Whatsapp

Política de Privacidad

UNION COMERCIAL DE PARAGUAY, S.A. forma parte del grupo de una multilatina líder en retail y servicios financieros, caracterizados por ofrecer servicios adaptados a necesidades y pensando en el bienestar de sus clientes. Es por ello que a través de sus marcas comerciales y puntos de servicios financieros se encuentran una serie de facilidades de financiamiento y asistencia técnica.

A la fecha el grupo se ha posicionado como una de las multilatinas más importantes en Latinoamérica y el Caribe, llegando a millones de personas a través de sus más de 25 marcas comerciales, con operaciones en 26 países y más de 13,700 colaboradores.

En el ejercicio de este deber de responsabilidad que guía toda la actividad de UNICOMER PARAGUAY S.A, se ha considerado necesario dotar a la empresa, específicamente en el país de Paraguay, de la presente Política de Protección de Datos Personales (en adelante la “Política de Protección de Datos” o la “Política PDP”).

El objetivo de la presente Política PDP es servir como marco de actuación para todo el personal y garantizar el más absoluto respeto de la legislación nacional e internacional vigente, así como el cumplimiento de los más altos estándares éticos de privacidad, salvaguardando los derechos de los titulares de los Datos Personales y estableciendo una serie de pautas comunes para la empresa en Paraguay, tales como:

  • Garantizar la privacidad de los Datos Personales, específicamente el derecho a la Autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento.
  • Limitar los Datos Personales solicitados y garantizar la exactitud de los mismos.
  • Implementar las medidas técnicas y organizativas que aseguren la protección y resiliencia de los Datos Personales.
  • Informar debidamente al titular de los Datos Personales respecto al Tratamiento de sus Datos Personales
  • Que la obtención de la información siempre sea en base al consentimiento expreso otorgado de la persona titular de los datos o representante
  • Que la obtención de la información siempre sea en base al consentimiento expreso otorgado de la persona titular de los datos o representante

Para efectos de la presente Política PDP y, de acuerdo con la legislación nacional e internacional vigente, los siguientes términos tendrán el significado indicado a continuación:

  1. Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el Responsable que es puesto a disposición del titolar, previo al Tratamiento de sus Datos Personales.
  2. Autoridad de protección de datos o autoridad de control: Autoridad administrativa encargada oficialmente de la protección de los Datos Personales en la República de Paraguay:
    1. Banco Central de Paraguay, a través de la Superintendencia de Bancos.
    2. Secretaría de Defensa del Consumidor y el Usuario.
  3. Bloqueo: La identificación y conservación de Datos Personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades, en relación con su Tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los Datos Personales no podrán ser objeto de Tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde.
  4. Comité de protección de datos: Comité dedicado a la implementación y control de la Política de Protección de Datos de UNICOMER.
  5. Consentimiento: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el titular acepta, ya sea mediante una declaración o una clara acción afirmativa, el Tratamiento de Datos Personales que le conciernen.
  6. Datos personales: Toda información sobre una persona física o jurídica identificada o identificable. A estos efectos se considera persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante cualquier información (nombre, número de identificación, datos de localización, identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona). No se considera persona física identificable cuando, para lograr la identidad de ésta, se requieran plazos o esfuerzos desproporcionados.
  7. Datos personales sensibles o especialmente protegidos: Todos aquellos datos que afecten las esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste; como: origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el Tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Estos datos gozan de una protección especial y su Tratamiento requiere justificarse para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el Responsable del Tratamiento.
  8. Delegado de protección de datos o dpo: La persona encargada de coordinar y velar por el cumplimiento de la Política PDP, así como de garantizar el respeto de los derechos de los titulares de los Datos Personales en la Región.
  9. Encargado del tratamiento o encargado: La persona física o jurídica, que sola o conjuntamente con otras, trate Datos Personales por cuenta del Responsable del Tratamiento.
  10. Unicomer: La empresa responsable del tratamiento de datos.
  11. Personal del unicomer: Todo el personal de las empresas del citado GRUPO, incluidos consejeros, empleados, personal en práctica o con contrato de capacitación y asimilados.
  12. Responsable del tratamiento o responsable: La persona física o jurídica de carácter privado que decide sobre el Tratamiento de los Datos Personales.
  13. Supresión: Actividad consistente en eliminar, borrar o destruir el o los datos personales, una vez concluido el periodo de Bloqueo, bajo las medidas de seguridad previamente establecidas por el Responsable.
  14. Tercero o destinatario: Toda persona física o jurídica, nacional o extranjera, distinta del titular, el Responsable del Tratamiento o el Encargado del Tratamiento.
  15. Titular de los datos personales o interesado: Persona física o jurídica a la que pertenezcan los Datos Personales, los cuales son objeto de tratamiento.
  16. Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, almacenamiento, elaboración, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
  17. Violación o vulneración de seguridad: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
  18. Fuentes de información: Cualquier persona o entidad pública o privada que en el ejercicio de sus funciones o actividades, gestionen una base de datos personales o crediticios.
  19. Fuentes de información crediticia: Son las personas públicas y privadas que, debido a sus actividades, poseen información crediticia. Según la Ley paraguaya, son consideradas fuentes de información los Organismos y Entidades del Estado, y Entidades Administradoras de Fondos Previsionales que, por su naturaleza y funciones, posean información relevante para el análisis del riesgo crediticio.
  20. Usuario de información crediticia: Toda persona, física o jurídica, con interés legítimo que contrata la prestación de servicios de referencias crediticias. El interés legítimo está configurado por el empleo del crédito bajo sus diversas modalidades o la intermediación para el perfeccionamiento de este tipo de operaciones, como herramienta habitual de gestión en la actividad económica desarrollada, incluidos los contratos con prestaciones diferidas que impliquen pagos periódicos de sumas de dinero por plazos determinados, así como relaciones comerciales que pudieran existir entre los usuarios y titular del derecho.

La presente Política PDP se encuentra regida por la legislación nacional y las mejores prácticas internacionales aplicables en materia de protección de datos personales que la empresa ha tenido a bien aplicar.

De esta forma, son de aplicación principal los siguientes textos legales:

  • La Ley N. 6534 de Protección de Datos Personales Crediticios, vigente en la República de Paraguay.
  • El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de estos datos. En adelante, Reglamento General de Protección de Datos, GDPR o RGPD.

Toda adaptación de la presente Política PDP, cumplirá siempre y en todo caso con las siguientes condiciones:

  • Las adaptaciones estarán basadas en exigencias legales o estarán motivadas por causas de funcionamiento debidamente justificadas.
  • Las modificaciones constarán por escrito, anexándose a la presente Política PDP.

UNICOMER tendrá asimismo en cuenta, en todo momento, las modificaciones normativas conexas que indirectamente puedan afectar a la presente Política PDP.

Como parte de su compromiso en materia de protección de datos, UNION COMERCIAL DE PARAGUAY, S.A., se ha dotado tanto de un Delegado de Protección de Datos como de un Comité de Protección de Datos para el país, de forma que quede garantizado tanto el seguimiento de las actividades ordinarias, como el análisis y toma de decisiones colegiadas por las principales áreas responsables del Tratamiento de los datos dentro de UNION COMERCIAL DE PARAGUAY, S.A.

El cargo de Delegado de Protección de Datos (en adelante, el “DPO”) ha sido encomendado al director/ra del departamento interno de asesoría jurídica del país. El DPO es el encargado de informar y asesorar a UNICOMER en materia de protección de datos, de supervisar el cumplimiento por parte de UNICOMER de sus obligaciones y compromisos en materia de protección de datos, de gestionar las solicitudes recibidas por parte de los titulares de los Datos Personales y asegurar su correcto Tratamiento, así como de cooperar y actuar de punto de contacto con las autoridades de control.

