Política de Privacidad y Tratamiento de Datos
Ultima actualización Octubre 6, 2023
1. Introducción y Objetivos.
Esta Política de Privacidad es el documento que regula el manejo de todas las Bases de Datos y/o archivos de VerificaID, que contengan Datos Personales, de clientes, contratistas, proveedores y en general terceros, que sean objeto de Tratamiento por parte de VerificaID, en los eventos en los cuales se le considere como “Responsable” y/o “Encargado" del Tratamiento de dichos Datos Personales, conforme con la normativa vigente sobre protección de Datos Personales (Ley 29733 y Decreto Supremo 003-2013-JUS) y demás normas que en adelante las modifiquen y/o adicionen. Asimismo, tiene como objetivo el establecer las políticas y procedimientos de la gestión y protección de información para VerificaID alineadas con la Política de Seguridad de la Información implementada por la empresa, con la finalidad de preservar la seguridad en el intercambio, transferencia o destrucción de información.
2. Definiciones.
- Autorización: Se refiere al consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Aviso de privacidad: Se refiere a la comunicación verbal o escrita dirigida a los Titulares de los datos personales que están siendo tratados por VerificaID, en la cual se le informa acerca de la existencia de las políticas de tratamiento de datos personales que le serán aplicadas, la forma de acceder a la mismas, y las finalidades para las cuales serán usados sus datos personales.
- Base de Datos: Se refiere al conjunto organizado de Datos Personales que sea objeto de Tratamiento.
- Dato Biométrico: Se refiere a los siguientes datos: huellas dactilares, reconocimiento facial, reconocimiento de iris, reconocimiento de firma autógrafa, reconocimiento de voz.
- Datos Eliminados: Se refiere a los datos de los cuales no se pudo obtener la autorización expresa del Titular para llevar a cabo su tratamiento o que, por solicitud del Titular, se requiera su eliminación o aquellos que VerificaID decida eliminar de sus Bases de Datos.
- Datos Personales: Se refiere a cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables; a información suministrada por cualquier persona natural o jurídica que se registre en nuestra página web y/o aplicativos móviles.
- Datos Públicos: Se refiere al dato calificado como tal en virtud de la ley y aquel que no sea semiprivados, privados o sensibles. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales.
- Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
- Datos Sensibles: Se entiende como datos sensibles aquellos que afecten la intimidad del Titular o cuyo uso indebido pueda afectar la intimidad del Titular o la potencialidad de generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométrico.
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asociación con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos.
- Titular: Corresponde al dueño de la información, puede ser una persona natural o jurídica cuyos Datos Personales sean objeto de Tratamiento.
- Transferencia de Datos: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Perú, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
- VerificaID: es decir: TECACTUS S.A.C. identificada con RUC N° 20601772541.
- Vinculadas y/o Relacionadas: Corresponde a nuestra casa matriz, filiales, vinculadas, subsidiarias, aliadas y subordinadas.
3. Tratamiento y Alcance de los Datos Personales
VerificaID, en el desarrollo de su objeto social y actividad económica, actúa como responsable y/o Encargado del Tratamiento de datos personales suministrados por los clientes, los empleados, contratistas y/o proveedores, los cuales se almacenarán en sus bases de datos y en las de aquellos que en virtud de esta política puedan acceder a los mismos.
En consecuencia, VerificaID, recolecta, almacena, utiliza, transmite, transfiere, suprime y en general le da Tratamientos a los Datos Personales proporcionados por personas naturales y jurídicas con las cuales tiene o ha tenido algún tipo de relación, cualquiera sea su naturaleza (civil, comercial y/o laboral); entre las cuales se incluye, pero sin limitarse, a sus clientes, usuarios del software en la nube, aliados, proveedores, contratistas, trabajadores, acreedores, deudores y accionistas.
Este documento abarca el tratamiento de la información gestionada en VerificaID. Cubre a todas las entregas, transferencias o traspasos de información y/o datos de confidencialidad media o alta tanto en el interior de la organización como con el entorno de clientes, proveedores, bases de datos externas, redes sociales y público general.
Los intercambios de información pueden ocurrir a través del uso de diversos tipos de comunicación, sea verbal, conversaciones presenciales o telefónicas, visual, en videos, o escrita, en papel o medios digitales. Implica la obtención, transferencia, procesamiento, almacenamiento y borrado de la información suministrada por los clientes.
