MS-CyberWeek_061224_1_
MS-CyberWeek_061224_1_

POLÍTICA DE PRIVACIDAD

UNION COMERCIAL DE COSTA RICA, UNICOMER, S.A., es un “Full Service Retail”, un grupo al servicio de múltiples necesidades, ya que a través de sus marcas comerciales, productos y servicios financieros se brinda facilidades de financiamiento y asistencia técnica y productos retail.

En el ejercicio de este deber de responsabilidad que guía toda la actividad de UNICOMER, S.A, se ha considerado necesario dotar a la empresa, específicamente en el país de Costa Rica, de la presente

Política de Protección de Datos Personales (en adelante la “Política de Protección de Datos” o la “Política PDP”).

El objetivo de la presente Política PDP es servir como marco de actuación para todo el personal y garantizar el más absoluto respeto de la legislación nacional (Costa Rica), y, a las buenas prácticas internacionales relacionadas con esta temática, así como el cumplimiento de los más altos estándares éticos de privacidad, salvaguardando los derechos de los titulares de los Datos Personales y estableciendo una serie de pautas comunes para la empresa en Costa Rica, tales como:

Garantizar la privacidad de los Datos Personales, específicamente el derecho a la Autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento.

Limitar los Datos Personales solicitados y garantizar la exactitud de los mismos.

Implementar las medidas técnicas y organizativas que aseguren la protección y resiliencia de los Datos Personales.

Informar debidamente al titular de los Datos Personales respecto al Tratamiento de sus Datos Personales

Que la obtención de la información siempre sea en base al consentimiento expreso otorgado de la persona titutlar de los datos o representante

Facilitar a los titulares de los datos el ejercicio de los derechos que la normativa les reconoce.

Para efectos de la presente Política PDP y, de acuerdo con la legislación nacional e internacional vigente, los siguientes términos tendrán el significado indicado a continuación:

AGENCIA DE PROTECCIÓN DE DATOS DE LOS HABITANTES (PRODHAB): Autoridad administrativa encargada oficialmente de velar por el cumplimiento de la normativa en materia de Protección de los Datos Personales en Costa Rica y de llevar un registro de las bases de datos reguladas por la Ley, hacer requerimientos, resolver reclamos por infracción a las normas, imponer sanciones, entre otras facultades.

• AVISODEPRIVACIDAD:Documento físico, electrónico o en cualquier otro formato generado por el Responsable que es puesto a disposición del titular, previo la toma y al Tratamiento de sus Datos Personales.

• BLOQUEO: La identificación y conservación de Datos Personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades, en relación con su Tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los Datos Personales no podrán ser objeto de Tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.

• COMITÉ DE PROTECCIÓN DE DATOS: Comité dedicado a la implementación y control de la Política Regional de Protección de Datos de UNICOMER, S.A

• CONSENTIMIENTO: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el titular acepta, ya sea mediante una declaración o una clara acción afirmativa, la toma y el Tratamiento de Datos Personales que le conciernen.

• DATOSPERSONALES: Toda información sobre una persona física identificada o identificable. A estos efectos se considera persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante cualquier información (nombre, número de identificación, datos de localización, identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona).

• DATOS PERSONALES SENSIBLES O ESPECIALMENTE PROTEGIDOS: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, salud, vida y orientación sexual, entre otros, y el Tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física. Estos datos gozan de una protección especial y su Tratamiento requiere justificarse para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el Responsable del Tratamiento.

• DELEGADO DE PROTECCIÓN DE DATOS o DPO: La persona encargada de coordinar y velar por el cumplimiento de la Política PDP, así como de garantizar el respeto de los derechos de los titulares de los Datos Personales en la Región.

 ENCARGADO DEL TRATAMIENTO o ENCARGADO: La persona física o jurídica, que sola o conjuntamente con otras, trate Datos Personales por cuenta del Responsable del Tratamiento.

• UNICOMER,S.AoUNICOMERCOSTARICA: Empresa que forma parte del grupo de empresas de UNICOMER, con sede en 800 metros oeste de Estación Dekra, El Coyol Alajuela, Costa Rica y a la cual les es aplicable la presente Política de Protección de Datos, es decir UNION COMERCIAL DE COSTA RICA, UNICOMER S.A

 PERSONALDEUNICOMERCOSTARICA:Todo el personal de la empresa, incluidos consejeros, empleados, personal en práctica o con contrato de capacitación y asimilados.

 RESPONSABLEDELTRATAMIENTOoRESPONSABLE:La persona física o jurídica de carácter privado que decide sobre el Tratamiento de los Datos Personales.

• SUPRESIÓN: Actividad consistente en eliminar, borrar o destruir el o los datos personales, una vez concluido el periodo de Bloqueo, bajo las medidas de seguridad previamente establecidas por el Responsable.

TERCERO o DESTINATARIO: Toda persona física o jurídica, nacional o extranjera, distinta del titular, el Responsable del Tratamiento o el Encargado del Tratamiento.

 TITULARDELOSDATOSPERSONALESoINTERESADO: Persona física a la que pertenezcan los Datos Personales.

 TRATAMIENTO: Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, Supresión o destrucción.

• VIOLACIÓN O VULNERACIÓN DE SEGURIDAD: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

• DATOSPERSONALESDEACCESOIRRESTRICTO: los contenidos en bases de datos públicas de acceso general, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.

 DATOS PERSONALES DE ACCESO RESTRINGIDO: los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública.

La presente Política PDP se encuentra regida por la legislación nacional y las mejores prácticas internacionales en materia de protección de datos. De esta forma, son de aplicación principal los siguientes textos legales:

LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES (Ley n.o 8968)

Se tendrá en cuenta la siguiente legislación vigente en España:

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al Tratamiento de Datos

Personales y a la libre circulación de estos datos. En adelante, Reglamento General de Protección de Datos, GDPR o RGPD.

Toda adaptación de la presente Política PDP, por razones de territorialidad legislativa, cumplirá siempre y en todo caso con las siguientes condiciones:

Las adaptaciones estarán basadas en exigencias legales o estarán motivadas por causas de funcionamiento debidamente justificadas.

Las modificaciones constarán por escrito, anexándose a la presente Política PDP.

Salvo obligación legal explícita, las adaptaciones a las regulaciones locales no supondrán una disminución de las garantías previstas en la Política GDPR.

A. IDENTIFICACIÓN DE UNICOMER

Durante más de 22 años, UNICOMER se ha consolidado como una de las multilatinas, de retail y servicios financieros más importantes en Latinoamérica y el Caribe, llegando a millones de personas con operaciones en 26 países y más de 13,700 colaboradores y a través de más de 25 marcas comerciales, con las cuales facilitan a sus clientes el acceso a mejores productos para el cuidado de la visión y planes de financiamiento, por medio de una experiencia de compra centralizada en un solo lugar para mejorar sus calidades de vida.

Dentro de su visión de “sostenibilidad” se encuentra el brindar oportunidades para que todos alcancen su bienestar, mejorar la calidad de vida y desarrollo no solamente de sus clientes, sino también de sus colaboradores y de las comunidades.

Estos servicios conllevan que UNICOMER, S.A se encuentre en permanente contacto con un gran volumen de Datos Personales, incluidos datos especialmente sensibles o protegidos.