Orgánicamente, el DPO depende jerárquicamente del Comité de Protección de Datos Personales (en adelante, el “Comité”), el cual, a su vez, se encuentra bajo el mando y supervisión del Consejo de Administración de la sociedad.

El Comité de Protección de Datos se encuentra formado por el personal de UNICOMER indicado a continuación:

  • Director/ra del departamento interno de asesoría jurídica.
  • Director/ra de Recursos Humanos.
  • Director/ra del departamento de IT.
  • Director/ra del departamento de operaciones.
  • Director/ra del departamento de Clientes.
  • Director/ra del departamento de Consumidores.
  • Director/ra del departamento de Proveedores.
  • Director/ra del departamento de vigilancia.
  • El DPO.

El Comité de Protección de Datos, de forma ordinaria, se apoyará en el departamento de asesoría jurídica interno de UNICOMER, el cual hará las veces de intermediario con el resto de los departamentos, asegurando las comunicaciones ordinarias.

El Comité de Protección de Datos tiene asignadas, entre otras, las funciones de verificación del cumplimiento de lo dispuesto en la presente Política PDP, así como el análisis y la aprobación de la actualización o propuestas de mejoras que deben ser elevadas al Consejo de Administración de UNICOMER. Asimismo, brindará apoyo al DPO en todo aquello que éste pueda requerir, así como en la formulación del informe anual en materia de Protección de Datos que elabora el DPO, con todos los hechos relevantes ocurridos en el transcurso del año y que deberá ser aprobado por el Consejo de Administración de UNICOMER.

El Comité de Protección de Datos participará, asimismo, en la elaboración, implementación y supervisión de cualquier normativa corporativa de UNICOMER en el que se pueda ver afectado, directa o indirectamente, el Tratamiento de Datos Personales.

El Comité de Protección de Datos se regirá por su propio reglamento interno, reuniéndose con la periodicidad indicada en el mismo que, en ningún caso, será inferior a una reunión cuatrimestral. El Comité de Protección de Datos dispondrá de los recursos materiales y personales necesarios para apoyar la labor del DPO y facilitarle a éste los medios que precise para el desarrollo de sus funciones.

Asimismo, el DPO será el encargado de verificar que se cumpla con todas las obligaciones establecidas en la Ley 6534 de Protección de Datos Personales Crediticios.

A efectos de dar cumplimiento a las obligaciones prescritas en la Ley 6534 de Protección de Datos Personales Crediticios, se hace constar que el RESPONSABLE DEL TRATAMIENTO en relación a esta política UNION COMERCIAL DE PARAGUAY, S.A. El delegado de protección de datos personales estará centralizado a quien se le podrá contactar a través del correo: dpo@unicomer.com

El Objetivo de la presente Política de Protección de Datos Personales es establecer los principios y normas aplicables al Tratamiento de los Datos Personales por parte de UNICOMER, así como por su personal.

La presente Política PDP tiene como propósito servir como guía y como marco de actuación para la toma de decisiones y la gestión de procedimientos internos, la gestión de proveedores y colaboradores, la captación de clientes y la negociación con los mismos, la elaboración de herramientas propias y la organización regional de UNICOMER.

a. Principios Generales

Los principios generales indicados a continuación guiarán todas las decisiones de UNICOMER y de su personal, siendo de obligado cumplimiento y debiendo ser incorporados a todas las actuaciones que impliquen el Tratamiento de Datos Personales:

1. Principio de información

De acuerdo con el principio de información, UNICOMER se encuentra obligada a informar a los Titulares las características principales del Tratamiento al que serán sometidos sus Datos Personales, lo que se materializa mediante la puesta a disposición del Aviso de Privacidad en sus tres modalidades: integral, simplificado y corto.

La modalidad en que el Aviso de Privacidad debe ser puesto a disposición del Titular dependerá de las circunstancias específicas en que se recaban los Datos Personales: de los medios utilizados para la obtención de los Datos Personales y de la forma en que éstos se obtengan, ya sea de manera personal1, directa2 o indirecta3 de su Titular.

  • El Aviso de Privacidad integral se puede utilizar cuando los Datos Personales sean obtenidos personalmente de los Titulares.
  • El Aviso de Privacidad simplificado se puede utilizar cuando los Datos Personales sean obtenidos directamente de los Titulares.
  • El Aviso de Privacidad corto se puede utilizar únicamente cuando el espacio utilizado para la obtención de los Datos Personales sea mínimo y limitado, de forma tal que los Datos Personales obtenidos también sean mínimos.

El Aviso de Privacidad debe ser puesto a disposición del Titular, previo al Tratamiento de sus Datos Personales, cuando éstos se obtengan de forma personal o directa. En los casos en que los Datos Personales se hubieran obtenido de forma indirecta, el Aviso de Privacidad deberá hacerse del conocimiento del Titular al primer contacto que se tenga con éste, siempre y cuando el Tratamiento requiera el contacto con el Titular.

El Aviso de Privacidad puede difundirse o reproducirse a través de cualquier de los siguientes medios: formato físico, electrónico, óptico, sonoro, visual o a través de cualquier otra tecnología que permita su eficaz comunicación.

Se deberá poner a disposición de los Titulares un nuevo Aviso de Privacidad cuando: (i) cambie la identidad del Responsable; (ii) se requiera recabar nuevos Datos Personales a aquéllos señalados en el Aviso de Privacidad; (iii) se cambien o incorporen nuevas finalidades a las señaladas en el Aviso de Privacidad; y (iv) se modifiquen las condiciones de las Transferencias o se vayan a realizar Transferencias no previstas originalmente.

En cumplimiento al principio de información, el Comité de Protección de Datos Personales deberá implementar o coordinar las siguientes acciones:

  • Implementar los mecanismos de difusión del Aviso de Privacidad referidos con anterioridad.
  • Verificar constantemente que el Aviso de Privacidad integral siempre esté disponible para su consulta en las instalaciones de UNICOMER; así como en la red interna de UNICOMER. La periodicidad con la que deberá llevarse a cabo esta verificación, la fijará el Comité de Protección de Datos Personales a su prudente arbitrio, considerando el grado de exposición a fallas de dichos medios de difusión.
  • Revisar periódicamente las tres modalidades del Aviso de Privacidad y, en caso de ser necesario, actualizar las mismas de acuerdo con los elementos informativos que establece la legislación.
  • Determinar si las actualizaciones al Aviso de Privacidad resultan aplicables a los Titulares respecto de los cuales ya se tienen sus Datos Personales, en cuyo caso deberá darles a conocer el nuevo Aviso de Privacidad, mediante el envío de un correo electrónico masivo, por ejemplo.
  • Determinar y verificar constantemente que las modalidades y momentos en que se da a conocer el Aviso de Privacidad sean acordes con los procesos de UNICOMER.

2. Principio de consentimiento

UNICOMER debe obtener el Consentimiento del Titular previo al Tratamiento de sus Datos Personales, salvo que se actualice alguno de los supuestos de excepción que establece la legislación, a saber:

  • Cuando el Tratamiento sea necesario porque así lo ordena una ley;
  • Los Datos Personales se obtengan de una fuente de acceso público;
  • Los Datos Personales se sometan a un procedimiento previo de disociación, de forma tal que no se pueda identificar su Titular;
  • El Tratamiento tenga el propósito de cumplir obligaciones derivadas de una relación jurídica con el Titular;
  • Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
  • Los Datos Personales sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, Tratamientos médicos o la gestión de servicios sanitarios, mientras el Titular no esté en condiciones de otorgar el Consentimiento, en los términos que establece las leyes de salud y demás disposiciones jurídicas aplicables, y que el Tratamiento se realice por una persona sujeta al secreto profesional u obligación equivalente; o
  • Se dicte resolución de autoridad competente.