4. Principios Rectores
Estamos comprometidos en que cualquier Tratamiento de Datos Personales que realizamos, respete siempre los derechos consagrados en nuestra Constitución y las leyes. Por lo tanto, los siguientes son los principios que guían nuestro comportamiento:
- Principio de legalidad: VerificaID no utiliza medios engañosos o fraudulentos para recabar Datos Personales, y los trata en todo momento de buena fe y con la mayor diligencia respecto a la información que proporcionan los clientes y usuarios, manteniendo las expectativas razonables de respeto a la privacidad de los Titulares de los datos en el entendido que realizaremos el tratamiento de sus datos conforme a lo acordado.
- Principio de consentimiento: VerificaID obtiene el consentimiento para el Tratamiento de los Datos Personales de manera libre, específica e informada, excepto cuando no es exigible conforme al artículo 14 de la Ley de Protección de Datos Personales.
- Principio de finalidad: El Tratamiento de Datos Personales debe obedecer a una finalidad legítima que se informará al Titular.
- Principio de proporcionalidad: VerificaID solo realiza el Tratamiento de los Datos Personales que resultan necesarios, adecuados y que son relevantes para las finalidades necesarias indicadas en nuestro aviso integral de privacidad.
- Principio de calidad: VerificaID busca que los Datos Personales de Tratamiento sean exactos, completos, pertinentes, correctos y actualizados para dar cumplimiento a las finalidades necesarias que se indican en el aviso integral de privacidad.
- Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas comercialmente razonables, que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Principio de disposición de recurso: VerificaID ha establecido los procesos administrativos correspondientes para que el Titular pueda reclamar o hacer valer sus derechos, cuando este considere que los mismos han sido vulnerados por el Tratamiento de Datos Personales.
- Principio de nivel de protección adecuado: VerificaID ha establecido políticas y procedimientos de manejo de Datos Personales al interior de su organización que son de carácter obligatorio y acordes con las mejores prácticas internacionales que permiten realizar el Tratamiento de los Datos Personales con responsabilidad. Asimismo, realiza la capacitación, actualización y concientización del personal respecto a las disposiciones aplicables y obligaciones en materia de protección de Datos Personales y han establecido sistemas de supervisión y vigilancia interna para verificar el cumplimiento de las políticas que son revisadas de manera periódica para determinar si es necesario realizar alguna modificación.
5. Uso de la Política de Privacidad y Protección de la información.
Todo Tratamiento de Datos Personales se sujetarán a la presente Política de Privacidad, por lo tanto, si un Titular no se encuentra de acuerdo con la presente Política de Privacidad, no podrá suministrar información alguna que deba registrarse en una de las Bases de Datos de VerificaID.
VerificaID, se compromete con la seguridad de los Datos que le sean suministrados y, en consecuencia, se obliga a darle a estos el uso adecuado, así como a mantener la confidencialidad requerida frente a los mismos de acuerdo con lo establecido en esta Política de Privacidad y en la legislación existente frente a la materia. Conforme a lo establecido en el presente documento, en el momento en el cual los Titulares entregan para recolectar sus Datos Personales en las Bases de Datos de VerificaID, se entiende que dichos Titulares aceptan y conocen que el Tratamiento de dichos Datos Personales se sujetará a la presente Política de Privacidad.
Los Datos Personales, podrán ser transferidos a sus accionistas, Vinculadas y/o Relacionadas, así como a terceros y a autoridades judiciales o administrativas, sean personas naturales o jurídicas, peruanas o extranjeras, en aquellos eventos en los cuales la transferencia o transmisión de los datos sea necesaria para llevar a cabo los usos y actividades autorizadas por los Titulares conforme al objeto social de VerificaID. En todos los eventos, el intercambio de dicha información deberá sujetarse a los requerimientos establecidos en la sección 6 de la presente Política. Así mismo, la información deberá ser conservada bajo estricta confidencialidad y será sometida a un Tratamiento riguroso, respetando los derechos y las garantías de sus Titulares.
