Protección de datos personales

Esta política entrega las reglas y principios relacionados con el procesamiento de datos personales de las personas encuestadas a través de los métodos de ACTIVA y afiliados. Su propósito es asegurar que el procesamiento de datos se realice en una manera competente acorde a las regulaciones de protecciones de datos actuales.

Nuestros principios

Icono.

En ACTIVA nos preocupamos por tu información, si tienes dudas, podemos guiarte a entender su uso.

Icono.

Tus datos son procesados de forma justa y transparente. Procesamos lo que tu respondiste.

Icono.

Tus Datos, Tus Derechos. Puedes solicitar tus datos, entender cómo se están usando y qué hacer con ellos. comunícate con nosotros y podremos ayudarte.

Icono.

Protegemos tus datos, es nuestro deber aplicar los más altos estándares disponibles a nuestras actividades y técnicas para cumplir con los rigurosos estándares éticos, técnicos y regulatorios de la industria.

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

PROPÓSITO

Esta política entrega las reglas y principios relacionados con el procesamiento de datos personales de las personas encuestadas a través de los métodos de ACTIVA y afiliados. Su propósito es asegurar que el procesamiento de datos se realice en una manera competente acorde a las regulaciones de protecciones de datos actuales.

Esta política complementa la ley de protección de datos 21.096 y la Ley de protección de vida privada 19.628 con el objetivo de concientizar a la organización de salvaguardar y responsabilizar sobre el uso de la información a la que tienen acceso.

La elaboración de esta Política estuvo a cargo del responsable del área Control de gestión en cooperación con la Gerencia de Operaciones y TI.

La presente política entrará en vigor desde la fecha de su aprobación. Su contenido será objeto de revisión periódica, realizándose los cambios o modificaciones que se consideren convenientes. Fecha de Aprobación: 07 diciembre 2020.

 

ALCANCE

Esta política aplica a todo el personal de ACTIVA, en relación con la gestión de la información, procesado de la información, acceso a la información y/o conocimiento de la información.

Información anonimizada o agregada no es parte del alcance de esta política.

Esta política aplica cuando hay procesado de la información en dependencias de ACTIVA en cualquiera de los países donde se encuentren dichas dependencias. Esto aplica también cuando terceras partes tienen acceso a dicha información sensible. Esta política es incluso aplicable cuando los recursos ya no son partes de ACTIVA.

Se requiere conformidad de esta política de forma obligatoria por todos los recursos y personal pertenecientes a ACTIVA.

 

TERMINOS Y DEFINICIONES

Para los propósitos de esta política, las siguientes definiciones aplican:

CONSENTIMIENTO

Cualquier indicación entregada de forma deliberada y liberada como un acuerdo donde los datos personales sujetos a procesamiento, la que puede ser entregada de manera escrita, oral o por una acción afirmativa.

GESTOR DE DATOS

Miembro de ACTIVA, autorizado para gestionar la información personal directa o indirecta determinado por los propósitos de ACTIVA.

PROCESADOR DE DATOS

Miembro de ACTIVA o en representación de ACTIVA el cual puede procesar datos y/o datos personales.

OBJETIVO DE LA PROTECCION DE DATOS

El responsable de Protección de datos apoya a los gestores de datos, procesadores de datos en el cumplimiento de esta política de datos.

RECONOCIMIENTO DEL IMPACTO DE LA PROTECCION DE DATOS

Conjunto de herramientas y procesos para dar conformidad a esta política de datos. El objetivo de estas herramientas es identificar y remediar acciones en contra de esta política minimizando su impacto.

RESPONSABLE DE PROTECCION DE DATOS / RPD, RESPONSABLE DE PROTECCION DE DATOS / DPO, DATA PROTECTION OFFICER

Miembro de ACTIVA quien supervisa, monitorea y reporta las conformidades de esta política.

DATOS ANALIZADOS

Datos de un respondiente procesado sujeto a análisis

ACUERDO DE TRANSFERENCIA DE RESPONSABILIDAD DE DATOS

Un acuerdo entre ACTIVA y una tercera parte que indica los términos y condiciones sobre el uso de datos personales, incluidos que datos pueden ser compartidos, métodos de transferencia, usos y temas de seguridad de datos.

