Mega Archivos HQB – Transformación digital para tu empresa

Políticas de Protección de datos de identificación personal

1.- POLÍTICA

MEGAARCHIVOS – HQB se compromete con satisfacer y mejorar continuamente los requisitos de protección de privacidad aplicables a los activos de los clientes por lo que hace presente la siguiente Política de Protección y Privacidad de la Información Personal cuyo objetivo es informar el tratamiento de la Información de Identificación Personal (PII) que se recogen a través de sus diferentes procesos, aplicación y plataformas existentes en MEGAARCHIVOS – HQB, en cumplimiento con la Ley de protección de datos personales y como parte de su marco de trabajo para establecer los objetivos de privacidad y su cumplimiento.

MEGAARCHIVOS – HQB como responsable del Almacenamiento, Custodia y Gestión de Información Física y Digital, velará para que estos sean debidamente protegidos contra accesos no autorizados a través de mecanismos de control de acceso.

1.1 Objetivos y Contexto

Los sistemas de información y aplicativos son tanto los internos de MEGAARCHIVOS – HQB, como los que están en desarrollo para clientes. Los objetivos específicos de esta política son:

  • Fijar el tratamiento correcto de los datos personales a los que la empresa y sus trabajadores tienen acceso en razón de la operación diaria de esta.
  • Resguardar los datos personales de nuestros colaboradores.

1.2 Definición y Alcance

Para la comprensión de la presente política, se define lo siguiente:

Datos personales: Relativos a cualquier información concerniente a personas naturales, identificadas o identificables.

  • Persona identificable es toda persona cuya identidad pueda determinarse, directa o indirectamente, bien mediante un número de identificación o uno o varios elementos específicos y característicos de su identidad física, fisiológica, psicológica, económica, cultural o social.
  • Comunicación o transmisión de datos: Referente a cualquier medio ya sea físico o digital que soporte información personal relacionada en lo estipulado en el punto anterior; y que se transmite entre dos personas dentro de la organización, como a una persona fuera de la organización, pudiendo ser cualquiera de las partes interesadas definidas para el Sistema de Gestión Integrado. La transmisión o envío de información puede ser física o digital pudiendo ser o no, acorde a la operación diaria de MEGAARCHIVOS – HQB.
  • Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
  • Activo del Cliente: Conjunto organizado de datos personales o no, que son entregados por el cliente para ser custodiado o almacenado por MEGAARCHIVOS – HQB. Pudiendo ser documentación física, digital, Base de Datos o Imágenes.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  • Administrador de Cuenta: Es la persona responsable por parte del cliente de autorizar a los usuarios por parte del mismo que hacen uso de los activos para almacenamiento, custodia y transmisión de información personal que éstos manipulan. Asimismo, el administrador de la cuenta es la responsable de solicitar la eliminación, actualización o entrega de información personal que sea custodiada o almacenada por MEGAARCHIVOS – HQB. Los datos tratados deben ser exactos, adecuados, oportunos y deberán ser observados durante la recogida y posterior tratamiento de los mismos. De esto se desprenden a su vez, tres principios básicos respecto a los datos:
  • Datos Exactos; por el cual los datos personales deben ser exactos, actualizados y responder con veracidad a la situación real de su titular, conforme a lo que señala el inciso segundo del artículo 9° de la Ley N° 19.628.

Como consecuencia de este principio, y respecto a los datos personales de los colaboradores de MEGAARCHIVOS – HQB deberá, sin necesidad de requerimiento del titular de los mismos, eliminar los datos caducos y aquellos que estén fuera de su competencia; bloquear los datos personales cuya exactitud no pueda ser establecida o cuya vigencia sea dudosa; y modificar los datos inexactos, equívocos o incompletos.

En el caso de los datos proporcionados por clientes, será responsabilidad del cliente mantener la exactitud de los datos, sin tener responsabilidad MEGAARCHIVOS – HQB en mantener Datos Exactos.

  • Datos Adecuados; por el cual los datos personales deben utilizarse sólo para los fines para los cuales hubieren sido recolectados.
  • Datos Oportunos; por el cual sólo pueden recabarse aquellos datos que sean necesarios para conseguir los fines que justifican su recolección y no excesivos en relación a dicha finalidad para la cual se han obtenido, en el sentido que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.

1.3 Ámbito de Aplicación

La presente Política de Protección de Datos de Carácter Personal, es de aplicación general a todas las áreas de MEGAARCHIVOS – HQB.