VerificaID podrá utilizar proveedores de servicios y procesadores de datos que trabajen en nombre de la misma. Dichos servicios podrán incluir servicios de alojamiento de sistemas y de mantenimiento, encriptación, servicios de análisis, servicios de mensajería por email, servicios de call-centers, servicios de entrega, gestión de transacciones de pago, y controles de solvencia y de dirección, entre otros. En consecuencia, los Titulares entienden que al suministrarle información a VerificaID, automáticamente le están concediendo a estos terceros autorización para acceder a sus Datos Personales. Por lo tanto, VerificaID se compromete a realizar todas las acciones necesarias para garantizar que tanto los proveedores de servicios como los procesadores que trabajan en nombre de la sociedad y demás terceros autorizados conforme a la presente Política de Privacidad, protejan, en todos los eventos, la confidencialidad de la Información Personal a su cargo.
VerificaID podrá recolectar información que se encuentre en el dominio público para complementar las Bases De Datos. A dicha información se le dará el mismo tratamiento señalado en la presente Política de Privacidad.
6. Extensión de Responsabilidad
VerificaID realiza sus mejores esfuerzos para dar cumplimiento con las disposiciones normativas vigentes, para resguardar la información que los Titulares hayan suministrado o que los clientes le hayan transmitido, sin embargo, es posible que con ocasión de algún ataque externo no previsto en el que se pueda abrir una brecha en la seguridad o en las bases de datos que resguardan la información se dé la pérdida o filtración de la información. Teniendo en cuenta lo anterior, los Titulares declaran entender el riesgo que contiene divulgar, compartir o permitir el acceso a la información por medios electrónicos y por ello exoneran a VerificaID de toda responsabilidad cuando situaciones no previstas vulneren los derechos de los Titulares de la información.
7. Efectos de la Autorización
Se entiende que la Autorización otorgada por los Titulares es una autorización expresa e informada otorgada por parte de éstos a favor de VerificaID, sus Vinculadas y/ Relacionadas y terceros determinados por VerificaID en virtud del desarrollo de su objeto social, para darle Tratamiento a sus Datos Personales, cualquiera que haya sido el medio (escrito, oral o por medio de conductas inequívocas) por el cual se entregaron. Igualmente, implica el entendimiento y la aceptación plena de todo el contenido del presente Aviso de Privacidad.
En el evento de una venta, fusión, consolidación, cambio en el control societario, transferencia de activos, reorganización o liquidación de VerificaID y/o sus entidades Vinculadas y/o Relacionadas, VerificaID podrá transferir los Datos Personales de los Titulares a las partes involucradas, para lo cual por medio de la aceptación del presente documento VerificaID se entiende que queda facultada para realizarlo.
8. Datos Personales sujetos al Tratamiento
VerificaID recopila o le es trasmitida información y Datos Personales que pertenecen a las siguientes categorías generales.
- Nombre y apellidos
- Dirección de correo electrónico
- Número de teléfono
- Número de Documento Nacional de Identidad o DNI
- Fecha y lugar de nacimiento
- Datos Biométricos
- Sexo
- Estado civil
- Condición laboral
- Cuentas bancarias
Datos de Menores:
Los sitios web y aplicaciones de VerificaID no están dirigidos a menores de edad ni menores de 18 años. VerificaID no recopila deliberadamente ninguna información personal directamente de menores de 18 años. Si usted cree que procesamos la información personal relacionada con un menor de manera inapropiada, le instamos que se comunique con VerificaID utilizando la información proporcionada en la sección "Contáctenos" que se encuentra más adelante.
Datos en fuentes de acceso público:
VerificaID obtiene datos a través de medios remotos o locales de comunicación electrónica, óptica y de otras tecnologías en fuentes de acceso público, es decir en fuentes a las que cualquier persona puede tener acceso y que incluyen directorios telefónicos, diarios, gacetas, boletines oficiales y medios de comunicación social, todo ello con apego a la normatividad aplicable. Por lo tanto, VerificaID no requiere de tu consentimiento para obtener datos personales en fuentes de acceso público.
Finalidades y usos de la información
A los datos personales que le sean suministrados a VerificaID se les dará un Tratamiento conforme a las siguientes finalidades para el uso de la información, según le aplique a cada Titular:
La correcta ejecución del contrato formalizado entre el Titular y VerificaID.
- Creación de cuenta para el acceso a la Plataforma de VerificaID
Verificación de identidad ya sea con cualquier documento oficial vigente que sirva para acreditar la identidad.
- Facilitación del contacto entre VerificaID y el Titular.
