PROTECCIÓN DE DATOS PERSONALES
DISPOSICIONES GENERALES
Artículo 1°: Objeto
El presente Código de Conducta tiene por finalidad regular y unificar todas las acciones, disposiciones, criterios y políticas, así como todo aquello que sea concerniente al tratamiento de datos personales y su debida protección, aplicable de manera uniforme, vertical y horizontalmente, a todas las empresas que conforman el Grupo Euromotors, en cumplimiento del derecho fundamental a la protección de datos personales.
En tal sentido, su objetivo es lograr la protección y seguridad técnica, administrativa y legal para el tratamiento de los datos personales recabados por las empresas que conforma el Grupo Euromotors, en cumplimiento de la Ley de Protección de Datos Personales, su Reglamento, así como todas las normas concordantes, creadas o por crearse.
El Grupo Euromotors es un conglomerado de empresas vinculadas entre sí cuyo objetivo común es el desarrollo de la empresa automotriz en todas sus variantes, sin perjuicio de dedicarse a otras actividades, cuyo listado se aprecia en el Anexo 1, sin perjuicio de las nuevas empresas que conformen en un futuro el Grupo. Este Código de Conducta será de aplicación para todas las empresas del Grupo de Euromotors cuyo Directorio, o Gerencia General (en aquellas donde no haya Directorio), aprueben su contenido y dispongan su cumplimiento, incluyendo las modificaciones que se efectúen.
Artículo 2°: Ámbito de Aplicación
El presente Código de Conducta es de aplicación para la protección y tratamiento de la totalidad de datos personales recaudados de manera automatizada o no automatizada por parte de las empresas que conforman el Grupo Euromotors, ya sea través del consentimiento por parte de sus titulares, o que se encuentren exceptuados de ello con arreglo a Ley, estando todas las empresas, sus accionistas, directores, gerentes, apoderados, representantes, jefes, trabajadores, colaboradores, proveedores, responsables y/o encargados de tratamiento, y todos aquellos que pudieran tener acceso a información privilegiada, obligadas a su cumplimiento irrestricto.
El presente Código de Conducta abarca todos los procesos y/o actividades que se generen como consecuencia del tratamiento de datos personales, desde la recolección del consentimiento informado, el tratamiento en sí mismo, las acciones de tutela, las transferencias, los encargos, los procedimientos de seguridad técnica, administrativa, legal, y demás que se ejerciten en cumplimiento de la Ley.
Artículo 3°: Definiciones
3.1.- Banco de datos personales: Es la agrupación debidamente organizada de datos personales, automatizada o no, incorporada en cualquier tipo de soporte, que se haya creado, generado, se mantenga, organice, y a la que tengan acceso cualquiera de las empresas del Grupo Euromotors. Cada empresa es titular y responsable de su propio banco de datos.
3.2.- Bloqueo: Es la medida mediante la cual, el encargado del banco de datos personales impide el acceso de terceros a los datos y éstos no pueden ser objeto de tratamiento, durante el periodo en que se esté procesando alguna solicitud de actualización, inclusión, rectificación, supresión o cancelación.
3.3.- Cancelación o Supresión: Es la medida que consiste en eliminar o suprimir los datos personales de un banco de datos.
3.4.- Datos personales: Es cualquier tipo de información que identifique o esté referida a cualquier persona natural.
3.5.- Datos sensibles: Es cualquier dato personal referido a los datos biométricos de una persona natural, a su origen racial y/o étnico, ingresos económicos, ideologías, opiniones políticas, religiosas, o morales, afiliación sindical, información vinculada con su salud o vida sexual, u otra análoga.
3.6.- Encargado de tratamiento de datos personales: Es quien realiza el tratamiento directo de los datos personales por encargo de las empresas del Grupo Euromotors, en sus calidades de titulares de sus respectivos bancos de datos, en virtud de una relación jurídica que las vincula con el mismo, ya sean colaboradores de las mismas empresas, o ya sea empresas terceras que reciben el encargo de tratamiento debidamente definido, guardando la protección y confidencialidad física, legal y administrativa.
3.7.- Flujo transfronterizo de datos personales: Consiste en la transferencia de datos personales a destinatarios en el extranjero.
3.8.- Rectificación: Es la medida dirigida a modificar un banco de datos personales ya sea para actualizarlo, incluir información o rectificar su contenido.
3.9.- Titular de datos personales: Es la persona natural a quien corresponde los datos personales.
3.10.- Titular del banco de datos personales: Son cada una de las empresas del Grupo Euromotors, respecto de sus correspondientes bancos de datos, de los cuales son titulares
3.11.- Transferencia de datos personales: Es toda transmisión y/o comunicación y/o cesión de datos personales de los bancos de datos de las empresas del Grupo Euromotors, entre sí, o a terceros, a nivel nacional o internacional.
3.12.- Tratamiento de datos personales: Es toda operación o procedimiento, sin importar su naturaleza, que permita la recolección, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
Artículo 4°: Cómputo de Plazos
Todos los plazos establecidos en este Código de computan en días hábiles, de lunes a viernes excluyendo los sábados, domingos, feriados nacionales, y feriados no laborables dispuestos mediante norma legal.
PRINCIPIOS DE PROTECCIÓN
Artículo 5°: Legalidad, Consentimiento y Finalidad
Los datos personales únicamente podrán ser tratados de manera lícita, leal y transparente, en cumplimiento de la Ley de Tratamiento de Datos Personales, su Reglamento, y demás normas modificatorias, ampliatorias, y otras que pudieran promulgarse sobre la materia, adecuados, pertinentes y limitados a los fines para los que se hayan obtenido, que en todos los casos deberán ser determinados, explícitos y legalmente permitidos, contando para ello con el consentimiento previo de su titular, salvo las excepciones establecidas por ley.
Artículo 6°: Proporcionalidad, Calidad y Exactitud
El tratamiento de los datos deberá ser exacto, preciso, pertinente, necesario y relevante, para cumplir con la finalidad para la cual fue recabado, o conforme a la finalidad requerida para los casos de tratamiento de datos que no requieran consentimiento, y estarán actualizados para ello.
