Política de tratamiento y protección de datos personales

Mediante el presente documento, la sociedad KROKOM S.A.C., en adelante la “Compañía”, dando cumplimiento a los presupuestos normativos señalados en la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República de Perú, su respectivo Reglamento, aprobado con Decreto Supremo Nº 003-2013-JUS y las demás normas concordantes sobre la materia, se permite implementar su Política para el Tratamiento y Protección de Datos Personales (en adelante la “Política”).

Para estos efectos, es importante tener en cuenta que la Compañía, se caracteriza por ser una sociedad de carácter comercial domiciliada en la provincia de San Isidro en la providencia de Lima dedicada, tal y como se dispone en su objeto social a: “compra y venta. producción, comercialización, importación, exportación y distribución, por cuenta propia o de terceros de toda clase de productos y bienes, en especial de textiles, ropa, calzado, confecciones, materia prima para la confección, entre otras”.

En razón de lo anterior, atendiendo a lo determinado por el objeto social de la Compañía y en desarrollo de sus facultades, es posible determinar que existen datos personales que componen Banco de Datos de propiedad de la Compañía, los cuales son tratados según los lineamientos consagrados en el marco legal vigente aplicable en Perú.

Por todo lo anterior, la Política será aplicada tanto para proteger los datos personales y la información transaccional que actualmente trate la Compañía, como para proteger los que en un futuro se puedan llegar a tratar por parte de ésta, en medio del desarrollo de su actividad económica.

KROKOM S.A.C, sociedad legalmente constituida bajo las leyes de la República del Perú e identificada con RUC Nro. 20611289368, domiciliada en la provincia de San Isidro en la providencia de Lima e inscrita en la Partida Electrónica Nro. 15350240 del Registro de Personas Jurídicas de la Oficina Registral de Lima, con correo electrónico datospersonales@aeo.com.pe.

Para efectos de la Política, la Compañía actúa como Responsable del Tratamiento de datos personales en virtud de la recolección que realice directamente de los datos de los titulares, por tal motivo, la Política tiene como objetivo principal la definición y posterior determinación de todos los temas relativos a los procedimientos, los principios y las políticas de seguridad según los cuales, la Compañía garantizará el adecuado tratamiento de los datos personales que sean recolectados en desarrollo de su objeto social.

La Política fue elaborada dando estricto cumplimiento a todo lo dispuesto por la normatividad vigente sobre la materia, de esta manera, el presente documento cumple lo dispuesto en la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República por la cual “se dictan disposiciones generales para la protección de datos personales”, en su respectivo Reglamento, aprobado con Decreto Supremo Nº 003-2013-JUS, y en las demás normas que en un futuro puedan llegar a modificar, regular o adicionar la normatividad aplicable en materia de Protección de Datos Personales.

Tal y como lo disponen el artículo 2 de la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República por la cual “se dictan disposiciones generales para la protección de datos personales, se tendrán definidos a lo largo de la Política, los siguientes términos:

Banco de datos personales: Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.

Banco de datos personales de administración privada: Banco de datos personales cuya titularidad corresponde a una persona natural o a una persona jurídica de derecho privado, en cuanto el banco no se encuentre estrictamente vinculado al ejercicio de potestades de derecho público.

Datos personales: Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.

Datos sensibles: Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

Días: Días hábiles

Encargado de tratamiento de datos personales: Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales en virtud de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento sin la existencia de un banco de datos personales.

Encargo de tratamiento: Entrega por parte del titular del banco de datos personales a un encargado de tratamiento de datos personales en virtud de una relación jurídica que los vincula. Dicha relación jurídica delimita el ámbito de actuación del encargado de tratamiento de los datos personales.

Flujo transfronterizo de datos personales: Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.

Fuentes accesibles para el público: Bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, previo abono de la contraprestación correspondiente, de ser el caso. Las fuentes accesibles para el público son determinadas en el reglamento.

Nivel suficiente de protección para los datos personales: Nivel de protección que abarca por lo menos la consignación y el respeto de los principios rectores de esta Ley, así como medidas técnicas de seguridad y confidencialidad, apropiadas según la categoría de datos de que se trate.

Persona jurídica de derecho privado: Para efectos de esta Ley, la persona jurídica no comprendida en los alcances del artículo I del Título Preliminar de la Ley 27444, Ley del Procedimiento Administrativo General.

Procedimiento de anonimizarían: Tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. El procedimiento es irreversible.

