Dando cumplimiento a lo dispuesto en la Ley 8968 del 05 de setiembre 2011, COMPAÑÍA DE GALLETAS POZUELO DCR, SOCIEDAD ANONIMA en adelante “POZUELO” adopta la presente Política para el Tratamiento de Datos Personales (en adelante “La Política”), la cual será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan.
De esta manera, POZUELO, manifiesta que garantiza los derechos de la privacidad, la intimidad y el buen nombre en el tratamiento de los datos personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
Todas las personas que suministren datos personales a POZUELO, podrán conocerla, actualizarla, rectificarla, suprimirla o revocar la autorización previamente otorgada.
I. Definiciones
· Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
· Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
· Encargado del Tratamiento: Persona física o jurídica, pública o privada, que por sí misma o en asociación con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
· Responsable del Tratamiento: Persona física o jurídica, pública o privada, que por sí misma o en asociación con otros, decida sobre la base de datos y/o el Tratamiento de los datos, en este caso POZUELO, y sus compañías filiales.
· Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
· Titular: Persona física cuyos datos personales sean objeto de Tratamiento.
· Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
· Persona Física: Persona humana que ejerce derechos y cumple deberes a título personal.
· Compañías filiales: se refiere a todas las compañías filiales de POZUELO
· Adicionalmente serán consideradas compañías filiales aquellas en las cuales POZUELO ejerza control, unidad de propósito y dirección.
· Tercero: Cualquier persona jurídica o física diferente a las personas que pertenecen directamente a POZUELO.
· Datos sensibles: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación.
· Datos públicos: Es el dato que no sea semiprivado, privado o sensible y pueden estar contenidos, entre otros, en registros y documentos públicos, gacetas y boletines oficiales y sentencias judiciales.
· Dato privado: es el dato que por su naturaleza íntima o reservada solo es relevante para el titular.
· Dato semiprivado: son los datos que no tienen naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar ni solo al titular sino a cierto sector o a la sociedad en general.
II. Objetivo
La presente Política tiene como objetivo definir los lineamientos generales para el cumplimento de la Ley 8968 del 05 de setiembre del 2011 en Costa Rica, que regula el manejo de bases de datos tanto personales como empresariales.
En virtud de la misma se establecerán los criterios para la recolección, almacenamiento, uso, circulación y supresión de los datos personales tratados por POZUELO, y sus compañías filiales.
III. Alcance
Esta Política aplica para toda la información personal registrada en las bases de datos de POZUELO, y sus compañías filiales, quienes actuarán como Responsables del Tratamiento de los datos personales.
IV. Obligación
Esta Política es de obligatorio cumplimiento para POZUELO y sus compañías filiales.
V. Condiciones Generales
Para dar cumplimiento a la Ley 8968 del 05 de setiembre del 2011 sobre protección de datos personales se deben tener presente las siguientes consideraciones:
1. POZUELO es el responsable del Tratamiento de bases de datos personales.
2. Los Terceros que tengan acceso a las bases de datos serán Encargados del Tratamiento y por tanto deberán dar cumplimiento a lo establecido por la Ley 8968 del 05 de setiembre del 2011, las normas que las complementen, modifiquen y la presente Política.
3. La Ley es de obligatorio cumplimiento en todo el territorio costarricense y para transmitir datos personales a otros países, la legislación de estos debe contemplar medidas de seguridad, iguales o superiores a las contenidas en la Ley en mención.
4. Se consideran bases de datos personales en POZUELO todas las de personas naturales, sean proveedores, afiliados a los Fondos Mutuos, clientes, consumidores, voluntarios o vinculados por cualquier medio, empleados, o cualquier otra persona natural cuya información sea objeto de Tratamiento por parte nuestra.