Mejora de las iniciativas comerciales y promocionales de VerificaID, así como análisis de las páginas visitadas y las búsquedas realizadas, para mejora de la oferta de contenidos y artículos, de VerificaID y personalización de dichos contenidos, su presentación y servicios.
Desarrollo de estudios de medición respecto a la participación de diferentes sectores de la población en VerificaID.
Envío de información o mensajes de texto al teléfono celular suministrado, correo electrónico, sobre nuevos servicios, cambio en el servicio y tarifas, recordatorios de pago, promociones, eventos e información de interés para los Titulares en general.
Facturación y demás efectos tributarios, en cuyo caso será compartida con las entidades del Estado encargadas de desarrollar dicha labor.
Análisis de la Información Personal por parte de VerificaID, sus accionistas, Vinculadas y/o Relacionadas y terceros contratados para el desarrollo y promoción de la venta de sus servicios.
- Completar la información del perfil en la Plataforma de VerificaID.
- Procesamiento de pago de los servicios adquiridos.
- Validación de identidad
Recopilación de los servicios que los Titulares utilizan y la manera en la que hacen uso de los mismos.
Obtener información de otras fuentes y combinarla con la que VerificaID recopila a través de la Plataforma de VerificaID.
Revisión del historial de antecedentes policiales, penales o de la inclusión en listados de delincuentes sexuales.
- Revisión de detección de fraude y cuestiones de seguridad.
- Comprobación de titularidad de líneas telefónicas móviles.
Recepción de resultados de comprobaciones de antecedentes penales o advertencias sobre fraude de parte de servicios de verificación de la identidad a efectos de las labores de VerificaID de prevención de prácticas fraudulentas y evaluación de riesgos.
Recepción de información acerca del Titular, de sus actividades dentro y fuera de la Plataforma de VerificaID a través de los socios de esta o información acerca de las experiencias y las interacciones que el - Titular haya tenido a través de nuestra red por parte de anunciantes asociados.
Demás comunicaciones y actividades relacionadas con el objeto social de VerificaID.
10. Deberes y derechos de los Titulares
Los Titulares de los Datos Personales suministrados a VerificaID tendrán los siguientes derechos:
El derecho a conocer, actualizar y rectificar su Información Personal gratuitamente;
El derecho a solicitar prueba de la existencia de la autorización otorgada a VerificaID, salvo cuando expresamente se exceptúe en la ley como requisito para el Tratamiento.
El derecho a ser informado, previa solicitud, respecto al uso que se le ha dado a su Información Personal;
El derecho a presentar ante la Superintendencia de Industria y Comercio o la autoridad competente, quejas por infracciones a lo dispuesto en la Ley vigente y las demás normas que la modifiquen, adicionen o complementen;
La facultad de revocar la autorización y solicitar la supresión del dato cuando no se haga un uso conforme a los usos y finalidades autorizados. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio o la autoridad competente haya determinado que en el Tratamiento VerificaID ha incurrido en conductas contrarias a la ley.
El derecho a presentar consultas y reclamos referentes a los Datos Personales.
Los titulares de la información personal suministrada a VerificaID tendrán los siguientes deberes:
El deber de suministrar información veraz, la cual puede ser verificada por VerificaID para efectos de control y validación. VerificaID tendrá la facultad de negar solicitudes cuando se verifique que la información suministrada por el titular es falsa o presenta inconsistencias.
El deber de mantener actualizada la información de contacto, esto con el objetivo de asegurar una prestación del servicio más eficaz y oportuna, además de permitir un canal de comunicación e información directa entre VerificaID y el titular de la información.
11. Confidencialidad de los Datos Personales.
Los Datos Personales suministrados por los Titulares serán utilizados únicamente por VerificaID, sus accionistas, Vinculadas y/o Relacionadas y los terceros autorizados para tales fines, conforme a lo establecido en la presente Política de Privacidad. Los Datos no serán destinados, en evento alguno, a propósitos distintos de aquellos para los cuales fueron suministrados, razón por la cual VerificaID protegerá la privacidad de la Información Personal y hará sus mejores esfuerzos para conservarla bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, así como el respeto de los derechos de los Titulares de la misma.
Si por cualquier circunstancia una autoridad competente solicita sea revelada la Información Personal, que se encuentre en poder de VerificaID, y, en consecuencia, sea su obligación legal suministrar la misma, VerificaID procederá a entregar dicha Información, situación que los Titulares aceptan y autorizan a VerificaID para este efecto, en todo caso el Titular de dicha información será informado.
