con los servicios o productos adquiridos por el cliente.
  • Directorio Corporativo para Contacto de Clientes.
  • La consulta en listas vinculantes y restrictivas.
  • Las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, y en todo caso de acuerdo con la Ley y en el marco de las funciones que lo son atribuibles a Compañía.

9. Responsable del tratamiento de datos personales

La Ley N°29733, por medio de la cual se dictan disposiciones generales para la protección de datos personales en Perú y su Reglamento, el Decreto Supremo N°016-2024-JUS, tienen aplicación a los datos personales que se encuentren registrados o depositados en cualquier base de datos que los haga susceptible de tratamiento.

Como responsable y/o encargado del tratamiento de datos personales, ACI PROYECTOS S.A.S. SUCURSAL DEL PERU, por medio de este manual de políticas y procedimientos para la protección y el tratamiento de datos personales, determina los principios y las bases fundamentales sobre las cuales se llevará a cabo dicho tratamiento, en el desarrollo de su objeto social.

Razón Social: ACI PROYECTOS S.A.S. SUCURSAL DEL PERU

Domicilio: Av. Benavides N°1555 Oficina 703 – Miraflores

Página web: www.aciproyectos.com

Representante Legal

Dirección de correspondencia: Av. Benavides N°1555 Oficina 703 – Miraflores

Email:  protecciondedatospersonales@aciproyectos.com

Teléfono: (01) 243 4567

9.1. Deberes del(os) responsable(s) y encargados(s) del tratamiento

9.1.1. Deberes del(os) responsable(s) del tratamiento

La Compañía siendo responsable y teniendo el compromiso de la protección integral de los datos tendrá los siguientes deberes:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.
  • Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Garantizar que la información que se suministre al Encargado sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
  • Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado.
  • Suministrar al Encargado, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
  • Exigir al Encargado en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
  • Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
  • Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.
  • Informar al Encargado cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
  • Informar a solicitud del Titular sobre el uso dado a sus datos;
  • Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
9.1.2. Deberes del(os) encargado(s) del tratamiento

Los Encargados del Tratamiento, y en el evento en el cual la Compañía actúe como encargada, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley N°29733 y demás normas concordantes y vigentes.
  • Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
  • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente política.
  • Adoptar un Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
  • Registrar en las bases de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley.
  • Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
  • Verificar que el responsable del Tratamiento tiene la autorización para el tratamiento de datos personales del Titular.
  • Las demás previstas en la normatividad vigente.

10. Derechos y condiciones de legalidad para el tratamiento de datos

10.1. Derechos de los titulares de los datos personales

Nuestra compañía siempre velara por respetar y hacer cumplir los derechos de los titulares de los datos personales en el tratamiento correspondiente, estos derechos son:

  • Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
  • Información general en relación con los datos que reposan en las bases de datos. 
  • Cancelación total o parcial de los datos.
  • Oposición al tratamiento de los datos.
  • Solicitar prueba de la autorización otorgada ACI PROYECTOS S.A.S. SUCURSAL DEL PERU, salvo cuando expresamente se exceptúe como requisito para el tratamiento.
  • Ser informado por la organización o el encargado del tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales.
  • Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
  • Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

Lo anterior se podrá hacer mediante escrito enviado un correo electrónico al área de Gestión de Personas, donde se debe indicar nombre, la petición puntual y la información de a donde desea se envíe la respuesta.

10.2. Consentimiento del titular

Teniendo en cuenta la excepciones que prevé la ley, siempre es necesario que LA EMPRESA debe solicitar un consentimiento que cumpla la siguientes características: libre, previo, expresa e inequívoco, e Informado a los Titulares de los Datos Personales sobre los que requiera realizar el Tratamiento, dicho consentimiento debe ser obtenido por cualquier medio que pueda ser objeto de consulta posterior y se entenderá que cumple los requisitos cuando se manifieste por escrito, de manera oral, o mediante conductas indiscutibles del titular que permitan de forma razonable concluir que otorgo el consentimiento, como cuando ingresa a nuestras instalaciones sabiendo de la existencia de video vigilancia.