B. DELEGADO DE PROTECCIÓN DE DATOS Y COMITÉ DE PROTECCIÓN DE DATOS A NIVEL REGIONAL

Como parte de su compromiso en materia de protección de datos, UNICOMER, S.A en Costa Rica se ha dotado tanto de un Delegado de Protección de Datos como de un Comité de Protección de Datos, de forma que quede garantizado tanto el seguimiento de las actividades ordinarias del grupo a nivel nacional, como el análisis y toma de decisiones colegiadas por las principales áreas responsables del Tratamiento de los datos dentro de UNICOMER.

El cargo de Delegado de Protección de Datos (en adelante, el “DPO”) ha sido encomendado al director/ra del departamento interno de asesoría jurídica de UNICOMER COSTA RICA. DPO es el encargado de informar y asesorar a UNICOMER en materia de protección de datos, de supervisar el cumplimiento por parte de UNICOMER de sus obligaciones y compromisos en materia de protección de datos, de gestionar las solicitudes recibidas por parte de los titulares de los Datos Personales y asegurar su correcto Tratamiento, así como de cooperar y actuar de punto de contacto con el Prodhab.

Orgánicamente, el DPO depende jerárquicamente del Comité de Protección de Datos Personales (en adelante, el “Comité”), el cual, a su vez, se encuentra bajo el mando y supervisión del Consejo de Administración de UNICOMER.

El Comité de Protección de Datos se encuentra formado por el personal de UNICOMER indicado a continuación:

• Director/ra del departamento interno de asesoría jurídica.

Director/ra de Recursos Humanos.

Director/ra del departamento de IT.

Director/ra del departamento de operaciones.

Director/ra del departamento de compras.

Director/ra del departamento de vigilancia.

El DPO.

El Comité de Protección de Datos, de forma ordinaria, se apoyará en el departamento de asesoría jurídica interno de UNICOMER en la Región, el cual hará las veces de intermediario con el resto de los departamentos, asegurando las comunicaciones ordinarias.

El Comité de Protección de Datos tiene asignadas, entre otras, las funciones de verificación del cumplimiento de lo dispuesto en la presente Política PDP, así como el análisis y la aprobación de la actualización o propuestas de mejoras que deben ser elevadas al Consejo de Administración de UNICOMER. Asimismo, brindará apoyo al DPO en todo aquello que éste pueda requerir, así como en la formulación del informe anual en materia de Protección de Datos que elabora el DPO, con todos los hechos relevantes ocurridos en el transcurso del año y que deberá ser aprobado por el Consejo de Administración de UNICOMER.

El Comité de Protección de Datos participará, asimismo, en la elaboración, implementación y supervisión de cualquier normativa corporativa de UNICOMER en el que se pueda ver afectado, directa o indirectamente, el Tratamiento de Datos Personales.

El Comité de Protección de Datos se regirá por su propio reglamento interno, reuniéndose con la periodicidad indicada en el mismo que, en ningún caso, será inferior a una reunión cuatrimestral. El Comité de Protección de Datos dispondrá de los recursos materiales y personales necesarios para apoyar la labor del DPO y facilitarle a éste los medios que precise para el desarrollo de sus funciones.

A efectos de dar cumplimiento a las obligaciones prescritas en la legislación aplicable en Costa Rica, se hace constar que el RESPONSABLE DEL TRATAMIENTO en relación a esta política es la empresa UNICOMER, S.A., el delegado de protección de datos personales estará centralizado a quien se le podrá contactar a través del correo: dpo@unicomer.com

El Objetivo de la presente Política de Protección de Datos Personales es establecer los principios y normas aplicables al Tratamiento de los Datos Personales por parte de UNION COMERCIAL DE COSTA RICA (UNICOMER, S.A).

La presente Política PDP tiene como propósito servir como guía y como marco de actuación para la toma de decisiones y la gestión de procedimientos internos, la gestión de proveedores y colaboradores, la captación de clientes y la negociación con los mismos, la elaboración de herramientas propias y la organización a nivel nacional de UNICOMER, S.A

La Política PDP es por tanto de aplicación obligatoria para quien desempeña su función como Responsable de Tratamiento y para quien realiza las funciones de Encargado de Tratamiento.

A. PRINCIPIOS GENERALES

Los principios generales indicados a continuación guiarán todas las decisiones que tome UNICOMER, S.A, siendo de obligado cumplimiento y debiendo ser incorporados a todas las actuaciones que impliquen el Tratamiento de Datos Personales:

1. PRINCIPIO DE INFORMACIÓN

De acuerdo con el principio de información, UNICOMER, S.A se encuentra obligada a informar a los Titulares las características principales del Tratamiento al que serán sometidos sus Datos Personales, de modo expreso, preciso e inequívoco, lo que se materializa mediante la puesta a disposición del Aviso de Privacidad en sus tres modalidades: integral, simplificado y corto.

La modalidad en que el Aviso de Privacidad debe ser puesto a disposición del Titular dependerá de las circunstancias específicas en que se recaban los Datos Personales: de los medios utilizados para la obtención de los Datos Personales y de la forma en que éstos se obtengan, ya sea de manera personal1, directa2 o indirecta3 de su Titular.

El Aviso de Privacidad integral se puede utilizar cuando los Datos Personales sean obtenidos personalmente de los Titulares.

El Aviso de Privacidad simplificado se puede utilizar cuando los Datos Personales sean obtenidos directamente de los Titulares.

El Aviso de Privacidad corto se puede utilizar únicamente cuando el espacio utilizado para la obtención de los Datos Personales sea mínimo y limitado, de forma tal que los Datos Personales obtenidos también sean mínimos.

El Aviso de Privacidad debe ser puesto a disposición del Titular, previo al Tratamiento de sus Datos Personales, cuando éstos se obtengan de forma personal o directa. En los casos en que los Datos Personales se hubieran obtenido de forma indirecta, el Aviso de Privacidad deberá hacerse del conocimiento del Titular al primer contacto que se tenga con éste, siempre y cuando el Tratamiento requiera el contacto con el Titular.

El Aviso de Privacidad puede difundirse o reproducirse a través de cualquier de los siguientes medios: formato físico, electrónico, óptico, sonoro, visual o a través de cualquier otra tecnología que permita su eficaz comunicación.

Se deberá poner a disposición de los Titulares un nuevo Aviso de Privacidad cuando: (i) cambie la identidad del Responsable; (ii) se requiera recabar nuevos Datos Personales a aquéllos señalados en el Aviso de Privacidad; (iii) se cambien o incorporen nuevas finalidades a las señaladas en el Aviso de Privacidad; y (iv) se modifiquen las condiciones de las Transferencias o se vayan a realizar Transferencias no previstas originalmente.

En cumplimiento al principio de información, el Comité de Protección de Datos Personales deberá implementar o coordinar las siguientes acciones:

Implementar los mecanismos de difusión del Aviso de Privacidad referidos con anterioridad.

Verificar constantemente que el Aviso de Privacidad integral siempre esté disponible para su consulta en las instalaciones de UNICOMER, S.A; así como en la red interna de UNICOMER, S.A. La periodicidad con la que deberá llevarse a cabo esta verificación, la fijará el Comité de Protección de Datos Personales a su prudente arbitrio, considerando el grado de exposición a fallas de dichos medios de difusión.

Revisar periódicamente las tres modalidades del Aviso de Privacidad y, en caso de ser necesario, actualizar las mismas de acuerdo con los elementos informativos que establece la legislación.

 Determinar si las actualizaciones al Aviso de Privacidad resultan aplicables a los Titulares respecto de los cuales ya se tienen sus Datos Personales, en cuyo caso deberá darles a conocer el nuevo Aviso de Privacidad, mediante el envío de un correo electrónico masivo, por ejemplo.