Si los datos resultaran inexactos o estuvieran desactualizados o incompletos, en la medida de lo posible se deberá tratar de rectificar, actualizar y completar con los datos correctos, en un plazo máximo de cinco días desde que tomó conocimiento de ello; de no ser posible ello, los datos serán cancelados y suprimidos.
Artículo 7°: Seguridad y Confidencialidad
Toda persona que tenga cualquier tipo de contacto con los datos personales de los bancos de datos de titularidad de las empresas del Grupo Euromotors, sean colaboradores, proveedores, directivos, apoderados, representantes, trabajadores, o cualquier tercero por encargo, está obligado a guardar plena confidencialidad de éstos, siendo información estrictamente reservada. Para el tratamiento de los datos, ello será única y exclusivamente de carácter temporal y para el cumplimiento de sus labores y/o encargo, y para la finalidad específica autorizada por el consentimiento o por ley, por lo que está prohibido de conservar cualquier tipo de documentación y/o información y/o datos, esté contenida en documentos escritos, de audio, video, magnético, informático, digital y/o en el cualquier tipo de soporte, sea cual fuere su naturaleza; asimismo, está prohibido de recopilar, registrar, organizar, almacenar, modificar, extraer, consultar, utilizar, bloquear, difundir, compartir, transferir, divulgar, comunicar, copiar, reproducir, trasmitir o permitir que terceros puedan tener acceso a los datos personales y a toda y cualquier información que la empresa le haya podido proporcionar, la cual no podrá ser usada por absolutamente nadie ni para ningún fin ajeno; asumiendo plena responsabilidad por las consecuencias y sanciones que se deriven del uso indebido por parte de él o terceras personas relacionadas.
El incumplimiento de las normas de confidencialidad respecto de los datos personales por parte de cualquier trabajador o colaborados de las empresas que conforma el Grupo Euromotors, deberá ser objeto de sanción con arreglo a la legislación aplicable, por comisión e infracción muy grave, sancionable con despido.
Las empresas del Grupo Euromotors, tienen la obligación de implementar medidas técnicas y organizativas idóneas para la protección de los datos personales objeto de tratamiento, con arreglo a la Ley de Protección de Datos Personales, su Reglamento, las normas modificatorias o ampliatorias que se promulguen, y conforme al presente Código.
Artículo 8°: Disposición de Procedimientos
Todas las empresas del Grupo Euromotors deberán habilitados canales de atención y procedimientos para el ejercicio de los derechos de acceso a la información de los datos personales proporcionados por el titular de los datos, la forma y razones por la que los otorgó, las transferencias realizadas o que se prevén hacer, así como a actualizarlos, hacer inclusiones o agregados, rectificar los mismos, hacer supresiones, cancelarlos, plantear oposiciones, revocarlos o denegarlos total o parcialmente, así como plantear los reclamos y solicitudes respecto de los mismos.
EL CONSENTIMIENTO
Artículo 9°: Obtención del Consentimiento
Para la obtención del consentimiento de los titulares de datos personales, las empresas del Grupo Euromotors deberán guiarse preferentemente del modelo de Consentimiento Para el Tratamiento de Datos Personales – Clientes y Prospectos que como Anexo 2.1 forma parte de este Código, y para el caso de recopilación de consentimiento de datos que formen parte de otros documentos como por ejemplo cotizaciones, pedidos, u otros análogos, deberán guiarse de la versión resumida de modelo de Consentimiento Para el Tratamiento de Datos Personales – Clientes y Prospectos que como Anexo 2.2 forma parte de este Código; estos formatos aplicarán para el caso de la obtención del consentimiento de clientes y prospectos. Para el caso de la obtención del consentimiento de colaboradores, proveedores, trabajadores, operadores y terceros en general que no califiquen como clientes o prospectos, podrán guiarse del formato de Consentimiento Para el Tratamiento de Datos Personales – Colaboradores y Terceros en General que como Anexo 2.3 forma parte de este Código.
De igual forma, para la recopilación del consentimiento de datos en línea, podrán guiarse del formato de Política de Privacidad – Protección de Datos Personales que como Anexo 3 forma parte de este Código. La obtención de los datos y del consentimiento podrá realizarse bajo cualquier modalidad, escrita y/o digital y/o informática y/o móvil, que permita documentar y obtener prueba material o evidencia de haber logrado el consentimiento expreso por parte del titular de los datos.
La recopilación de los datos personales deberá asegurar y garantizar que el consentimiento que se obtiene del titular de datos personales haya sido totalmente libre y voluntario. Estará permitida la entrega de obsequios o premios con ocasión de la obtención del consentimiento para el tratamiento de los datos, lo cual no afectará la condición de libertad de su titular para otorgarlos, a excepción del caso de los menores de edad, a los que no se está permitido entregar ningún tipo de regalo.
Asimismo, el consentimiento deberá obtenerse de manera previa a cualquier acción de tratamiento.
Artículo 10°: Consentimiento Informado
El documento físico o virtual mediante el cual el titular de los datos personales concede el consentimiento para el tratamiento de sus datos personales, deberá contener e informar a éste por lo menos lo siguiente:
10.1.- La denominación social, R.U.C. y dirección de la empresa del Grupo Euromotors titular del banco de datos, y el dato de contacto para que el titular de los datos pueda dirigirse para ejercer sus derechos.
10.2.- Los propósitos específicos para las cuales las empresas del Grupo Euromotors solicitarán consentimiento voluntario, libre, previo, expreso, informado e inequívoco para el tratamiento de datos personales.
10.3.- La identidad de los que son o pueden ser sus destinatarios.
10.4.- Se dejará expresa constancia de la existencia del banco de datos personales en que se almacenarán éstos, precisando que está debidamente registrado ante la Autoridad Nacional de Protección de Datos Personales.
10.5.- Precisar que es facultativo otorgar el consentimiento de los datos, salvo aquellos indispensables para el cumplimiento de las relaciones contractuales o tratativas que se generen, y que estén exceptuados por Ley.
10.6.- Precisar que el otorgar el consentimiento únicamente permitirá el tratamiento de los datos conforme al documento mediante el cual se otorga.