El Consentimiento puede ser tácito4 , expreso5 o expreso y por escrito6 , dependiendo del tipo de Datos Personales. El Consentimiento, por regla general, puede ser tácito; sin embargo, cuando se trate de Datos Personales patrimoniales o financieros, se requiere del Consentimiento expreso del Titular; y cuando se trate de Datos Personales Sensibles, debe ser expreso y por escrito, salvo que se actualice alguna de las excepciones señaladas con anterioridad.

Para efectos ilustrativos, a continuación, se presenta una clasificación de los Datos Personales:

  • Identificación7;
  • Contacto o electrónicos8;
  • Laborales9;
  • Características físicas10;
  • Académicos11;
  • Patrimoniales o financieros12;
  • Biométricos13;
  • Sensibles14, que incluyen: ideológicos15; sobre opiniones políticas16; sobre afiliación sindical17; de salud18; sobre vida sexual19; así como de origen étnico o racial20;
  • De tránsito y movimientos migratorios21; y
  • Sobre procedimientos administrativos y/o jurisdiccionales.

Cuando se vayan a realizar Transferencias de Datos Personales que requieran el Consentimiento del Titular, se deberá incluir en el Aviso de Privacidad una cláusula que permita al Titular indicar si acepta o no la Transferencia de su información personal, tomando en cuenta el tipo de Datos Personales que se vayan a Transferir (patrimoniales, financieros, sensibles o cualquier otro), para que se obtenga el Consentimiento del Titular según corresponda: tácito, expreso o expreso y por escrito.

Conforme a lo establecido en la Ley, las Transferencias nacionales o internacionales de Datos Personales podrán llevarse a cabo sin el Consentimiento del Titular cuando se dé alguno de los siguientes supuestos:

  • Cuando la Transferencia esté prevista en una Ley o Tratado en los que México sea parte;
  • Cuando la Transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
  • Cuando la Transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo que opere bajo los mismos procesos y políticas internas;
  • Cuando la Transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del Titular, por el Responsable y un Tercero;
  • Cuando la Transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
  • Cuando la Transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; y
  • Cuando la Transferencia sea necesaria para el mantenimiento o cumplimiento de una relación jurídica entre UNICOMER y el Titular.

En cumplimiento al principio de Consentimiento, el Comité de Protección de Datos será responsable de implementar o coordinar las siguientes acciones:

  • Implementar formularios para cada uno de los perfiles de los Titulares, en los que se incluyan las modalidades del Aviso de Privacidad que han quedado señaladas con anterioridad, para recabar el Consentimiento expreso y por escrito de los Titulares, a través de las opciones de marcado previstas en cada una de estas modalidades.
  • Conservar el documento físico que permita acreditar que obtuvo el Consentimiento expreso y por escrito del Titular para el Tratamiento de sus Datos Personales.
  • Verificar constantemente los procedimientos internos de UNICOMER con la finalidad de confirmar que el Consentimiento de los Titulares se recabe previo a la obtención o uso de los Datos Personales.

3. Principio de finalidad

Los Datos Personales sólo pueden ser tratados para cumplir con la finalidad o finalidades que hayan sido informadas al Titular en el Aviso de Privacidad y, en su caso, consentidas por éste.

El Tratamiento de los Datos Personales puede incluir finalidades primarias que son aquéllas que dan origen y son necesarias para la relación jurídica con el Titular; y finalidades secundarias que son aquéllas que no cumplen con la condición anterior.

Conforme a la legislación en materia de protección de Datos Personales, el Titular puede negar su Consentimiento, así como oponerse al Tratamiento de sus Datos Personales para las finalidades secundarias, sin que ello tenga como consecuencia la conclusión del Tratamiento para las finalidades primarias.

En ese sentido, es indispensable que en el Aviso de Privacidad se identifique y distinga entre las finalidades primarias y secundarias del Tratamiento, y se indique el mecanismo habilitado para que el Titular, si así lo desea, manifieste su negativa al Tratamiento de sus Datos Personales para todas o algunas de las finalidades secundarias. Este mecanismo debe estar a disposición de los Titulares previo a que su información personal sea tratada para dichos fines.

En cumplimiento al principio de finalidad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

  • Concientizar al personal de UNICOMER a efecto de que conozca claramente cuáles son las finalidades para las cuales pueden ser tratados los Datos Personales.
  • Revisar periódicamente los procedimientos internos de UNICOMER con la finalidad de verificar que los Datos Personales únicamente estén siendo utilizados para las finalidades informadas en el Aviso de Privacidad.
  • Verificar constantemente las finalidades informadas en el Aviso de Privacidad para confirmar que las mismas sean acordes con los procesos internos de UNICOMER y, en su caso, coordinar la actualización del Aviso de Privacidad y su puesta a disposición a los Titulares.
  • Implementar mecanismos que permitan identificar a los Titulares que hubieran negado su Consentimiento para el Tratamiento de sus Datos Personales para finalidades secundarias.

4. Principio de proporcionalidad

El principio de proporcionalidad establece las siguientes obligaciones:

  • Tratar sólo aquellos Datos Personales que resulten necesarios, adecuados y relevantes en relación con las finalidades para las cuales se obtuvieron;
  • Realizar esfuerzos razonables para limitar el periodo de Tratamiento al mínimo indispensable;
  • Limitar el acceso a los Datos Personales sólo al personal que requiera conocer los mismos en el desempeño de sus funciones;
  • Crear bases de datos con Datos Personales Sensibles sólo cuando obedezca a un mandato legal; se justifique para la seguridad nacional, el orden, la seguridad y la salud pública, así como para salvaguardar derechos de Terceros; o UNICOMER lo requiera para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persiga.

En cumplimiento al principio de proporcionalidad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

  • Concientizar a su personal a efecto de que conozca claramente cuáles son los Datos Personales que puede obtener y almacenar de los Titulares;
  • Revisar periódicamente los formularios utilizados por UNICOMER, con la finalidad de confirmar que los Datos Personales que prevén los mismos continúen siendo necesarios para el cumplimiento de las finalidades informadas en el Aviso de Privacidad;
  • Verificar constantemente que los períodos establecidos para el Tratamiento de los Datos Personales sean los mínimos indispensables, especialmente por lo que hace al Tratamiento de Datos Personales Sensibles;
  • Se implementarán los sistemas necesarios para limitar el número de personas que tienen acceso a los Datos Personales. Para ello se realizará un análisis individualizado de cada servicio de forma previa a su inicio con objeto de determinar y definir la estructura adecuada y los sistemas o medios que permitan asegurar el respeto del principio de limitación;
  • La prestación de cada servicio y la realización de cada actividad de UNICOMER deberán ir acompañadas de una previsión acerca de la conservación de los datos que incluya los sistemas necesarios para asegurar el Bloqueo y la Supresión de los datos una vez que no exista una causa justificada para su conservación.