  • Se considera que el consentimiento libre cuando se otorgue sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los datos personales.
  • Consentimiento previo significa, que el consentimiento debe ser solicitado al titular de los datos personales con anterioridad a la recopilación de tales datos o, en su caso, antes del tratamiento distinto a aquel por el cual ya se recopilaron dichos datos.
  • Consentimiento expreso, quiere decir cuando el consentimiento se haya exteriorizado a través de una acción que demuestre una aceptación concreta, directa y explícita respecto al tratamiento de los datos personales. Se puede considerar expreso cuando se realice en las siguientes formas:
    • Verbal, cuando el titular del dato personal lo exterioriza oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral.
    • Escrito, cuando se exterioriza mediante un documento o medio electrónico con su firma autógrafa, electrónica o digital, huella dactilar o cualquier otro mecanismo electrónico autorizado.
    • Por canales digitales, cuando se firma un documento a través de medios electrónicos o digitales, o cualquier otro mecanismo electrónico, así como la manifestación consistente en “hacer clic”, “cliquear” o “pinchar”, “dar un toque”, “touch” o “pad” u otros similares.
    • Mediante cualquier otro medio conforme a lo establecido en el artículo 141 del Código Civil.
  • Se considera que el consentimiento es inequívoco cuando se pueda apreciar que los actos materiales por parte del titular del dato personal manifiestan la aceptación indubitable respecto a un determinado tratamiento de sus datos personales, sin generar posibilidad de duda o equivocación.
  • Consentimiento informado, cuando los datos personales son obtenidos directamente del titular de los datos personales se le debe comunicar de forma clara, con lenguaje sencillo, cuando menos lo siguiente:
    • La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos, y, cuando corresponda, del representante.
    • La finalidad o finalidades del tratamiento a las que sus datos son sometidos.
    • La identidad de los que son o pueden ser sus destinatarios, de ser el caso.
    • La existencia e identificación del banco de datos personales en que se almacenarán, cuando corresponda.
    • El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso.
    • Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo.
    • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y se transmita información relativa a las consecuencias para el titular del dato personal.
    • El plazo de conservación de los datos personales.

IMPORTANTE: En ningún caso LA EMPRESA asimilará el silencio del Titular a una conducta inequívoca.

Cualquiera que sea el mecanismo utilizado por LA EMPRESA, es necesario que la autorización se conserve para poder ser consultada con posterioridad.

10.2.1. Casos en que no es necesario el consentimiento

En los siguientes casos no será necesaria el consentimiento del titular:

  • Los medios de comunicación electrónica, óptica y de otra tecnología, siempre que el lugar en el que se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general, salvo una norma determine lo contrario.
  • Las guías telefónicas, independientemente del soporte en el que estén a disposición y en los términos de su regulación específica.
  • Los diarios y revistas independientemente del soporte en el que estén a disposición y en los términos de su regulación específica.
  • Los medios de comunicación social.
  • Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax, dirección de correo electrónico y aquellos que establezcan su pertenencia al grupo. En el caso de colegios profesionales, podrán indicarse además los siguientes datos de sus miembros: número de colegiatura, fecha de incorporación y situación gremial en relación con el ejercicio profesional.
  • Los repertorios de jurisprudencia publicados conforme a ley.
  • Los Registros Públicos administrados por la Superintendencia Nacional de Registros Públicos – SUNARP, así como todo otro registro o banco de datos calificado como público conforme a ley.
  • Las entidades de la Administración Pública, en relación con la información que deba ser entregada en aplicación de la Ley Nº27806, Ley de Transparencia y Acceso a la Información Pública.

El tratamiento de los datos personales obtenidos a través de fuentes de acceso público debe respetar los principios establecidos en la Ley N°29733 y en el Reglamento D.S. 016-2024-JUS.

10.3. Suministro de la información

La información que sea solicitada por una contraparte externa puede ser suministrada por cualquier medio, esto incluyendo los medios físicos y electrónicos, la información que brinda la compañía será clara, de fácil lectura acceso y esta corresponderá en todo momento con la información que reposa en las bases de datos.