10.7.- Precisar que los datos personales serán objeto de transferencia y encargo nacional e internacional.
Artículo 11°: Excepciones al Consentimiento
Sin perjuicio de lo señalado en los artículos 9° y 10°, los datos personales podrán ser tratados sin necesidad de consentimiento, siempre que el mismo está justificado en cualquiera de las excepciones establecidas por ley, como por ejemplo, para el ejercicio de las funciones de las entidades públicas para el cumplimiento de sus deberes, acceso a fuentes de datos públicos, para la celebración, cumplimiento y ejecución de relaciones contractuales, y las demás que legalmente están establecidas, o se establezcan en un futuro.
Artículo 12°: Política de Privacidad
Para el caso detallado en el artículo 11°, las empresas del Grupo Euromotors deberán tratar los datos personales en mérito a una política de privacidad que debe cumplir con los requisitos del artículo 10°, en todo lo que sea aplicable, y en respeto de los derechos de los titulares de los datos personales con arreglo a Ley. Las empresas de Grupo Euromotors podrán guiarse del modelo de Política de Privacidad que como Anexo 4.1 forma parte de este Código, la cual deberá estar exhibida en sus respectivas páginas web, en sus locales abiertos al público mediante su difusión en carteles, y a disposición pública cada vez que sea requerido; en el caso de envío de correos electrónicos, podrán guiarse del texto sobre protección de datos personales que como Anexo 4.2 forma parte de este Código, haciendo uso del mismo al final de los mensajes, haciendo referencia al cumplimiento de dicha Política de Privacidad. Para el caso de los locales que cuenten con cámaras de seguridad, deberán tener exhibidos de manera visible, carteles informativos de protección de datos conforme al modelo adjunto como Anexo 5.
Esta Política de Privacidad será la que rija el tratamiento de todos los datos de aquellos trabajadores, colaboradores, directivos, ejecutivos, apoderados, empleados, proveedores, visitantes, y demás personas en general, con las que mantenga algún tipo de relación o vínculo contractual, o tratativas para la celebración de un contrato, cuyos datos son necesarios para el cumplimiento de dichas relaciones, así como respecto de cualquier otra persona cuyos datos.
Sean recabados sin necesidad de consentimiento, con arreglo a las excepciones establecidas por Ley.
DERECHOS DEL TITULAR DE DATOS PERSONALES
Artículo 13°: Derechos
El titular de datos personales tiene la facultad de ejercer de manera irrestricta los derechos de información, actualización, acceso, rectificación, cancelación, oposición, inclusión, supresión, impedimento de suministro, y tratamiento objetivo de datos personales, los cuales sólo podrán
ser ejercidos por el propio titular, o mediante representante especialmente facultado por poder que contenga el encargo específico con firma notarialmente legalizada del poderdante.
En caso los datos hubieran sido transferidos de manera previa al ejercicio de cualquiera de estos derechos, el titular de la base de datos deberá comunicar inmediatamente ello a los receptores de los datos para que efectúen las modificaciones que corresponda.
Mientras dure el procedimiento de ejercicio de los derechos de actualización, inclusión, rectificación o supresión de datos personales, el titular de la base de datos dispone su bloqueo, quedando impedido de permitir que terceros accedan a ellos.
Artículo 14°: Requisitos para el Ejercicio de los Derechos
El titular de los datos personales deberá remitir solicitud escrita o virtual al titular del banco de datos personales, dirigido a la dirección física o virtual consignada en los documentos de consentimiento o políticas de privacidad, precisando lo siguiente:
14.1.- Nombres y apellidos del titular del derecho, y en su caso de su representante, adjuntando copia de sus respectivos documentos nacionales de identidad.
14.2.- Determinación concreta del petitorio y del derecho que se ejerce.
14.3.- Domicilio físico o dirección electrónica a efectos de que pueda ser notificado con los actuados del procedimiento.
14.4.- Fecha y firma del solicitante.
14.5.- Documentos que sustenten la solicitud y pretensión, de ser el caso.
Artículo 15°: Procedimiento
Recibida la solicitud de ejercicio de derechos por parte del titular de datos personales, el titular de la base de datos tiene un plazo máximo de cinco días para calificarla; en caso la misma no cumpla con los requisitos establecidos en el artículo 14°, se cumple con notificar al titular de los datos, dentro de esos mismos cinco días, las observaciones que requieran subsanación, para
Que cumpla con ello en un plazo máximo de cinco días; en caso no se cumpla con la observación, la solicitud se tiene por no presentada.
En el caso que la información o documentación presentada en la solicitud sea insuficiente o equivocada, e impida darle trámite, el titular del banco de datos personales podrá requerir dentro de los siete días siguientes de recibida la solicitud, la documentación e información adicional o correcta al titular de los datos personales para atenderla; este último tendrá diez días para atender el requerimiento, caso contrario, se tendrá por no presentada la solicitud.
Si la solicitud presentada cumple con todos los requisitos, los plazos de atención y repuesta por parte del titular del banco de datos personales serán los siguientes, computados a partir del día siguiente de la fecha de presentación:
15.1.- Ocho días ante el ejercicio del derecho de información.
15.2.- Veinte días ante el ejercicio del derecho de acceso.
15.3.- Diez días ante el ejercicio de los otros derechos como los de actualización, rectificación, cancelación, supresión, inclusión u oposición.
Para el caso de solicitudes observadas, los plazos antes indicados se computarán a partir del día siguiente de la presentación de la subsanación correspondiente.
Con excepción al cumplimiento del plazo fijado para la atención ante el ejercicio del derecho de información, los demás plazos correspondientes a la atención de los demás derechos podrán ser objeto de ampliación por una sola vez, y por un plazo igual, como máximo, en tanto exista justificación para ello, debiendo notificarse tal determinación al titular del dato personal, dentro del plazo que se disponga a ampliar.
Para el ejercicio de derechos por parte del titular de datos personales, éste podrá hacer uso del formato que se adjunta como Anexo 6.1 al presente Código de Conducta. Asimismo, para la atención de estas solicitudes, se deberá aplicar el Documento de Gestión para Atención de Derechos ARCO y el Instructivo para Respuesta al Ejercicio de Derechos ARCO que como Anexos 6.2 y 6.3, respectivamente, se adjuntan.