2. CRITERIOS GENERALES

La gestión y el tratamiento de datos personales se regirá en todo caso bajo los siguientes criterios generales:

2.1 Tratamiento de datos personales de las personas naturales.

Respecto al tratamiento de datos personales se establecen las siguientes obligaciones y criterios:

  • Los datos personales entregados como activos del cliente, para la presente política se considera que estos cuentan con las autorizaciones escritas de los dueños de los datos para que estos sean almacenados y custodiados por MEGAARCHIVOS – HQB.
  • Los colaboradores de MEGAARCHIVOS – HQB deben ser informados de los datos personales que se mantendrán custodiados por la organización y su uso, según procedimiento PA-02 Recursos Humanos.
  • Toda persona tiene derecho a exigir a MEGAARCHIVOS – HQB información sobre los datos relativos a su persona, su procedencia y destinatario, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos son transmitidos regularmente. En caso que los datos personales sean erróneos, inexactos, equívocos o incompletos y así se acredite tendrá derecho a que se modifiquen. Sin perjuicio de ciertas excepciones legales podrá además exigir que se eliminen en caso que su almacenamiento carezca de fundamento legal o cuando estuvieren caducos.
  • Toda persona tiene derecho a exigir a MEGAARCHIVOS – HQB la eliminación o bloqueo de sus datos personales cuando los hayan proporcionado voluntariamente o cuando estos datos se usen para comunicaciones comerciales y no deseen continuar figurando en el registro respectivo, sea de modo temporal o definitivo.
  • MEGAARCHIVOS – HQB se obliga a no transmitir o transferir datos considerados activos de clientes a terceras partes no autorizadas por el administrador de la cuenta.

2.2 Derechos de las personas.

MEGAARCHIVOS – HQB tienen como propósito la custodia y almacenamiento de información física y digital de sus clientes, considerándola como activo del mismo, donde son estos los responsables y dueños de la información proporcionada. MEGAARCHIVOS – HQB es responsables del almacenamiento y custodia, estando imposibilitado y estrictamente prohibido la transferencia de información a terceras partes no autorizada por el administrador de la cuenta. Es por lo anterior, que MEGAARCHIVOS – HQB pone a disposición el área de Atención al Cliente para que estos puedan canalizar los requerimientos para la modificación, cancelación o bloqueo y su equivalente a los derechos ARCO (acceso, rectificación, cancelación y oposición) que tienen sobre sus datos de carácter personal.

Las personas naturales que soliciten la modificación, cancelación o bloqueo y su equivalente a los derechos ARCO de sus datos personales contenidos en los activos del cliente podrá hacerlo a través del sitio web de MEGAARCHIVOS – HQB en la sección “Formulario de Contacto” indicando datos de identificación y motivo. Los requerimientos son recibidos por el área “Atención al Cliente”, quien derivará inmediatamente al administrador de la cuenta para que tome contacto con la persona solicitante y generé la solicitud respectiva, siendo la única persona autorizada para la modificación, cancelación o bloqueo de datos personales presentes en los activos del cliente.

El área de Atención al Cliente llevará registro de solicitudes para su seguimiento y estado de las solicitudes en materia de Protección y Privacidad de la Información Personal en activos del cliente, eximiendo de toda responsabilidad a MEGAARCHIVOS – HQB respecto a los datos personales contenidos en activos del cliente.

Ex-colaboradores podrán solicitar la modificación, cancelación o bloqueo y su equivalente a los derechos ARCO de sus datos personales sin perjuicio de ciertas excepciones legales, a través del Encargado de Gestión de Personas o formulario de contacto dispuesto en sitio web de Megaarchivos – HQB, si la solicitud es recibida a través del sitio web, el área de “Atención al Cliente” reenviara la información al Encargado de Gestión de Personas quien gestionará las solicitudes con las partes involucradas según procedimiento PA-02 Recursos Humanos disponible en la plataforma HQBDOC-SGI. En el caso de colaboradores activos, pueden solicitar modificación, actualización o rectificación a través del Encargado de Gestión de Personas en caso de producir cambios en su información personal: No podrán solicitar eliminación, cancelación o bloqueo mientras se encuentren activos en la organización.

2.3 Identificación de responsables en materia de protección de datos

MEGAARCHIVOS – HQB cuenta con el área Calidad, Seguridad y Personas responsable de custodiar la información presente en los activos del cliente, donde el área vela por el cumplimiento normativo del Sistema de Gestión Integrado compuesto por las normas internacionales ISO 9001 e ISO 27001 complementada con la ISO 27017, contando con procedimientos para la gestión de incidentes de seguridad. Asimismo, el área de Calidad, Seguridad y Personas vela por el cumplimiento de las diferentes Políticas del Sistema de Gestión Integrado que involucra entre otras la Política Integrada, Política de Seguridad de la Información, Política de Gestión de Usuarios, Políticas de Accesos, entre otras, procurando que las personas que tienen acceso a la información contenida en los activos del cliente sea manipulada por las personas que amerite en función de su cargo, así también como el resguardo de fugas de información y control de accesos.