Así mismo, se debe garantizar que el tercero cumpla con la normatividad vigente en materia de Protección de Datos personales y deberán suministrar la correspondiente autorización para el tratamiento de dichos datos.

10.4. Deber de informar al titular

La compañía informará, al momento de solicitar al titular la autorización, lo siguiente:

  • El Tratamiento al cual serán sometidos sus datos personales y la finalidad de este.
  • El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
  • Los derechos que le asisten como Titular.
  • La identificación, dirección física o electrónica y teléfono del responsable del Tratamiento.

La compañía es responsable del correcto tratamiento de los datos personales de los titulares, es por este motivo que siempre conservara el soporte correspondiente del cumplimiento de lo previsto en el presente numeral, así mismo se obliga a otorgar copia de esta información cuando el titular la solicite.

10.5. Personas a quienes se les puede suministrar la información

Toda información que reúna las condiciones establecidas en la ley solo podrá suministrase a las siguientes personas.

  • A los Titulares, sus causahabientes o sus representantes legales.
  • A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
  • A los terceros autorizados por el Titular o por la ley.

11. Área responsable de la implementación y observancia de esta política

El área de Gestión de Personas de la EMPRESA tiene a su cargo la labor de desarrollo, implementación, capacitación y observancia de esta Política. Para el efecto, todos los funcionarios que realizan el Tratamiento de Datos Personales en las diferentes áreas de la EMPRESA están obligados a reportar estas Bases de Datos a dicha área y a dar traslado a ésta de manera inmediata, de todas las peticiones, quejas o reclamos que reciban por parte de los Titulares de Datos Personales.

El área de Gestión de Personas de la EMPRESA también ha sido designada como área responsable de la atención de peticiones, consultas, quejas y reclamos ante la cual el Titular de la información podrá ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

Toda petición, consulta y reclamo que realicen los titulares de los datos personales que estén a cargo de la compañía y para ejercer el derecho consagrado en la actual política, deberán ser dirigidas directamente al encargado y al responsable de protección de datos personales por los siguientes medios de comunicación:

  • Dirección: Av. Benavides N°1555 Oficina 703 – Miraflores
  • Teléfono: (01) 243 4567
  • Encargado del canal: Oficial de Datos Personales designado por ACI Proyectos S.A.S. Sucursal del Perú y el área de Gestión de Personas.
  • Correo electrónicoprotecciondedatospersonales@aciproyectos.com

Los medios mencionados anteriormente son el contacto de los titulares de Datos personales, para todos los efectos previstos en la presente política. 

11.1. Procedimiento para atención y respuesta a peticiones, consultas, quejas y reclamos de los titulares de datos personales

Sin importar el vínculo que tengan los titulares de los datos personales con la Compañía, podrán ejercer siempre sus derechos a conocer, actualizar, rectificar y suprimir información y/o revocar la autorización otorgada.

11.1.1. Procedimiento de consultas

La Compañía y/o los Encargados, garantizan a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes o personas autorizadas, el derecho de consultar toda la información contenida en su registro individual o toda aquella que esté vinculada con su identificación conforme se establece en la presente Política de Tratamiento de Datos Personales.

Responsable de atención de consultas: El Encargado de Protección de Datos Personales de la Compañía, será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley N°29733 y en las presentes políticas.

Las consultas dirigidas a la Compañía deberán contener como mínimo la siguiente información:

  • Nombres y apellidos del Titular y/o su representante y/o causahabientes.
  • Lo que se pretende consultar.
  • Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes o representantes.
  • Firma, número de identificación o procedimiento de validación correspondiente.
  • Haber sido presentada por los medios de consulta habilitados por la Compañía.

Una vez sea recibida la solicitud de consulta de información por parte del Titular de los datos o su representante o tercero debidamente autorizado, a través de los canales establecidos, el área respectiva procederá a remitir la solicitud al área de servicio al cliente, quien a su vez dará traslado de la misma al encargado de Protección de Datos Personales, quien procederá a verificar que la solicitud contenga todas las especificaciones requeridas a efectos de poder valorar que el derecho se ejerza por un interesado o por un representante de éste, acreditando con ello, que se cuenta con la legitimidad legal para hacerlo.