Procedimiento de disociación: Tratamiento de datos personales que impide la identificación o que no hace identificable al titular de estos. El procedimiento es reversible.

Titular de datos personales: Persona natural a quien corresponde los datos personales.

Titular del banco de datos personales: Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.

Transferencia de datos personales: Toda transmisión, suministro o manifestación de datos personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del titular de datos personales

Tratamiento de datos personales: Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.
Se advierte que las definiciones incluidas en esta Política fueron tomadas de la normatividad vigente a la fecha, en la cual se regula la debida protección de datos personales de las personas naturales frente a la circulación y tratamiento de los mismos.

En virtud de lo dispuesto por la normatividad vigente, la Compañía ha incorporado a la Política, los principios generales relativos al tratamiento de datos personales. De esta manera, estos principios ostentan una aplicación general que abarca de manera transversal todo el contenido de la Política. Dichos principios fundamentales son tomados del Artículo 4° al Artículo 12 de la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República de Perú, igualmente los contenidos los Artículos 6 al 10 del Decreto Supremo No. 003-2013-JUS.

Las Banco de Datos y la Política tendrán un período de vigencia indeterminado, de conformidad con la duración del objeto social de la Compañía.

La Política aplicará para el tratamiento de los Bancos de Datos en las cuales la Compañía tenga la calidad de Responsable y/o Encargado, a partir de la fecha de su publicación, dejando sin efectos las demás disposiciones institucionales que le sean contrarias.

Dado lo anterior, toda situación que no se encuentre revista en la Política, se reglamentará de acuerdo al Régimen General de Protección de Datos Personales vigente en Perú y la demás normatividad aplicable sobre la materia.

La Compañía tendrá los siguientes deberes en su calidad de Responsable del Tratamiento, los cuales se desprenden de la legislación aplicable en la materia, sin perjuicio de todos los otros deberes previstos en las disposiciones que regulen o lleguen a regularla.

a) Efectuar el tratamiento de datos personales, solo previo consentimiento informado, expreso e inequívoco del titular de los datos personales.
b) No recopilar datos personales por medios fraudulentos, desleales o ilícitos
c) Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas para las que se hayan obtenido.
d) No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación
e) Almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular.
f) Suprimir y sustituir o, en su caso, completar los datos personales objeto de tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto, sin perjuicio de los derechos del titular al respecto.
g) Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación.
h) Proporcionar a la Autoridad Nacional de Protección de Datos Personales la información relativa al tratamiento de datos personales que esta le requiera y permitirle el acceso a los bancos de datos personales que administra, para el ejercicio de sus funciones, en el marco de un procedimiento administrativo en curso solicitado por la parte afectada
i) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos en relación con sus datos personales.
j) Permitiéndole el acceso a la información de los Titulares únicamente a las personas habilitadas para tener acceso a ella.
k) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos vinculados a éste, procedentes desde el consentimiento otorgado.
l) Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible. Además, acreditar en todo momento que la información debe corresponder a los datos personales inicialmente otorgados para el Tratamiento.
m) Conservar la información bajo las condiciones de seguridad físicas y digitales que impidan adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, además de cualquier conducta regulada y sancionada en la ley de delitos informáticos.
n) Implementar un procedimiento del Tratamiento del dato en cuanto a las consultas y reclamos que los Titulares puedan hacer de ella.
o) Respetar las condiciones de seguridad y privacidad de la información del Titular.
p) Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
q) Cumplir los requerimientos e instrucciones que imparta la Autoridad Nacional de Protección de Datos Personales sobre el tema en particular.

Para el cumplimiento de su objeto social, la Compañía, podrá encargar el Tratamiento de los datos personales que posea a un tercero, con el fin que éste último realice las gestiones de comunicación, promoción, mercadeo, notificación, actualización de datos, planes de fidelización, programas y proyectos especiales que permitan, entre otras, el cumplimiento de las siguientes finalidades tanto por medios físicos como digitales:

a) Celebración, suscripción o mantenimiento de relaciones contractuales con los Titulares.
b) Tratamiento de información requerida en materia laboral y societaria de la Compañía.
c) Información de carácter confidencial, privacidad y no divulgable.
d) Cumplimiento de la finalidad del servicio como proveedor.

Todo lo anterior, respetando siempre las finalidades que el Titular de la información haya autorizado a la Compañía o autorizadas por ministerio de la Ley.