MEGAARCHIVOS – HQB cuenta además con el área de Infraestructura – TI y el área de BBDD quienes resguardan las información sistémica y perfilamiento de usuarios en los sistemas que tienen acceso a la información de los activos del cliente. El área de Gestión de Personas, resguarda la Información de Identificación Personal de los colaboradores y candidatos a trabajar en la Organización según procedimiento PA-02 Recursos Humanos

2.4 Documentación respecto de la seguridad de la información.

MEGAARCHIVOS – HQB cuentan con Sistema de Gestión Integrado compuesto por la certificación de las normas ISO 9001 e ISO 27001 complementada con la ISO 27017, por lo que cuenta con diferentes políticas y procedimientos para resguardar la seguridad de la información, en especial la información con carácter de información de identificación personal, tanto contenida en los activos del cliente como la información personal de los colaboradores de la organización, es por lo anterior que pone a disposición de todos los colaboradores a través de la plataforma HQBDOC – SGI las siguiente políticas y procedimientos que impactan en el resguardo y custodia de la información.

  • PsD – 01 Política Integrada
  • PsD-02 Política de la Seguridad de la información
  • PsD-03 Política Respaldo de Información
  • PsD-04 Política Uso y Resguardo de los Activos
  • PsD-05 Política de Acceso a Instalaciones
  • PsD-06 Gestión de Usuarios
  • PsD-10 Política Seguridad del Data Center
  • PsD-12 Política de Desarrollo Seguro
  • PG-02 Auditoría Interna
  • PG-03 No conformidad y Acción Correctiva
  • PG-05 Gestión de Incidentes de Seguridad
  • PG-08 Gestión y Análisis del Riesgo

2.5 Clausulados en contratos con terceros para la prestación de servicios.

Los datos personales entregados como activos del cliente, para MEGAARCHIVOS – HQB se considera que cuentan con las autorizaciones escritas de los dueños de los datos para que estos sean almacenados y custodiados por la organización y será responsabilidad del cliente contar con las autorizaciones escritas para la prestación del servicio entregado por MEGAARCHIVOS – HQB. No obstante, MEGAARCHIVOS – HQB resguardará la confidencialidad de los datos y la información será considerada como activo crítico para el Sistema de Gestión Integrado.

Se declaran las presentes obligaciones para el tratamiento de los datos de identificación personal, las cuales estarán explicitadas a nivel contractual con nuestros clientes y el resguardo de la información se encontrará de forma explícita en cláusula de confidencialidad en los contratos con nuestros colaboradores:

  • MEGAARCHIVOS – HQB tratará los datos de carácter personal conforme a las instrucciones y finalidades para las que fueron obtenidos.
  • No comunicará, ni siquiera para su conservación, a otras personas o entidades, salvo autorización expresa de los titulares de los datos personales o del administrador de la cuenta designado por del cliente.
  • La información y documentación entregada por el cliente será considerada como Activo Crítico para el Sistema de Gestión Integrado, sujeto a los controles de seguridad incluidos en el mismo.
  • Que una vez finalizada la relación contractual, los datos serán destruidos o devueltos a la entidad, según lo estipulado en el anexo de contrato.
  • El cliente contará y velará por el cumplimiento de la ley 19.628 en lo que amerite a la aprobación escrita de los dueños de los datos para que estos sean almacenados y custodiados por MEGAARCHIVOS – HQB.

Asimismo, MEGAARCHIVOS – HQB contará con un inventario actualizado de contratos de aquellas entidades que puedan tener acceso a datos de carácter personal y de aquellas entidades a las que presta servicios que puedan tener datos de carácter personal.

2.6 Medidas de seguridad respecto a la información de las personas.

Para el resguardo y protección de la información de identificación personal, MEGAARCHIVOS HQB contará con los mecanismos de control del Sistema de Gestión Integrado, considerando los siguientes controles.

  • Mantención de un adecuado registro de perfiles de acceso y usuarios a Sistema RRSQL, Red Megaarchivos, Red HQB, BBDD, Datacenter e Instalaciones.
  • PsD-06 Gestión de Usuarios para el control periódico de los perfiles de acceso y usuarios con acceso a los datos de carácter personal.
  • PG-05 Gestión de Incidentes de Seguridad y PG-03 No conformidad y Acción Correctiva que permiten tener registro actualizado de incidencias donde se registren las pérdidas, alteraciones o destrucción de datos de carácter personal o dispositivos que almacenan datos de carácter personal.
  • Cualquier colaborador que infrinja lo estipulado en la Cláusula de Confidencialidad respecto al tratamiento de Datos de Identificación Personal de forma consciente se tomarán las medidas sancionatorias que la Ley permita por el mal uso, divulgación o pérdida de información de identificación personal fuera del alcance de sus labores.
  • En caso de algún incidente de seguridad que afecte los datos de identificación personal, esto será informado de forma inmediata al cliente involucrado, la comunicación será vía mail a través del KAM asignado al cliente.
  • PsD-03 Política Respaldo de Información, para mantener un inventario actualizado de las bases de datos.