1. Nuestro Compromiso
En VALEX, entendemos que la protección de los datos personales es fundamental. Por ello, hemos implementado un Sistema de Gestión de Seguridad de la Información basado en estándares internacionales y cumpliendo estrictamente con la Ley N° 29733, su reglamento y las directivas emitidas por la Autoridad Nacional de Protección de Datos Personales.
Esta política específica de protección de datos detalla las medidas técnicas, organizativas y legales que hemos adoptado para garantizar la seguridad, confidencialidad e integridad de la información que nos confías, tanto en nuestro rol de Responsable del tratamiento (para datos de clientes) como de Encargado del tratamiento (para datos de consumidores).
2. Principios Rectores
Nuestro tratamiento de datos personales se rige por los siguientes principios establecidos en la Ley N° 29733:
Legalidad
Todo tratamiento se realiza conforme a la ley, siendo debidamente informado a los titulares y recabando el consentimiento cuando sea necesario.
Finalidad
Los datos se recopilan para fines determinados, explícitos y lícitos, no pudiendo ser utilizados para finalidades distintas o incompatibles.
Proporcionalidad
Solo recopilamos y tratamos los datos estrictamente necesarios, adecuados y no excesivos en relación con las finalidades para las que se obtuvieron.
Calidad
Mantenemos los datos exactos, completos, actualizados y veraces, adoptando medidas para que sean modificados o cancelados cuando corresponda.
Conservación
Los datos se conservan solo el tiempo necesario para cumplir con la finalidad del tratamiento, respetando los plazos legales aplicables.
Seguridad
Implementamos medidas técnicas, organizativas y legales para garantizar la seguridad de los datos personales y protegerlos contra pérdida, alteración, tratamiento o acceso no autorizado.
Confidencialidad
Todas las personas que intervienen en el tratamiento de datos personales están obligadas a guardar confidencialidad sobre los mismos.
3. Medidas de Seguridad Técnicas
Encriptación SSL/TLS
Toda la información transmitida entre el navegador del usuario y nuestros servidores viaja encriptada mediante protocolos SSL/TLS de 256 bits, garantizando que no pueda ser interceptada ni leída por terceros durante la transmisión.
Servidores Seguros
Nuestros servidores están ubicados en data centers con certificación ISO 27001, que cuentan con acceso biométrico restringido, sistemas de detección y extinción de incendios, monitoreo de videovigilancia 24/7 y alimentación eléctrica ininterrumpida.
Encriptación de Bases de Datos
Los datos personales almacenados en nuestras bases de datos se encuentran encriptados, incluyendo campos sensibles como nombres completos, correos electrónicos, números de teléfono, DNI y direcciones.
Backups Diarios
Realizamos copias de seguridad diarias con retención de 30 días, almacenadas en ubicaciones geográficamente separadas de los servidores principales, garantizando la recuperación de la información ante cualquier contingencia.
Firewalls y Protección Perimetral
Contamos con firewalls de última generación, sistemas de prevención de intrusiones (IPS) y detección de intrusiones (IDS) que monitorean y bloquean actividades sospechosas en tiempo real.
Seguridad en el Desarrollo
Aplicamos prácticas de seguridad en el ciclo de vida del desarrollo de software (DevSecOps), incluyendo análisis de vulnerabilidades, pruebas de penetración periódicas y revisiones de código.
4. Medidas de Seguridad Organizativas
| Medida | Descripción |
|---|---|
| Política de Accesos | Solo personal autorizado tiene acceso a datos personales, bajo el principio de "mínimo privilegio" y "necesidad de conocer". Los accesos se revisan y actualizan periódicamente. |
| Autenticación de Dos Factores (2FA) | Obligatoria para todo el personal con acceso a datos sensibles o a paneles de administración de la plataforma. |
| Registros de Auditoría (Logs) | Todos los accesos a datos personales quedan registrados con fecha, hora, usuario, dirección IP y acción realizada, permitiendo la trazabilidad y detección de accesos no autorizados. |
| Capacitación Anual | Todo el personal recibe capacitación obligatoria anual en protección de datos personales, seguridad de la información y gestión de incidentes. |
| Acuerdos de Confidencialidad | Todo el personal, colaboradores externos y proveedores que puedan tener acceso a datos personales firman acuerdos de confidencialidad y compromiso de cumplimiento de la Ley N° 29733. |
| Política de Escritorio Limpio | Se exige a todo el personal mantener su espacio de trabajo libre de documentos con información personal sensible y bloquear sus estaciones de trabajo al ausentarse. |
5. Responsabilidades Compartidas: VALEX vs. Empresa Usuaria
En el marco del servicio de libro de reclamaciones digital, las responsabilidades sobre los datos personales se distribuyen de la siguiente manera:
| Rol | Responsable | Obligaciones Principales |
|---|---|---|
| Responsable del Tratamiento (de los datos de consumidores) | LA EMPRESA USUARIA (Cliente) |
|
| Encargado del Tratamiento (de los datos de consumidores) | VALEX (El Proveedor) |
|
| Responsable del Tratamiento (de los datos de clientes) | VALEX (El Proveedor) |
|
6. Obligaciones de la Empresa Usuaria en Materia de Datos
LA EMPRESA USUARIA que contrata los servicios de VALEX declara y garantiza que:
- Consentimiento: Ha obtenido el consentimiento libre, previo, expreso, informado e inequívoco de los consumidores para la recopilación y tratamiento de sus datos personales a través de la plataforma VALEX, incluyendo su transferencia a VALEX como encargado de tratamiento.