Plazos de Respuesta a consultas: Las solicitudes de información recibidas mediante los anteriores medios serán atendidas en un plazo máximo de ocho (8) días contados desde el día siguiente de la presentación de la solicitud.

El plazo máximo para la respuesta ante el ejercicio del derecho de acceso a la información es de veinte (20) días contados desde el día siguiente de la presentación de la solicitud por el titular de datos personales.

Tratándose del ejercicio de los otros derechos como los de rectificación, cancelación u oposición, el plazo máximo de respuesta es de diez (10) días contados desde el día siguiente de la presentación de la solicitud.

Prórroga del plazo de Respuesta: Salvo el plazo establecido para el ejercicio del derecho de información, los plazos que correspondan para la respuesta o la atención de los demás derechos pueden ser ampliados una sola vez, y por un plazo igual, como máximo, siempre y cuando las circunstancias lo justifiquen. La justificación de la ampliación del plazo debe comunicarse al titular del dato personal dentro del plazo que se pretenda ampliar.

11.1.2. Procedimiento de reclamos

Derechos Garantizados mediante el procedimiento de reclamos:

  • Corrección o Actualización: La Compañía y/o los Encargados, garantizarán a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de corregir o actualizar los datos personales que reposen en sus bases de datos, mediante presentación de reclamación, cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales para que sea procedente la solicitud de Corrección o Actualización.

La solicitud de actualización debe señalar los datos personales a que se refiere, así como la modificación que haya de realizarse en ellos, acompañando la documentación que sustente la procedencia de la actualización solicitada.

  • Revocatoria de la autorización o supresión de los datos: La Compañía y/o los Encargados, garantizarán a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de Solicitar la Revocatoria de la autorización o solicitar la supresión de la información contenida en su registro individual o toda aquella que esté vinculada con su identificación cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales. Así mismo se garantiza el derecho de presentar reclamos cuando adviertan el presunto incumplimiento de la Ley N°29733 o de la presente Política de tratamiento de datos personales. 
  • Responsable de atención de Reclamos: El encargado de Protección de Datos Personales de la Compañía, será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley N°29733 y en las presentes políticas.

Las reclamaciones presentadas deberán contener como mínimo la siguiente información:

  • Nombres y apellidos del Titular y/o su representante y/o causahabientes.
  • Lo que se pretende reclamar.
  • Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes o representantes.
  • Firma, número de identificación o procedimiento de validación correspondiente.
  • Haber sido presentada por los medios de consulta habilitados por la Compañía.

Una vez sea recibida la reclamación de actualización o de rectificación de información por parte del Titular o su representante o tercero debidamente autorizado, a través de los canales establecidos, el área respectiva procederá a remitir la solicitud al área de servicio al cliente, quien a su vez dará traslado de la misma al Encargado de Protección de Datos Personales, quien procederá a verificar que la solicitud contenga todas las especificaciones requeridas a efectos de poder valorar que el derecho se ejerza por un interesado o por un representante de éste, acreditando con ello, que se cuenta con la legitimidad legal para hacerlo

  • Reclamaciones sin cumplimiento de requisitos legales: En caso de que la reclamación se presente sin el cumplimiento de los anteriores requisitos legales, se solicitará al reclamante dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas y presente la información o documentos faltantes.
  • Desistimiento del reclamo: Transcurridos los cinco (5) días desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Recepción de reclamos que no correspondan a la Compañía: En caso de que la Compañía reciba un reclamo dirigido a otra compañía, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al reclamante.

  • Inclusión de leyenda en la base de datos: Recibida la reclamación de forma completa, en un término máximo de dos (2) días hábiles contados desde la recepción, la Compañía Incluirán en la base de datos donde se encuentren los datos personales del Titular, una leyenda que diga “reclamo en trámite” y el motivo de este. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
  • Plazos de respuesta a los reclamos: El término máximo para atender el reclamo será de diez (10) días hábiles contados a partir del día siguiente a la fecha de su recibido.
  • Prórroga del plazo de respuesta: Salvo el plazo establecido para el ejercicio del derecho de información, los plazos que correspondan para la respuesta o la atención de los demás derechos pueden ser ampliados una sola vez, y por un plazo igual, como máximo, siempre y cuando las circunstancias lo justifiquen. La justificación de la ampliación del plazo debe comunicarse al titular del dato personal dentro del plazo que se pretenda ampliar.
  • Procedimiento de supresión de datos personales: En caso de resultar procedente la Supresión de los datos personales del titular de la base de datos conforme a la reclamación presentada, la Compañía, deberán realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, sin embargo, el Titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la compañía por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.