5. Principio de calidad

El principio de calidad establece la obligación de que los Datos Personales que vayan a ser sometidos a Tratamientos, sean:

  • Exactos: Los Datos Personales son exactos cuando reflejan la realidad de la situación de su Titular, es decir, son verdaderos o fieles;
  • Completos: Los Datos Personales están completos cuando no falta ninguno de los que se requiera para las finalidades para las cuales se obtuvieron y son tratados de forma tal que no se cause un daño o perjuicio al titular;
  • Pertinentes: Los Datos Personales son pertinentes cuando corresponden efectivamente al Titular;
  • Actualizados: Los Datos Personales son actualizados cuando están al día y corresponden a la situación real del Titular;
  • Correctos: Los Datos Personales son correctos cuando cumplen con todas las características anteriores, es decir, son exactos, completos, pertinentes y actualizados.

UNICOMER debe adoptar las medidas que considere convenientes para procurar que los Datos Personales cumplan con estas características, a fin de que no se altere la veracidad de la información, ni que ello tenga como consecuencia que el Titular se vea afectado por dicha situación.

Es importante señalar que existe la presunción de que los Datos Personales cumplen con estas características cuando los proporciona directamente su Titular y hasta en tanto éste no manifieste y acredite lo contrario; o bien, UNICOMER cuente con evidencia que lo contradiga.

En cumplimiento al principio de calidad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

  • Recabar los Datos Personales directamente de su Titular, a través de los formularios implementados para tal efecto, mismos que idealmente deberán ser firmados por el Titular de los mismos;
  • Cuando sea posible, conservar los formularios respectivos que permitan acreditar que el Titular proporcionó sus Datos Personales de forma directa;
  • Con el objetivo de garantizar el cumplimiento de las exigencias de la normatividad aplicable pero, sobre todo, siendo conscientes de la importancia crítica que tiene la exactitud de los datos y su potencial impacto en la actividad de UNICOMER, es necesario garantizar la precisión de los datos en todas las etapas o fases de la actividad, combinando verificaciones manuales con comprobaciones y análisis automatizados;
  • Asimismo, es imprescindible informar a los titulares de los datos de la necesidad de mantener actualizados sus datos, de forma que los mismos sean en todo momento exactos y veraces. Para ello, es necesario habilitar canales adaptados a la tipología de titulares de los datos para facilitar la interacción de los mismos con la sociedad de UNICOMER que esté realizando el Tratamiento de forma que su actualización no requiera de un esfuerzo desproporcionado a los titulares.

6. Principio de licitud y lealtad

Los Datos Personales tienen que ser tratados de manera lícita y leal, lo que supone que UNICOMER sólo podrá hacer con los Datos Personales aquello que esté legalmente permitido.

El principio de licitud implica que todo Tratamiento de Datos Personales debe contar con una causa que justifique dicho Tratamiento. A los efectos de la presente Política PDP, el Tratamiento solo se considerará lícito si se cumple al menos una de las siguientes condiciones:

  • El Titular dio su Consentimiento para el Tratamiento de sus Datos Personales para uno o varios fines específicos informados en el Aviso de Privacidad que resulte aplicable.
  • El Tratamiento es necesario para la evaluación o ejecución de un contrato en el que el Titular es parte o para la aplicación de medidas precontractuales.
  • El Tratamiento es necesario para el cumplimiento de una obligación legal aplicable al Responsable del Tratamiento.
  • El Tratamiento es necesario para proteger intereses vitales del Titular o de otra persona física o jurídica.
  • El Tratamiento es necesario para el cumplimiento de un fin de interés público o en el ejercicio de poderes públicos.
  • El Tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el Responsable del Tratamiento o por un Tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del Titular que requieran la protección de Datos Personales, en particular cuando el Titular sea un niño.

De acuerdo con el principio de lealtad, la obtención de los Datos Personales no podrá hacerse a través de medios engañosos, ni fraudulentos, lo que implica que:

  • No se recaben Datos Personales con dolo, mala fe o negligencia;
  • No se vulnere la confianza del Titular con relación a que sus Datos Personales serán tratados conforme a lo acordado; y
  • Se informen todas las finalidades del Tratamiento en el Aviso de Privacidad.

UNICOMER se asegurará siempre y en todo caso de que el Tratamiento de los Datos Personales se lleve a cabo con apego a la legislación, contar con, al menos, una de las causas que justifica el Tratamiento de los datos, sin utilizar medios engañosos o fraudulentos en su obtención, respetando en todo momento la expectativa razonable de confidencialidad de los mismos.

Siempre que sea posible, se dará prioridad a la obtención del Consentimiento del Titular de los datos, debiendo tratarse de un Consentimiento informado. Esto quiere decir que previo al Tratamiento de los Datos Personales se deberá poner a disposición del Titular el Aviso de Privacidad, a través del cual se informen las características del Tratamiento al que serán sometidos sus Datos Personales y éste otorgue su Consentimiento al respecto.

En cumplimiento al principio de licitud y lealtad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

  • Realizar verificaciones periódicas con la finalidad de confirmar que los Datos Personales estén siendo tratados de conformidad con la presente Política PDP;
  • Incluir cláusulas en los contratos con su personal o Encargados que garanticen la confidencialidad de los Datos Personales;
  • Revisar periódicamente los procedimientos y formularios utilizados por UNICOMER para verificar que en éstos no se utilicen prácticas que lleven a la obtención de los datos de manera dolosa, de mala fe o con negligencia;
  • Prever sanciones para su personal, en caso de que violen su deber de confidencialidad o hagan uso de prácticas dolosas, de mala fe o negligentes para la obtención de los Datos Personales.

Queda asimismo prohibida la adquisición u obtención de Datos Personales de fuentes ilegítimas, así como de fuentes que no garanticen suficientemente su legítima procedencia o de fuentes cuyos que hayan obtenido los datos vulnerando la legislación vigente.

7. Principio de responsabilidad

El principio de responsabilidad establece la obligación de velar por el cumplimiento del resto de los principios, adoptar las medidas necesarias para su aplicación, y demostrar ante Titulares y el Instituto, que UNICOMER cumple con sus obligaciones en torno a la protección de los Datos Personales. Conforme a este principio, UNICOMER está obligada a velar por la protección de los Datos Personales.

En cumplimiento al principio de responsabilidad, el Comité de Protección de Datos Personales será responsable de implementar o coordinar las siguientes acciones:

  • Poner en práctica un programa de capacitación, actualización y concientización del personal sobre las obligaciones en materia de protección de Datos Personales;
  • Actualizar la presente Política PDP, para asegurar que continúen siendo vigentes con relación a la legislación vigente y considerando posibles cambios o cualquier modificación en los procedimientos y/u operaciones de UNICOMER, que puedan tener repercusiones en el ámbito de protección de Datos Personales; y
  • Realizar las actividades de verificación que a su cargo establece la presente Política PDP, cuando menos, de forma anual, a través del Check-List de Cumplimiento que para tales efectos apruebe el Comité de Protección de Datos Personales, salvo por aquellas obligaciones que por su naturaleza requieran de una periodicidad menor que fijará el Comité de Protección de Datos Personales a su prudente arbitrio, considerando el grado de exposición a fallas.

8. Principio de integridad

Los Datos Personales serán tratados de tal manera que se garantice su seguridad a través de la implementación de medidas técnicas y organizativas que permitan garantizar un nivel de seguridad adecuado contra todo acceso no autorizado o ilícito, su manipulación indebida, así como su destrucción.

En virtud del principio de integridad, las medidas de protección garantizarán igualmente la disponibilidad de los datos, así como su posible recuperación en caso de destrucción accidental o intencionada de los mismos.

9. Principio de confidencialidad y deber de secreto

Todo el personal de UNICOMER realizará el Tratamiento de los Datos Personales con la máxima confidencialidad y secreto, no pudiendo ser utilizados para otros fines distintos aquellos para los que fueron recogidos y sin que puedan ser comunicados o cedidos a Terceros fuera de los casos permitidos por la legislación vigente.