Artículo 16°: Derecho a la Información y Acceso
El titular de datos personales tiene derecho, en vía de acceso, a que se le brinde toda la información sobre sus datos personales, el tratamiento que se les ha dado, la finalidad para la que los otorgó, cómo y cuándo los otorgó, quiénes son o han sido o podrían ser sus destinatarios (precisando su identidad), la existencia del banco de datos en que están contenidos, la identidad y domicilio del titular del banco, los encargados del tratamiento de sus datos personales, si existe obligatoriedad o no en mantener sus datos, y los motivos de ello, las transferencias de los datos personales que se hayan hecho o se podrían hacer, las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo, el tiempo durante el cual se conservarán sus datos personales, y las posibilidades y mecanismos que tiene para ejercer los derechos que la ley le concede. La atención a la solicitud deberá estar dirigida a absolver las consultas precisas hechas por el titular de los datos; en caso de solicitar de manera general ejercer el derecho a la información y acceso, se deberá proporcionar toda la información antes descrita, y nunca revelar información de terceros.
Artículo 17°: Derecho de Actualización y Rectificación
El titular de datos personales tiene derecho, en vía de rectificación, a actualizar aquellos datos que han sido modificados a la fecha del ejercicio del derecho, así como a rectificar aquellos datos que resulten inexactos, erróneos o falsos; para lo cual, la solicitud deberá acompañar la documentación que sustente la procedencia de la actualización y/o rectificación solicitada.
Artículo 18°: Derecho de Inclusión
El titular de datos personales tiene derecho, en vía de rectificación, a que sus datos sean incorporados a un banco de datos personales, y que sus datos personales faltantes o la información que la hace incompleta, omitida o eliminada, sea incorporada para un debido tratamiento. La solicitud de inclusión deberá precisar los datos personales se piden agregar, acompañando la documentación que sustente.
Artículo 19°: Derecho de Supresión o Cancelación.
El titular de los datos personales podrá solicitar la supresión o cancelación de sus datos personales de un banco de datos personales, ya sea de manera o total, cuando éstos ya no sean necesarios para cumplir con la finalidad por la cual se obtuvieron, cuando se haya vencido el plazo establecido para su tratamiento, o cuando ha revocado su consentimiento para el tratamiento.
El titular del banco de datos personales tiene obligación de documentar ante el titular de los datos personales haber cumplido con la supresión y cancelación solicitada, y precisar las transferencias de los datos suprimidos, identificando a quién o a quiénes fueron transferidos, así como la comunicación de la supresión correspondiente.
La supresión no procederá cuando los datos personales deban ser conservados en razón de las relaciones contractuales entre el responsable y el titular de los datos personales, que justifiquen el tratamiento de los mismos.
Artículo 20° Derecho de Oposición
El titular de datos personales tiene derecho a oponerse al tratamiento de sus datos personales o al cese de ello, cuando no hubiere prestado su consentimiento para su recopilación por haber sido tomados de fuente de acceso al público. Este derecho también es aplicado aun cuando el titular de datos personales hubiera prestado su consentimiento, acreditando para ello la existencia de motivos que justifiquen ello.
Artículo 21°: Derecho al tratamiento objetivo de datos personales
En el caso del tratamiento de datos personales que estén involucrados en parte de un proceso de toma de decisiones sin participación de su titular, el titular del banco de datos personales deberá informárselo en término máximo de cinco días de tomado conocimiento de ello.
BANCO DE DATOS
Artículo 22°: Registro
Las empresas del Grupo Euromotors deberán cumplir con inscribir sus respectivos bancos de datos en el Registro Nacional de Protección de Datos Personales. Las bases de datos a ser inscritas podrán ser las de:
22.1.- Base de datos de clientes y prospectos.22.2.- Base de datos de proveedores.
22.3.- Base de datos de trabajadores, colaboradores y postulantes.
22.4.- Base de datos de cámaras de videovigilancia.
Se podrán incluir, de considerarlo necesario y oportuno, otras bases de datos de acuerdo con las necesidades de cada empresa, así como modificar, separar o estructurar las bases de datos antes propuestas de acuerdo con sus necesidades.
TRANSFERENCIA DE DATOS PERSONALES
Artículo 23°: Transferencias de Datos
Son transferencias de datos personales las cesiones o comunicaciones que hace el titular de la base de datos a un tercero, sea a nivel nacional o internacional (flujo transfronterizo) a terceros. Estas transferencias serán permitidas siempre que se cuente con autorización expresa en dicho sentido por parte del titular de los datos personales, o, cuando ello está justificado en cualquiera de las excepciones establecidas por Ley, como por ejemplo, para el ejercicio de las funciones de las entidades públicas para el cumplimiento de sus deberes, acceso a fuentes de datos públicos, para la celebración, cumplimiento y ejecución de relaciones contractuales, y las demás que legalmente están establecidas, o se establezcan en un futuro.
Artículo 24°: Obligación del Receptor de los Datos
El receptor de los datos producto de una transferencia, necesariamente quedará obligado a las regulaciones de la Ley de Protección de Datos Personales, su Reglamento, normas modificatorias o ampliatorias, y al presente Código; debiendo asegurar todas las medidas de protección y prevención a nivel operativo, organizativo, técnico y jurídico, así como la confidencialidad total de los datos, pudiéndolos tratar únicamente para las finalidades para las cuales fueron otorgados por su titular y bajo las estipulaciones informadas y aceptadas por éste, o que tengan justificación en las excepciones de ley para los casos de tratamiento de datos que no requieran consentimiento previo; ello, en tanto el receptor de los datos personales materia de transferencia, asume la condición de titular del banco de datos personales. En tal sentido, los receptores de datos quedarán igualmente obligados a respetar el ejercicio de los derechos que los titulares de datos personales quieran ejercer respecto de sus datos personales.