Determinar y verificar constantemente que las modalidades y momentos en que se da a conocer el Aviso de Privacidad sean acordes con los procesos de UNICOMER, S.A

2. PRINCIPIO DE CONSENTIMIENTO

UNICOMER, S.A debe obtener el Consentimiento del Titular previo al Tratamiento de sus Datos Personales, salvo que se actualice alguno de los supuestos de excepción que establece la legislación, a saber:

Cuando el Tratamiento sea necesario porque así lo ordena una ley;

Los Datos Personales se obtengan de una fuente de acceso público;

Los Datos Personales se sometan a un procedimiento previo de disociación, de forma tal que no se pueda identificar su Titular;

El Tratamiento tenga el propósito de cumplir obligaciones derivadas de una relación jurídica con el Titular;

Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;

Los Datos Personales sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, Tratamientos médicos o la gestión de servicios sanitarios, mientras el Titular no esté en condiciones de otorgar el Consentimiento, en los términos que establece las leyes de salud y demás disposiciones jurídicas aplicables, y que el Tratamiento se realice por una persona sujeta al secreto profesional u obligación equivalente; ó,

Se dicte resolución de autoridad competente.

El Consentimiento puede ser tácito4, expreso5 o expreso y por escrito6, dependiendo del tipo de Datos Personales. El Consentimiento, por regla general, puede ser tácito; sin embargo, cuando se trate de Datos Personales patrimoniales o financieros, se requiere del Consentimiento expreso del Titular; y cuando se trate de Datos Personales Sensibles, debe ser expreso y por escrito, salvo que se actualice alguna de las excepciones señaladas con anterioridad.

Para efectos ilustrativos, a continuación, se presenta una clasificación de los Datos Personales:

• Identificación7;

• Contacto o electrónico8;

• Laborales9;

 Características físicas10;

 Académicos11;

• Patrimoniales o financieros12;

 Biométricos13;

• Sensibles14que incluyen: ideológicos15sobre opiniones políticas16sobre afiliación sindica17de salud18; sobre vida sexual19; así como de origen étnico o racial20;

 De tránsito y movimientos migratorios21; y

Sobre procedimientos administrativos y/o jurisdiccionales.

Cuando se vayan a realizar Transferencias de Datos Personales que requieran el Consentimiento del Titular, se deberá incluir en el Aviso de Privacidad una cláusula que permita al Titular indicar si acepta o no la Transferencia de su información personal, tomando en cuenta el tipo de Datos Personales que se vayan a Transferir (patrimoniales, financieros, sensibles o cualquier otro), para que se obtenga el Consentimiento del Titular según corresponda: tácito, expreso o expreso y por escrito.

Conforme a lo establecido en la Ley, las Transferencias nacionales o internacionales de Datos Personales podrán llevarse a cabo sin el Consentimiento del Titular cuando se dé alguno de los siguientes supuestos:

Cuando la Transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación

de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;

Cuando la Transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo que opere bajo los mismos procesos y políticas internas;

Cuando la Transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del Titular, por el Responsable y un Tercero;

Cuando la Transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;

Cuando la Transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; y

Cuando la Transferencia sea necesaria para el mantenimiento o cumplimiento de una relación jurídica entre UNICOMER, S.A y el Titular.

En cumplimiento al principio de Consentimiento, el Comité de Protección de Datos será responsable de implementar o coordinar las siguientes acciones:

Implementar formularios para cada uno de los perfiles de los Titulares, en los que se incluyan las modalidades del Aviso de Privacidad que han quedado señaladas con anterioridad, para recabar el Consentimiento expreso y por escrito de los Titulares, a través de las opciones de marcado previstas en cada una de estas modalidades.

Conservar el documento físico que permita acreditar que obtuvo el Consentimiento expreso y por escrito del Titular para el Tratamiento de sus Datos Personales.

Verificar constantemente los procedimientos internos de UNICOMER, S.A con la finalidad de confirmar que el Consentimiento de los Titulares se recabe previo a la obtención o uso de los Datos Personales.

3. PRINCIPIO DE FINALIDAD

Los Datos Personales sólo pueden ser tratados para cumplir con la finalidad o finalidades que hayan sido informadas al Titular en el Aviso de Privacidad y, en su caso, consentidas por éste.

El Tratamiento de los Datos Personales puede incluir finalidades primarias que son aquéllas que dan origen y son necesarias para la relación jurídica con el Titular; y finalidades secundarias que son aquéllas que no cumplen con la condición anterior.

Conforme a la legislación en materia de protección de Datos Personales, el Titular puede negar su Consentimiento, así como oponerse al Tratamiento de sus Datos Personales para las finalidades secundarias, sin que ello tenga como consecuencia la conclusión del Tratamiento para las finalidades primarias.

En ese sentido, es indispensable que en el Aviso de Privacidad se identifique y distinga entre las finalidades primarias y secundarias del Tratamiento, y se indique el mecanismo habilitado para que el Titular, si así lo desea, manifieste su negativa al Tratamiento de sus Datos Personales para todas o algunas de las finalidades secundarias. Este mecanismo debe estar a disposición de los Titulares previo a que su información personal sea tratada para dichos fines.

En cumplimiento al principio de finalidad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

Concientizar al personal de UNICOMER, S.A a efecto de que conozca claramente cuáles son las finalidades para las cuales pueden ser tratados los Datos Personales.

Revisar periódicamente los procedimientos internos de UNICOMER, S.A con la finalidad de verificar que los Datos Personales únicamente estén siendo utilizados para las finalidades informadas en el Aviso de Privacidad.

Verificar constantemente las finalidades informadas en el Aviso de Privacidad para confirmar que la mismas sean acordes con los procesos internos de UNICOMER, S.A y, en su caso, coordinar la actualización del Aviso de Privacidad y su puesta a disposición a los Titulares.

Implementar mecanismos que permitan identificar a los Titulares que hubieran negado su Consentimiento para el Tratamiento de sus Datos Personales para finalidades secundarias.

4. PRINCIPIO DE PROPORCIONALIDAD

El principio de proporcionalidad establece las siguientes obligaciones:

Tratar sólo aquellos Datos Personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las cuales se obtuvieron;

Realizar esfuerzos razonables para limitar el periodo de Tratamiento al mínimo indispensable;

Limitar el acceso a los Datos Personales sólo al personal que requiera conocer los mismos en el desempeño de sus funciones;

En cumplimiento al principio de proporcionalidad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

Concientizar a su personal a efecto de que conozca claramente cuáles son los Datos Personales que puede obtener y almacenar de los Titulares;

Revisar periódicamente los formularios utilizados por UNICOMER, S.A, con la finalidad de confirmar que los Datos Personales que prevén los mismos continúen siendo necesarios para el cumplimiento de las finalidades informadas en el Aviso de Privacidad;

Verificar constantemente que los períodos establecidos para el Tratamiento de los Datos Personales sean los mínimos indispensables, especialmente por lo que hace al Tratamiento de Datos Personales Sensibles;

5.PRINCIPIO DE CALIDAD

El principio de calidad establece la obligación de que los Datos Personales que vayan a ser sometidos a Tratamientos, sean:

Exactos: Los Datos Personales son exactos cuando reflejan la realidad de la situación de su Titular, es decir, son verdaderos o fieles;

Completos: Los Datos Personales están completos cuando no falta ninguno de los que se requiera para las finalidades para las cuales se obtuvieron y son tratados de forma tal que no se cause un daño o perjuicio al titular;

Pertinentes: Los Datos Personales son pertinentes cuando corresponden efectivamente al Titular;

Actualizados: Los Datos Personales son actualizados cuando están al día y corresponden a la situación real del Titular;

Correctos: Los Datos Personales son correctos cuando cumplen con todas las características anteriores, es decir, son exactos, completos, pertinentes y actualizados.