Lo anterior implicará la inclusión en los contratos de los trabajadores de cláusulas de confidencialidad específicas y la implementación de medidas técnicas que permitan evitar la copia masiva de datos o su extracción en dispositivos no autorizados.

Las personas responsables, encargadas del tratamiento de datos crediticios y quienes intervengan en cualquier fase de recolección, procesamiento, almacenamiento, utilización o circulación de datos con fines crediticios están obligados a guardar el secreto respecto de los mismos, salvo que requiera se revelado por autoridad competente mediando orden judicial.

El deber de secreto no regirá cuando la información sea requerida por:

  • El Banco Central del Paraguay y sus órganos de supervisión, en ejercicio de sus facultades legales.
  • La autoridad judicial competente, en virtud de resolución dictada en juicio en el que el afectado sea parte. En tal caso, deberán adoptarse las medidas pertinentes que garanticen la reserva.
  • El Contralor General de la República, en el marco de sus atribuciones, sobre la base de las siguientes condiciones:

10. Principio de proactividad o de responsabilidad proactiva

UNICOMER realizará en todo momento sus mejores esfuerzos, de acuerdo con el estado de la técnica y con los medios personales y materiales de los que disponga, para implementar aquellas medidas que sean idóneas para garantizar el respeto de los principios y obligaciones incluidos en la presente Política PDP.

Como parte del principio de Proactividad, desde el UNICOMER se favorecerá el lanzamiento de iniciativas, ideas y propuestas por parte de todo su personal para la mejora de los instrumentos y políticas en materia PDP.

11. Principio de especial protección en las transferencias internacionales y comunicaciones a terceros países

UNICOMER, dado su carácter y composición internacional, garantizará en todo momento la máxima seguridad y el cumplimiento estricto de la legislación vigente, así como de las recomendaciones que puedan ser emitidas por parte de la Autoridad de Control y demás autoridades competentes, a la hora de realizar transferencias o comunicaciones de Datos Personales a sociedades del grupo o a cualquier Tercero ajeno a UNICOMER, especialmente si se trata de países que no brinden un nivel adecuado de protección.

A estos efectos, UNICOMER tomará en consideración y aplicará, siempre que sea posible, las garantías, cláusulas tipo y normas corporativas vinculantes emitidas por la Autoridad de Control, de acuerdo con lo dispuesto en el Protocolo de Actuación que se acompaña como Anexo II a la presente Política PDP. En caso de no poder garantizar la seguridad y el correcto Tratamiento de los Datos Personales por parte de un Tercero que no cuente con un nivel adecuado de protección, se requerirá una autorización previa del Comité de Protección de Datos Personales sin la cual no se podrá realizar la transferencia o comunicación.

b. Unicomer como responsable del tratamiento

Tipología y origen de los datos personales

UNICOMER tendrá el carácter de Responsable del Tratamiento de los Datos Personales en relación con aquellos Datos Personales respecto de los cuales determine los fines y medios del Tratamiento.

En el marco de su actividad, UNICOMER tendrá el carácter de Responsable, entre otros, de los Datos Personales obtenidos de las siguientes categorías de interesados:

  • Candidatos
  • Empleados
  • Clientes
  • Proveedores
  • Visitantes

UNICOMER, como Responsable del Tratamiento, garantizará el cumplimiento de la presente Política PDP en el Tratamiento de los datos, haciéndose directamente responsable de las transferencias de Datos Personales realizadas a otras empresas del grupo o a cualquier Tercero.

2. Ciclo de vida de los datos personales

En términos generales, el ciclo de vida de los Datos Personales comprende las siguientes fases:

  • Obtención
  • Tratamiento
  • Clasificación y almacenamiento
  • Cesión
  • Eliminación

1. Obtención

UNICOMER como Responsable de Tratamiento aplicará todas las medidas incluidas en la presente Política PDP a la hora de obtener los Datos Personales, privilegiando como causa de justificación para la obtención de los datos el Consentimiento otorgado por los titulares el cual deberá solicitarse, siempre y en todo caso, una vez informado al interesado de los motivos por los que se solicitan los datos, la finalidad o finalidades para los que van a ser empleados, los medios de Tratamiento y, especialmente, los derechos que les asisten como titulares de los mismos. Esto a través de la puesta a disposición de un Aviso de Privacidad. Siempre que sea posible se solicitará un Consentimiento por escrito, entregando copia del documento preparado a tal efecto al interesado, y ello aunque pudieran existir otras bases legales que justificaran la solicitud de los datos (ej. la existencia de una relación laboral entre UNICOMER y el interesado).

2. Tratamiento

El Tratamiento que UNICOMER realiza de los Datos Personales se ajustará a la categoría de interesado, limitándose siempre y en todo caso al cumplimiento de los fines para los cuales fueron recabados e informados en el Aviso de Privacidad.

En el caso en el que el titular de los Datos Personales mantenga una relación laboral con UNICOMER, el Tratamiento realizado de los datos se limitará a aquellas finalidades directamente ligadas a la relación profesional, debiendo informar y solicitarse el Consentimiento expreso de los interesados para la realización de cualquier otro tipo de Tratamiento o para alcanzar cualquier finalidad que no esté amparada por la relación laboral (envío de publicidad, campañas de marketing, prestación de servicios que no estén directamente ligados con la relación laboral, etc.).

En el caso de los clientes y proveedores que fueran personas jurídicas, en base a la Legislación Paraguaya, estos no se encuentran excluidos de la regulación de protección de Datos Personales. Adicionalmente, las personas jurídicas suelen proporcionar información y documentación corporativa que contiene Datos Personales de sus accionistas, órganos de administración y vigilancia, delegados especiales y representantes legales, a quienes UNICOMER, también les aplicará los mismos principios de protección y Tratamiento que al resto de Datos Personales.

3. Clasificación y almacenamiento

UNICOMER, en su condición de Responsable de Tratamiento, clasificará y almacenará los datos de las distintas categorías de interesados dentro de los límites y con las garantías que marca la legislación vigente.

Los Datos Personales de los empleados, clientes y proveedores se encuentran, además, almacenados en bases de datos distintas, teniendo acceso a los mismos únicamente aquellos departamentos que por sus funciones específicas tienen la necesidad de realizar su Tratamiento.

Las bases de datos se encuentran, en todo caso, protegidas por las medidas técnicas necesarias para garantizar la integridad de los datos, su disponibilidad, así como su posible recuperación en caso de destrucción accidental o intencionada de los mismos.

4. Acceso, cesión y transferencias internacionales de los datos personales

UNICOMER tiene externalizados parte de sus servicios profesionales a través de distintos proveedores (servicios legales, gestorías, proveedores de Internet, mensajería, etc.) que tienen accesos parciales y limitados a los Datos Personales de los que UNICOMER es Responsable.

No obstante y, de acuerdo con la legislación vigente, los accesos acordados con estos Terceros, más allá de las precauciones adoptadas, no se considerará una transferencia de datos, sino una remisión.

En cualquier caso, UNICOMER incluye de forma generalizada una cláusula de protección de datos en la que se regulan los derechos y obligaciones de las partes en todos los acuerdos firmados con proveedores.

Estas mismas precauciones son adoptadas en los casos de transferencias de datos dentro de UNICOMER o para cualquier tipo de transferencia internacional, respetándose y aplicando los diferentes estándares (cláusulas tipo, normas vinculantes, etc.) publicados por las autoridades competentes.