Artículo 25°: Destinatarios y Convenios
Todas las empresas que conforman el Grupo Euromotors, que previamente hayan aprobado y se hayan acogido al presente Código, podrán transferir entre sí los datos personales de sus respectivas bases de datos. Para ello, en los documentos de Consentimiento Para el Tratamiento de Datos Personales mediante los cuales se recabe el consentimiento para el tratamiento, se deberá informar de las transferencias de datos amparados en este Código, con lo que se garantiza el debido tratamiento de los datos y sus transferencias, con seguridad y confidencialidad; estas transferencias también podrán ser efectuadas sin necesidad de consentimiento previo, en los exceptuados y autorizados por ley. Las transferencias realizadas entre las empresas del Grupo Euromotors garantizarán el debido tratamiento de los datos por el solo mérito de haberse acogido y aprobado este Código para regir sus conductas para el tratamiento de datos personales.
Para el caso de transferencias de datos personales a terceros ajenos al Grupo Euromotors a nivel internacional (flujo transfronterizo), las mismas se harán necesariamente previa suscripción con el receptor de los datos, de un convenio que cumpla con las medidas de protección, confidencialidad y de seguridad requeridas por Ley para el debido tratamiento de los datos personales transferidos, asegurando que se cumpla con la finalidad autorizada y consentida para el tratamiento por parte de su titular, pudiendo utilizar y tomar como referencia el modelo de Convenio de Transferencia de Datos Personales y Condiciones para su Tratamiento y Protección que como Anexo 7 forma parte de este Código, en respeto de los consentimientos datos por sus titulares, o para el cumplimiento de las finalidades que legalmente no requieran dicho consentimiento, y en protección y defensa de los derechos de los titulares de datos personales. Para el caso de las transferencias nacionales, sin perjuicio de que se recomienda la suscripción de convenios en este mismo sentido, por lo menos se deberá asegurar que el receptor de los datos esté debidamente informado de las condiciones del consentimiento de éstos, y así asegurar el debido tratamiento.
Estas transferencias de datos que se prevén realizar estarán dirigidas principalmente a satisfacer las necesidades para el cumplimiento de las obligaciones contractuales, de las prestaciones de servicios y cumplimiento de los fines del negocio, relacionamiento con proveedores, y todo aquello necesario para que cada una de las empresas del Grupo Euromotors pueda desarrollar su objeto social, y cumplir con las obligaciones y relaciones sostenidas con sus clientes. En este sentido, considerando que el tipo de negocio que es común denominador del Grupo Empresarial está referido al sector automotriz, las transferencias datos podrán darse con los fabricantes de los vehículos que comercializan éstas, los representantes de las marcas de dichos vehículos en el Perú, los concesionarios y talleres oficiales de dichas marcas a nivel nacional, empresas del sistema financiero y empresas administradoras de fondos colectivos, proveedores necesarios y todos aquellos con los que sean necesario realizar las transferencias para el cumplimiento de obligaciones contractuales. Sin perjuicio de ello, y de acuerdo a sus necesidades, cada titular de base de datos podrá evaluar y determinar la pertinencia de la transferencia de datos, nacional o transfronteriza, de acuerdo a sus necesidades, y siempre que previamente se haya recabado el consentimiento previo e informado expreso por parte del titular de datos, o en los casos exceptuados por Ley que se permita el tratamiento.
RESPONSABLES DEL TRATAMIENTO - ENCARGADOS DEL TRATAMIENTO - TRATAMIENTOS DE DATOS POR ENCARGO
Artículo 26°: Responsables del Tratamiento
Al interior de cada una de las empresas que conforman el Grupo Euromotors, el Gerente General de cada una de ellas, apoyado por todos los Jefes de todas las áreas de cada organización, será responsable de implementar y aplicar todas las medidas de protección y seguridad organizativa, técnica y jurídica, a efectos de la protección y debido tratamiento de los datos personales. La estructura organizacional y delimitación de responsabilidades es la que se define en el artículo 32° de este Código.
Todo aquel que tenga a su cargo, a su disposición, alcance o acceso a cualquier dato personal, o a cualquier equipo o instrumento que permita dicho acceso, difusión o posibilidad de ser compartido o revelado, realice cualquier tipo de tratamiento de datos personales, o cuya omisión genere cualquier tipo de consecuencia respecto de cualquier dato personal, será directamente responsable de ello, asumiendo las consecuencias civiles, penales, administrativas, funcionales y laborales que ello genere. Cualquier infracción o incumplimiento
De la Ley de Protección de Datos Personales o su Reglamento, normas ampliatorias, modificatorias o sustitutorias, o del presente Código de Conducta, o cualquier afectación, por acción u omisión, al derecho a la protección de datos personales de cualquier titular de éstos, se considerará una falta gravísima para todos los efectos.
Artículo 27°: Encargados del Tratamiento
Todo aquel que, al interior de las empresas que conforman el Grupo Euromotors, ya sean sus colaboradores, trabajadores, apoderados, representantes, directivos, u otros, en cumplimiento de sus funciones y obligaciones, para los fines autorizados por ley y/o bajo consentimiento, serán encargados de tratamiento de datos personales; y como tales, están obligados al cumplimiento irrestricto de la Ley de Protección de Datos Personales y su Reglamento, normas ampliatorias o modificatorias, del presente Código, con la debida seguridad y confidencialidad.
Todo tratamiento de datos personales por parte de los encargados del tratamiento se realizará de manera temporal, y únicamente podrá utilizar la información y/o cualquier dato personal para cumplir con los encargos específicos de sus labores, y nunca para otra finalidad, ni mucho menos en otra oportunidad. De esta manera, el encargado del tratamiento queda expresamente prohibido de realizar cualquier tipo de tratamiento, parcial o total, bajo cualquier medio o soporte, de cualquier tipo de información y/o datos personales a la que tuviere acceso o conociera durante la vigencia de su relación con la empresa, para fines no autorizados y/o ajenos a sus obligaciones, así como también, está prohibido de recopilar, registrar, organizar, almacenar, modificar, extraer, consultar, utilizar, bloquear, difundir, compartir, transferir, divulgar, comunicar, copiar, reproducir, trasmitir o permitir que terceros puedan tener acceso a los datos personales y a toda y cualquier información que la empresa le haya podido proporcionar, la cual no podrá ser usada por absolutamente nadie ni para ningún fin ajeno; asumiendo plena responsabilidad por las consecuencias y sanciones que se deriven del uso indebido por parte de él o terceras personas relacionadas.
