POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE DASIN PERÚ S.A.C.
INTRODUCCIÓN
Este documento describe la Política de Protección de Datos Personales de DASIN PERÚ S.A.C. (“OPPO Perú”) quien comprometido con mantener la privacidad y la protección de información de Usuarios de la Sitio Web de OPPO Perú (en adelante, “Titulares de los Datos Personales”) de conformidad con lo establecido en la Ley N° 29733, Ley de Protección de Datos Personales, su Reglamento y normas complementarias (en adelante las “Normas de Protección de Datos Personales”), adoptando para ello las medidas técnicas y organizativas necesarias para evitar la pérdida, mal uso, alteración, acceso no autorizado y robo de los Datos Personales facilitados por sus titulares. Asimismo, OPPO Perú garantiza la mejora continua de estas medidas.
DEFINICIONES
a. APDP: Autoridad Nacional de Protección de Datos Personales.
b. Activo de Información: Todo documento físico (DF), documento digital (DD) y aplicativos informáticos (APP) que tengan un valor para OPPO Perú y/o soporten o sean parte de la actividad, proceso o giro de negocio de la organización.
c. Banco de Datos Personales: Conjunto organizado de Datos Personales automatizados o no, independientemente del soporte, sea este físico, magnético, digital u otros que se cree, cualquiera fuera la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
d. Colaboradores: Son los trabajadores y practicantes.
e. Consentimiento: Autorización del Titular de los Datos Personales para que el Titular del Banco de Datos Personales realice Tratamiento y/o Transferencia de estos.
f. Datos Personales: Aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a una persona natural, que la identifica o le hace identificable directa o indirectamente a través de medios que puedan ser razonablemente utilizados. Ejemplo: nombres y apellidos, DNI/RUC, pasaporte, sexo, profesión, edad, nacionalidad, fecha de nacimiento, dirección, teléfono, correo electrónico, fotografía, firma, voz, etc.
g. Datos sensibles: Datos Personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, hábitos personales de la esfera más íntima, información relativa a la salud física o mental, datos biométricos que por sí mismos pueden identificar al titular, datos referidos al origen racial o étnico, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical, información relacionada a la salud o a la vida sexual u otras que afecten la intimidad de la persona natural.
h. Documento Digital (DD): Todo activo de información que contenga datos en formato electrónico, y que requiere de un dispositivo informático para su acceso y consulta. Se excluye de esta definición a todo archivo digital que contenga lógica de programación en su contenido, como por ejemplo macros en Excel.
i. Documento Físico (DF): Todo activo de información que contenga datos registrados en un formato tangible tales como comprobantes de caja, documentos de control operativo, documentos activos, documentos pasivos, documentos para archivo físico, entre otros.
j. Encargado del Banco de Datos Personales: Toda persona natural, jurídica de derecho privado o entidad pública que, sola o actuando en conjunto con otra, realiza el Tratamiento de Datos Personales por encargo del Titular del Banco de Datos Personales.
k. Responsable del Banco de Datos Personales: Toda persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
l. Normas de Protección de Datos Personales: Lo establecido en la Ley No. 29733, Ley de Protección de Datos Personales, su Reglamento y normas complementarias.
m. Política: La presente política de Protección de Datos Personales
n. Sitio Web: https://www.oppostore.pe/
o. Titular(es) de Datos Personales: Persona(s) natural a quien corresponden los Datos Personales y son los Usuarios de la Sitio Web.
p. Titular del Banco de Datos Personales: Persona natural, jurídica de derecho privado o entidad pública que determina la finalidad y contenido del Banco de Datos Personales, Tratamiento de estos y las medidas de seguridad.
q. Transferencia: Toda transmisión, suministro o manifestación de Datos Personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del Titular de Datos Personales. No se considera transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de Datos Personales.
r. Tratamiento: Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de Datos Personales.
DESARROLLO
1. RECOPILACIÓN DE LA INFORMACIÓN
Para efectos de visitar nuestro Sitio Web no existe obligación de proporcionar Datos Personales.
Para los casos en que se registre en los formularios de nuestro Sitio Web, entre otros, es posible que este requiera información personal, específica y necesaria. Tal información puede comprender el nombre, número de documento de identidad, dirección de correo electrónico, número de teléfono, entre otros Datos Personales.
2. CONSENTIMIENTO DE LOS TITULARES DE LOS DATOS PERSONALES
La aceptación de la Política de Privacidad, la presente política y/o la cláusula de Protección de Datos Personales representa el consentimiento expreso de los Titulares de los Datos Personales para la recopilación de sus Datos Personales y para su tratamiento para los fines específicos que motivaron su recopilación.
3. RESPONSABILIDAD POR LA INFORMACIÓN PROPORCIONADA
Los Datos Personales que los Titulares de los Datos Personales proporcionen deben ser, bajo su responsabilidad, verdaderos, completos, exactos, vigentes y, corresponder a su verdadera identidad.