Es importante señalar que existe la presunción de que los Datos Personales cumplen con estas características cuando los proporciona directamente su Titular y hasta en tanto éste no manifieste y acredite lo contrario; o bien, UNICOMER cuente con evidencia que lo contradiga.

En cumplimiento al principio de calidad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

Recabar los Datos Personales directamente de su Titular, a través de los formularios implementados para tal efecto, mismos que idealmente deberán ser firmados por el Titular de los mismos;

Cuando sea posible, conservar los formularios respectivos que permitan acreditar que el Titular proporcionó sus Datos Personales de forma directa;

Asimismo, es imprescindible informar a los titulares de los datos de la necesidad de mantener actualizados sus datos, de forma que los mismos sean en todo momento exactos y veraces. Para ello, es necesario habilitar canales adaptados a la tipología de titulares de los datos para facilitar la interacción de los mismos con la sociedad de UNICOMER, S.A que esté realizando el Tratamiento de forma que su actualización no requiera de un esfuerzo desproporcionado a los titulares.

6. PRINCIPIO DE LICITUD Y LEALTAD

Los Datos Personales tienen que ser tratados de manera lícita y leal, lo que supone que UNICOMER, S.A sólo podrá hacer con los Datos Personales aquello que esté legalmente permitido.

De acuerdo con el principio de lealtad, la obtención de los Datos Personales no podrá hacerse a través de medios engañosos, ni fraudulentos, lo que implica que:

No se recaben Datos Personales con dolo, mala fe o negligencia;

No se vulnere la confianza del Titular con relación a que sus Datos Personales serán tratados conforme a lo acordado; y

Se informen todas las finalidades del Tratamiento en el Aviso de Privacidad.

UNICOMER, S.A se asegurará siempre y en todo caso de que el Tratamiento de los Datos Personales se lleve a cabo con apego a la legislación, contar con, al menos, una de las causas que justifica el Tratamiento de los datos, sin utilizar medios engañosos o fraudulentos en su obtención, respetando en todo momento la expectativa razonable de confidencialidad de los mismos.

En cumplimiento al principio de licitud y lealtad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

Realizar verificaciones periódicas con la finalidad de confirmar que los Datos Personales estén siendo tratados de conformidad con la presente Política PDP;

Incluir cláusulas en los contratos con su personal o Encargados que garanticen la confidencialidad de los Datos Personales;

Revisar periódicamente los procedimientos y formularios utilizados por UNICOMER, S.A y sus Encargados, para verificar que en éstos no se utilicen prácticas que lleven a la obtención de los datos de manera dolosa, de mala fe o con negligencia;

Prever sanciones para su personal o Encargados, en caso de que violen su deber de confidencialidad o hagan uso de prácticas dolosas, de mala fe o negligentes para la obtención de los Datos Personales.

Queda asimismo prohibida la adquisición u obtención de Datos Personales de fuentes ilegítimas, así como de fuentes que no garanticen suficientemente su legítima procedencia o de fuentes cuyos que hayan obtenido los datos vulnerando la legislación vigente.

7. PRINCIPIO DE RESPONSABILIDAD

El principio de responsabilidad establece la obligación de velar por el cumplimiento del resto de los principios, adoptar las medidas necesarias para su aplicación, y demostrar ante Titulares y el Prodhab, que UNICOMER, S.A cumple con sus obligaciones en torno a la protección de los Datos Personales. Conforme a este principio, UNICOMER, S.A está obligada a velar por la protección de los Datos Personales, aun cuando los mismos estén siendo tratados por un Encargado.

En cumplimiento al principio de responsabilidad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de Datos Personales;

Incluir cláusulas en los contratos que celebre con sus Encargados, por medio de las cuales éstos se obliguen a:

  1. Tratar los Datos Personales únicamente conforme a las instrucciones de UNICOMER, S.A; abstenerse de tratar o transferir los Datos Personales para finalidades distintasa las instruidas por UNICOMER, S.A;
  2. Implementar medidas de seguridad para garantizar la protección de los Datos Personales;
  3. Guardar confidencialidad respecto de los Datos Personales tratados;
  4. Permitir que UNICOMER, S.A verifique el Tratamiento que está dando a los Datos Personales; y
  5. Suprimir los Datos Personales una vez cumplida la relación contractual o por instrucciones de UNICOMER, S.A

Actualizar la presente Política PDP, para asegurar que continúen siendo vigentes con relación a la legislación aplicable y considerando posibles cambios o cualquier modificación en los procedimientos y/u operaciones de UNICOMER, S.A que puedan tener repercusiones en el ámbito de protección de Datos Personales; y

Realizar las actividades de verificación que a su cargo establece la presente Política PDP, cuando menos, de forma anual, a través del Check-List de Cumplimiento que para tales efectos apruebe el Comité de Protección de Datos Personales, salvo por aquellas obligaciones que por su naturaleza requieran de una periodicidad menor que fijará el Comité de Protección de Datos Personales a su prudente arbitrio, considerando el grado de exposición a fallas.

8. PRINCIPIO DE INTEGRIDAD

Los Datos Personales serán tratados de tal manera que se garantice su seguridad a través de la implementación de medidas técnicas y organizativas que permitan garantizar un nivel de seguridad adecuado contra todo acceso no autorizado o ilícito, su manipulación indebida, así como su destrucción.

En virtud del principio de integridad, las medidas de protección garantizarán igualmente la disponibilidad de los datos, así como su posible recuperación en caso de destrucción accidental o intencionada de los mismos.

9. PRINCIPIO DE CONFIDENCIALIDAD

 Todo el personal de UNICOMER, S.A realizará el Tratamiento de los Datos Personales con la máxima confidencialidad y secreto, no pudiendo ser utilizados para otros fines distintos aquellos para los que fueron recogidos y sin que puedan ser comunicados o cedidos a Terceros fuera de los casos permitidos por la legislación aplicable.

Lo anterior implicará la inclusión en los contratos de los trabajadores de cláusulas de confidencialidad específicas y la implementación de medidas técnicas que permitan evitar la copia masiva de datos o su extracción en dispositivos no autorizados.

10. PRINCIPIO DE ESPECIAL PROTECCIÓN EN LAS TRANSFERENCIAS INTERNACIONALES Y COMUNICACIONES A TERCEROS PAÍSES

UNICOMER, S.A, dado su carácter y composición internacional, garantizará en todo momento la máxima seguridad y el cumplimiento estricto de la legislación vigente, así como de las recomendaciones que puedan ser emitidas por parte de Prodhab, a la hora de realizar transferencias o comunicaciones de Datos Personales a sociedades del grupo o a cualquier Tercero ajeno a UNICOMER, S.A, especialmente si se trata de países que no brinden un nivel adecuado de protección.