Toda información o datos personales que sean proporcionados al encargado del tratamiento de datos o a la que tenga acceso para el cumplimiento de sus funciones, sea cualquiera la modalidad o soporte, y sea cual fuera su naturaleza, tendrá el carácter de estrictamente confidencial, exclusiva y reservada, y solo podrá ser usada y tratada para el cumplimiento de sus funciones y para las finalidades autorizadas y permitidas.
Artículo 28°: Tratamiento por Encargo
Las empresas del Grupo Euromotors podrán valerse de terceros ajenos su propia organización para efectos del tratamiento de datos personales de sus bases de datos. La entrega de datos a este tercero encargado del tratamiento no constituye la transferencia de estos a éste, quien únicamente está autorizado a tratar los datos bajo las directivas del encargo realizado.
Para materializar el tratamiento por encargo a cargo de un tercero, las empresas del Grupo Euromotors deberán suscribir un contrato de tratamiento por encargo, que asegure la debida confidencialidad y seguridad jurídica, técnica y organizativa, especificando las únicas finalidades autorizadas para realizar el tratamiento, así como el carácter temporal y determinación clara y precisa de que los datos materia de encargo no son objeto de transferencia.
Los terceros a quienes se les confíe este tratamiento por encargo deberán cumplir con todas las obligaciones descritas en el artículo 27°, y deberán suscribir con estos acuerdos en los que se garantice las medidas de protección, confidencialidad y de seguridad requeridas por Ley para el debido tratamiento de los datos personales transferidos, asegurando que se cumpla con la finalidad autorizada y consentida por el titular para el tratamiento que se encarga, pudiendo utilizar y tomar como referencia el modelo de Convenio de Tratamiento por Encargo que se adjunta como Anexo 8.
Culminado el encargo, los datos personales que fueron materia de encargo para su tratamiento, deberán ser restituidos por estos terceros a sus respectivos titulares, o de ser el caso, destruir toda la información, estando dichos terceros terminantemente prohibidos de conservar ningún tipo de dato ni información.
MEDIDAS DE SEGURIDAD
Artículo 29°: Medidas de seguridad
Para garantizar los derechos de los titulares de datos personales, se aplicarán medidas técnicas, organizativas y jurídicas apropiadas a los datos tratados y a la naturaleza, alcance, contexto y finalidad del tratamiento.
Para evaluar el nivel de seguridad y las medidas concretas que se deben aplicar para la protección de los datos personales, se considerarán los riesgos a los que estén expuestos los datos personales, contra su destrucción, pérdida o modificación indebida o ilícita, filtración, accesos o invasiones no autorizadas o ilegales.
Artículo 30°: Medidas de Seguridad en el Tratamiento de Datos Personales en Plataformas Digitales
Las medidas de prevención y seguridad en el tratamiento de datos personales en medios digitales, cualquiera la plataforma en la que estén contenidos deberá prever controles y procedimientos debidamente regulados para su acceso, otorgamiento y gestiones de privilegios, mediante el otorgamiento de usuarios y claves de ingreso a los sistemas que permitan acceder a los datos personales, verificados y controlados con periodicidad; así como
La configuración de los sistemas de manera idónea, de modo que proporcionen la mínima funcionalidad para el correcto tratamiento de datos, medidas de detección, prevención, control, y eventual recuperación, que permitan eliminar o reducir amenazas de seguridad.
Los servidores que contengan datos personales deberán estar ubicados en ambientes igualmente seguros y protegidos, con acceso restringido y bajo llave u otro mecanismo que impida su acceso a cualquier persona no autorizada.
Artículo 31°: Medidas de Seguridad en el Tratamiento de Datos Personales en Soporte Físico
Las medidas de prevención y seguridad en el tratamiento de datos personales contenidos en soportes físicos o no automatizados deberán estar protegidos en ambientes debidamente acondicionados y protegidos con cerraduras, llaves u otras medidas de seguridad que impidan su acceso a personas no autorizadas. Únicamente tendrán acceso a estos datos aquellos a los que se les haya otorgado el permiso correspondiente, para el cumplimiento de sus labores y obligaciones.
Artículo 32°: Estructura Organizacional
Cada una de las empresas del Grupo Euromotors que adopte el presente Código de Conducta, deberá implementar dentro de sus propias organizaciones corporativas, la asignación de responsabilidades para la implementación, cumplimiento y control de todas las medidas de confidencialidad, seguridad y de respeto y protección de datos personales, en cumplimiento de la Ley y del presente Código.
Esta estructura organizacional deberá contar por lo menos con la asignación de los siguientes responsables, y cumplir con las siguientes funciones:
32.1.- Responsable del banco de datos: Responsable y encargado de implementar, ejecutar, y dar cumplimiento de la política de protección de datos personales en todos sus niveles, a nivel transversal y como autoridad máxima dentro de la empresa. Esta asignación deberá recaer en el Gerente General.
32.2.- Responsable de Seguridad Tecnológica: Responsable de implementar las medidas de seguridad informática y correcto desenvolvimiento de las plataformas digitales en las que se tratan los datos personales, protección contra sustracción de información automatizada, administración de accesos y privilegios a los sistemas. Responsable de abrir, llevar y controlar los registros de documentos, de personal con accesos, de incidentes y medidas adoptadas, de los accesos concedidos y sus variaciones, a nivel informático y digital.
32.3.- Responsable de Seguridad No Tecnológica: Responsable de llevar el control y debido registro de las bases de datos ante la Autoridad Nacional de Protección de Datos
Personales, y de mantener una permanente difusión del cumplimiento de la política de protección de datos personales, de su importancia, de las responsabilidades que ello implica, de los procedimientos, documentación e información que la componen, así como del presente Código y de la Ley. Responsable de abrir, llevar y controlar los registros de documentos, de personal con accesos, de incidentes y medidas
Adoptadas, de los accesos concedidos y sus variaciones, de auditorías, y de otros que pudieran abrirse.