El Encargado del Tratamiento sobre cualquiera de los Banco de Datos entregado o compartido por la Compañía, deberá cumplir con los siguientes deberes:

a) Efectuar el tratamiento de datos personales, solo previo consentimiento informado, expreso e inequívoco del titular de los datos personales.
b) No recopilar datos personales por medios fraudulentos, desleales o ilícitos.
c) Recopilar datos personales que sean actualizados, necesarios, pertinentes y adecuados, con relación a finalidades determinadas, explícitas y lícitas para las que se hayan obtenido.
d) No utilizar los datos personales objeto de tratamiento para finalidades distintas de aquellas que motivaron su recopilación, salvo que medie procedimiento de anonimización o disociación.
e) Almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular.
f) Suprimir y sustituir o, en su caso, completar los datos personales objeto de tratamiento cuando tenga conocimiento de su carácter inexacto o incompleto, sin perjuicio de los derechos del titular al respecto.
g) Suprimir los datos personales objeto de tratamiento cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hubiesen sido recopilados o hubiese vencido el plazo para su tratamiento, salvo que medie procedimiento de anonimización o disociación.
h) Proporcionar a la Autoridad Nacional de Protección de Datos Personales la información relativa al tratamiento de datos personales que esta le requiera y permitirle el acceso a los bancos de datos personales que administra, para el ejercicio de sus funciones, en el marco de un procedimiento administrativo en curso solicitado por la parte afectada.
i) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
j) Realizar oportunamente la Actualización, Rectificación o Supresión de los datos en los términos establecidos por la Ley.
k) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
l) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la Ley.
m) Adoptar una política interna de procedimientos para garantizar el adecuado cumplimiento de la normatividad relativa al Tratamiento de datos personales y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
n) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella
o) Cumplir las instrucciones y requerimientos que imparta la Autoridad Nacional de Protección de Datos Personales.
p) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Autoridad Nacional de Protección de Datos Personales.
q) Informar a la Autoridad Nacional de Protección de Datos Personales cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

Conforme la Ley aplicable a la protección de datos personales, los siguientes son los derechos de los Titulares que hayan autorizado el Tratamiento de sus datos a la Compañía:

a) A ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a la recopilación de sus datos personales, sobre la finalidad para la que estos serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales.
b) A obtener la información que sobre sí mismo sea objeto de tratamiento en bancos de datos de administración pública o privada, la forma en que sus datos fueron recopilados, las razones que motivaron su recopilación y a solicitud de quién se realizó la recopilación, así como las transferencias realizadas o que se prevén hacer de ellos.
c) A la actualización, inclusión, rectificación y supresión de sus datos personales materia de tratamiento, cuando estos sean parcial o totalmente inexactos, incompletos, cuando se hubiere advertido omisión, error o falsedad, cuando hayan dejado de ser necesarios o pertinentes a la finalidad para la cual hayan sido recopilados o cuando hubiera vencido el plazo establecido para su tratamiento.
d) A impedir que estos sean suministrados sus datos personales, especialmente cuando ello afecte sus derechos fundamentales.
e) Cuando no hubiera prestado consentimiento, el titular de datos personales puede oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal.
f) Presentar ante la Autoridad Nacional de Protección de Datos Personales, las acciones dispuestas en la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República, para la protección de sus datos personales.

La Compañía reconoce que los datos personales que se encuentran en sus Banco de Datos pertenecen al Titular que autorizó su Tratamiento.

El Titular puede autorizar a la Compañía que ésta ejecute el Tratamiento de sus datos personales a través de diferentes medios, entre ellos se encuentran los siguientes:

• Documentos físicos;
• Documentos Electrónicos;
• Mensaje de datos;
• Internet, Sitios Web;
• Cualquier otro formato que en todo caso permita el consentimiento del Titular mediante conductas inequívocas a través de las cuales sea posible concluir que de no haberse surtido la misma por parte del Titular, o la persona legitimada para ello, los datos no se hubieran almacenado o capturado en la Base de Datos.

El consentimiento será solicitado por la Compañía de manera previo al Tratamiento de los datos personales.

La Compañía realiza la recolección de Datos Personales por los mecanismos que se enuncian y definen a continuación:

• Virtual: Mecanismo a través del cual, la Compañía, utilizando medios tecnológicos no presenciales habilitados previamente (Pagina Web y Cuentas Oficiales en Redes Sociales), recolecta datos personales, de acuerdo con los formatos establecidos.
• Escrito: Es el medio a través del cual, de manera física y presencial, la Compañía en el desarrollo de su objeto social, realizará la recolección de datos personales, mediante la información suministrada en documentos de constitución o modificación de la composición accionaria de la sociedad, en contratos con Proveedores, en contratos con empleados, en hojas de vida de candidatos y en formularios de captación en establecimientos propios u operados por terceros.