A estos efectos, UNICOMER, S.A tomará en consideración y aplicará, siempre que sea posible, las garantías, cláusulas tipo y normas corporativas vinculantes emitidas por el Prodhab, de acuerdo con lo dispuesto en el Protocolo de Actuación que se acompaña como Anexo II a la presente Política PDP. En caso de no poder garantizar la seguridad y el correcto Tratamiento de los Datos Personales por parte de un Tercero que no cuente con un nivel adecuado de protección, se requerirá una autorización previa del Comité de Protección de Datos Personales sin la cual no se podrá realizar la transferencia o comunicación.

B.  UNICOMER, S.A COMO RESPONSABLE DEL TRATAMIENTO

1.TIPOLOGÍA Y ORIGEN DE LOS DATOS PERSONALES

UNICOMER, S.A tendrá el carácter de Responsable del Tratamiento de los Datos Personales en relación con aquellos Datos Personales respecto de los cuales determine los fines y medios del Tratamiento.

En el marco de su actividad, UNICOMER, S.A tendrá el carácter de Responsable, entre otros, de los Datos Personales obtenidos de las siguientes categorías de interesados:

•  Candidatos

•  Empleados

•  Clientes

•   Proveedores

•  Visitantes

2. CICLO DE VIDA DE LOS DATOS PERSONALES

En términos generales, el ciclo de vida de los Datos Personales comprende las siguientes fases:

•   Obtención

•   Tratamiento

•   Clasificaciónyalmacenamiento

•   Cesión

•   Eliminación

I.  OBTENCIÓN

Cuando UNICOMER, S.A actúe como Responsables de Tratamiento aplicarán todas las medidas incluidas en la presente Política PDP a la hora de obtener los Datos Personales, privilegiando como causa de justificación para la obtención de los datos el Consentimiento otorgado por los titulares el cual deberá solicitarse, siempre y en todo caso, una vez informado al interesado de los motivos por los que se solicitan los datos, la finalidad o finalidades para los que van a ser empleados, los medios de Tratamiento y, especialmente, los derechos que les asisten como titulares de los mismos. Esto a través de la puesta a disposición de un Aviso de Privacidad.

Siempre que sea posible se solicitará un Consentimiento por escrito, entregando copia del documento preparado a tal efecto al interesado, y ello aunque pudieran existir otras bases legales que justificaran la solicitud de los datos (ej. la existencia de una relación laboral entre UNICOMER, S.A y el interesado).

2.  TRATAMIENTO

El Tratamiento que UNICOMER, S.A realiza de los Datos Personales se ajustará a la categoría de interesado, limitándose siempre y en todo caso al cumplimiento de los fines para los cuales fueron recabados e informados en el Aviso de Privacidad.

En el caso en el que el titular de los Datos Personales mantenga una relación laboral con UNICOMER, S.A, el Tratamiento realizado de los datos se limitará a aquellas finalidades directamente ligadas a la relación profesional, debiendo informar y solicitarse el Consentimiento expreso de los interesados para la realización de cualquier otro tipo de Tratamiento o para alcanzar cualquier finalidad que no esté amparada por la relación laboral (envío de publicidad, campañas de marketing, prestación de servicios que no estén directamente ligados con la relación laboral, etc.).

En el caso de los clientes y proveedores de UNICOMER, S.A, que se trataren de personas jurídicas, se entiende que estas se encuentran expresamente excluidos de la regulación de protección de Datos Personales en Costa Rica. No obstante, las personas jurídicas suelen proporcionar información y documentación corporativa que contiene Datos Personales de sus accionistas, órganos de administración y vigilancia, delegados especiales y representantes legales. UNICOMER, S.A basándose en los principios de responsabilidad y lealtad, ha decidido aplicarles los mismos principios de protección y Tratamiento que al resto de Datos Personales.

Asimismo, las personas jurídicas suelen designar a una o varias personas físicas, directivos o trabajadores a los efectos de actuar como enlace y responsables de la operación de la relación contractual establecida con los clientes y proveedores. UNICOMER, S.A se asegurará que la información que se obtenga de ellas se limite en todo caso a su nombre completo, funciones o puestos desempeñados, domicilio, teléfono y correo institucional, quedando excluidos de la regulación de Datos Personales, esto en base al principio de finalidad y de proporcionalidad.

3.  CLASIFICACIÓNYALMACENAMIENTO

UNICOMER, S.A, en su condición de Responsable de Tratamiento, clasificará y almacenará los datos de

las distintas categorías de interesados dentro de los límites y con las garantías que marca la legislación

vigente.

Los Datos Personales de los empleados, clientes y proveedores se encuentran, además, almacenados en bases de datos distintas, teniendo acceso a los mismos únicamente aquellos departamentos que por sus funciones específicas tienen la necesidad de realizar su Tratamiento.

Las bases de datos se encuentran, en todo caso, protegidas por las medidas técnicas necesarias para garantizar la integridad de los datos, su disponibilidad, así como su posible recuperación en caso de destrucción accidental o intencionada de los mismos.

4.   ACCESO, CESIÓN Y TRANSFERENCIAS INTERNACIONALES DE LOS DATOS PERSONALES

Como la mayoría de las empresas, UNICOMER, S.A tiene externalizados parte de sus servicios profesionales a través de distintos proveedores (servicios legales, gestorías, proveedores de Internet, mensajería, etc.) que tienen accesos parciales y limitados a los Datos Personales de los que UNICOMER, S.A es Responsable.

No obstante y, de acuerdo con la legislación vigente, los accesos acordados con estos Terceros, más allá de las precauciones adoptadas, no se considerará una transferencia de datos, sino una remisión.

En cualquier caso, UNICOMER, S.A incluye de forma generalizada una cláusula de protección de datos en la que se regulan los derechos y obligaciones de las partes en todos los acuerdos firmados con proveedores, específicamente cuando por su actividad, los proveedores puedan ser considerados como Encargados o Subencargados de Tratamiento. De ser necesario, UNICOMER, S.A firma paralelamente un acuerdo específico para regular las particularidades del Tratamiento, de conformidad con la legislación vigente.

Estas mismas precauciones son adoptadas en los casos de transferencias de datos dentro de UNICOMER, S.A. para cualquier tipo de transferencia internacional, respetándose y aplicando los diferentes estándares (cláusulas tipo, normas vinculantes, etc.) publicados por las autoridades competentes.

5.   ELIMINACIÓN

En cumplimiento de los principios antes enumerados, UNICOMER, S.A ha adoptado el compromiso de NO mantener Datos Personales más allá de los tiempos exigidos para el cumplimiento de la relación jurídica y las obligaciones legales derivadas de la misma (laborales, fiscales, penales, etc.). La Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales en Costa Rica establece un lapso de eliminación de DIEZ AÑOS desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que disponga otra cosa. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.

Para ello, UNICOMER, S.A ha aprobado un Protocolo de Eliminación de datos que se acompaña al presente documento como parte del Anexo II, a través del cual se pretende garantizar el cumplimiento de la legislación vigente y el ejercicio de los derechos por parte de los titulares de los Datos Personales.

C.   RELACIÓNCON PROVEEDORESYSUBCONTRATISTAS

UNICOMER, S.A realizará las verificaciones previas y tomará las medidas adecuadas para garantizar que todo proveedor o subcontratista con el que pretenda contratar asume los compromisos y obligaciones marcados por la normatividad de la materia.

En el caso en el que el proveedor o subcontratista no se adhiera de forma incondicional a las cláusulas o los documentos preparados al efecto por el departamento legal de UNICOMER, S.A, será necesario someter el acuerdo alcanzado con el subcontratista o proveedor a la consideración del DPO, el cual deberá autorizar o rechazar las modificaciones u objeciones presentadas.