SUBCONTRATACION

Una organización establecida como independiente y autónoma de ACTIVA que apoya en las actividades de proyecto acorde a las necesidades de ACTIVA.

DATOS PERSONALES

Cualquier dato relacionado con un individuo que permita su identificación a partir de esos datos u otra información; o pueda ser individualizado a través de esos datos de una u otra manera. Datos personales pueden ser datos biográficos como sexo, edad, estado marital, nacimiento, ciudad, origen, país de origen, país actual, números de registros individuales, ocupación, religión, etnicidad, biometría y/o expresiones, opiniones o relacionados, entre otros.

FILTRACION DE DATOS PERSONALES

Perdida de posesión de datos personales en las dependencias de ACTIVA o de sus recursos.

PERSONA DE INTERES

Individuo cuya protección es de interés de ACTIVA. Esto considera persona cuya situación sea sensible para la legislación del país donde ACTIVA opera, la normativa interna de la organización u otro tema de interés.

PROCESAMIENTO DE DATOS PERSONALES

Cualquier operación o conjunto de operaciones automatizada o no, donde se realicen en datos personales, incluidos, pero no limitados a la colección, registro, organización, estructura, almacenamiento, adaptación o alteración, retiro, consultas, uso, transferencia, diseminación u de alguna manera permitiendo el uso de esta información para acciones no acordadas con ACTIVA.

TERCERA PARTE

Cualquiera persona natural o legal independiente de los datos auditados o inclusive una subcontratación que realice actividades para ACTIVA en función de los objetivos de ACTIVA.

1   PRINCIPIOS BASICOS DE PROCESAMIENTO DE DATOS

El personal de ACTIVA debe respetar y aplicar los siguientes principios básicos cuando procesan datos personales:

  • Procesamiento legítimo y justo
  • Aclaración de propósito
  • Necesidad y proporcionalidad
  • Precisión
  • Respeto de los derechos de los datos analizados
  • Confidencialidad
  • Seguridad
  • Disponibilidad y supervisión

1.1   PROCESAMIENTO LEGITIMO Y JUSTO

El procesamiento de datos personales puede ser realizado solo sobre principios legítimos y una manera transparente y justa.

ACTIVA solo puede procesar datos basados en los siguientes principios:

  1. Solo con el consentimiento del encuestado
  2. A favor del mejor interés del encuestado
  3. Activa no puede omitir los derechos del encuestado
  4. Fuera del alcance de ACTIVA, debe promover la seguridad de sus encuestados u otras personas

1.2   ACLARACIÓN DE PRINCIPIOS

Los datos personales deben ser recolectados en virtud de uno más de estos principios y no deben ser procesados de una manera incompatible con ellos.

1.3   NECESIDAD Y PROPORCIONALIDAD

El procesamiento de datos personales debe ser necesario y proporcional a los principios a los cuales serán procesados. Adicionalmente, los datos deben ser procesados adecuados y relevantes a los principios aclarados y no deben exceder estos principios.

1.4   PRECISIÓN

Los datos personales deben ser registrados de la manera más precisa posible, actualizados de ser necesarios para cumplir con este principio.

1.5   RESPETO DE LOS DERECHOS DE LOS DATOS ANALIZADOS

Se deben respetar los derechos de los entrevistados a través de sus datos analizados. Los entrevistados tienen derecho a la información, acceso, corrección, borrado y objeción acorde a esta política.

1.6   CONFIDENCIALIDAD

El personal de activa necesita mantener la confidencialidad de los datos personales de cada uno de los entrevistados en todo momento. Inclusive cuando los datos analizados ya no son parte del interés de ACTIVA.

1.7   SEGURIDAD

Para asegurar la confidencialidad y la integridad de los datos personales, la organización debe integrar el conjunto de técnicas necesarias en todo nivel de la organización.

1.8   DISPONIBILIDAD Y SUPERVISIÓN

Se debe contar con una estructura de disponibilidad y supervisión acorde a lo indicado en el apartado 7 de esta política.