Cualquier tipo de daño o perjuicio, directo o indirecto, que se derive para OPPO Perú o para terceros como consecuencia del incumplimiento parcial o total de la obligación referida en el punto anterior, será responsabilidad única y exclusiva de los Titulares de los Datos Personales.
4. TRATAMIENTO DE LA INFORMACIÓN
Finalidad Específica: Los datos personales que proporcionas se usarán solo para el propósito específico para el que fueron entregados.
Uso de Datos Personales: OPPO Perú solo usará tus datos para las finalidades mencionadas en la política, a menos que la ley permita o requiera otro uso, o si has dado tu consentimiento previo.
Compartir Datos: OPPO Perú no compartirá tus datos personales con terceros sin tu consentimiento previo, excepto si la ley, una orden judicial o una autoridad competente lo exigen.
Autorización para Uso Comercial: Das permiso a OPPO Perú para usar tus datos, incluidos datos sensibles, tanto los que proporcionaste directamente como los que estén en fuentes públicas o los obtenidos de terceros, para acciones comerciales. Esto incluye enviar publicidad, información u ofertas de productos y servicios de OPPO Perú.
Revocación de Consentimiento: Puedes retirar tu autorización para el uso de tus datos personales en cualquier momento, conforme a las Normas de Protección de Datos Personales.
Para ejercer este derecho, o cualquier otro previsto en dichas normas, el titular de datos personales podrá presentar su solicitud en cualquiera de las sucursales de OPPO Perú. Teniendo en cuenta lo anterior los datos Personales serán utilizados por OPPO Perú para:
a. Proveer información requerida
b. Informar sobre nuevos productos o servicios que estén relacionados o no, con el contratado o adquirido por el Titular.
c. Dar cumplimiento a obligaciones contraídas con el Titular.
d. Informar sobre cambios en productos o servicios.
e. Evaluar la calidad de productos o servicios.
f. Desarrollar actividades de mercadeo o promocionales.
g. Enviar al correo físico, electrónico, celular o dispositivo móvil, - vía mensajes de texto, información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos y/o promociones de tipo comercial o no de estas, con el fin de impulsar, invitar, dirigir, ejecutar, informar y de manera general, llevar a cabo campañas, promociones o concursos de carácter comercial o publicitario.
h. Compartir, incluyendo la transferencia y transmisión de datos personales a terceros para fines relacionados con la operación de OPPO Perú.
i. Realizar estudios internos sobre el cumplimiento de las relaciones comerciales y estudios de mercado a todo nivel.
j. Responder requerimientos legales de entidades administrativas y judiciales.
El Sitio Web puede ofrecer vínculos (links) para acceder a otras páginas web que no son parte de aquellos. Es responsabilidad de los Titulares de los Datos Personales revisar las Políticas de Privacidad y Protección de Datos Personales en dichas páginas web para verificar el nivel de protección de sus Datos Personales en ese ambiente, lo que es ajeno a la responsabilidad de OPPO Perú.
5. RESPONSABILIDADES:
a. El Responsable de Cumplimiento deberá:
● Incorporar en la cultura de cumplimiento, las obligaciones vinculadas a la protección de Datos Personales.
● Asegurar el monitoreo e investigación para el cumplimiento de la Política.
● Coordinar las sanciones por el incumplimiento de la Política.
● Asegurar el desarrollo e implementación de procedimientos que permitan asegurar el cumplimiento de las Normas de Protección de Datos Personales.
● Ser interlocutor entre la APDP y OPPO Perú.
● Gestionar la inscripción y actualización de los Bancos de Datos Personales de responsabilidad de OPPO Perú ante la APDP.
● Dar asistencia ante las inspecciones y requerimientos de la APDP.
● Informar al Directorio sobre cualquier tema de interés relacionado al cumplimiento de la Política.
b. Los Responsables de Seguridad de las Bases de Datos Personales deberán:
b.1. Seguridad informática:
● Identificar las normas sobre la materia que hagan referencia a las Normas de Protección de Datos Personales.
● Ejecutar capacitaciones virtuales para que los colaboradores conozcan las normas internas de seguridad técnica.
● Definir lineamientos de seguridad para el envío de Datos Personales por medios de soporte informático.
● Definir lineamientos para mantenimiento de registros de auditoría.
● Definir lineamientos para Transferencias por correo electrónico.
● Definir lineamientos para que los Documentos Digitales cumplan con las Normas de Protección de Datos Personales.
b.2. Seguridad de la Información para Documentos Físicos:
● Identificar las normas sobre la materia que se relacionen con las Normas de Protección de Datos Personales.