Cuando se trabaje de forma regular con algún proveedor o subcontratista, se le requerirá periódicamente y de forma aleatoria la documentación o las pruebas que acrediten el cumplimiento por parte de éste de las medidas y obligaciones acordadas.

En el caso en el que el proveedor o subcontratista únicamente preste sus servicios mediante cláusulas de adhesión, será necesario analizar previamente la política y los compromisos en materia de protección de datos adquiridos por el proveedor o subcontratista, solicitar a éste la ubicación o ubicaciones desde las cuales llevará a cabo el Tratamiento (incluido el almacenamiento de los Datos Personales) y solicitar un informe al DPO, especialmente si el proveedor o subcontratista se encuentra en un país que no brinde un nivel adecuado de seguridad.

A la hora de valorar la elección entre distintos proveedores o subcontratistas, se tendrá en cuenta ya sea en forma de baremo, méritos o cualquier otro sistema de elección, el cumplimiento y el compromiso por parte del proveedor o subcontratista en materia de Protección de Datos. Asimismo, salvo autorización expresa por parte del Consejo de Administración de la sociedad regional que corresponda de UNICOMER, S.A, no se contratará con ningún proveedor o subcontratista que haya sido sancionado o condenado por una infracción en materia de protección de datos.

 

1Por obtención personal se entiende al acto en el cual el Titular proporciona los Datos Personales al Responsable o a la persona física designada por el Responsable, con la presencia física de ambos.

Por obtención directa se entiende al acto en el cual el propio Titular proporciona los Datos Personales por algún medio que permite su entrega directa al Responsable, entre ellos, medios electrónicos, ópticos, sonoros, visuales o cualquier otra tecnología, como correo postal, internet o vía telefónica, entre otros.
3Por obtención indirecta se entiende al acto en el cual el Responsable obtiene los Datos Personales sin que el Titular se los haya proporcionado de forma personal o directa, como por ejemplo a través de una fuente de acceso público o una transferencia.

4 Se entiende por consentimiento tácito cuando la persona que debe otorgar su consentimiento lo manifiesta a través de hechos o actos que lo presupongan o que autoricen a presumirlo, como el contestar una encuesta después de haber tenido conocimiento del Aviso de Privacidad.

5Se entiende por consentimiento expreso aquel que debe ser manifestado de forma clara ya sea por escrito, verbal o por signos inequívocos, como la firma de cierto documento o aceptación vía telefónica.

6 Mediante firma autógrafa, huella dactilar, firma electrónica del Titular o cualquier otro mecanismo autorizado que permita identificarlo plenamente

7Información concerniente a una persona física que permite diferenciarla de otras en una colectividad, tales como: nombre, estado civil, firma autógrafa y electrónica, Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), número de cartilla militar, lugar y fecha de nacimiento, nacionalidad, fotografía, edad, entre otros.

8Información que permite mantener o entrar en contacto con su titular, tal como: domicilio, correo electrónico, teléfono fijo, teléfono celular, entre otra.

9Información concerniente a una persona física relativa a su empleo, cargo o comisión, desempeño laboral y experiencia profesional, generada a partir de procesos de reclutamiento, selección, contratación, nombramiento, evaluación y capacitación, tales como: puesto, domicilio de trabajo, correo electrónico institucional, teléfono institucional, referencias laborales, fecha de ingreso y terminación del empleo, entre otros.

10  Información sobre una persona física relativa a su fisonomía, anatomía, rasgos o particularidades específicas, como: color de la piel, del iris o del cabello, señas particulares, estatura, peso, complexión, cicatrices, tipo de sangre, entre otras.

11Información concerniente a una persona física que describe su preparación, aptitudes, desarrollo y orientación profesional o técnica, avalada por instituciones educativas, como lo son: trayectoria educativa, títulos, cédula profesional, certificados, reconocimientos, entre otros.

12  Información concerniente a una persona física relativa a sus bienes, derechos, cargas u obligaciones susceptibles de valoración económica, como pueden ser: bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, número de tarjeta de crédito, número de seguridad, entre otros.

13  Información sobre una persona física relativa a imagen del iris, huella dactilar, palma de la mano u otros análogos.

14Se entiende por datos sensibles toda información concerniente a una persona física cuya utilización pueda dar origen a discriminación, tales como origen racial, estado de salud, preferencia sexual, etc.

15 Información sobre las posturas ideológicas, religiosas, filosóficas o morales de una persona.

16Opinión de una persona con relación a un hecho político o sobre su postura política en general.

17 Pertenencia de una persona a un sindicato y la información que de ello derive.

 

18 Información concerniente a una persona física relacionada con la valoración, preservación, cuidado, mejoramiento y recuperación de su estado de salud físico o mental, presente, pasado o futuro, así como información genética.

 

19Información de una persona física relacionada con su comportamiento, preferencias, prácticas o hábitos sexuales, entre otros.

20Información concerniente a una persona física relativa a su pertenencia a un pueblo, etnia o región que la distingue por sus condiciones e identidades sociales, culturales y económicas, así como por sus costumbres, tradiciones y/o creencias.

21Información concerniente a una persona física relativa a desplazamientos que pueden ser duraderos o no, vinculados al lugar donde se vive o trabaja, y que realiza una persona.

 

De acuerdo con las previsiones normativas y teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, UNICOMER, S.A ha adoptado las medidas organizativas y técnicas apropiadas para garantizar la seguridad, integridad y resiliencia de los Datos Personales tratados.

A. MEDIDAS ORGANIZATIVAS

UNICOMER, S.A capta, forma y organiza a todo su personal con el objetivo de alcanzar los más altos estándares de excelencia y liderazgo. En materia de protección de datos, el compromiso de UNICOMER, S.A a nivel organizativo está reflejado, entre otras, en las siguientes medidas:

1. Compromiso integral de la normativa corporativa de UNICOMER, S.A en materia de protección de datos, comenzando por la implementación de la presente política PDP y los Protocolos que la acompañan, destinando los recursos suficientes para su ejecución efectiva;

2. Nombramiento de un DPO y un Comité específico en materia de PDP que apoye al DPO;

3. Nombramiento de un responsable de seguridad, y de diversos instrumentos y medidas para dotar a la empresa de los medios personales y materiales que garanticen la seguridad de los datos;

4. División del Tratamiento y organización del personal bajo criterios de especialización y limitación, de forma que los empleados únicamente tengan acceso a los datos que realmente necesitan conocer;

5. Establecimiento de protocolos que garanticen el respeto de los derechos de los interesados ante el ejercicio por parte de los titulares de los Datos Personales de cualquiera de sus derechos;

6. Inclusión de cláusulas de protección de datos en los contratos, tanto con clientes, proveedores, como con el propio personal interno, con el propósito de concientizar y responsabilizar a todos los actores en materia de protección de datos;

7. Aplicación de políticas de cero papel y mesas limpias para disminuir el almacenamiento físico de los datos;

8. Implementación de sistemas para el Bloqueo y Eliminación de los Datos Personales una vez cumplidas las exigencias contractuales y legales de conservación.

Mediante estas medidas, así como para la puesta en marcha de diversas iniciativas complementarias en materia de protección de datos, UNICOMER, S.A aspira a generar de forma progresiva y responsable una cultura en materia de protección de datos entre todos los empleados.