12. Disposiciones especiales para el tratamiento de datos personales de naturaleza sensible

12.1. Datos sensibles

De acuerdo con las disposiciones de la Ley N°29733, se consideran como datos de naturaleza sensible aquellos que afectan la intimidad o cuyo uso indebido puede generar discriminación, tales como los relacionados con:

  • Origen racial o étnico.
  • Orientación política.
  • Convicciones religiosas/filosóficas.
  • Pertenencia a sindicatos, a organizaciones sociales, a organizaciones de derechos humanos o a partidos políticos.
  • Salud.
  • Vida sexual.
  • Datos biométricos (como la huella dactilar, la firma y la foto).

El Tratamiento de los Datos Personales de naturaleza sensible está prohibido por la ley, salvo que se cuente con autorización expresa, previa e informada del Titular, entre otras excepciones consagradas en la Ley N°29733.

En este caso, además de cumplir con los requisitos establecidos para la autorización, LA EMPRESA deberá:

  • Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
  • Informar al Titular cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento.

En caso de tratamiento de datos relativos a la salud, la Compañía, garantizará todas las medidas necesarias para proteger la confidencialidad de la información. Los datos sensibles biométricos tratados tienen como finalidad la identificación de las personas, la seguridad, el cumplimiento de obligaciones legales y la adecuada prestación de los productos.

IMPORTANTE: Ninguna actividad podrá condicionarse a que el Titular suministre Datos Personales sensibles.

12.1.1. Tratamiento de datos sensibles

Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

  • El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
  • El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
  • El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

  • El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares. 

12.2. Disposiciones especiales para el tratamiento de datos personales de niños, niñas y adolescentes

Según lo dispuesto por la Ley N°29733 y el Decreto Supremo N°016-2024-JUS, LA EMPRESA sólo realizará el Tratamiento, esto es, la recolección, almacenamiento, uso, circulación y/o supresión de Datos Personales correspondientes a niños, niñas y adolescentes, siempre y cuando este Tratamiento responda y respete el interés superior de los niños, niñas y adolescentes y asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, LA EMPRESA deberá obtener el consentimiento de aquel o aquellos que ejercen la patria potestad o tutela, del niño, niña o adolescente, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

12.2.1. Transferencia, transmisión y revelación de datos personales

LA EMPRESA podrá revelar a sus compañías vinculadas a nivel mundial, los Datos Personales sobre los cuales realiza el Tratamiento, para su utilización y Tratamiento conforme a esta Política de Tratamiento de Datos Personales.

Igualmente, LA EMPRESA podrá entregar los Datos Personales a terceros no vinculados a LA EMPRESA cuando:

  • Se trate de contratistas en ejecución de contratos para el desarrollo de las actividades de LA EMPRESA;
  • Por transferencia a cualquier título de cualquier línea de negocio con la que se relaciona la información.

En todo caso, en los contratos de transmisión de Datos Personales, que se suscriban entre LA EMPRESA y los Encargados para el Tratamiento de Datos Personales, se exigirá que la información sea tratada conforme a esta Política de Protección de Datos Personales y se incluirán las siguientes obligaciones en cabeza del respectivo Encargado:

  • Dar Tratamiento, a nombre de LA EMPRESA a los Datos Personales conforme los principios que los tutelan.
  • Salvaguardar la seguridad de las bases de datos en los que se contengan Datos Personales.
  • Guardar confidencialidad respecto del Tratamiento de los Datos Personales.

13. Acciones generales para la protección de datos personales

A continuación, la Compañía, establece los lineamientos correspondientes para la protección de los datos personales aplicados dentro de la compañía, esto sin perjuicio de remplazar y desconocer otra políticas o procedimientos que puedan existir actualmente.