En desarrollo de los principios de protección de habeas data, la recolección de datos personales se realizará limitándose a aquellos que son pertinentes y adecuados para el propósito para el cual son recolectados o requeridos por la Compañía.

La Compañía actuando como Responsable del Tratamiento de datos personales y de Información Transaccional, obtiene de los Titulares de los datos su Autorización clara, expresa, previa, informada y exenta de vicios, mediante formularios físicos y electrónicos, formatos de recolección de datos y/o a través de los demás medios que disponga o pueda disponer para tal efecto.

Para lo anterior, la Compañía solicitará a los Titulares de los datos personales y la Información Transaccional, su Autorización, informando a éste la finalidad sobre la cual se proporcionará el Tratamiento de sus datos personales. Lo anterior, excepto en los casos expresamente autorizados determinados por Ley, los cuales se encuentran regulados en el artículo 10 de la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República.

Todos los Titulares de los datos personales pueden en cualquier momento revocar su Autorización otorgada a la Compañía para el Tratamiento de sus datos personales e incluso solicitar a la Compañía la supresión o eliminación de sus datos personales contenidos en sus Banco de Datos. Lo anterior, siempre y cuando dicha conducta no contravenga una disposición legal o contractual vigente.

La Compañía garantizará al Titular el fácil acceso a estas solicitudes, estableciendo mecanismos sencillos y simples que permitan al Titular revocar su Autorización o solicitar la supresión de sus datos personales, al menos por el mismo medio por el cual él los otorgó inicialmente.

Para el anterior procedimiento, deberá tenerse en cuenta por parte del Titular que, la revocatoria del consentimiento puede expresarse de manera total o parcial en relación con las finalidades autorizadas.
(i) Si se revoca totalmente, la Compañía deberá cesar cualquier actividad de Tratamiento de los datos suministrados por el Titular; por el contrario.
(ii) si se revoca parcialmente únicamente frente a ciertos tipos de Tratamiento, la Compañía cesará el tratamiento sobre las finalidades que expresamente fueron revocadas por el Titular. En este último caso, la Compañía podrá continuar tratando los datos personales para aquellos fines que no fueran revocados.

Todo Tratamiento sobre los datos de los Titulares con los cuales la Compañía tuviere establecida una relación como Responsable del Tratamiento y de la Información Transaccional para la oferta de servicios de valor agregado, será realizado por la Compañía con base en las prescripciones de la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República en lo que le sea aplicable, y en general para el cumplimiento de su objeto social.

En todo caso, la Compañía recolectará y tratará los datos personales de los Titulares, con el propósito de ejecutar ciertas finalidades, las cuales se describen a continuación:

• Clientes:
  a) Establecer canales de comunicación con el Titular de los datos personales, a través de correo electrónico, llamadas telefónicas, envío de SMS, Whatsapp, herramientas de mensajería instantánea, redes sociales o cualquier otro canal de comunicación conocido, para ofrecer bienes o servicios de las Compañías e informar sobre campañas comerciales o promocionales.
  b) Otorgar incentivos a los clientes, con el ánimo de impulsar las ventas, por medio de descuentos, regalos, bonos, o cualquier actividad asociada a la fidelización de clientes.
  c) Efectuar estudios de comportamientos transaccionales, hábitos de consumo y aficiones, para la oferta de servicios propios y de terceros, o de futuros aliados.
  d) Realizar procedimientos de atención al cliente y sus reclamaciones de todo tipo.
  e) Coordinar, ejecutar y promover campañas estratégicas de las Compañías y la oferta de servicios.
  f) Ejecutar encuestas para el conocimiento de clientes.
  g) Compartir, ceder, transferir con empresas aliadas, asociados, sucursales, filiales subsidiarias, y terceros para la oferta de servicios de valor agregado.
  h) Consultar, reportar, procesar y divulgar toda la información que se refiera a mi comportamiento comercial y de servicios, a cualquier Operador de la Información (Central de Riesgo - buró de crédito) o a cualquier entidad o fuente de información pública o privada, nacional, extranjera o multilateral que administre o maneje bases de datos. Conozco que el alcance de esta autorización implica que, quienes se encuentren afiliados y/o tengan acceso a los Operadores de la Información, entidades o fuentes de información anteriormente mencionadas, podrán conocer esta información, de conformidad con la legislación y jurisprudencia aplicable.
  i) Analizar, evaluar y consultar la información entregada por el Titular de los datos personales en listas para el control de lavado de activos y financiación del terrorismo administradas por cualquier autoridad nacional o extranjera.
  j) Desarrollar, cumplir y ejecutar del contrato de compraventa o de servicios que haya contratado con La Compañía.
  k) La información podrá ser igualmente utilizada para efectos estadísticos.
  l) Transferir internacionalmente los datos personales a la sociedad Comodín S.A.S. domiciliadas en la República de Colombia), y/o a otras empresas que sean parte del Grupo o Holding del que es o sea parte La Compañía y/o tenga vínculo societario o accionarial con ella, a fin de que éstas puedan cumplir con las finalidades señaladas en los puntos anteriores. Estas transferencias se realizarán a destinatarios que cumplan con medidas adecuadas de protección de datos personales.