 

 

  1. DERECHOS DEL RESPONDIENTE

2.1 INFORMACION

Cuando se recolectan datos personales de un respondiente, ACTIVA debe informar al respondiente lo siguiente, ya sea de forma oral o escrita, y de una manera y lenguaje que sea entendible para el respondiente:

  1. Los propósitos específicos por los cuales los datos personales y categorías de los datos personales son procesados.
  2. Ya sea que los datos sean transferidos para ser implementados por un socio o tercera parte o, donde los datos son recolectados por un socio o tercera parte en nombre de ACTIVA. Se debe informar al respondiente de este hecho.
  3. La importancia de la precisión e integridad de los datos del respondiente
  4. La posibilidad por parte del respondiente de informar a ACTIVA sobre algún cambio sobre su información personal
  5. Las consecuencias, si aplica, sobre no entregar o entregar deliberadamente incorrecta esta información personal
  6. El derecho del respondiente de solicitar acceso a sus datos personales, recolección o borrado de esta
  7. Los derechos del respondiente a objetar la colección de sus datos personales
  8. Reclamar a los encargados de ACTIVA (Gestor de datos y Oficial de Protección de datos) sobre algún tema relacionado a sus datos personales

2.2 ACCESO

A pedido, el respondiente puede recibir de ACTIVA:

  1. Confirmación si la información procesada puede o no estar relacionada con el; y
  2. La información personal procesada, el propósito del procesado dicha información ya sea por un socio de ACTIVA y/o una tercera parte y las condiciones de como dichos datos han sido transferidos, si aplica.

2.3 CORRECCION Y BORRADO

2.3.1 Los datos del respondiente pueden solicitar la corrección o borrado de los datos personales que son inexactos, innecesarios, incompletos o exagerados.

2.3.2 Donde los respondientes soliciten corrección o borrado de sus datos personales, ACTIVA puede solicitar una prueba relacionado a estas imprecisiones o incompetencias.

2.4 OBJECCION

Acorde a la sección 3.7 descrita más abajo, el respondiente puede objetar el procesado de su información donde hay bases fundamentales y legitimas para su situación particular. Si la objeción es justificada, ACTIVA ya no procesara los datos personales objetados.

2.5 MODOS DE SOLICITUD

2.5.1 Solicitudes asociadas al acceso de la información, borrado, corrección u otro tema relacionado con sus datos personales realizados por el respondiente o incluso un representante legal, por ejemplo. Estas solicitudes son recibidas de forma oral o escritas por ACTIVA en la dependencia donde esta sea procesadas

2.5.2 Antes de resolver cualquier solicitud u objeción, ACTIVA validara si la identidad del solicitante es efectivamente, con pruebas de propiedad si es necesario. De lo contrario, ACTIVA hará caso omiso de la solicitud o según estime conveniente.

2.6 REGISTRO Y RESPUESTAS POR PARTE DE ACTIVA

2.6.1 ACTIVA registrara estas solicitudes de los respondientes con la información acorde al punto 3.1 como también a las solicitudes respecto a acceso, corrección, borrado o objeción y sus respuestas provistas en relación con las solicitudes acorde a los puntos 3.2, 3.3 y 3.4.

2.6.2 ACTIVA respondiendo alguna solicitud u objeción bajo el punto 3 en un tiempo razonable, respondiendo de oral o por escrito y de una manera y lenguaje que sea entendible para el respondiente y/o su representante legal, si aplica

2.7 RESTRICCIONES

Basado en los lineamientos del Oficial de Protección de datos, u otras contrapartes relevantes aprobadas por ACTIVA, ACTIVA puede reusarse de proveer una respuesta o limitar sus respuestas a una solicitud u objeción acorde al punto 3 donde:

Es parte de una medida dedicada a salvaguardar la integridad de:

  1. El personal de ACTIVA, La organización y sus afiliados
  2. Las necesidades operacionales necesarias para realizar por ACTIVA en virtud de sus objetivos, misión y visión
  3. Cuando hay motivos justificados que indican claramente que estas solicitudes son de carácter abusivos, fraudulentos u obstructivo al proceso de gestión, procesado y entrega de resultados

 

  1. PROCESAMIENTO DE DATOS POR PARTE DE ACTIVA

3.1 CONFIDENCIALIDAD DE LOS DATOS PERSONALES

3.1.1 Los datos personales por definición son clasificados como confidenciales. La confidencialidad de los datos personales debe ser respetados por ACTIVA en todo momento.