B. MEDIDAS TÉCNICAS

Siguiendo el estado de la técnica y los recursos disponibles y, tras evaluar los sistemas de UNICOMER, S.A para garantizar un adecuado nivel de seguridad, se han adoptado una serie de medidas técnicas que permitan alcanzar los siguientes objetivos:

• Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de Tratamiento.

• Asegurar la capacidad de restaurar la disponibilidad de la información y el acceso a los Datos Personales de forma rápida en caso de incidente físico o técnico.

• Implementar procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas.

En línea con lo anterior, UNICOMER, S.A cuenta con un responsable de seguridad informática y tecnologías de la información, encargado de aplicar, entre otras, las siguientes medidas técnicas:

1.Establecimiento de medidas de seguridad por capas;

2. Capacidad para desplegar actualizaciones de seguridad sin necesidad de interrumpir el servicio;

3. Almacenamiento de los Datos Personales en bases de datos protegidas contra ataques externos;

4. Utilización generalizada de identificadores y contraseñas personales, los cuales se renuevan de forma periódica;

5. Validación y comprobación regular de los niveles de accesos y discriminación de accesos por perfiles;

6. Utilización de protocolos y sistemas de comunicación internos seguros;

7. Realización de copias de seguridad periódicas;

8. Utilización de servidores propios protegidos frente a ataques digitales y físicos;

9. Actualización constante de los sistemas operativos y el software utilizados por el personal de la empresa;

10. Programas de digitalización de la información, disminuyendo el almacenamiento físico de los datos; y

11. Empleo de servicios especializados para el Tratamiento y reacondicionamiento de equipos antes de su reutilización por otro empleado.

Con ello, UNICOMER, S.A pretende garantizar la seguridad digital y física de los Datos Personales y de los soportes en que están almacenados, al mismo tiempo que trabaja de forma constante en la implementación de mejoras y la adopción de nuevas tecnologías que permitan reforzar los estándares de seguridad.

C. REGISTRO DE ACTIVIDADES

UNICOMER, S.A contará en todo momento con un Registro de Actividades actualizado.

En el Registro de Actividades figurará, entre otras, la siguiente información:

• El nombre y los datos de contacto del Responsable y del DPO;

• Los fines del Tratamiento;

• Una descripción de las categorías de interesados y de las categorías de los Datos Personales;

• Las categorías de destinatarios a quienes se comunicaron o comunicarán los Datos Personales, incluidos los destinatarios de Terceros países u organizaciones internacionales;

• Los plazos previstos para la Supresión de las diferentes categorías de datos;

• Las transferencias de Datos Personales que, en su caso, se realicen a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional;

• Una descripción general de las medidas técnicas y organizativas de seguridad; y

• Toda información adicional requerida por el Prodhab o cualquier otra autoridad nacional o supranacional con competencias directas en la materia.

D. FORMACIÓN Y SENSIBILIZACIÓN DEL PERSONAL

UNICOMER, S.A. lleva desde sus inicios comprometido con la formación integral de su personal. Este compromiso, el cual se ha hecho extensible a la protección de datos, es entendido por UNICOMER, S.A como un elemento clave para la generación de una cultura de protección de datos entre sus directivos y empleados, así como la mejor garantía para el correcto Tratamiento de los Datos Personales y el respeto de los derechos de los interesados.

Por ello, UNICOMER, S.A organiza regularmente formaciones en materia de protección de datos adaptadas a los diferentes niveles de responsabilidad, funciones dentro de la empresa, tipología de datos tratados, etc.

Las acciones formativas realizadas por UNICOMER, S.A son gestionadas y supervisadas por el DPO, asegurándose así su adecuación al personal al que van dirigidas.

Además, desde distintos departamentos internos de la compañía como el área jurídica o el departamento de recursos humanos, se circularizan de forma periódica entre el personal publicaciones en materia de protección de datos, cursos y diversas iniciativas que contribuyen a la formación del personal.

E. OBLIGACIONES DEL PERSONAL DE UNICOMER, S.A Y RÉGIMEN DISCIPLINARIO

Todo el personal de UNICOMER, S.A tiene la obligación de comunicar o denunciar al DPO y/o al Comité de Protección de Datos todo acto, comportamiento, hecho o indicio de cualquier actuación que pudiera ser contraria a la presente Política PDP o a los derechos de los titulares de los Datos Personales.

Para ello, UNICOMER, S.A garantiza la confidencialidad de cualquier comunicación de un comportamiento o actuación irregular, eximiendo al DPO de facilitar el nombre del denunciante, salvo en aquellos casos en los que se aprecie una intención manifiesta y flagrante de haber realizado una denuncia falsa o con ánimo deliberado de querer causar un daño injustificado a un Tercero en cuyo caso se aplicará el régimen disciplinario de acuerdo con los reglamentos interiores de trabajo, convenios y/o acuerdos colectivos en vigor.

A. RECONOCIMIENTO DE LOS DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES

La entrada en aplicación del RGPD y la legislación nacional ha supuesto la creación de nuevos derechos en materia de protección de datos, superándose los tradicionales derechos ARCO, al tiempo que se han ampliado ciertos aspectos de los derechos preexistentes y las garantías que los protegen.

En este sentido, UNICOMER, S.A reconoce en los términos más amplios los derechos de los interesados, pone a disposición de los mismos los canales necesarios para su libre ejercicio y sitúa al DPO y al Comité de Protección de Datos en una posición orgánica y funcional que asegure su independencia en el desarrollo de sus funciones como interlocutor, privilegiado con los titulares de los Datos Personales y garante del cumplimiento de las obligaciones de todo el personal de UNICOMER, S.A en materia de RGPD.

De esta forma, la presente Política PDP reconoce expresamente a todos los titulares de los Datos Personales, y sin más limitación que las expresamente previstas en el RGPD y en la Ley de Protección de la Persona frente al tratamiento de sus datos personales, los derechos indicados a continuación:

a. DERECHO DE ACCESO: el cual permite al titular de los Datos Personales solicitar al Responsable del Tratamiento que le indique si está tratando o no sus Datos Personales, así como, cuáles y en qué casos los está tratando.

b. DERECHO DE RECTIFICACIÓN: este derecho permite al interesado solicitar que el Responsable del Tratamiento modifique los datos incorrectos o inexactos que le conciernan o que complete los Datos Personales incompletos.

c. DERECHO DE CANCELACIÓN (SUPRESIÓN o DERECHO AL OLVIDO): el derecho de cancelación, Supresión u olvido permite al titular de los datos solicitar que el Responsable del Tratamiento elimine todos los Datos Personales que esté tratando relativos al solicitante un vez hayan transcurrido diez años.

d. DERECHO DE OPOSICIÓN: en los casos en los que el Responsable del Tratamiento trata datos del solicitante para finalidades secundarias, el afectado puede oponerse a dicho Tratamiento, ejerciendo su derecho de oposición y solicitando que se ponga fin a dicho Tratamiento.

e. REVOCACIÓN DEL CONSENTIMIENTO: implica la revocación del Consentimiento otorgado por el titular para el Tratamiento de sus Datos Personales.

f. DERECHO DE LIMITACIÓN: implica, para el Responsable del Tratamiento de los datos, la restricción en el uso o divulgación de los Datos Personales del solicitante.

g. DERECHO DE PORTABILIDAD: permite al titular de los datos solicitar que el Responsable del Tratamiento le entregue o transmita a un Tercero que el titular designe, los Datos Personales que el Responsable posea sobre el solicitante, en un formato estructurado, de uso común y lectura mecánica, previa firma del consentimiento informado por parte del titular de los datos.