5. Eliminación

En cumplimiento de los principios antes enumerados, UNICOMER ha adoptado el compromiso de no mantener Datos Personales más allá de los tiempos exigidos para el cumplimiento de la relación jurídica y las obligaciones legales derivadas de la misma (laborales, fiscales, penales, etc.).

El artículo número 9 de la Ley, la cual establece el Derecho al Olvido de los datos Crediticios establece que la conservación de los datos personales, que puedan afectar a su titular, no deberá exceder el plazo de CINCO AÑOS, desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que establezca otro plazo o porque el acuerdo de las partes haya establecido un plazo menor. En caso de que sea necesaria su conservación, más allá del plazo estipulado, estos deberán ser desasociados de los datos personales de su titular.

Para la aplicación de la presente PDPD, UNICOMER ha decidido que la eliminación de datos se hará para todos los casos CINCO AÑOS después de obtenidos los mismos.

Para ello, el UNICOMER ha aprobado un Protocolo de borrado de datos que se acompaña al presente documento como parte del Anexo III, a través del cual se pretende garantizar el cumplimiento de la legislación vigente y el ejercicio de los derechos por parte de los titulares de los Datos Personales.

c. Tratamiento de los datos personales especialmente protegidos

La actividad de UNICOMER supone la gestión diaria de un altísimo volumen de Datos Personales, incluido el Tratamiento de datos Especialmente Protegidos.

Por lo que, UNICOMER se ha dotado del Protocolo de actuación que se acompaña como Anexo IV a la presente Política PDP.

d. Relación con proveedores y subcontratistas

UNICOMER realizará las verificaciones previas y tomará las medidas adecuadas para garantizar que todo proveedor o subcontratista con el que pretenda contratar asume los compromisos y obligaciones marcados por la normatividad de la materia.

En el caso en el que el proveedor o subcontratista no se adhiera de forma incondicional a las cláusulas o los documentos preparados al efecto por el departamento legal de UNICOMER, será necesario someter el acuerdo alcanzado con el subcontratista o proveedor a la consideración del DPO, el cual deberá autorizar o rechazar las modificaciones u objeciones presentadas.

Cuando se trabaje de forma regular con algún proveedor o subcontratista, se le requerirá periódicamente y de forma aleatoria la documentación o las pruebas que acrediten el cumplimiento por parte de éste de las medidas y obligaciones acordadas.

En el caso en el que el proveedor o subcontratista únicamente preste sus servicios mediante cláusulas de adhesión, será necesario analizar previamente la política y los compromisos en materia de protección de datos adquiridos por el proveedor o subcontratista, solicitar a éste la ubicación o ubicaciones desde las cuales llevará a cabo el Tratamiento (incluido el almacenamiento de los Datos Personales) y solicitar un informe al DPO, especialmente si el proveedor o subcontratista se encuentra en un país que no brinde un nivel adecuado de seguridad.

A la hora de valorar la elección entre distintos proveedores o subcontratistas, se tendrá en cuenta ya sea en forma de baremo, méritos o cualquier otro sistema de elección, el cumplimiento y el compromiso por parte del proveedor o subcontratista en materia de Protección de Datos. Asimismo, salvo autorización expresa por parte del Consejo de Administración de la sociedad UNICOMER, no se contratará con ningún proveedor o subcontratista que haya sido sancionado o condenado por una infracción en materia de protección de datos.

1 Por obtención personal se entiende al acto en el cual el Titular proporciona los Datos Personales al Responsable o a la persona física designada por el Responsable, con la presencia física de ambos.

2 Por obtención directa se entiende al acto en el cual el propio Titular proporciona los Datos Personales por algún medio que permite su entrega directa al Responsable, entre ellos, medios electrónicos, ópticos, sonoros, visuales o cualquier otra tecnología, como correo postal, internet o vía telefónica, entre otros.

3 Por obtención indirecta se entiende al acto en el cual el Responsable obtiene los Datos Personales sin que el Titular se los haya proporcionado de forma personal o directa, como por ejemplo a través de una fuente de acceso público o una transferencia.

4 Se entiende por consentimiento tácito cuando la persona que debe otorgar su consentimiento lo manifiesta a través de hechos o actos que lo presupongan o que autoricen a presumirlo, como el contestar una encuesta después de haber tenido conocimiento del Aviso de Privacidad.

5 Se entiende por consentimiento expreso aquel que debe ser manifestado de forma clara ya sea por escrito, verbal o por signos inequívocos, como la firma de cierto documento o aceptación vía telefónica.

6 Mediante firma autógrafa, huella dactilar, firma electrónica del Titular o cualquier otro mecanismo autorizado que permita identificarlo plenamente.

7 Información concerniente a una persona física que permite diferenciarla de otras en una colectividad, tales como: nombre, estado civil, firma autógrafa y electrónica, Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), número de cartilla militar, lugar y fecha de nacimiento, nacionalidad, fotografía, edad, entre otros.

8 Información que permite mantener o entrar en contacto con su titular, tal como: domicilio, correo electrónico, teléfono fijo, teléfono celular, entre otra.

9 Información concerniente a una persona física relativa a su empleo, cargo o comisión, desempeño laboral y experiencia profesional, generada a partir de procesos de reclutamiento, selección, contratación, nombramiento, evaluación y capacitación, tales como: puesto, domicilio de trabajo, correo electrónico institucional, teléfono institucional, referencias laborales, fecha de ingreso y terminación del empleo, entre otros.

10 Información sobre una persona física relativa a su fisonomía, anatomía, rasgos o particularidades específicas, como: color de la piel, del iris o del cabello, señas particulares, estatura, peso, complexión, cicatrices, tipo de sangre, entre otras.

11 Información concerniente a una persona física que describe su preparación, aptitudes, desarrollo y orientación profesional o técnica, avalada por instituciones educativas, como lo son: trayectoria educativa, títulos, cédula profesional, certificados, reconocimientos, entre otros.

12 Información concerniente a una persona física relativa a sus bienes, derechos, cargas u obligaciones susceptibles de valoración económica, como pueden ser: bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, afores, fianzas, número de tarjeta de crédito, número de seguridad, entre otros.

13 Información sobre una persona física relativa a imagen del iris, huella dactilar, palma de la mano u otros análogos.

14 Se entiende por datos sensibles toda información concerniente a una persona física cuya utilización pueda dar origen a discriminación, tales como origen racial, estado de salud, preferencia sexual, etc.

15 Información sobre las posturas ideológicas, religiosas, filosóficas o morales de una persona.

16 Opinión de una persona con relación a un hecho político o sobre su postura política en general.

17 Pertenencia de una persona a un sindicato y la información que de ello derive.

18 Información concerniente a una persona física relacionada con la valoración, preservación, cuidado, mejoramiento y recuperación de su estado de salud físico o mental, presente, pasado o futuro, así como información genética.

19 Información de una persona física relacionada con su comportamiento, preferencias, prácticas o hábitos sexuales, entre otros.

20 Información concerniente a una persona física relativa a su pertenencia a un pueblo, etnia o región que la distingue por sus condiciones e identidades sociales, culturales y económicas, así como por sus costumbres, tradiciones y/o creencias.

21 Información concerniente a una persona física relativa a desplazamientos que pueden ser duraderos o no, vinculados al lugar donde se vive o trabaja, y que realiza una persona.