- Información: Ha informado a los consumidores de manera clara y completa sobre la política de privacidad aplicable al tratamiento de sus datos, incluyendo la identidad del responsable (la propia empresa usuaria) y la finalidad del tratamiento.
- Licitud: Los datos que recopila y nos transfiere han sido obtenidos de manera lícita y cumplen con toda la normativa aplicable en materia de protección de datos personales.
- Actualización: Mantendrá actualizados los datos de los consumidores y atenderá directamente sus solicitudes de ejercicio de derechos ARCO.
7. Gestión de Incidentes de Seguridad
Hemos implementado un procedimiento formal para la gestión de incidentes de seguridad que afecten datos personales, que incluye las siguientes fases:
7.1. Detección y Clasificación
Monitoreo continuo de sistemas en busca de actividades sospechosas. Los incidentes se clasifican según su gravedad (bajo, medio, alto, crítico) en función del riesgo potencial para los derechos de los titulares.
7.2. Contención y Erradicación
Acciones inmediatas para limitar el impacto del incidente, como el aislamiento de sistemas afectados, bloqueo de accesos no autorizados o suspensión temporal de servicios.
7.3. Investigación y Análisis Forense
Análisis detallado para determinar las causas del incidente, el alcance de los datos afectados, los sistemas comprometidos y las responsabilidades.
7.4. Notificación
- A la Empresa Usuaria: En caso de incidentes que afecten datos de consumidores, notificaremos a LA EMPRESA USUARIA de manera inmediata, proporcionando toda la información disponible para que pueda cumplir con sus propias obligaciones de notificación.
- A la Autoridad Nacional de Protección de Datos Personales: Cuando el incidente represente un riesgo significativo para los derechos de los titulares, lo notificaremos a la autoridad dentro de las 72 horas hábiles siguientes de tener conocimiento del mismo, en coordinación con la empresa usuaria.
- A los Titulares Afectados: Cuando sea exigido por ley o cuando el incidente pueda afectar significativamente sus derechos, se notificará a los titulares de manera directa y clara.
7.5. Remediación y Mejora Continua
Implementación de medidas correctivas y mejoras en los controles de seguridad para prevenir futuros incidentes similares, documentando las lecciones aprendidas.
8. Confidencialidad
Todo el personal de VALEX, así como los proveedores y colaboradores externos que tengan acceso a datos personales, están sujetos a estrictas obligaciones de confidencialidad, que se mantienen incluso después de finalizada la relación contractual. El incumplimiento de estas obligaciones puede dar lugar a acciones disciplinarias, incluyendo el despido, y a las acciones legales correspondientes.
9. Transferencias de Datos a Terceros (Encargados de Tratamiento)
Cuando contratamos proveedores que pueden tener acceso a datos personales en nuestro nombre (sub-encargados de tratamiento), exigimos el cumplimiento de los siguientes requisitos:
- Celebración de un contrato por escrito que regule el tratamiento de datos personales, conforme al artículo 23° del Reglamento de la Ley N° 29733.
- Acreditación de garantías suficientes de cumplimiento de la Ley N° 29733.
- Implementación de medidas de seguridad técnicas y organizativas equivalentes a las nuestras.
- Compromiso de confidencialidad absoluta por parte de su personal.
- Prohibición de compartir datos con otros terceros sin nuestra autorización expresa.
- Obligación de devolución o destrucción de los datos al finalizar la prestación del servicio.