12. Seguridad de la Información
En cumplimiento con las disposiciones de la Ley de Protección de Datos Personales (Ley 29733 y Decreto Supremo 003-2013-JUS), y demás legislaciones, tratados internacionales, decretos, circulares, manuales, recomendaciones y/o reglamentos relativos y aplicables en Protección y Privacidad de Datos Personales, VerificaID ha implementado medidas de seguridad administrativas para establecer a nivel organizacional la gestión, soporte y revisión de la seguridad de los Datos Personales, la identificación y clasificación de la información, así como la concientización, formación y capacitación de su personal en materia de protección de datos personales. Asimismo, VerificaID ha establecido medidas de seguridad física empleando tecnología de punta para prevenir el acceso no autorizado, daño o interferencia a sus instalaciones físicas, áreas críticas, equipo e información, para proteger los equipos de cómputo móviles de cualquier acceso no autorizado y también ha implementado medidas de seguridad técnicas para que el acceso a nuestras bases de datos sólo sea realizado por usuarios autorizados. Por lo anterior, en caso de ocurrir una vulneración a sus datos personales, analizaremos las causas por las cuales se presentó dicha vulneración e implementaremos las acciones correctivas, preventivas y de mejora necesarias para realizar los ajustes necesarios de seguridad para reducir el riesgo de una nueva vulneración.
Sin perjuicio de lo anterior, y, teniendo en cuenta que los servicios prestados por VerificaID se desarrollan a través de internet y que del mismo modo la información personal es recolectada, pueden existir interceptaciones ilegales o violación a los sistemas y bases de datos por parte de personas inescrupulosas o no autorizadas. En este evento VerificaID no se responsabiliza por la indebida utilización de la información obtenida por esos medios.
12.1. Conservación de la información
Los archivos que se encuentren bajo la responsabilidad de VerificaID debe cumplir con los protocolos y procedimientos establecidos por la política de seguridad de la información en materia gestión de activos y clasificación de la información, además de cumplir con las siguientes especificaciones:
Los datos del propietario de la información serán almacenados en instancias separadas, con controles de acceso para la lectura.
Se debe evitar la consulta de la información por parte de personal no autorizado.
Todos los archivos son cifrados al momento de ser almacenados en el repositorio destinado para ello.
Las transferencias de los archivos sensibles o restringidos deben realizarse a través de sistemas de mensajería confiables en lo posible con cifrado de información.
13. Manejo de medios
VerificaID implantará procedimientos para la gestión de medios extraíbles de acuerdo con el esquema de clasificación adoptado por VerificaID. En cualquier caso, dichos procedimientos corresponderán a los deberes establecidos a continuación:
- VerificaID destruirá los medios en los cuales almacena información confidencial cuando ya no sea necesario guardarlos por motivos comerciales, de tal manera que la información sea irrecuperable.
- Se definirá e implementarán controles para proteger los medios con información que debe ser transportada.
- Se llevará un control estricto de la distribución interna o externa de todos los tipos de medios en los cuales se almacene la información confidencial.
- Se realizará una clasificación de los medios para poder determinar la confidencialidad de los Datos.
- Asegurará de que se aprueben todos los traslados de los medios antes de movilizarse desde un área segura (incluso cuando se distribuyen los medios a personas).
- Llevará un registro detallado del inventario de todos los medios.
- El uso de dispositivos móviles debe estar explícitamente autorizado y éstos deben cumplir con todas las políticas, normas y estándares de seguridad definidos en VerificaID, a fin de no introducir riesgos dentro de la red corporativa.
14. Transferencias y remisiones.
VerificaID realiza remisiones y transferencias nacionales e internacionales de sus Datos Personales en los términos del aviso de privacidad integral y en cumplimiento a las disposiciones legales aplicables, las comunicaciones o remisiones que se realicen entre VerificaID y los encargados del tratamiento de los datos no requieren del consentimiento (artículo 15, acápite 7 de la Ley de Protección de Datos Personales) y algunas transferencias que se realizan dentro de lo dispuesto por el artículo 15 de la Ley de Protección de Datos Personales tampoco lo requieren, cuando cualquier transferencia requiera de su consentimiento dicha situación se indicará con toda claridad en nuestro aviso de privacidad integral.