32.4.- Responsable Jurídico: Responsable de recibir, tramitar, mantener en pleno y eficiente funcionamiento, y resolver todas las solicitudes de ejercicio de los derechos de los titulares de los bancos personales, así como asegurar el respeto y debido ejercicio de estos derechos. Responsable de la implementación, difusión y correcta, debida y oportuna utilización de toda la documentación e información pertinente para la debida protección de los datos personales, tales como documentos para la obtención del consentimiento informado, políticas de privacidad, compromisos de cumplimiento, convenios de transferencia, convenios de tratamiento por encargo, documentos de asignación de equipos y herramientas, cláusulas de confidencialidad, documentos de asignación de archivos, documentos informativos, formatos para el ejercicio de derechos del titular de datos, y otros análogos; tanto de manera física como digital. Responsable de realizar las auditorías y verificaciones periódicas respecto del cumplimiento de las normas legales y la política de protección de datos personales. Asimismo, será el responsable de hacerse cargo de las capacitaciones.
32.5.- Responsables del Tratamiento: Son los jefes de las distintas áreas de las empresas que conforman el Grupo Euromotors quienes tienen a su cargo la responsabilidad de dar el debido tratamiento a los datos personales con los que se cuente con arreglo a Ley.
32.6.- Encargado de Tratamiento: Los definidos en el artículo 27° y 28° de este Código.
En el Anexo 9 que forma parte integrante del presente Código, se incluye el Manual de Organización y Funciones para la Protección de Datos Personales.
Artículo 33°: Procedimientos
Se cumplirá con los procedimientos respectivos para cumplir de manera debida y con arreglo a Ley con el tratamiento de los datos personales, de accesos y privilegios, otorgamiento y
Cambios de estos, contraseñas, gestión, control de incidentes, controles y revisiones periódicas de accesos, privilegios y contraseñas; conforme a los formatos que se indican a continuación:
33.1.- Anexo 10.1: Políticas o Lineamientos para la protección de datos personales.
33.2.- Anexo 10.2: Manual de Seguridad de la Información de los Bancos de Datos Personales.
33.3.- Anexo 10.3: Procedimiento de Accesos al Sistema y Recursos Informáticos.
33.4.- Anexo 10.4: Procedimiento de Asignación de Privilegios de Acceso.
33.5.- Anexo 10.5: Procedimiento de Verificación de Privilegios de Acceso.
33.6.- Anexo 10.6: Procedimiento de Acciones Correctivas y Preventivas para la Protección de Datos Personales.
33.7.- Anexo 10.7: Procedimiento para la Gestión de Consentimiento.
33.8.- Anexo 10.8: Procedimiento de Reproducción o Copias de Datos Personales.
33.9.- Anexo 10.9: Procedimiento para Protección de Repositorios Físicos.
33.10.- Anexo 10.10: Procedimiento para la Atención de Incidencias.
33.11.- Anexo 10.11: Procedimiento de Eliminación de Datos Personales.
33.12.- Anexo 10.12: Plan de Sensibilización y Capacitación en Protección de Datos Personales.
33.13.- Anexo 10.13: Procedimiento de Auditoría para la Protección de Datos Personales.
33.14.- Anexo 10.14: Metodología o Plan de Tratamiento de Riesgos.
33.15.- Anexo 10.15: Política de Intercambio de Información Física
33.16.- Anexo 10.16: Política de Intercambio de Información por Medios Removibles de Almacenamiento.
33.17.- Anexo 10.17: Política de Copias de Respaldo.
Artículo 34°: Registros
Para todos los efectos en el tratamiento de datos personales, las empresas del Grupo Euromotors deberán llevar los siguientes registros:
34.1.- De ejercicio de derechos ARCO
34.2.- De control de personal con accesos y privilegios, su otorgamiento, variaciones, modificaciones, cancelaciones, accesos realizados.
34.3.- De seguridad e incidentes.
34.4.- De auditorías.
34.5.- De traslado de datos.
34.6.- De realización de copias de respaldo o back up.
34.7.- De capacitaciones.
Artículo 35°: Medidas de seguridad específicas
35.1.- Semestralmente, las empresas del Grupo Euromotors deberán cumplir con realizar una fiscalización y auditoría de control para verificar el cumplimiento de la política de protección de datos personales.
35.2.- Todos los empleados, trabajadores y colaboradores en general de las empresas del Grupo Euromotors, deberán asumir el firme compromiso de cumplimiento de la política de protección de datos personales, para lo cual, deberán suscribir la siguiente documentación, conforme a los formatos adjuntos que sirven de referencia:
35.2.1.- Compromiso de Asignación de Equipos. (Anexo 11)
35.2.2.- Cláusula de Confidencialidad. (Anexo 12)
35.2.3.- Compromiso de Asignación de Archivo Físico. (Anexo N° 13)
35.2.4.- Cláusula de Confidencialidad para Proveedores y Terceros. (Anexo 14)
35.3.- En los contratos que suscriban las empresas del Grupo Euromotors con sus proveedores, se deberá procurar incluir una cláusula de protección de datos personales, teniendo como referencia la cláusula que se adjunta como Anexo 15.
EVALUACION Y DIFUSION DEL CODIGO
Artículo 36°: Difusión
Todas las empresas del Grupo Euromotors que se acojan al presente Código de Conducta, deberán cumplir con informar de manera adecuada y efectiva sobre la existencia del mismo, en todos los documentos físicos y virtuales en los que se traten temas sobre protección de datos personales, políticas de privacidad, consentimiento de datos, etc., así como al interior de sus respectivas organizaciones, haciéndolo de conocimiento de todos sus empleados, trabajadores, colaboradores, directivos, apoderados, representantes, colaboradores en general, clientes, proveedores, etc.