A la fecha, este derecho no se encuentra reconocido en la legislación nacional de UNICOMER, S.A; por lo que, una vez que dicho derecho sea incorporado a sus legislaciones, deberán adoptar los mecanismos que garanticen su cumplimiento.

B. PROTOCOLOS DE ACTUACIÓN ANTE EL EJERCICIO DE LOS DERECHOS POR PARTE DE LOS

TITULARES

Con objeto de garantizar el más estricto cumplimiento de la Legislación vigente y el máximo respeto de los derechos de los interesados, UNICOMER, S.A se ha dotado de un Protocolo de actuación ante el ejercicio por parte de los titulares de los Datos Personales de cualquiera de los derechos arriba descritos.

Este Protocolo, el cual se acompaña a la presente Política PDP como Anexo V ha sido diseñado situando al interesado en el centro de toda actuación, de modo que se garanticen sus derechos, pero igualmente que se le informe debidamente de cada actuación y cada decisión adoptada por UNICOMER, S.A. Para ello, todas las actuaciones son realizadas bajo la supervisión directa del DPO, el cual podrá apoyarse en el resto de los departamentos de cualquiera de las sociedades de UNICOMER, S.A para la solicitud de informaciones, generación de informes, análisis y toma de decisiones, etc. Todo ello, con el compromiso, no solo de respetar escrupulosamente los plazos previstos en la Ley, sino de dar la mejor atención y respuesta posible al interesado en el menor plazo posible.

Asimismo, se facilitará al interesado cuanta documentación pueda ser necesaria en caso de que éste decida presentar una reclamación ante el Prodhab.

A. IMPLEMENTACIÓN

La presente Política PDP ha sido elaborada con el objetivo de guiar las actuaciones del personal de UNICOMER, S.A en materia de protección de datos, cumplir de la legislación y vigente y, especialmente, proteger los Datos Personales de los interesados y garantizar el libre ejercicio de sus derechos.

Por ello, desde UNICOMER, S.A entendemos que la presente Política PDP debe ser un instrumento vivo, que evolucione a medida que se desarrollan las actividades de la empresa, se producen avances en el estado de la técnica o se publican nuevos instrumentos normativos.

Por otra parte, UNICOMER, S.A es consciente de la necesidad de dotar a la presente Política PDP de recursos materiales y personales para asegurar su efectiva implementación y ejecución. Por ello, se ha creado la figura del DPO y se le ha rodeado de un Comité de Protección de Datos en el que se encuentran personas claves en el organigrama de UNICOMER, S.A

B. SEGUIMIENTO E INFORME ANUAL

Como continuación de lo anterior, UNICOMER, S.A asume igualmente el compromiso de asegurar el seguimiento continuo de la Política PDP.

El DPO quien, apoyado por el Comité de Protección de Datos, los departamentos internos y, especialmente, por el área jurídica, supervisará la correcta implementación de la política, los incidentes que puedan tener lugar, las solicitudes recibidas por parte de los titulares de los Datos Personales y cualquier otra situación que pueda suceder en relación con los mismos.

El DPO, además de asegurar el seguimiento diario de la Política PDP, informará periódicamente al Comité de Protección de Datos del estado en el que se encuentre la implementación de la política PDP, el número de solicitudes recibidas, las eventuales relaciones con la Autoridad de Control (Prodhab) y los proyectos o iniciativas puestos en marcha o cuya consideración se considere oportuno someter al Comité para su aprobación y/o elevación al Consejo de Administración.

Asimismo, de forma anual, el DPO presentará, un informe al Comité de Protección de Datos en el que se incluirán los hechos más relevantes acaecidos durante el año precedente, las solicitudes recibidas por parte de los interesados y su respuesta, las eventuales gestiones realizadas con el Prodhab, los incidentes de seguridad, así como las propuestas de mejora y los nuevos proyectos o iniciativas que se deseen poner en marcha durante el año en curso. Este informe, una vez revisado por el Comité de Protección de Datos, será presentado al Consejo de Administración para su aprobación definitiva.

Asimismo, el DPO pondrá el informe anual aprobado a disposición del Comité Global de Protección de Datos, para sus observaciones y/o recomendaciones.

C. COLABORACIÓN CON LAS AUTORIDADES

UNICOMER, S.A mantiene desde su fundación un compromiso con el respeto más absoluto de la legislación vigente y la cooperación con las autoridades públicas a todos los niveles (local, regional, nacional y supranacional) tanto en Costa Rica, como en todos los países en los que se encuentra presente. UNICOMER, S.A colaborará en todo momento con la Autoridad de Control (Prodhab), así como con cualquier otra autoridad pública, administrativa o judicial, ante cualquier solicitud, notificación o requerimiento por su parte.

El DPO será el interlocutor privilegiado en la colaboración con las autoridades en materia de protección de datos, contando con el apoyo y la colaboración del Comité de Protección de Datos, el Consejo de Administración y el resto del personal de UNICOMER, S.A

Así como también, el DPO será el encargado de darle cumplimiento al artículo doce de la Ley de Protección de la Persona frente al tratamiento de sus datos personales, el cual establece que, para que sean válidos, los protocolos de actuación de la empresa deberán ser inscritos, así como también sus posteriores modificaciones, ante en el Prodhab. Así como también de la base de datos de la empresa, deberá de inscribirse en el Registro del Prodhab. Es importante aclarar que dicha inscripción NO implica el trasbase o la transferencia de los datos.

Así como también, el DPO será el encargado de dar cumplimiento al artículo trece de la Ley de Protección de la Persona frente al tratamiento de sus datos personales, el cual establece que las personas responsables de bases de datos que se inscriban ante la Prodhab, estarán sujetos a un canon de regulación y administración de base de datos que deberá ser cancelado ANUALMENTE, con un monto de DOSCIENTOS DÓLARES DE LOS ESTADOS UNIDOS DE AMÉRICA.

Por lo que, el DPO será el encargado de velar porque la empresa se encuentre al día con esta obligación.

D. REVISIÓN Y ACTUALIZACIÓN

La presente Política PDP, sus anexos y cualquier otro instrumento, protocolo, programa o iniciativa implementada en la materia serán revisados de forma regular por parte del Comité de Protección de Datos.

El Comité de Protección de Datos evaluará la necesidad de actualizar la presente Política PDP, al menos, de forma anual, teniendo en cuenta para ello el informe anual presentado por el DPO. En caso de no considerarse necesaria la actualización, se dejará constancia en el acta de la reunión de los motivos que justifican tal decisión.

En el caso de que, por cualquier motivo, se considerara necesaria la actualización de la presente Política PDP, se encargará al DPO la elaboración de un proyecto de actualización, el cual será presentado al Comité de Protección de Datos para su evaluación y posterior elevación al Consejo de Administración de la sociedad. Asimismo, en caso de ser necesaria la aprobación de nuevos anexos para la inclusión de especialidades o adaptaciones de la Política PDP a las exigencias nacionales, se respetará el mismo modelo de actuación, encargándose el DPO – apoyándose en recursos especializados locales – de coordinar y supervisar la citada adaptación, que deberá ser ratificada por el Comité de Protección de Datos previa aprobación por el Consejo de Administración.

 

VersiónFechaDescripciónAutor
V1.02024/08/01

Nuevo documento

Primera versión aprobada en conjunto con la

Política Global de Privacidad de Datos de

Grupo Unicomer (POL.000005)

ECIJA