De acuerdo con las previsiones normativas y teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas y jurídicas, UNICOMER ha adoptado las medidas organizativas y técnicas apropiadas para garantizar la seguridad, integridad y resiliencia de los Datos Personales tratados.

a. Medidas organizativas

UNICOMER capta, forma y organiza a todo su personal con el objetivo de alcanzar los más altos estándares de excelencia y liderazgo. En materia de protección de datos, el compromiso de UNICOMER a nivel organizativo está reflejado, entre otras, en las siguientes medidas:

  1. Compromiso integral de la normativa corporativa de UNICOMER en materia de protección de datos, comenzando por la dirección del grupo que, liderando con el ejemplo, ha implementado la presente política PDP y los Protocolos que la acompañan, destinando los recursos suficientes para su ejecución efectiva;
  2. Nombramiento de un DPO y un Comité específico en materia de PDP que apoye al DPO;
  3. División del Tratamiento y organización del personal bajo criterios de especialización y limitación, de forma que los empleados únicamente tengan acceso a los datos que realmente necesitan conocer;
  4. Establecimiento de protocolos que garanticen el respeto de los derechos de los interesados ante el ejercicio por parte de los titulares de los Datos Personales de cualquiera de sus derechos;
  5. Inclusión de cláusulas de protección de datos en los contratos, tanto con clientes, proveedores, como con el propio personal interno, con el propósito de concientizar y responsabilizar a todos los actores en materia de protección de datos;
  6. Formación adaptada de todo el personal con objeto de asegurar un correcto Tratamiento de los datos en todas sus fases, así como el respeto de los derechos de los interesados; e
  7. Implementación de sistemas para el Bloqueo y borrado de los Datos Personales una vez cumplidas las exigencias contractuales y legales de conservación.

Mediante estas medidas, así como para la puesta en marcha de diversas iniciativas complementarias en materia de protección de datos, UNICOMER aspira a generar de forma progresiva y responsable una cultura en materia de protección de datos entre todos los empleados.

b. Medidas técnicas

Siguiendo el estado de la técnica y los recursos disponibles y, tras evaluar los sistemas de UNICOMER para garantizar un adecuado nivel de seguridad, se han adoptado una serie de medidas técnicas que permitan alcanzar los siguientes objetivos:

  • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de Tratamiento.
  • Asegurar la capacidad de restaurar la disponibilidad de la información y el acceso a los Datos Personales de forma rápida en caso de incidente físico o técnico.
  • Implementar procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas.

En línea con lo anterior, UNICOMER cuenta con un responsable de seguridad informática y tecnologías de la información, encargado de aplicar, entre otras, las siguientes medidas técnicas:

  1. Establecimiento de medidas de seguridad por capas;
  2. Capacidad para desplegar actualizaciones de seguridad sin necesidad de interrumpir el servicio;
  3. Almacenamiento de los Datos Personales en bases de datos protegidas contra ataques externos;
  4. Utilización generalizada de identificadores y contraseñas personales, los cuales se renuevan de forma periódica;
  5. Validación y comprobación regular de los niveles de accesos y discriminación de accesos por perfiles;
  6. Utilización de protocolos y sistemas de comunicación internos seguros;
  7. Realización de copias de seguridad periódicas;
  8. Utilización de servidores propios protegidos frente a ataques digitales y físicos;
  9. Certificaciones (ISO 27001);
  10. Actualización constante de los sistemas operativos y el software utilizados por el personal del grupo;
  11. Programas de digitalización de la información, disminuyendo el almacenamiento físico de los datos, y;
  12. Empleo de servicios especializados para el Tratamiento y reacondicionamiento de equipos antes de su reutilización por otro empleado.

Con ello, UNICOMER pretende garantizar la seguridad digital y física de los Datos Personales y de los soportes en que están almacenados, al mismo tiempo que trabaja de forma constante en la implementación de mejoras y la adopción de nuevas tecnologías que permitan reforzar los estándares de seguridad.

c. Evaluación de impacto

UNICOMER realizará de forma periódica evaluaciones de impacto de privacidad (Privacy Impact Assessments o PIAs) con el fin de valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, el ámbito, contexto y fines del Tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los Datos Personales y demostrar la conformidad con las presente Política PDP y la legislación vigente.

La realización de un PIA será necesaria en aquellos casos en los que el Tratamiento de los Datos Personales tenga por objeto la elaboración de perfiles sobre los cuales se tomen decisiones automatizadas o ante el Tratamiento de datos sensibles a gran escala.

En la realización de los PIAs se seguirán las instrucciones y recomendaciones de las autoridades competentes y, en todo caso, se incluirá como parte del contenido mínimo de las mismas los siguientes aspectos:

  • La descripción sistemática de las operaciones y fines del Tratamiento;
  • La evaluación de la necesidad y proporcionalidad de las operaciones de Tratamiento en relación con su finalidad;
  • La evaluación de los riesgos y su impacto en UNICOMER; y
  • Las medidas previstas para afrontar o mitigar los riesgos que garanticen la protección de los datos.

d. Formación y sensibilización del personal

UNICOMER lleva desde sus inicios comprometido con la formación integral de su personal. Este compromiso, el cual se ha hecho extensible a la protección de datos, es entendido por UNICOMER como un elemento clave para la generación de una cultura de protección de datos entre sus directivos y empleados, así como la mejor garantía para el correcto Tratamiento de los Datos Personales y el respeto de los derechos de los interesados.

Por ello, UNICOMER organiza regularmente formaciones en materia de protección de datos adaptadas a los diferentes niveles de responsabilidad, funciones dentro del grupo, tipología de datos tratados, etc.

Las acciones formativas realizadas por UNICOMER son gestionadas y supervisadas por el DPO, asegurándose así su adecuación al personal al que van dirigidas.

Además, desde distintos departamentos internos de la compañía como el área jurídica o el departamento de recursos humanos, se circularizan de forma periódica entre el personal publicaciones en materia de protección de datos, cursos y diversas iniciativas que contribuyen a la formación del personal.

e. Obligaciones del personal de unicomer y régimen disciplinario

UNICOMER tiene la obligación de comunicar o denunciar al DPO y/o al Comité de Protección de Datos todo acto, comportamiento, hecho o indicio de cualquier actuación que pudiera ser contraria a la presente Política PDP o a los derechos de los titulares de los Datos Personales.

Para ello, UNICOMER garantiza la confidencialidad de cualquier comunicación de un comportamiento o actuación irregular, eximiendo al DPO de facilitar el nombre del denunciante, salvo en aquellos casos en los que se aprecie una intención manifiesta y flagrante de haber realizado una denuncia falsa o con ánimo deliberado de querer causar un daño injustificado a un Tercero en cuyo caso se aplicará el régimen disciplinario de acuerdo con los reglamentos interiores de trabajo, convenios y/o acuerdos colectivos en vigor.

a. Reconocimiento de los derechos de los titulares de los datos personales

La entrada en aplicación del RGPD y la Legislación Paraguaya ha supuesto la creación de nuevos derechos en materia de protección de datos, superándose los tradicionales derechos ARCO, al tiempo que se han ampliado ciertos aspectos de los derechos preexistentes y las garantías que los protegen.

En este sentido, UNICOMER reconoce en los términos más amplios los derechos de los interesados, pone a disposición de los mismos los canales necesarios para su libre ejercicio y sitúa al DPO y al Comité de Protección de Datos en una posición orgánica y funcional que asegure su independencia en el desarrollo de sus funciones como interlocutor, privilegiado con los titulares de los Datos Personales y garante del cumplimiento de las obligaciones de todo el personal de UNICOMER en materia de RGPD y Ley de Protección de Datos Personales Crediticios.