10. Registro de Actividades de Tratamiento
Mantenemos un Registro de Actividades de Tratamiento, de acuerdo con lo exigido por el Reglamento de la Ley N° 29733, que documenta para cada tratamiento:
- Nombre y código del banco de datos: Ej. "BD-001 - Clientes VALEX"
- Finalidad del tratamiento: Gestión comercial, administrativa y de facturación.
- Base legal: Relación contractual, consentimiento, obligación legal.
- Categorías de datos personales: Identificativos (nombres, DNI), de contacto (email, teléfono), económicos (datos de facturación).
- Categorías de titulares: Representantes de empresas, consumidores, proveedores.
- Flujo de datos (transferencias): Destinatarios, país de destino.
- Plazos de conservación: Según lo establecido en la Política de Privacidad.
- Medidas de seguridad: Nivel de seguridad básico/medio/alto y controles aplicados.
11. Consentimiento Informado
Cuando el tratamiento de datos personales requiere el consentimiento del titular, este es solicitado de manera:
- Libre: Sin condicionamientos, vicios de voluntad o presiones indebidas.
- Específico: Para finalidades concretas, explícitas y lícitas, sin cláusulas ambiguas.
- Informado: Proporcionando al titular información clara y detallada sobre el tratamiento de sus datos.
- Inequívoco: Mediante una acción afirmativa clara, como marcar una casilla de verificación (opt-in) o firmar un documento.
El titular tiene derecho a revocar su consentimiento en cualquier momento, sin efectos retroactivos, mediante el procedimiento establecido para el ejercicio de los derechos ARCO.
12. Evaluación de Impacto en Protección de Datos
Realizamos Evaluaciones de Impacto en Protección de Datos (EIPD) de manera previa a la implementación de nuevos tratamientos que, por su naturaleza, alcance, contexto o finalidades, puedan implicar un alto riesgo para los derechos y libertades de los titulares. Estas evaluaciones incluyen:
- Descripción sistemática de las operaciones de tratamiento previstas.
- Análisis de la necesidad y proporcionalidad del tratamiento.
- Evaluación de los riesgos para los derechos de los titulares.
- Medidas previstas para mitigar los riesgos, incluyendo salvaguardas técnicas y organizativas.
13. Procedimiento ante Vulneraciones
En caso de una vulneración de seguridad que afecte datos personales, nuestro equipo de respuesta a incidentes activa el siguiente protocolo:
- Contención inmediata: Detener el incidente, aislar los sistemas afectados y asegurar las evidencias.
- Evaluación de riesgo: Determinar el alcance del incidente, el tipo de datos afectados, el número de titulares involucrados y las posibles consecuencias.
- Notificación a la empresa usuaria: Informar de inmediato a la empresa usuaria si el incidente afecta datos de sus consumidores.
- Notificación a la autoridad: Evaluar la necesidad de notificar a la Autoridad Nacional de Protección de Datos Personales dentro de las 72 horas hábiles.
- Notificación a los titulares: Comunicar a los titulares afectados cuando el incidente pueda generar un riesgo significativo para sus derechos.
- Investigación forense: Realizar un análisis detallado para identificar la causa raíz y evitar futuros incidentes.
- Remediación: Implementar las medidas correctivas necesarias.
14. Derechos ARCO y Procedimiento
Reafirmamos lo establecido en nuestra Política de Privacidad respecto a los derechos ARCO. Para el ejercicio de estos derechos, los titulares pueden contactar a nuestro Oficial de Protección de Datos a través de los medios indicados en la sección 16.
En el caso de solicitudes de consumidores relacionadas con reclamos gestionados a través de nuestra plataforma, informaremos al titular que la empresa usuaria correspondiente es la responsable del tratamiento y le proporcionaremos los datos de contacto de dicha empresa para que pueda ejercer sus derechos directamente, sin perjuicio de nuestra obligación de trasladar la solicitud a la empresa usuaria si así lo solicita el titular.
15. Actualización de esta Política
Esta Política de Protección de Datos puede ser actualizada periódicamente para reflejar cambios en nuestras prácticas de seguridad, en la normativa aplicable o en los riesgos identificados. Las versiones actualizadas serán publicadas en este mismo enlace y, en caso de cambios significativos, serán comunicadas a las empresas usuarias a través de los canales habituales.
16. Contacto del Oficial de Protección de Datos
Para cualquier consulta relacionada con la protección de datos personales, el ejercicio de derechos ARCO o la notificación de incidentes, puede contactar a nuestro Oficial de Protección de Datos (DPO):
Oficial de Protección de Datos
Dr. [Nombre del Oficial]
dpo@valex.pe
(01) 123-4567 anexo 101
Atención: Lunes a Viernes 9:00 am - 5:00 pm