3.1.2  Para asegurar y respetar este principio de confidencialidad, los datos personales deben ser completados y almacenados de una manera accesible solo al personal autorizado y transferidos solo por métodos seguros, protegidos y controlados por ACTIVA.

3.2 PROTECCION DE LOS DATOS PERSONALES

3.2.1 ACTIVA necesita asegurar e implementar con los estándares de calidad en términos de seguridad de la información apropiados a los riesgos presentados por la naturaleza y procesado de los datos personales, la disponibilidad y calidad de equipos necesarios, costos y capacidad operacional probable.

3.2.2 Los responsables de seguridad de la información y sus medidas aplicadas en ACTIVA tienen como objetivo mitigar el riesgo accidental o no accidental, coincidental o no coincidental de destrucción, perdida, alteración, filtración, acceso de estos datos personales.

3.2.3 Teniendo en consideración la disponibilidad de la tecnología y el costo de su implementación, ACTIVA necesita implementar las herramientas organizacionales y técnicas que permitan asegurar que el procesamiento de datos da conformidad a esta política. Esto incluye la implementación de tecnologías y herramientas necesarias en datos de protección que permitan proteger estos datos personales.

3.2.4 Las medidas operacionales incluyen:

  1. Mantener un adecuado registro de perfiles de acceso y usuarios con acceso a aplicaciones o sistemas que tratan datos de carácter personal o lo mantenga actualizado.
  2. Realizar revisiones periódicas de los perfiles de acceso y usuarios con acceso a los datos de carácter personal, ya sea de forma total o parcial y de forma periódica o puntual.
  3. Contar con un registro actualizado de incidencias y tomar las medidas correctoras necesarias  respecto  de  las  incidencias detectadas entre las que se incluye notificar de manera inmediata a los clientes afectados y a los titulares de los datos que se han visto comprometidos, según corresponda y en conformidad con el Registro de Acciones Correctivas Preventivas.
  4. Mantener un inventario actualizado de ficheros o bases de datos sobre las que se deben realizar copias de seguridad.
  5. Realizar las copias de seguridad oportunas respecto del inventario de ficheros o bases de datos.

3.2.5 Las medidas organizaciones incluyen:

  1. Manteniendo instancias seguras de las premisas, equipos portátiles, archivos y registros;
  2. Manteniendo instancias en Tecnologías de la Información y seguridad. Por ejemplo, control de accesos, usuarios, almacenamiento, comunicación y transporte.

3.2.6 En caso de instancias donde se identifiquen situaciones potencialmente riesgosas en términos de seguridad de la información como riesgo de filtración, exposición, alteración u otros, ACTIVA debe tomar todas las medidas necesarias para evitar estas instancias nuevamente acordes a las medidas que estime conveniente (incluyendo la destrucción de dicha información si fuese necesario). El objetivo de esta medida es impedir daño a los respondientes

3.3  ALTA PRESICION DE LOS DATOS PERSONALES

3.3.1 ACTIVA puede corregir o borrar datos personales de sus sistemas que es poco preciso, incompleto, innecesario o excesivo

3.3.2  ACTIVA debe actualizar periódicamente los registros personales y revisarlos

3.3.3 Cuando los datos personales son corregidos, o borrados de los sistemas de ACTIVA, ACTIVA debe notificar, dentro de un plazo razonable, a sus asociados a los cuales se les transferirán dichos datos.

  1. PROCESAMIENTO DE DATOS SUBCONTRATADOS

4.1 CONDICIONES GENERALES

Cuando la recolección y procesamiento de datos personales es una de las responsabilidades de algún servicio subcontratado, en representación de ACTIVA. Los servicios subcontratados deben respetar e implementar los mismos estándares y principios básicos de protección de datos personales como los señalados en esta política (especialmente en los puntos 2,3 y 4). Esto aplica cuando ACTIVA pretende transferir datos personales a servicios subcontratados o algún servicio subcontratado recolecta datos personales al realizar alguna actividad para ACTIVA.

4.2 VERIFICACION

La falta a los acuerdos entre el subcontratista y ACTIVA, serán revisados en formato de auditoria según convenga ACTIVA. El objetivo de estas auditorias es comprobar que los acuerdos se aplican en virtud de esta política.