● Definir lineamientos de seguridad para el Tratamiento de Datos Personales en medios físicos dentro y fuera de las instalaciones.
● Definir lineamientos de seguridad para el traslado y envío de Datos Personales por medios físicos a fin de adoptar medidas que impidan el acceso o manipulación de la información objeto del traslado.
● Definir lineamientos para que los Tratamientos de documentos físicos que contengan Datos Personales cumplan con las Normas de Protección de Datos Personales.
● Capacitar a los colaboradores sobre los controles de seguridad, definidos en las normas internas para el tratamiento de Datos Personales en documentos físicos.
● Monitorear el cumplimiento de los lineamientos de seguridad para el Tratamiento de Datos Personales en documentos físicos.
c. Todos los colaboradores de OPPO Perú deben cumplir las Normas de Protección de Datos Personales y la Política.
6. CONSIDERACIONES GENERALES:
Al haber funciones y roles que mantengan Datos Personales, las gerencias podrán disponer mayores restricciones en su unidad que las disposiciones de la Política, en cuyo caso prevalecerá la más exigente.
7. LINEAMIENTOS:
7.1. PRINCIPIOS RECTORES
OPPO Perú, en su calidad de Titular de los Bancos de Datos Personales debe cumplir con los principios rectores de la protección de Datos Personales de conformidad con lo establecido en las Normas de Protección de Datos Personales.
a. Principio de Legalidad: El tratamiento de los Datos Personales se hace conforme a lo establecido en la Ley. Se prohíbe la recopilación de los Datos Personales por medios fraudulentos, desleales o ilícitos.
b. Principio de Consentimiento o de Libertad: El tratamiento de Datos Personales es lícito cuando el Titular de los Datos Personales prestó su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa.
c. Principio de Finalidad: Se considera que una finalidad está determinada, cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se especifica el objeto que tendrá el Tratamiento de los Datos Personales. Las personas que realicen el Tratamiento de algún Dato Personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar el secreto profesional.
d. Principio de Proporcionalidad: Todo tratamiento de Datos Personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
e. Principio de Veracidad o de Calidad: Los Datos Personales contenidos en un Banco de Datos Personales deben ajustarse con precisión a la realidad. Se presume que los datos directamente facilitados por el Titular de los mismos son exactos.
f. Principio de Seguridad: En el Tratamiento de los Datos Personales deben adoptarse las medidas de seguridad que resulten necesarios a fin de evitar cualquier tratamiento contrario a las Normas de Protección de Datos Personales, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio tecnológico utilizado.
g. Principio de Disposición de Recurso: Todo Titular de Datos Personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerables por el tratamiento de sus Datos Personales.
h. Principio de Nivel de Protección Adecuado: Para el flujo transfronterizo de Datos Personales, se debe garantizar un nivel suficiente de protección para los Datos Personales que se vayan a tratar o por lo menos, equiparable a lo previsto por las normas de Protección de Datos Personales o por lo estándares internacionales en la materia.
i. Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener de OPPO Perú, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
j. Principio de Acceso y Circulación Restringida: Los Datos Personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados por aquél.
k. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
7.2. CONSENTIMIENTO DE LOS TITULARES DE DATOS PERSONALES
OPPO Perú, en su calidad de Titular de los Bancos de Datos Personales, tiene la obligación de obtener el Consentimiento de los Titulares de los Datos Personales para poder realizar el Tratamiento y Transferencia de sus Datos Personales, teniendo en cuenta las disposiciones de las Normas de Protección de Datos Personales y los lineamientos establecidos por el área Legal de OPPO Perú. El Consentimiento debe ser:
● Libre: sin que medie error, mala fe, violencia o dolo que pueda afectar la manifestación de voluntad del Titular de Datos Personales, la cual debe ser voluntaria.
● Previo: debe ser pedido antes de la recopilación y Tratamiento de los Datos Personales.
● Expreso e inequívoco: debe ser manifestado en condiciones que no admitan dudas de su otorgamiento. La manifestación de voluntad del titular de Datos Personales puede ser verbal cuando ésta es exteriorizada oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral; o escrita mediante documento con firma autógrafa, huella dactilar u otro autorizado por el ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel o similar (ej. “hacer clic” es una manifestación escrita válida a través de un medio digital), en el caso de los Datos Sensibles, el Consentimiento manifestado debe ser por escrito.
● Informado: el Titular de Datos Personales debe ser informado por el Titular del Banco de Datos Personales de manera clara, expresa, sencilla y de manera previa a su recopilación, sobre la finalidad para la cual sus Datos Personales serán tratados, quiénes son o pueden ser sus destinatarios, la existencia del Banco de Datos Personales en que se almacenarán, así como la identidad y domicilio del Titular del Banco, y de ser el caso, del Encargado del Banco de Datos Personales, el carácter obligatorio y facultativo de sus respuestas al cuestionario que se le proponga, las consecuencias de proporcionar sus Datos Personales y de su negativa a hacerlo, el tiempo durante el cual se conserven los Datos Personales, la Transferencia de sus Datos Personales y la posibilidad de ejercer los derechos que la Ley de Protección de Datos Personales y los medios previstos para ello.