14.1. Intercambio de los Datos Personales.
Cuando se suscriban acuerdos formales de intercambio de información con terceros, se deberán establecer procedimientos y/o protocolos de transferencia de Datos Personales que incluya como requisito mínimo las siguientes condiciones de seguridad:
- Establecer responsabilidades para el control, despacho y recepción.
- Mecanismos para asegurar el rastreo y no repudio.
- Establecer responsabilidades y obligaciones en el evento de incidentes de seguridad de la información, como la pérdida de datos.
- Establecer resguardos contractuales sobre la propiedad de la información, el cuidado de datos personales, el respeto de derechos de autor, licencias de software y consideraciones legales similares.
- Establecer acuerdos formales de confidencialidad con receptores de información.
14.2. Recolección de la información en intercambios.
Toda la información a ser gestionada o tratada por VerificaID y que sea considerada de confidencialidad alta y media, o su equivalente, será recibida en un formato previamente establecido para dicha transmisión entre VerificaID y sus clientes y/o proveedores, a través de medios seguros y cifrados, teniendo las siguientes consideraciones:
- El medio de intercambio debe estar cifrado y contar con un sistema de autenticación, además de un log de acceso al medio.
- La transmisión de la información debe hacerse a través de un protocolo que garantice la encriptación de los datos al momento de efectuar la transmisión de la información.
- El medio de intercambio debe contar con un control de acceso limitado por dirección IP, y solamente deben estar habilitadas las direcciones IP previamente informadas por comunicación escrita desde el dueño de la información al dueño de la información.
- La información depositada debe estar almacenada en dicho medio de intercambio por un máximo de 24 horas. Es necesario la eliminación al menos una vez al día de toda la información contenida en los medios de intercambio.
- En caso que el dueño de la información se vea en la incapacidad de proveer un medio de intercambio de información con las características antes descritas, Grupo VerificaID podrá disponer dicho medio, cumpliendo todos los parámetros descritos.
- Se podrá valorar el uso del protocolo del cliente o proveedor que respete el mayor nivel de seguridad.
- Cuando se establezcan mecanismos de recepción de información, VerificaID establecerá controles que permitan prevenir el ingreso de virus o de malware hacia su red de datos.
- El intercambio de información vía correo o mensajería instantánea, debe realizarse de acuerdo a pautas y parámetros establecidos en esta política.
- En caso que se compartan datos y/o información confidencial a través de llamadas telefónicas o reuniones con video, se exige a los colaboradores que tengan especial resguardo cuándo, dónde y cómo se comparte o comenta la información para evitar que puedan ser escuchados por personas no autorizadas o por público general. En caso que sea necesario, se buscarán lugares privados que permitan prevenir la divulgación de dicha información. Si por algún motivo fuera necesario transportar y/o almacenar información física, el empaque o el archivo debe ser lo suficientemente fuerte para proteger los contenidos de cualquier daño que pueda surgir, en concordancia con las especificaciones ambientales que correspondan, por ejemplo, para evitar daños por calor o humedad y priorizando la seguridad de los medios físicos mediante llaves y el uso de buenas prácticas.
14.3. Carga de la información
La información recibida por medio de intercambios es procesada mediante procesos de extracción, transformación y carga, tomando en cuenta las siguientes especificaciones:
- Los Datos Sensibles son previamente cifrados antes de realizar la carga de la información a las bases de datos de Grupo VerificaID.
- Los datos de los clientes deben ser almacenados en diferentes bases de datos.
- Todas las bases de datos están cifradas en reposo.
- Los procesos de extracción, transformación y carga debieran ser ejecutados en instancias diferentes.
- Se realizan validaciones de la integridad de los datos cargados, tomando en cuenta la base original.
15. Cookies y otras herramientas tecnológicas.
VerificaID hace uso de cookies y tecnologías similares para personalizar y mejorar la experiencia de los clientes, así como para mostrarle publicidad online relevante. Las cookies son pequeños archivos de texto que contienen un identificador único que se almacena en el computador o aparato móvil a través del cual usted accede a la página web y/o aplicativos móviles, de manera que aquellos pueden ser reconocidos cada vez que usted utilice la página web y/o aplicativos móviles. El Titular de los Datos Personales puede elegir deshabilitar en cualquier momento algunas o todas las cookies que utilizamos. Sin embargo, esto podría restringir su uso de los sitios y limitar su experiencia en el mismo. El uso de cookies no contiene ni afecta Datos Personales y no representa peligro de virus.