4.3 ACUERDOS, CONTRATOS Y SUBOCONTRATOS

ACTIVA, en caso de requerir subcontratistas que deben atenerse a esta política de protección de datos ya sea a través de un compromiso por escrito o similar. Estos compromisos deben indicar claramente el motivo del procesado de los datos personales y las bases legitimas que los sustentan.

4.4 CAPACIDAD DEL SERVICIO SUBCONTRATADO

ACTIVA podría asistir a sus servicios subcontratados para dar conformidad a esta política de datos y los estándares incluidos, principios, técnicas u otros en virtud de los requerimientos de protección de datos.

4.5 FIN DE LOS SERVICIOS SUBCONTRATADOS

Una vez terminado los servicios subcontratados, los datos recolectados deben ser entregados a ACTIVA. Los acuerdos entre las partes podrían contener excepciones, particularmente si hay razones legitimas para hacerlo, en consentimiento con los respondientes.

  1. TRANSFERENCIA DE DATOS PERSONALES A TERCERAS PARTES

5.1 CONDICIONES GENERALES

5.1.1 ACTIVA podría transferir datos personales a terceras partes o subcontratistas respetando el compromiso que estos interesados adoptaran un nivel de protección de datos competente a los estándares de ACTIVA

5.1.2 Dado los potenciales riesgos involucrados en transferencias a terceras partes, ACTIVA deberá enfocarse en los siguientes principios para dar conformidad:

  1. Las transferencias deben realizarse en una o más bases legitimas;
  2. Las transferencias se realizan debido a un propósito especifico y legitimo;
  3. Los datos personales deben ser relevantes, acotados, específicos y necesarios solo al propósito para el cual son transferidos;
  4. El respondiente es informado, ya sea en el momento que los datos son transferidos o posteriormente, acorde al punto 3.1 o 3.7 respectivamente.
  5. Las terceras partes y subcontratistas respetan la confidencialidad de los datos personales transferidos desde ACTIVA acorde a un acuerdo formal escrito.
  6. Las tercera parte o subcontratista debe mantener un nivel competente de protección de datos contra el acceso, destrucción, reemplazo, perdida, alteración, exposición accidental o no accidental de estos datos.

5.1.3   En adición, ACTIVA necesita asegurar que las transferencias de datos personales no impactan negativamente:

  1. La seguridad, integridad del personal de ACTIVA y sus afiliados
  2. La realización de los procesos y compromisos de ACTIVA

5.1.4   Antes de comprometerse a transferir los datos personales a un afiliado de ACTIVA, ACTVA debe auditar el nivel de protección de datos implementados en este afiliado.

5.2     ACUERDOS DE TRANSFERENCIA DE DATOS

5.2.1 a menos que existan razones para no hacerlo, las transferencias de datos a una tercera parte o subcontratista deben ser supervisadas por un responsable de Protección de datos a través de un acuerdo o compromiso, según se estime conveniente.

5.2.2 Los acuerdos en transferencia de datos deben incluir:

  1. Indicar el motivo de la transferencia, especificar los elementos a transferir como también elementos de protección de datos y seguridad de datos.
  2. Si se requieren apoyo de otras entidades, terceras partes, subcontratistas, afiliados o similares conforme a esta política.
  3. Señalar el uso de consultores, supervisión, disponibilidad y/o revisión de los mecanismos para validar la competencia de las transferencias acorde a esta política.

5.2.3   El responsable de protección de datos y los responsables de asuntos públicos deben revisar y corregir los acuerdos de transferencias vigentes. Los resultados de estas revisiones deben ser informadas al Oficial de protección de datos.

5.3 TRANSFERENCIAS A ORGANISMOS OFICIALES

5.3.1 En situaciones especiales, ACTIVA puede transferir datos personales a un organismo oficial si este lo requiere. Estas transferencias de datos pueden ser solicitadas por estos organismos o internamente por parte de ACTIVA. Estas transferencias deben ser a pedidos como parte de una investigación por parte de estos organismos en conformidad con la legislación nacional.