13.1. Tratamiento de la información

Para poder realizar el manejo de la información se debe de contar con ética, asegurando la confidencialidad, integridad y disponibilidad de los datos. Por lo que cada una de las áreas de la compañía y los miembros de estas asumirán las responsabilidades y obligaciones que se deben tener al momento de tratar la información personal, para mantener un manejo adecuado en función de su cargo, esto aplicara para todo ámbito, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.

13.2. Uso de la información

Toda información que sea de carácter personal debe ser utilizada y tratada de acuerdo con lo descrito en la presente política.

Si alguna área de la Compañía llegase a identificar algún uso distinto a los que se encuentran en la presente política de tratamiento de datos personales, deberá dar informe al encargado de datos personales, y este a su vez deberá realizar una evaluación y gestionara, según el caso su inclusión en la presente política.

Igualmente, se deben tomar en consideración los siguientes supuestos:

  • En caso de que un área diferente de la que recolectó inicialmente el dato personal requiera utilizar los datos personales que se han obtenido, ello se podrá hacer siempre que se trate de un uso previsible por el tipo de servicios que ofrece la Compañía y para una finalidad contemplada dentro de la presente Política de Tratamiento de Datos Personales.
  • Cada área debe garantizar que en las prácticas de reciclaje de documentos físicos no se divulgue información confidencial ni datos personales. Por lo anterior, no se podrán reciclar hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona.
  • En caso de que un encargado haya facilitado datos personales o bases de datos a algún área para un fin determinado, el área que solicitó los datos personales no debe utilizar dicha información para una finalidad diferente de la relacionada en la Política de Tratamiento de Datos Personales; al finalizar la actividad, es deber del área que solicitó la información, eliminar la base de datos o los datos personales utilizados evitando el riesgo de desactualización de información o casos en los cuales durante ese tiempo un titular haya presentado algún reclamo.
  • Los funcionarios no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja el sistema de información, por lo que deberán validar la información a través de otros instrumentos físicos o de manera manual, y, si es necesario, de manera directa por parte del titular del dato, en los casos en que así sea necesario.
  • Únicamente los funcionarios autorizados pueden introducir, modificar o anular los datos contenidos en las bases de datos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por la Compañía, de acuerdo con los perfiles establecidos, los cuales serán previamente definidos por los líderes de los procesos donde se requiera el uso de información persona.
  • Cualquier uso de la información diferente al establecido, será previamente consultado con el encargado de Protección de Datos Personales. 

13.3. Conservación de documentos

Los documentos relacionados con la Política de Protección de Datos Personales deben conservarse de acuerdo con lo previsto en la Ley N°29733, solo por el tiempo necesario para cumplir con la finalidad de su tratamiento.

En el caso de tratamiento por encargo, se establece un plazo de dos años para conservar los datos desde la finalización del último encargo.

Se conservarán todos los soportes necesarios y la Compañía dispone de los siguientes documentos para la gestión del Programa.

13.4. Destrucción

Al momento de realizar labores de destrucción de medios físicas o electrónicos se garantizará que los mecanismos utilizados no permitan la reconstrucción de estos. Se realizará únicamente en los casos que no se esté incumpliendo ningún tipo de norma, dejando soportada siempre la trazabilidad de la acción.

La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

13.5. Procedimiento de gestión de incidentes con datos personales

Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o información contenida en las mismas.

En caso de conocer alguna incidencia ocurrida, el usuario debe comunicarla al encargado de Protección de Datos que adoptará las medidas oportunas frente al incidente reportado.

El encargado de Protección de Datos Personales informará de la incidencia a la Autoridad Nacional de Protección de Datos Personales (ANPD) del Ministerio de Justicia y Derechos Humanos (MINJUSDH), en el módulo habilitado para tal efecto dentro de los 15 días a partir del conocimiento de esta.