En el Tratamiento de datos personales, la Compañía asegurará el respeto a los derechos prevalentes de los menores (niños, niñas, y adolescentes). Por este motivo, en caso de presentarse alguna recolección de datos personales correspondientes a este tipo de personas, se dará cumplimiento a lo señalado en el artículo 7 de la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República y las demás disposiciones concordantes sobre la materia.

La Compañía conoce que realiza Tratamiento sobre datos personales que revisten la calidad de sensibles, por lo que asegurará que, al momento de la recolección de datos personales correspondientes a este tipo, dará cumplimiento a lo señalado en el Artículo 14° Decreto Supremo N.º 003-2013-Jus y las demás disposiciones concordantes sobre la materia.

La Compañía, en cumplimiento de su propósito de garantizar el cuidado de los datos personales de terceros, obtenidos a través de los Canales autorizados por esta Política, ha dispuesto un conjunto de medidas de seguridad las cuales serán usadas e implementadas buscando una adecuada protección de toda la información que sea objeto de Tratamiento.

Con lo anterior, se considera razonablemente que la Compañía cuenta con adecuados y suficientes modelos de gestión documental y protección de información para cumplir adecuadamente con sus obligaciones legales en relación con el cuidado y custodia de información suministrada por terceros.

La Compañía, buscando lograr una adecuada protección de la información objeto de la Política, ha desplegado diversos mecanismos de seguridad para custodiar y evitar todo deterioro, pérdida o fuga que pueda presentarse en la información contenida en sus Banco de Datos.

Uno de ellos está relacionado con la ubicación de la Base de Datos, la cual se encuentra en el Centros de Cómputo propio de la Compañía, contando con los debidos controles de acceso físico entre los cuales se encuentran:

• Acceso con tarjetas magnéticas personales y registro digital del ingreso.
• Un modelo de seguridad lógico que permite restringir los usuarios que tienen acceso a la data e identificar inequívocamente su ingreso.
• La creación diaria de respaldos de la información para evitar su pérdida.

Al interior de la Compañía, existen dos (2) tipos de medidas de protección dentro del Programa Integral de Gestión de Datos Personales adoptadas por cada uno de los Departamentos de la Compañía.

• Barreras físicas.

La primera de las medidas tiene que ver con las barreras físicas que custodian el acceso a los medios que contienen las Banco de Datos. Para esto, el personal es primeramente identificado en la portería de la Compañía. Para tener acceso a los equipos en los que se almacenan las Banco de Datos, el personal debe pedir autorización al área de Servicios que es la encargada de permitir el ingreso al cuarto de equipos y autenticar la identidad del personal mediante tarjeta RFID. El ingreso es registrado mediante cámaras de video vigilancia.

• Barreras digitales.

La segunda medida se encuentra descrita como las barreras digitales, en la cual, el usuario se debe autenticar en la estación de trabajo y luego frente al aplicativo, el cual se protege a través de un Firewall, a su vez, el aplicativo realiza la consulta a la Base de Datos que también está protegida por un Firewall.

Adicionalmente, la Compañía implementa políticas de contraseñas en la cual se generan claves seguras de al menos doce (12) dígitos y con caracteres adecuados para que no se descifren fácilmente, adicional a que todas son mediante md5.