Artículo 37°: Control de Aplicación
Todas las empresas del Grupo Euromotors que se acojan al presente Código de Conducta, deberán cumplir con monitorear y evaluar permanentemente el cumplimiento de este y de los formatos y procedimientos que lo conforman y aparecen en los Anexos adjuntos, así como su eficacia e idoneidad para la protección de datos personales y cumplimiento de las normas legales sobre la materia, la satisfacción de los titulares de los datos, y se debida adecuación; ello, a fin de mantenerlo vigente y actualizado a las diversas situaciones y necesidades para la protección de los datos personales de sus titulares, y para asegurar el debido cumplimiento normativo por parte de las mismas empresas de Grupo Euromotors. Las auditorías y fiscalizaciones periódicas de control de seguridad serán los mecanismos adecuados para realizar el control de aplicación de este Código de Conducta, así como para adoptar las medidas de corrección y mejora necesarias.
Artículo 38°: Compromiso
Todas las empresas del Grupo Euromotors asumen y se comprometen por el firme compromiso institucional, así como por parte de todas las autoridades, directivos, ejecutivos, trabajadores y personal en general, de cumplir, respetar y garantizar la protección de los datos personales de sus titulares, en pleno respeto de los principios de Legalidad, Consentimiento, Finalidad, Proporcionalidad, Calidad, Disposición de Recurso y de Nivel de Protección Adecuado, así como de los requisitos de seguridad aplicables, manteniéndose en una mejora continua. Asimismo, serán también responsables de fomentar el cumplimiento de la Ley de Protección de Datos Personales, su Reglamento, así como las normas ampliatorias, modificatorias o sustitutorias que se emitan, y del presente Código, así como la difusión de la protección y defensa del derecho a la protección de los datos personales de todo ciudadano.
Para ello, las empresas del Grupo Euromotors implementarán comunicaciones periódicas en su difundiendo el presente Código y la gran importancia de la protección de los datos personales; se entregarán a todos, sea de manera virtual o física, ejemplares del Código de Conducta, haciendo hincapié no solo en su cumplimiento, sino también en la necesidad de su defensa; este Código de Conducta también se publicará en las respectivas páginas web.
Por último, queda establecido que, todo directivo, ejecutivo, empleado, trabajador, colaborador y personal en general, que tenga conocimiento de cualquier afectación al derecho a la protección de los datos personales de cualquier persona al interior de las empresas del Grupo Euromotors, estará obligada a dar parte de ello y ponerlo en conocimiento de su superior y de la gerencia general, a efectos de que adopten las medidas de protección y corrección que correspondan, siendo una falta gravísima para todos los efectos el no hacerlo.
Artículo 39°: Capacitación
Anualmente, las empresas del Grupo Euromotors que adopten el presente Código de Conducta, ya sea manera individual o conjunta, desarrollarán jornadas de capacitación en temas de protección de datos personales, de cumplimiento de la Ley, del presente Código, medidas de prevención, protección del derecho y ejercicio de éstos, y difusión.
DISPOSICION FINAL
Disposición Final Única – Entrada en Vigor
El presente Código de Conducta entrará en vigor dentro del plazo máximo de 365 días calendario contados a partir del día siguiente de su aprobación por parte del Directorio de la empresa EURO MOTORS S.A., con R.U.C. N° 20168544252, plazo dentro del cual se deberán adoptar las medidas correspondientes para su implementación, aplicación y puesta en práctica.
Para las demás empresas que conforman el Grupo Euromotors que deseen adoptarlo y sujetarse al mismo, este Código de Conducta entrará en vigor dentro del plazo máximo de 180 días calendario contados a partir del día siguiente de su aprobación por parte de los Directorios que lo aprueben, plazo dentro del cual se deberán adoptar las medidas correspondientes para su implementación, aplicación y puesta en práctica. Para los casos de empresa que no cuenten con Directorio, dicha aprobación deberá ser dispuesta por su Gerente General.
ANEXO 1
Empresas que conforman el Grupo Euromotors
1.- EURO MOTORS S.A. - R.U.C. N° 20168544252 | Av. Domingo Orué 973, Surquillo,
Lima
Partida N° 00233196 del Registro de Personas Jurídicas de Lima
2.- ALTOS ANDES S.A.C. - R.U.C. N° 20296136728 | Av. Tomás Marsano 402, Surquillo,
Lima
Partida N° 03007041 del Registro de Personas Jurídicas de Lima
3.- RENTING S.A.C. - R.U.C. N° 20509031500 | Jr. Domingo Martínez Lujan 1202, S
urquillo, Lima
Partida N° 11667075 del Registro de Personas Jurídicas de Lima
4.- EUROSHOP S.A. - R.U.C. N° 20349065488 | Av. Domingo Orué 989 Surquillo, Lima
Partida N° 03020437 del Registro de Personas Jurídicas de Lima
5.- SAN BARTOLOME S.A. - R.U.C. N° 20125327509 | Av. 1ero. de Mayo 559,
El Agustino, Lima
Partida N° 00364037 del Registro de Personas Jurídicas de
Lima
6.- EURO CAMIONES S.A. - R.U.C. N° 20550808791 | Av. Los Cipreses 420,
Santa Anita, Lima
Partida N° 12947841 del Registro de Personas Jurídicas de
Lima
7.- EUROLIFT S.A. - R.U.C. N° 20536982559 | Av. República de Argentina 2165, Lima,
Lima
Partida N° 12540250 del Registro de Personas Jurídicas de Lima
8.- EUROINMUEBLES S.A.C. - R.U.C. N° 20549632204 | Av. Domingo Orué 973,
Surquillo, Lima
Partida N° 12907303 del Registro de Personas Jurídicas de Lima
9.- 1 ONE S.A.C. - R.U.C. N° 20520549740 | Av. Tomás Marsano 432, Surquillo, Lima
Partida N° 12225562 del Registro de Personas Jurídicas de Lima
10.- EUROCONNECT S.A.C. - R.U.C. N° 20605166793 | Av. Domingo Orué 973, Surquillo,
Lima
Partida N° 14348700 del Registro de Personas Jurídicas de Lima
11.- INTERNATIONAL CAMIONES DEL PERU S.A. - R.U.C. N° 20600045521 | Av.
Domingo Orué 973, Surquillo, Lima
Partida N° 13209869 del Registro de Personas
Jurídicas de Lima
12.- REVO MOTORS S.A. - R.U.C. N° 20600137272 | Av. Tomás Marsano 402, Surquillo,
Lima
Partida N° 13366991 del Registro de Personas Jurídicas de Lima