Las incidencias pueden afectar tanto a bases de datos digitales como físicas y generarán las siguientes actividades:

  • Notificación de incidentes: Cuando se presuma que un incidente pueda afectar o haber afectado a bases de datos con información personal se deberá informar al encargado de Protección de Datos Personales quién gestionará su reporte en el Registro Nacional de Bases de Datos.
  • Gestión de incidentes: Es responsabilidad de cada funcionario, consultor o tercero, reportar de manera oportuna cualquier evento sospechoso, debilidad o violación de políticas que pueden afectar la confidencialidad, integridad y disponibilidad de los activos e información personal de la Compañía
  • Identificación: Todos los eventos sospechosos o anormales, tales como aquellos en los que se observe el potencial de perdida de reserva o confidencialidad de la información, deben ser evaluados para determinar si son o no, un incidente y deben ser reportados al nivel adecuado en la compañía. Cualquier decisión que involucre a las autoridades de investigación y judiciales debe ser hecha en conjunto entre el encargado de Protección de Datos Personales y el área Jurídica. La comunicación con dichas autoridades será realizada por ellos mismos.
  • Reporte: Todos los incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible a través de los canales internos establecidos por la Autoridad Nacional de Protección de Datos Personales.

Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, el encargado de Protección de Datos Personales debe ser notificado de forma inmediata.

Los funcionarios deben reportar a su jefe directo y al encargado de Protección de Datos Personales cualquier daño o pérdida de computadores o cualquiera otro dispositivo, así como la pérdida de documentos físicos o digitales cuando estos contengan datos personales en poder de la Compañía.

A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún funcionario debe divulgar información sobre sistemas de cómputo, y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, el área Jurídica deberá intervenir con el fin de prestar el asesoramiento adecuado.

·  Designación del Oficial de Datos Personales: El titular del banco de datos personales o responsable y el encargado de tratamiento deben designar a un Oficial de Datos Personales.

El Oficial de datos personales es designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos y práctica en materia de protección de datos personales, debidamente acreditados, lo cual le debe permitir desempeñar eficientemente las funciones del artículo 39 del Reglamento D.S. N°016-2024-JUS. Además, el Oficial de datos personales puede ser una persona que desempeñe otras funciones en la empresa, sin que sea necesario que desempeñe con exclusividad las funciones vinculadas a su designación.

El titular del banco de datos o el responsable o encargado del tratamiento debe publicar los datos de contacto del Oficial de datos personales en un lugar visible que permita a los titulares de datos personales tomar conocimiento de ello.

Los datos de contacto del Oficial de datos personales designado, y cualquier actualización, deben ser comunicados a la Autoridad Nacional de Protección de Datos Personales dentro de los 15 días siguientes a la designación o actualización respectiva.

Las funciones del Oficial de Datos Personales son las siguientes:

  • Informar y asesorar al titular del banco de datos personales o al responsable del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales respecto de las obligaciones que les incumben en virtud de la Ley N°39733, el Reglamento D.S. 016-2024-JUS y de otras disposiciones de protección de datos.
  • Verificar e informar sobre el cumplimiento de lo dispuesto en la Ley N°39733, el Reglamento D.S. 016-2024-JUS y de otras disposiciones de protección de datos personales, así como del cumplimiento de las políticas del titular del banco de datos o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la sensibilización y formación del personal que participa en las operaciones de tratamiento, y las auditorías que se realicen.
  • Cooperar, en lo que resulte pertinente, con la Autoridad Nacional de Protección de Datos Personales para el desempeño de sus fines y atribuciones.
  • Actuar como punto de contacto de la Autoridad Nacional de Protección de Datos Personales para cuestiones relativas al tratamiento de datos personales.
  • Contención, Investigación y Diagnostico: El encargado de Protección de Datos Personales debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado.

En caso de que se identifique un delito informático, en los términos establecidos en la Ley N°29733, el encargado de Protección de Datos Personales y el área Jurídica, reportara tal información a las autoridades de investigaciones judiciales respectivas.

Durante los procesos de investigación se deberá garantizar la “Cadena de Custodia” con el fin de preservarla en caso de requerirse establecer una acción legal.

  • Solución: La Compañía, así como cualquier área comprometida y los directamente responsables de la gestión de datos personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes.
  • Cierre de Incidente y Seguimiento: La EMPRESA, juntamente con el encargado de Protección de Datos Personales y las áreas que usan o requieren la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad.