7.3. EXCEPCIONES AL CONSENTIMIENTO DEL TITULAR DE DATOS PERSONALES
De acuerdo con el artículo 14° de la Ley de Protección de Datos Personales, el Titular del Banco de Datos Personales o el responsable del Tratamiento no necesita obtener la autorización del Titular de los Datos Personales cuando realice Tratamiento en los siguientes supuestos señalados en el artículo 14° de la Ley de Protección de Datos Personales
7.4. TRATAMIENTO DE LOS DATOS PERSONALES DE MENORES DE EDAD
OPPO Perú no realiza Tratamiento de los Datos Personales de menores de edad.
7.5. MEDIDAS DE SEGURIDAD
El Titular del Banco de Datos Personales debe implementar las medidas de seguridad correspondientes de acuerdo con el tipo de activo de información que soporte los Datos Personales. OPPO Perú debe asegurar el cumplimiento de las Políticas de Seguridad de la Información y otras políticas internas sobre el tratamiento de los Activos de Información y de los riesgos relacionados.
Dichas políticas deberán contener lineamientos para asegurar el cumplimiento de las Normas de Protección de Datos Personales, asegurando el adecuado:
a. Control de Accesos (¿quién puede acceder? ¿cuándo? ¿desde cuándo? ¿qué puede hacer?)
b. Almacenamiento seguro de los Datos Personales (respaldos, áreas con acceso protegido)
c. Transferencia segura de Datos Personales fuera de OPPO Perú (medios de transporte autorizados, medidas de seguridad como cifrado para evitar accesos no autorizados, pérdida o corrupción de información durante el tránsito)
d. Traslado seguro de Datos Personales para impedir acceso o su manipulación.
e. Tratamiento de los Datos Personales en documentos físicos (copia o reproducción de los documentos, custodia, traslado, destrucción)
7.6. ATENCIÓN DE DERECHOS PROTEGIDOS
OPPO Perú debe garantizar la atención de los derechos protegidos que pueda ejercer el Titular de los Datos Personales. Para ello deberán mantener disponibles canales, procedimientos e información para atender las solicitudes en los plazos establecidos por las Normas de Protección de Datos Personales. Los derechos que puede ejercer el Titular de los Datos Personales son:
a. Acceso / Información:
El derecho de acceso es aquel derecho a ser informado sobre cuáles son los Datos Personales incluidos en los Bancos de Datos de responsabilidad de OPPO Perú, así como de las condiciones y generalidad del Tratamiento y Transferencia de estos.
El derecho de información es aquel derecho del Titular de Datos Personales a que se le brinde toda la información sobre la finalidad para la cual sus Datos Personales serán tratados, quiénes son o pueden ser sus destinatarios, la existencia del Banco de Datos Personales en que se almacenarán así como la identidad y domicilio del Titular de los Datos Personales y, de ser el caso, del Encargado del Banco de Datos Personales, de la Transferencia de sus Datos Personales, de las consecuencias de proporcionarlos y de su negativa a hacerlo, del tiempo de conservación de los mismos y de la posibilidad de ejercer los derechos que la ley le concede.
b. Rectificación / Actualización:
Aquel derecho del Titular de Datos Personales a actualizar, incluir o modificar sus Datos Personales. Aplica cuando los datos son parcial o totalmente inexactos, incompletos, erróneos, falsos o están desactualizados. El Titular de Datos Personales deberá especificar los datos que sea desea sean rectificados, actualizados y/o incluidos, así como la corrección y/o incorporación que quiera que OPPO Perú realice y deberá adjuntar los documentos de sustento necesarios para que la rectificación y/o inclusión solicitada sea procedente.
c. Cancelación / Supresión:
Aquel derecho del Titular de Datos Personales a solicitar la supresión o cancelación total o parcial de sus Datos Personales de un Banco de Datos Personales. Esta solicitud procede si los Datos Personales del titular hubieran dejado de ser necesarios o pertinentes para la finalidad que fueron recopilados, cuando; (i) hubiera vencido el plazo para su Tratamiento, (ii) decida revocar su Consentimiento para el Tratamiento de estos y (iii) en los casos en los que el Tratamiento no sea conforme a las Normas de Protección de Datos Personales.
El Titular de Datos Personales debe tener en cuenta que su solicitud no procederá cuando sus datos sean necesarios para ejecutar la relación contractual que mantiene con OPPO Perú, ni cuando deban ser conservados durante los plazos previstos en las disposiciones legales vigentes ni cuando sean conservados en virtud de razones históricas, estadísticas o científicas de acuerdo con la legislación aplicable.