No es necesaria la aplicación de la política, por excepción legal, cuando:
1. Las bases de datos y archivos tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.
2. Las bases de datos tengan como fin y contengan información de inteligencia y contrainteligencia.
3. Las bases de datos y archivos sean de información periodística y otros contenidos editoriales.
VI. Condiciones Específicas y Privacidad
Se deben tener en consideración las siguientes condiciones específicas:
4. A partir de la fecha todo empleado que inicie vínculo laboral con alguna compañía de POZUELO debe tener en su contrato laboral una cláusula que exprese el compromiso de cumplimiento de la Ley 8968 del 05 de setiembre del 2011.
5. Se incluirá en el reglamento interno de trabajo un texto relativo a la obligación de cumplimiento de la Ley 8968 del 05 de setiembre del 2011, para cubrir todo el universo actual.
6. A todo tercero que por relación con áreas o compañías del Grupo requiera bases de datos personales se le debe pedir cláusula contractual donde se exprese el conocimiento de la normativa y la responsabilidad en el cumplimiento de esta y así mismo, requerirá previa autorización por parte del Titular para tratar sus datos personales.
7. A todos los proveedores, afiliados a los Fondos Mutuos, clientes, consumidores, voluntarios o vinculados por cualquier medio, empleados, o cualquier otra persona cuya información sea objeto de Tratamiento por parte nuestra, se les debe pedir por escrito la autorización para que sus datos puedan ser tratados sin restricciones. Esta debe extenderse a todos los efectos que en nuestro ejercicio se presenten.
8. En la autorización citada en el párrafo anterior se debe igualmente dejar clara la responsabilidad de los Titulares de mantener la información actualizada y veraz, comunicando oportunamente a las compañías de POZUELO a la cual confirió su autorización, cualquier modificación al respecto.
9. Todas las bases de datos personales que las áreas y compañías de POZUELP traten deben tener la garantía de recuperación (Back up).
10. Se debe tener acceso limitado a las bases de datos personales. Cuando estas se envíen por medios masivos, deberán contener claves para que el acceso a ellas sea restringido.
11. No se deben publicar bases de datos en la intranet o en internet sin que estas tengan restricción para su acceso.
12. Periódicamente las compañías de POZUELO deben propiciar campañas para la actualización de sus bases de datos personales.
13. Para el Tratamiento de bases de datos personales todas las áreas que así lo requieran deben tener el procedimiento escrito que garantice el cumplimento de la política y el de la Ley 8968 del 05 de setiembre del 2011.
14. Todas las compañías de POZUELO deben contar con un procedimiento para la atención de consultas y reclamos, garantizando el cumplimiento de la ley en lo concerniente a este tema.
VII. Tratamiento y Finalidad
El Tratamiento que llevarán a cabo los Responsables de las bases de datos se realizará conforme a lo establecido en la Ley 8968 del 05 de setiembre del 2011 y las normas que lo adicionen o modifiquen, así como con lo establecido en la presente Política.
Los datos personales recolectados únicamente serán utilizados con las finalidades establecidas en los respectivos avisos de privacidad o autorizaciones de tratamiento de datos que se pongan a disposición de los Titulares con el fin de que autoricen el Tratamiento de los mismos.
No obstante lo anterior, las bases de datos también podrán ser utilizadas para las siguientes finalidades:
· Efectuar las gestiones pertinentes para el desarrollo del objeto social de la compañía en lo que tiene que ver con el cumplimiento del objeto del contrato celebrado con el Titular de la información.
· Realizar invitaciones a eventos y ofrecer nuevos productos o servicios.
· Gestionar trámites de solicitudes, quejas o reclamos.
VIII. Tratamiento de Datos Sensibles
En caso de que los Responsables realicen el Tratamiento de Datos Sensibles, se garantiza que se obtendrá la autorización para el tratamiento de dichos datos de manera previa y expresa, cumpliendo con las siguientes obligaciones:
· Se informará al Titular de los datos que por tratarse de Datos Sensibles no está obligado a autorizar su Tratamiento.
· Se le informará de forma previa y expresa al Titular cuáles son los datos sensibles y cuál será la finalidad del Tratamiento que se les dará.