5.3.2 Adicionalmente a las condiciones generales para transferir datos personales a una tercera parte o subcontratista (véase punto 6.1, sin considerar 6.1.2.4), ACTIVA podría cooperar con esas solicitudes si:

  1. Transferencia sin son requeridas por las autoridades locales como parte de una investigación, detección, prosecución de un crimen, delito o similar en virtud del bien público o singular.
  2. Cooperación con las autoridades respecto al punto anterior.
  3. Si la cooperación permite el apoyo, desarrollo y asistencia acorde al punto a.
  4. Que lo anterior no repercuta con los derechos del entrevistado, privacidad, derechos humanos.
  5. En el caso de datos en relación a las víctimas, testigos, su consentimiento para transferir datos es requerido.

5.3.3  Antes de la transferencia de datos personales a un organismo gubernamental, agencia, organismo judicial, o similar deben ser consultados con el responsable de protección de datos, consultor, si aplica.

5.4    EN RELACION CON ORGANISMOS INTERNACIONALES

Las solicitudes de transferencias de datos por parte de organismos internacionales pueden ser acogidas siempre y cuando sean respaldadas por documentación que acredite en los marcos regulatorios nacionales su credibilidad, legitimidad y conformidad.

5.5   PRIVILEGIOS E INMUNIDADES

La transferencia de datos personales debe realizarse sin perjudicar los marcos regulatorios nacionales, si se requiere, algunas de estas solicitudes podrían contar con privilegios, inmunidades excepciones si estos marcos regulatorios lo permiten

6 DISPONIBILIDAD Y SUPERVISION

6.1 DISPONIBILIDAD Y ESTRUCTURA DE SUPERVISION

La definición de disponibilidad indicada en el punto 2.9 por parte de ACTIVA consiste en los siguientes aspectos fundamentales:

  1. El oficial de protección de datos, el área de protección de datos, sus filiales, asociados acorde a lo indicado por la Dirección Ejecutiva, Comité Ejecutivo de ACTIVA.
  2. Controladores de datos por parte de ACTIVA que realicen actividades en otros países, jurisdicciones o similares.
  3. Actividades puntuales de protección de datos en alguna filial, país, jurisdicción, operaciones por parte de ACTIVA.

6.2    CONTROLADORES DE DATOS Y OBJETIVO DE LA PROTECCION DE DATOS

6.2.1 Los controladores de datos, oficiales de protección de datos responsables de establecer y supervisar actividades relacionadas con el procesamiento de datos personales bajo su responsabilidad. Estos conllevan la responsabilidad de actuar y mantener lo definido en esta política. Estas responsabilidades pueden, si ACTIVA lo define necesario, como el objetivo de la protección de datos. Este objetivo debe ser encomendado al responsable de mayor jerarquía en protección de datos en las filiales de ACTIVA necesarias.

6.2.2 El controlador de datos, asistido por los lineamientos indicados en el objetivo de protección de datos, se entiende:

  1. Determinar la factibilidad de las bases por el/los del procesamiento de datos;
  2. Asegurar la implementación organizacional y las medidas de seguridad como también apoyar la protección de datos por parte de terceros afiliados a ACTIVA;
  3. Establecer procedimientos internos, como, por ejemplo, de la forma de estándares operacionales de protección de datos que cubran los estándares descritos en esta política, especialmente en términos de protección de datos personales y medidas que apunten a asegurar la confidencialidad de los información y su seguridad;
  4. Asegurar que la protección de datos y seguridad de datos son adecuados en instancias tercerizadas, subcontratadas o afiliadas;
  5. Negociar y concluir transferencias de datos con terceras partes como se requieran o consideren pertinentes;

6.2.3   Si es necesario, el controlador de datos y/o el objetivo de protección de datos deberían poder solicitar consejo del Oficial de Protección de Datos respecto a las solicitudes respectos a los lineamientos o interpretación de esta política.

6.3 OFICIAL DE PROTECCION DE DATOS

6.3.1 ACTIVA designara a un responsable de Protección de Datos cuyas actividades incluyen:

  1. Proveer consejo, soporte y entrenamiento en protección de datos y esta política;
  2. Reportar, mantener e conservar inventarios con información provista por los controladores y procesadores de datos en virtud de los objetivos de protección de datos.
  3. Promover activamente a los controladores de datos u otros responsables relevantes que adopten medidas en conformidad con esta política
  4. Monitorear y reportar en conformidad con esta política

6.3.2  El oficial de Protección de datos debe reportar anualmente el estado de las políticas de protección de datos a la dirección ejecutiva, comité ejecutiva y otras áreas relevantes de ACTIVA