De esta forma, la presente Política PDP reconoce expresamente a todos los titulares de los Datos Personales, y sin más limitación que las expresamente previstas en el RGPD y en la legislación vigente, los derechos indicados a continuación:

  • DERECHO DE ACCESO: el cual permite al titular de los Datos Personales solicitar al Responsable del Tratamiento que le indique si está tratando o no sus Datos Personales, así como, cuáles y en qué casos los está tratando.
  • DERECHO DE RECTIFICACIÓN: este derecho permite al interesado solicitar que el Responsable del Tratamiento modifique los datos incorrectos o inexactos que le conciernan o que complete los Datos Personales incompletos.
  • DERECHO DE CANCELACIÓN (SUPRESIÓN o DERECHO AL OLVIDO): el derecho de cancelación, Supresión u olvido permite al titular de los datos solicitar que el Responsable del Tratamiento elimine todos los Datos Personales que esté tratando relativos al solicitante.
  • DERECHO DE OPOSICIÓN: en los casos en los que el Responsable del Tratamiento trata datos del solicitante para finalidades secundarias, el afectado puede oponerse a dicho Tratamiento, ejerciendo su derecho de oposición y solicitando que se ponga fin a dicho Tratamiento.
  • REVOCACIÓN DEL CONSENTIMIENTO: implica la revocación del Consentimiento otorgado por el titular para el Tratamiento de sus Datos Personales.
  • DERECHO DE LIMITACIÓN: implica, para el Responsable del Tratamiento de los datos, la restricción en el uso o divulgación de los Datos Personales del solicitante.
  • DERECHO DE PORTABILIDAD: permite al titular de los datos solicitar que el Responsable del Tratamiento le entregue o transmita a un Tercero que el titular designe, los Datos Personales que el Responsable posea sobre el solicitante, en un formato estructurado, de uso común y lectura mecánica.

b. Protocolos de actuación ante el ejercicio de los derechos por parte de los titulares

Con objeto de garantizar el más estricto cumplimiento de la Legislación vigente y el máximo respeto de los derechos de los interesados, UNICOMER se ha dotado de un Protocolo de actuación ante el ejercicio por parte de los titulares de los Datos Personales de cualquiera de los derechos arriba descritos.

Este Protocolo, el cual se acompaña a la presente Política PDP como Anexo V ha sido diseñado situando al interesado en el centro de toda actuación, de modo que se garanticen sus derechos, pero igualmente que se le informe debidamente de cada actuación y cada decisión adoptada por UNICOMER. Para ello, todas las actuaciones son realizadas bajo la supervisión directa del DPO, el cual podrá apoyarse en el resto de los departamentos de cualquiera de las sociedades de UNICOMER para la solicitud de informaciones, generación de informes, análisis y toma de decisiones, etc. Todo ello, con el compromiso, no solo de respetar escrupulosamente los plazos previstos en la Ley, sino de dar la mejor atención y respuesta posible al interesado en el menor plazo posible.

Asimismo, se facilitará al interesado cuanta documentación pueda ser necesaria en caso de que éste decida presentar una reclamación ante la Autoridad de Control.

a. Implementación

La presente Política PDP ha sido elaborada con el objetivo de guiar las actuaciones del personal de UNICOMER en materia de protección de datos, cumplir de la legislación y vigente y, especialmente, proteger los Datos Personales de los interesados y garantizar el libre ejercicio de sus derechos.

Por ello, desde UNICOMER entendemos que la presente Política PDP debe ser un instrumento vivo, que evolucione a medida que se desarrollan las actividades del grupo, se producen avances en el estado de la técnica o se publican nuevos instrumentos normativos.

Por otra parte, UNICOMER es consciente de la necesidad de dotar a la presente Política PDP de recursos materiales y personales para asegurar su efectiva implementación y ejecución. Por ello, se ha creado la figura del DPO y se le ha rodeado de un Comité de Protección de Datos en el que se encuentran personas claves en el organigrama de UNICOMER.

b. Seguimiento e informe anual

Como continuación de lo anterior, UNICOMER asume igualmente el compromiso de asegurar el seguimiento continuo de la Política PDP.

El DPO quien, apoyado por el Comité de Protección de Datos, los departamentos internos de UNICOMER y, especialmente, por el área jurídica, supervisará la correcta implementación de la política, los incidentes que puedan tener lugar, las solicitudes recibidas por parte de los titulares de los Datos Personales y cualquier otra situación que pueda suceder en relación con los mismos.

El DPO, además de asegurar el seguimiento diario de la Política PDP, informará periódicamente al Comité de Protección de Datos del estado en el que se encuentre la implementación de la política PDP, el número de solicitudes recibidas, las eventuales relaciones con la Autoridad de Control y los proyectos o iniciativas puestos en marcha o cuya consideración se considere oportuno someter al Comité para su aprobación y/o elevación al Consejo de Administración de UNICOMER.

Asimismo, de forma anual, el DPO presentará un informe al Comité de Protección de Datos en el que se incluirán los hechos más relevantes acaecidos durante el año precedente, las solicitudes recibidas por parte de los interesados y su respuesta, las eventuales gestiones realizadas con la Autoridad de Control, los incidentes de seguridad, así como las propuestas de mejora y los nuevos proyectos o iniciativas que se deseen poner en marcha durante el año en curso. Este informe, una vez revisado por el Comité de Protección de Datos, será presentado al Consejo de Administración de UNICOMER, para su aprobación definitiva.

Asimismo, el DPO pondrá el informe anual aprobado a disposición del Comité de Protección de Datos, para sus observaciones y/o recomendaciones.

c. Colaboración con las autoridades

UNICOMER mantiene desde su fundación un compromiso con el respeto más absoluto de la legislación vigente y la cooperación con las autoridades públicas a todos los niveles (local, regional, nacional y supranacional) en todos los países en los que se encuentra presente.

En materia de protección de datos, como no podía ser de otra forma, este compromiso de colaboración se encuentra garantizado, sin reservas o limitaciones, por todas las sociedades del UNICOMER y por todo el personal del grupo.

UNICOMER colaborará en todo momento con las Autoridades de Control, así como con cualquier otra autoridad pública, administrativa o judicial, ante cualquier solicitud, notificación o requerimiento por su parte.

El DPO será el interlocutor privilegiado en la colaboración con las autoridades en materia de protección de datos, contando con el apoyo y la colaboración del Comité de Protección de Datos, el Consejo de Administración de UNICOMER, y el resto del personal de UNICOMER.

En Paraguay, las autoridades de control en este ámbito son dos:

  1. Banco Central de Paraguay, a través de la Superintendencia de Bancos.
  2. Secretaría de Defensa del Consumidor y el Usuario.

d. Revisión y actualización

La presente Política PDP, sus anexos y cualquier otro instrumento, protocolo, programa o iniciativa implementada en la materia serán revisados de forma regular por parte del Comité de Protección de Datos.

El Comité de Protección de Datos evaluará la necesidad de actualizar la presente Política PDP, al menos, de forma anual, teniendo en cuenta para ello el informe anual presentado por el DPO. En caso de no considerarse necesaria la actualización, se dejará constancia en el acta de la reunión de los motivos que justifican tal decisión.

En el caso de que, por cualquier motivo, se considerara necesaria la actualización de la presente Política PDP, se encargará al DPO la elaboración de un proyecto de actualización, el cual será presentado al Comité de Protección de Datos para su evaluación y posterior elevación al Consejo de Administración de cada sociedad regional de UNICOMER, para su aprobación definitiva.

Versión Fecha Descripción Autor
V1.0 2024/08/01 Nuevo documento. Primera versión aprobada en conjunto con la Política Global de Privacidad de Datos de Grupo Unicomer (POL.000005) ECIJA