16. Procedimiento de Consulta, Rectificación y Reclamos.
VerificaID cuenta con manuales específicos diseñados para el procedimiento de consultas, quejas y reclamos y para el procedimiento de tratamiento de los Datos Personales disponibles aquí. Sin perjuicio de lo anterior, a continuación se encuentra un breve resumen de los procedimientos.
16.1. Consulta:
Las consultas y solicitudes de los Titulares serán atendidas en un término máximo de diez (10) días hábiles, contados a partir de la fecha de recibo de las mismas. En caso de que no sea posible resolver la consulta dentro de este término, el Titular será informado de dicha situación en la dirección de notificación que haya incluido en la respectiva consulta, y el término de respuesta se podrá extender hasta por cinco (5) días hábiles adicionales. La respuesta a las consultas o reclamos que los Titulares presenten podrán ser entregadas por cualquier medio físico o electrónico.
16.2. Rectificaciones y Reclamos:
Cuando el Titular de la Información considere que su información debe ser corregida, actualizada o suprimida, o cuando adviertan un presunto incumplimiento por parte de VerificaID de sus deberes en materia de Protección de Datos Personales contenidos en la legislación aplicable y en la presente Política de Privacidad, podrán presentar un reclamo de la siguiente manera:
- Se deberá presentar solicitud escrita frente al requerimiento específico.
- Si el reclamo resulta incompleto, VerificaID requerirá al interesado dentro de los cinco (5) días siguientes a la recepción de la solicitud para que complete y subsanase su petición:
- Si transcurren dos (2) meses desde la fecha del requerimiento sin que el solicitante haya dado respuesta, se entenderá desistida la pretensión.
- Si quien recibe el reclamo no es competente para resolverlo, dará traslado a quien sí lo sea para que resuelva en un término máximo de dos (2) días hábiles e informará de tal hecho al solicitante.
- Si el reclamo es recibido de manera completa o se ha completado posteriormente, deberá incluirse, dentro de los dos (2) días hábiles siguientes, una “leyenda” en la base de datos que indique “RECLAMO EN TRÁMITE”.
- VerificaID resolverá el reclamo en un término máximo de quince (15) días hábiles contados a partir del día siguientes de recibo del mismo. En caso de que no sea posible resolver la consulta dentro de este término, el Titular será informado de la demora, los motivos y la fecha de respuesta en la dirección de notificación que haya incluido en el respectivo reclamo. En todo caso, el término de respuesta no podrá superar de ocho (8) días hábiles siguientes al vencimiento del primer término. La respuesta a los reclamos que los Titulares presenten podrá ser efectuadas por cualquier medio físico o electrónico.
17. Eliminación de la Información.
Cualquier dispositivo de almacenamiento de información, que por definición del Titular de dicha información, haya perdido vigencia o dado de baja, debe ser eliminado en forma segura en los términos que se establecen en el Manual de Procedimientos para Recolección, Almacenamiento, Uso, y Supresión de la Información y los siguientes aspectos:
17.1. Procedimiento de eliminación
- Los archivos serán almacenados por el tiempo que el Titular de la información lo solicite, siendo comunicado previamente mediante comunicación escrita dirigida al comité de seguridad de la información.
- De forma extraordinaria se podrá solicitar la eliminación parcial o total de la información del Titular de la información, la cual afectará tanto los archivos recibidos, como todos los datos posteriormente generados producto de la gestión y Tratamiento realizado por VerificaID. Para eso es necesario que se remita una solicitud al área de Privacy VerificaID, la cual analizará si existe alguna legislación que no permita su eliminación o conservación por un periodo de tiempo. En caso de proceder, el área de Privacy VerificaID solicitará al OSI la eliminación de la información de las bases de datos de VerificaID.
- Cuando se proceda a la eliminación o destrucción de la información personal, se debe levantar el acta de eliminación, con la firma de las áreas presentes e involucradas en el proceso y detallar los campos que se procedieron para su destrucción, en todo caso, VerificaID conservará los Datos Personales de carácter público, para efectos de trazabilidad de la información.