Para la atención de consultas y reclamos relativos al Tratamiento de Datos Personales, podrán formularse a través de los siguientes Canales Oficiales de atención:

a) En una de nuestras tiendas físicas American Eagle Perú del país.
b) Enviando un mensaje al correo electrónico datospersonales@aeo.com.pe con el contenido de su consulta o reclamo.
c) Diligenciando el formulario de peticiones, quejas y reclamos disponible en la tienda online https://www.aeo.com.pe/ , por medio del botón “Libro de Reclamaciones”.

Cuando el Titular de los datos personales pretenda conocer, acceder a la información, o solicitar una copia de la Autorización, el área de Servicio al Cliente resolverá su consulta dentro de los diez (10) días hábiles siguientes a la fecha de recibo de la misma.

Cuando no fuere posible atender la consulta dentro del término indicado en el inciso anterior, se informará al solicitante tal situación, los motivos de la demora y la fecha en la cual será resuelta la solicitud, fecha que en ningún caso superará los cinco (8) días hábiles siguientes al vencimiento del primer término.

Cuando el Titular de los datos personales pretenda rectificar, actualizar, suprimir alguno de sus datos o revocar su Autorización, el área de Servicio al Cliente resolverá su reclamo dentro de los diez (10) días hábiles siguientes a la fecha de recibo de la misma.

Cuando no fuere posible atender la consulta dentro del término indicado en el inciso anterior, se informará al solicitante tal situación, los motivos de la demora y la fecha en la cual será resuelta la solicitud, fecha que en ningún caso superará los ocho (8) días hábiles siguientes al vencimiento del primer término.

La Compañía dará respuesta a las consultas y reclamos de los Titulares, dentro de los términos establecidos en los numerales 21 y 22 de esta Política, de manera escrita a la dirección física o electrónica suministrada por el solicitante para tal efecto.

Cuando el solicitante suministre una dirección física y una electrónica, o más de una dirección de aquellas o de estas, será a discreción de la Compañía la decisión sobre a cuál dirección enviar la respuesta.

De conformidad con las normas aplicables a la materia, se encuentran legitimados para radicar una consulta o un reclamo ante la Compañía, las siguientes personas:

• Los Titulares de los datos personales.
• Los causahabientes de los Titulares.
• Los representantes legales.
• Las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
• Los terceros autorizados por el Titular o por la ley.

La Compañía actualizará sus Banco de Datos de manera permanente, de conformidad con lo señalado en la Ley No. 29733 de 03 de Julio de 2011 Dictada por el Congreso de la República.

La Compañía, puede transmitir o transferir de manera parcial o total los Datos Personales y la información transaccional a terceros en el país o en el exterior, en desarrollo de su objeto social, para lo cual solicita Autorización de su Titular e implementa las acciones necesarias para el cumplimiento de los preceptos normativos consagrados en la legislación Nacional Peruana, mediante la suscripción de Acuerdos de Transferencia y Tratamiento de Datos Personales.

La Compañía cuenta con una Política de Seguridad de la Información, la cual hace parte integral de esta Política.

Toda modificación a lo dispuesto en esta Política, pasará por un proceso de discusión y decisión conjunta en el que intervendrán los siguientes funcionarios de la Compañía:

• Gerencia de Clientes y Alianzas.
• Dirección de Asuntos Legales y Cumplimiento.
• Gerencia de Tecnología.

De cada decisión que determine la necesidad de efectuar alguna modificación a la presente Política se dejará constancia escrita suscrita por los integrantes.

Toda modificación que cumpla el procedimiento previamente determinado, entrará hacer parte de la presente Política y por lo tanto será de obligatorio e inmediato cumplimiento.

Acorde con las disposiciones establecidas en el artículo 34 de Ley No. 29734 dictada por el Congreso Nacional de la República, así como las directrices impartidas por la autoridad competente en Perú para la protección de los datos personales, la Compañía registrará las Banco de Datos sobre las cuales realice Tratamiento y procederá con su actualización anualmente.

Así mismo, notificará por medio del Registro Nacional de Banco de Datos, cualquier incidente, novedad o inconsistencia que se presente frente al Tratamiento de los datos personales que conforman sus Banco de Datos.

La presente Política regirá a partir de la fecha de su publicación y dejará sin efectos las demás disposiciones institucionales que le sean contrarias. Todo elemento sobre la materia objeto de la presente Política que no se encuentre contenido en la misma, se reglamentará de acuerdo al Régimen General de Protección de Datos Personales vigente en la República de Perú.