Aquel derecho del Titular de Datos Personales a revocar su consentimiento para el Tratamiento de sus Derechos Personales en cualquier momento, sin justificación previa y siempre que dicho tratamiento se realice para finalidades adicionales a aquellas que dan lugar a su Tratamiento autorizado. En ese sentido, la solicitud de revocación no procederá si los Datos Personales son necesarios para la ejecución de la relación contractual que el Titular de los Datos Personales mantiene OPPO Perú, no si debemos conservar los mismo por razones históricas, estadísticas o científicas de acuerdo con la legislación aplicable. Sin perjuicio del ejercicio del derecho de revocación, el Titular del Banco Personal conservará la información que corresponda por el plazo previsto en las disposiciones vigentes.
d. Oposición:
Aquel derecho del Titular de Datos Personales a oponerse a figurar en un Banco de Datos Personales de responsabilidad de OPPO Perú o al Tratamiento de su información personal cuando no hubiere prestado Consentimiento para su recopilación por haber sido tomados de fuentes de acceso al público o cuando habiendo prestado su Consentimiento, acredite la existencia de motivos fundados y legítimos relativos a una concreta situación personal que justifique el ejercicio de este derecho.
8. EJERCICIO DE DERECHOS ARCO
Derechos ARCO: Como titular de tus datos personales, tienes derecho a:
• Acceso: Saber qué datos se están recopilando y cómo se usan.
• Rectificación: Corregir datos incorrectos.
• Cancelación: Solicitar la eliminación de tus datos o retirar tu consentimiento para su uso.
• Oposición: Oponerte al tratamiento de tus datos, especialmente si ya no son necesarios.
Ejercicio de Derechos:
• Gratuidad: Ejercer estos derechos es gratuito.
• Proceso: Envía un correo a [AGREGAR CORREO] con tu “Solicitud de Atención de Derechos ARCO” y adjunta una copia de tu documento de identidad (DNI/CE/Pasaporte).
Solicitud y Respuesta:
Puedes pedir a OPPO Perú qué información tienen sobre ti, solicitar actualizaciones, correcciones o eliminación de datos, y revocar tu autorización.
Si tienes una obligación legal, contractual o comercial, no podrás solicitar la eliminación de tus datos.
Reclamos:
Incluye tu número de identificación, datos de contacto y la documentación necesaria.
Si OPPO Perú necesita más información, te lo comunicarán dentro de los siete (7) días hábiles siguientes a tu solicitud.
Si no proporcionas la información requerida en diez (10) días hábiles, tu reclamo no será considerado.
Plazos de Atención:
El reclamo se resolverá en un máximo de quince (15) días hábiles desde su recepción.
Si no es posible atender dentro de este plazo, se te informará de la demora y la nueva fecha de resolución, que no podrá superar los diez (10) días hábiles adicionales.
9. PRESENTACIÓN DE REPORTES DE POTENCIALES VIOLACIONES A LAS NORMAS DE PROTECCIÓN DE DATOS PERSONALES Y SEÑALES DE ALERTA.
El colaborador de OPPO Perú deberá informar a su jefe directo o al Responsable de Cumplimiento de cualquier acto ilícito o incumplimiento de la Política para garantizar el cumplimiento de las Normas de Protección de Datos Personales. OPPO Perú adoptará las medidas necesarias para proteger la confidencialidad de cualquier reporte, sujeto a ley, regulaciones o procedimientos legales.
OPPO Perú tiene estrictamente prohibido tomar represalias contra los colaboradores que, o bien elaboran reportes de buena fe y/o participan en informar cualquier acto ilícito o incumplimiento de la Política. Cabe precisar que cualquier colaborador que tome represalias estará sujeto a sanciones disciplinarias.
10. BANCOS DE DATOS PERSONALES
10.1. Identificación y domicilio del titular de los Bancos de Datos
DASIN PERÚ S.A.C. (“OPPO Perú”) con domicilio en Calle Las Begonias 415, Interior 1501, San Isidro, Lima, Perú.
10.2. Los Datos Personales que se proporcione a OPPO Perú serán almacenados en el siguiente Banco de Datos:
10.2.1. Banco de Datos Personales de Usuarios del Sitio Web
● Ubicación del banco de Datos Personales: Calle Las Begonias 415, Interior 1501, San Isidro, Lima, Perú.
● Finalidad: Recopilar los datos personales de los usuarios de la Sitio Web para brindar productos, servicios y/o beneficios que ofrece la plataforma de OPPO Perú, con la finalidad de mejorar los servicios, desarrollar nuevos servicios y ofrecer una mejor experiencia al usuario; así mismo, dar seguimiento para detectar y prevenir fraudes, abusos y delitos para proteger la seguridad los usuarios.