- Los medios magnéticos (electrónicos), deben ser destruidos antes de desecharlos, asegurándose que no puedan ser leídos por terceras personas.
- En el caso de los computadores dados de baja, su disco duro deberá ser formateado o destruido, de manera que la información almacenada y el software instalado se eliminen lógica y físicamente del equipo.
- Los documentos por eliminar deben ser destruidos por medio de equipos trituradores de papel, los que deben estar habilitados en ubicaciones adecuadas al interior de las oficinas de VerificaID.
17.2. Destrucción de los medios de resguardo
Medios Físicos:
Este tipo de medios son representaciones físicas de datos, por lo general asociados con copias en papel (ya sea escrito a mano o impreso), plásticos de tarjetas de pago, FAX, fotos, cintas, tambores, platos y planchas de impresión, así como cualquier otro dispositivo físico que sirva como soporte para el almacenamiento de datos lógicos, dentro de los que se encuentran:
- Medios magnéticos: diskettes, discos duros, cintas magnéticas, etcétera.
- Medios ópticos: CD, DVD, etcétera.
- Medios magneto-ópticos: discos Zip, discos Jaz, SuperDisk, etcétera.
- Medios electrónicos: Memorias flash, memorias ROM y RAM, unidades solid-state drive (SSD), etcétera.
Medios Lógicos:
En este tipo de medios se almacenan las representaciones lógicas de los datos en forma de bits y bytes y sus correspondientes estructuras (archivos, filesystems, unidades, etcétera).
17.3. Eliminación de datos lógicos
- Redactar: Esta técnica es empleada para eliminar determinadas partes de un documento digital para evitar la visualización de datos confidenciales durante un proceso de desclasificación, incluyendo el borrado de metadatos y eliminación/truncamiento de imágenes y texto.
- Borrar: Esta técnica simplemente realiza un borrado sencillo en el cual se elimina la referencia a archivos a nivel de sistema operativo (des-indexación) pero sus datos continúan remanentes en el medio de almacenamiento y pueden ser obtenidos nuevamente empleando técnicas de cómputo forense.
- Limpiar: Este método utiliza procedimientos lógicos (basados en software) para borrar de forma segura los datos en ubicaciones de almacenamiento para evitar que dichos datos puedan ser recuperados empleando técnicas de cómputo forense. Por lo general dichos procedimientos de borrado seguro son aplicados a través de comandos estándar de lectura/escritura sobre el dispositivo de almacenamiento usando sobrescritura de datos con un nuevo valor en varias pasadas o aplicando los valores por defecto de fábrica (donde la sobrescritura no está soportada). Emplear una herramienta de borrado seguro que implemente por lo menos una pasada de sobrescritura.
- Purgar: Este método utiliza técnicas físicas o lógicas para evitar que los datos en el dispositivo de almacenamiento sean recuperados empleando técnicas de laboratorio (por ejemplo recuperación a través de remanencia magnética), sobre todo cuando dicho dispositivo será reutilizado, reciclado o desechado.
Se recomienda emplear como mínimo uno de los equipos de desmagnetización o purgado.
17.4. Eliminación de datos físicos
- Redactar: Esta acción aplica a medios físicos escritos y consiste en la sanitización/truncamiento de determinadas partes de un documento con el fin de prevenir potenciales revelaciones de información confidencial (desclasificación).
- Destruir: Este último método elimina los datos mediante una destrucción física del medio que los almacena, dejando este soporte inutilizable empleando técnicas como la desintegración, incineración, pulverización, trituración o fundición. La NSA publica un listado de productos aprobados para la destrucción física. Se recomienda emplear como mínimo un dispositivo de destrucción con un nivel de seguridad 3 (DIN).
18. Modificaciones de la Política de Privacidad.
VerificaID se encuentra plenamente facultada para modificar la presente Política de Privacidad. Cualquier cambio será publicado en nuestro sitio web y/o aplicativos móviles. El otorgamiento de la Autorización, cualquiera sea su medio, será entendido como manifestación expresa de la aceptación de la presente Política de Privacidad. Es responsabilidad del Titular revisar con frecuencia estas Políticas de Privacidad y Protección de Datos Personales.
19. Vigencia.
La presente Política de Privacidad se encuentra vigente a partir del primero (01) de marzo de 2023 y se revisará de manera periódica en la segunda semana del mes de marzo de cada año.