· No se condicionará ninguna actividad a que el Titular suministre Datos Sensibles.
IX. Derechos de los Titulares
Como Titulares de los datos personales, tendrán los siguientes derechos:
· Acceder de forma gratuita a los datos proporcionados que hayan sido objeto de Tratamiento.
· Conocer, actualizar y rectificar su información frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté prohibido o no haya sido autorizado.
· Solicitar prueba de la autorización otorgada.
· Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la normativa vigente.
· Revocar la autorización o solicitar la supresión del dato, siempre que no exista un deber legal o contractual que impida eliminarlos.
· Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de los menores de edad.
X. Atención de Peticiones, Consultas y Reclamos
Para presentar consultas, reclamaciones, ampliar información, o para consultar sus datos personales, pedir que sean modificados, actualizados, rectificados o suprimidos, o para revocar la autorización para su Tratamiento, puede contactarse con las líneas telefónicas y páginas de internet aquí citadas.
El área encargada de atender las solicitudes antes descritas, es el área de Servicio al Cliente para consumidores y clientes, y para proveedores, el área de Asistencia Legal de Servicios Nutresa Costa Rica S. A. Dicha atención, para los afiliados y proveedores de los Fondos, será atendida directamente por estos.
Para la atención de las peticiones, consultas o reclamos puede comunicarse de la siguiente manera:
XI. Procedimiento para el Ejercicio del Derecho de Habeas Data
En cumplimiento de las normas sobre protección de datos personales, POZUELO y sus compañías filiales, quienes obran como Responsables de las bases de datos, establecen el presente procedimiento y requisitos mínimos para el ejercicio de sus derechos.
Para la atención de la petición, queja o reclamo, se debe solicitar la siguiente información:
· Nombre completo y apellidos del Titular de los datos personales.
· Datos de contacto del Titular de los datos personales:
o Dirección física y/o correo electrónico.
o Teléfonos de contacto.
· Motivos o hechos que den lugar al reclamo, petición o consulta con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de autorización otorgada, revocarla, suprimir, acceder a la información, entre otros).
· Firma (si es posible).
· Número de identificación.
Una vez recibida esta información, el Responsable tendrá un término máximo de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su petición, consulta o reclamo, para atenderla. Cuando no fuere posible atender la petición, consulta o reclamo dentro del término antes mencionado, el Responsable informará al Titular o interesado los motivos de la demora y la fecha en la que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Una vez cumplidos los términos señalados por la Ley 8968 del 05 de setiembre del 2011 y las demás normas que la reglamenten o complementen, el Titular al que se deniegue total o parcialmente el ejercicio de los derechos de acceso, actualización, rectificación, supresión y revocación, podrá poner su caso en conocimiento de la Superintendencia de Industria y Comercio – Delegatura para la Protección de Datos Personales.
XII. Transferencia o Transmisión Internacional de Datos Personales
POZUELO y sus filiales podrán realizar la transferencia y transmisión, incluso internacional, de los datos personales que tenga en sus bases de datos, siempre y cuando se cumplan los requerimientos legales aplicables; y en consecuencia los titulares de los datos personales autoricen expresamente la transferencia y transmisión, incluso a nivel internacional.
Para la transferencia de datos personales de los titulares, POZUELO y sus filiales tomará las medidas necesarias para que los terceros conozcan y se comprometan a observar la presente política, bajo el entendido que la información personal que reciban únicamente podrá ser utilizada para asuntos directamente relacionados con POZUELO. o los fines autorizados por el titular de manera expresa, y solamente mientras ésta autorización esté vigente. No podrá ser usada o destinada para propósito o fin diferente.
XIII. Vigencia
La presente Política para el Tratamiento de Datos Personales rige a partir del mes de agosto de 2020.
Las bases de datos en las que se registrarán los datos personales, se conservarán mientras se mantenga la relación contractual con el Titular con la información o cuando no se solicite su supresión por el interesado y siempre que no exista un deber legal de conservarlos.