● Usos previstos: Gestión de listas de clientes; análisis de perfiles; publicidad y prospección comercial; fines estadísticos, históricos o científicos; comercio electrónico.
● Datos Personales sometidos a tratamiento: Nombres y apellidos, Número de documento de identidad, Número de celular, Dirección de correo electrónico, Datos de persona de contacto.
● Procedimientos de obtención: Formularios y Transmisión electrónica.
● Fuentes de obtención: El propio titular de los Datos Personales.
● Los destinatarios de transferencias de Datos Personales.
- Flujo transfronterizo: Sí
- Transferencia nacional: Sí
10.2.2. Banco de Datos Personales de Canal de ejercicio de Derechos ARCO y Libro de Reclamaciones
● Ubicación del banco de Datos Personales: Calle Las Begonias 415, Interior 1501, San Isidro, Lima, Perú.
● Finalidad: Recopilar los datos de las personas que presentan solicitudes, quejas y reclamos para brindar atención.
● Usos previstos: Fines estadísticos, históricos o científicos; atención de solicitudes, quejas y reclamos.
● Datos Personales sometidos a tratamiento: Nombres y apellidos, Número de documento de identidad, Número de celular, Dirección de correo electrónico, Datos de persona de contacto.
● Procedimientos de obtención: Formularios y Transmisión electrónica.
● Fuentes de obtención: El propio titular de los Datos Personales.
● Los destinatarios de transferencias de Datos Personales.
- Flujo transfronterizo: Sí
- Transferencia nacional: Sí
10.3. Consentimiento Informado
Los titulares de los Datos Personales manifiestan expresamente que han sido debidamente informados de todos los usos previstos antes mencionados. Asimismo, a través de la aceptación de la presente Política de Protección de Datos Personales los titulares de los Datos Personales autorizan y otorgan su consentimiento, de manera previa, libre, expresa e inequívoca y gratuita, para el tratamiento de su información nacional e internacionalmente, de conformidad con las finalidades antes descritas. Sin perjuicio de lo anterior, los Usuarios reconocen y aceptan que cualquier tratamiento de su información que sea necesaria para la ejecución de la relación contractual no requieren de su consentimiento. Cabe precisar que, OPPO Perú no requiere consentimiento para tratar sus datos personales obtenidos de fuentes accesibles al público; asimismo, podrá tratar sus datos personales de fuentes no públicas, siempre que dichas fuentes cuenten con su consentimiento para tratar y transferir dichos datos personales.
10.4. Registro de Bancos de Datos Personales
OPPO Perú está obligada a inscribir en el Registro Nacional de Datos Personales, administrado por la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia (MINJUS), los Bancos de Datos Personales bajo su responsabilidad, sea que se encuentren en soportes físicos (archivos, almacenes) o digitales (aplicativos, Excel, Access, etc.)
Asimismo, sólo se deben registrar los Bancos de Datos Personales matrices. En ese sentido, se deberá informar al Responsable de Cumplimiento o a los encargados respectivos en OPPO Perú, sobre los Bancos de Datos Personales existentes que se identifiquen y que no hayan sido registrados ante el MINJUS o que cualquier área vaya a crear, quien analizará si ese Banco de Datos Personales es parte de algún otro banco ya registrado o si requiere registrarse como Banco de Datos Personales matriz.
10.5. IDENTIFICACIÓN DE LOS BANCOS DE DATOS PERSONALES
Los Datos Personales que se proporcione a OPPO Perú serán almacenados en los Bancos de Datos Personales correspondientes, los cuales se encuentran en proceso de registro ante el MINJUS.
11. MEDIDAS DE SEGURIDAD
Las infracciones a la Política o la falta de cooperación con una investigación interna podrán dar lugar a la aplicación de sanciones disciplinarias según la gravedad del caso, que pueden llegar hasta la separación del colaborador de OPPO Perú de sus funciones, en concordancia con la legislación laboral; sin perjuicio de las acciones civiles y penales que pudieran corresponder.
11.1. Seguridad para el tratamiento de la información digital
Los sistemas informáticos que manejen Bancos de Datos Personales deberán incluir en su funcionamiento:
El control de acceso a la información de Datos Personales incluyendo la gestión de accesos desde el registro de un usuario, la gestión de los privilegios de dicho usuario, la identificación del usuario ante el sistema, entre los que se encuentran usuario-contraseña, uso de certificados digitales, tokens, entre otros, y realizar una verificación periódica de los privilegios asignados, los cuales deben estar definidos mediante un procedimiento documentado a fin de garantizar su idoneidad.
Generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, incluyendo para los fines de la trazabilidad, la información de cuentas de usuario con acceso al sistema, horas de inicio y cierre de sesión y acciones relevantes. Estos registros deben ser legibles, oportunos y tener un procedimiento de disposición, entre los que se encuentran el destino de los registros, una vez que éstos ya no sean útiles, su destrucción, transferencia, almacenamiento, entre otros.
Asimismo, se deben establecer las medidas de seguridad relacionadas con los accesos autorizados a los datos mediante procedimientos de identificación y autenticación que garanticen la seguridad del tratamiento de los Datos Personales.
11.2. Conservación, respaldo y recuperación de los Datos Personales
Los ambientes en los que se procese, almacene o transmita la información deberán ser implementados, con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad física y ambiental recomendados en la norma técnica peruana NTP-ISO/IEC 17799 para poder gestionar un Sistema de Seguridad de la Información (SSI), al igual que la norma internacional ISO 27001, en la edición que se encuentre vigente.
Adicionalmente, se deben contemplar los mecanismos de respaldo de seguridad de la información de la base de Datos Personales con un procedimiento que contemple la verificación de la integridad de los datos almacenados en el respaldo, incluyendo cuando sea pertinente, la recuperación completa ante una interrupción o daño, garantizando el retorno al estado en el que se encontraba al momento en que se produjo la interrupción o daño. (Ítem 2.3.3.1 de la Directiva)
11.3. Transferencia lógica o electrónica de los Datos Personales
El intercambio de Datos Personales desde los ambientes de procesamiento o almacenamiento hacia cualquier destino fuera de las instalaciones físicas de la entidad, solo procederá con la autorización del titular del banco de Datos Personales y se hará utilizando los medios de transporte autorizados por el mismo, tomando las medidas necesarias, entre las que se encuentran cifrado de datos, firmas digitales, información, entre otros, destinados a evitar el acceso no autorizado, pérdida o corrupción durante el tránsito hacia su destino.
11.4. Almacenamiento de documentación no automatizada
Los armarios, archivadores u otros elementos en los que se almacenen documentos no automatizados con Datos Personales deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el banco de datos.
Si por las características de los locales que se dispusiera no fuera posible cumplir lo establecido en el apartado anterior, se adoptarán las medidas alternativas, conforme a las directivas de la Dirección General de Protección de Datos Personales.
11.5. Copia o reproducción
La generación de copias o la reproducción de los documentos únicamente podrán ser realizadas bajo el control del personal autorizado.
Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.
11.6. Acceso a la documentación
El acceso a la documentación se limitará exclusivamente al personal autorizado.
Se establecerán mecanismos que permitan identificar y tener un control de los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo a las directivas de seguridad que emita la Dirección General de Protección de Datos Personales.
11.7. Traslado de documentación no automatizada.
Siempre que se proceda al traslado físico de la documentación contenida en un banco de datos, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.
11.8. Prestaciones de servicios sin acceso a Datos Personales.
El responsable o el encargado de la información o tratamiento adoptarán las medidas adecuadas para limitar el acceso del personal a Datos Personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de Datos Personales.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los Datos Personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
11.9. Determinar y dar a conocer una política de protección de Datos Personales
Una declaración breve y directa que demuestre el compromiso institucional y el involucramiento de sus autoridades con la protección de los Datos Personales en el tratamiento que se dé a los Datos Personales contenidos en el banco de Datos Personales bajo su titularidad
11.10. Mantener la gobernabilidad completa de los procesos involucrados en el tratamiento de los Datos Personales
Conocer los procesos y procedimientos y tener control de las decisiones sobre los procesos involucrados en el tratamiento de Datos Personales cuando estos sean tercerizados o no.
11.11. Adoptar un enfoque de riesgos y basar las decisiones en el plan de tratamiento de riesgos del banco de Datos Personales.
A través de una Política de Protección de Datos Personales, la empresa deberá tomar decisiones enfocadas en mitigar los riesgos identificados en cada Banco de Datos Personales.
11.12. Desarrollar y mantener un documento maestro de seguridad de la información del banco de Datos Personales.
A través de una Política de Protección de Datos Personales, la empresa mantendrá un documento maestro de seguridad de la información del Banco de Datos Personales.
11.13. Desarrollar y mantener actualizado un documento de compromiso de confidencialidad en el tratamiento de Datos Personales, aplicable al personal relacionado con el tratamiento de Datos Personales.
La empresa asegura la confidencialidad en el tratamiento de Datos Personales, a través de la firma de acuerdos con el personal y con terceros relacionados con el tratamiento de Datos Personales. Estos acuerdos deben incluir en su contenido una cláusula de protección de datos personales (Ítems 2.1.1, 2.1.2, 2.2.1., 2.2.2. y 2.2.3. de la Directiva) y la Política de Protección de Datos Personales deberán ser revisados siempre que existan nuevas normas, sentencias y/o resoluciones sobre Protección de Datos Personales; así como cuando la organización de la empresa sufra una modificación sustancial.