El encargado de Protección de Datos Personales preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización que ayuden a minimizar la probabilidad de incidentes futuros.

  • Reporte de incidentes ante el MINJUSDH como autoridad de control: Se reportarán como novedades los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:

En la parte inferior del menú de cada base de datos registrada en el sistema, se presentan dos (2) opciones para informar las novedades:

  • La violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el responsable del Tratamiento o por su Encargado, deberán reportarse a la Autoridad Nacional de Protección de Datos Personales dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos. 
  • Los líderes de proceso y/o propietarios de activos de información, reportarán de forma interna los incidentes asociados a datos personales ante el encargado de Protección de Datos Personales, quién dentro del plazo legal procederá a reportarlos ante la Autoridad Nacional de Protección de Datos Personales. 

14. Video vigilancia

La compañía en sus instalaciones cuenta con cámaras de video vigilancia esto con el fin de respetar las políticas de seguridad, cumpliendo con la normatividad vigente respecto a la protección de datos personales expedidos por la Superintendencia de Industria y Comercio – SIC como autoridad de
vigilancia y control.

 

Toda imagen que sea captada por las cámaras de video vigilancia se conservara por el máximo de 15 días, sin embargo, en caso de que las imágenes almacenadas sean objeto de reclamación, queja, o cualquier proceso de tipo judicial, estas se resguardaran hasta que dicho proceso sea resuelto y/o finalizado

Por lo anterior, cada mes se realiza borrado automático de los videos de vigilancia del mes anterior

15. Vigencia, versiones y actualización de la política

La presente política regirá a partir de su aprobación, y complementara todas las políticas referentes o complementarias que se encuentran implementadas al interior de la compañía.

Se realizará revisión y auditoria por parte de personal especializado en protección de datos personales (interno o externo) de la presente política con una periodicidad mínima de dos años, según los resultados de la revisión se pondrá en marcha planes de mejoramiento y/o actualizaciones que sean necesarias conforme a las necesidades de la compañía y la normatividad vigente para la época, esta información será presentada al máximo órgano social de la compañía para su valoración y aprobación.

Cualquier cambio sustancial que se pueda presentar de la política de tratamiento de datos personales será comunicado oportunamente por medio del área de Gestión de Personas.

16. Control de actualizaciones

Las presentes políticas serán actualizadas en la medida que se requiera; al respecto, la Alta Dirección de la EMPRESA, será la competente para aprobar todos los cambios propuestos por el encargado de protección de datos personales acerca de las políticas, lineamientos, metodologías, procesos y procedimientos vigentes.

El proceso de revisión y actualización del manual será responsabilidad de la persona o área designada para el cumplimiento efectivo de la normatividad referente a protección de datos personales, tomando en consideración los estándares y las normas expedidas por las autoridades locales, así como de acuerdo con los cambios en las políticas internas de la EMPRESA.

17. Seguridad de los datos personales

LA EMPRESA, en estricta aplicación del Principio de Seguridad en el Tratamiento de Datos Personales, proporcionará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. La obligación y responsabilidad de LA EMPRESA se limita a disponer de los medios adecuados para este fin. LA EMPRESA no garantiza la seguridad total de su información ni se responsabiliza por cualquier consecuencia derivada de fallas técnicas o del ingreso indebido por parte de terceros a la Base de Datos o Archivo en los que reposan los Datos Personales objeto de Tratamiento por parte de LA EMPRESA y sus Encargados. LA EMPRESA exigirá a los proveedores de servicios que contrata, la adopción y cumplimiento de las medidas técnicas, humanas y administrativas adecuadas para la protección de los Datos Personales en relación con los cuales dichos proveedores actúen como Encargados.

18. Seguridad

ACI PROYECTOS S.A.S. SUCURSAL DEL PERU informa que ha implementado y cumplido con los niveles de seguridad exigidos por la normatividad vigente en lo relacionado con la recolección, manejo y protección de datos. LA EMPRESA puede estar obligado a revelar y/o compartir información a las autoridades judiciales en caso de que así se exija