Asimismo, la empresa deberá desarrollar un procedimiento de auditoría respecto de las medidas de seguridad implementadas, teniendo como mínimo una auditoría anual, la cual se realizará a dentro de los 120 días posteriores del cierre de cada año, es decir del 31 de diciembre. (Ítems 2.1.9., 2.3.4.11 y 2.3.4.12 de la Directiva).
OPPO Perú debe restringir el uso de equipos de fotografía, video, audio u otra forma de registro en el área de tratamiento de Datos Personales salvo autorización del titular del banco de Datos Personales, es decir, se podría colocar un cartel de acceso a solo personal autorizado en el área que se están almacenando Datos Personales de forma no automatizada, es decir, papel (archivadores, files, etc.) (Ítem 2.3.4.10 de la Directiva).
OPPO Perú debe asegurar la seguridad en el flujo transfronterizo de Datos Personales, a través de la firma de un acuerdo que incluya una cláusula de protección de datos personales con el proveedor de los respectivos softwares a los que se envía Datos Personales de manera internacional.
Así también, OPPO Perú debe asegurar la seguridad en servicios de tratamiento de Datos Personales por medios tecnológicos tercerizados, a través de la firma de un acuerdo que incluya una cláusula de protección de datos personales con el proveedor de dichos medios tecnológicos tercerizados.
En suma, OPPO Perú debe aplicar las acciones correctivas respectivas y procurar una mejora continua a través de:
● La implementación de la Política de Protección de Datos Personales. (Ítem 2.1.6 y 2.1.7 de la Directiva)
● La ejecución del Taller de Concientización anual. (Ítem 2.1.8 de la Directiva)
● La ejecución de auditoría anual. (Ítems 2.1.9., 2.3.4.11 y 2.3.4.12 de la Directiva)
● Revisar periódicamente la efectividad de las medidas de seguridad adoptadas y registrar dicha verificación en un documento adjunto al banco de Datos Personales. (Ítem 2.1.4 de la Directiva)
Asimismo, recomendamos tener en cuentas las siguientes medidas de seguridad específicas que se deberán implementar dirigidas por el “Responsable de la Seguridad de los Bancos de Datos Personales”:
● Se deben realizar pruebas de recuperación de los Datos Personales respaldados para comprobar que las copias de respaldo pueden ser utilizadas en caso de ser requerido.
● Los equipos utilizados para el tratamiento de los Datos Personales deben recibir mantenimiento preventivo y correctivo de acuerdo a las recomendaciones y especificaciones del proveedor para asegurar su disponibilidad e integridad. El mantenimiento de los equipos debe ser realizado por personal autorizado. (Ítem 2.3.4.3 de la Directiva)
● Los equipos utilizados para el tratamiento de los Datos Personales deben contar con software de protección contra software malicioso (virus, troyanos, spyware, etc.), para proteger la integridad de los Datos Personales. El software de protección debe ser actualizado frecuentemente de acuerdo a las recomendaciones y especificaciones del proveedor. (Ítem 2.3.4.4 de la Directiva)
● Toda información electrónica que contiene Datos Personales debe ser almacenada en forma segura empleando mecanismos de control de acceso y cifrada para preservar su confidencialidad. (Ítem 2.3.4.5 de la Directiva)
● La información de Datos Personales que se transmite electrónicamente debe ser protegida para preservar su confidencialidad e integridad. (Ítem 2.3.4.6 de la Directiva)
12. CAMBIOS EN LA POLÍTICA
OPPO Perú se reserva el derecho de modificar y/o actualizar la Política como parte de su mejora continua, ya sea para adaptarla a futuros cambios normativos, brindar una mejor calidad de servicio o comunicar nuevas alternativas relacionadas a la presente Política.
No será necesaria la comunicación de los cambios que se introduzcan a la Política, ya que la versión actualizada se publica en: https://www.oppostore.pe/
13. ENTRADA EN VIGENCIA, MODIFICACIÓN Y PERIODO DE VIGENCIA DE LAS BASES DE DATOS
La información que proporcionan los usuarios se almacenará por un periodo de cinco (5) años desde la última vez que se trató la información. Esto permite cumplir con las obligaciones legales y contractuales, especialmente en temas contables, fiscales y tributarios.
OPPO Perú puede modificar esta política en cualquier momento y de manera unilateral. Siempre se considerará la protección de los datos personales de los usuarios y se actuará conforme a la legislación vigente.
14. AUTORIDAD
Si el usuario/cliente considera que han sido vulnerados sus derechos respecto de la protección de datos personales, tiene el derecho de acudir a la autoridad correspondiente para defender su ejercicio. La autoridad es la Autoridad Nacional de Protección de Datos Personales (APDP) solicitando la tutela de sus derechos.