Código: PO-CIS-012 (Rev. 2)
El propósito de esta política es:
a) Definir el marco de referencia de VIGATEC para asegurar que el tratamiento de los datos personales en el SGSI de VIGATEC se realiza conforme a lo dispuesto por la Ley 19.628, sobre la protección de la vida privada y los estándares sobre protección de datos personales.
b) Establecer directrices, en relación con la gestión de la seguridad de la información según lo establecido en la norma ISO/IEC 27001.
c) Minimizar los riesgos que amenazan a los activos de información que gestiona la organización.
d) Implementar y fomentar una cultura de Seguridad de la Información al interior de VIGATEC y con terceros con los que se relaciona.
El alcance de esta Política se encuentra acotada a lo definido en el Campo de Aplicación del Manual Sistema de Gestión de Seguridad de la Información.
Esta Política es aplicable a colaboradores de VIGATEC, es decir, a los empleados, a los proveedores de servicios y subcontratistas.
2.1 De la Responsabilidad del Tratamiento de los Datos Personales
De conformidad con lo dispuesto en el artículo 2 letra n) de la Ley 19.628 el responsable del registro o banco de datos es la persona jurídica a quien compete las decisiones relacionadas con el tratamiento de los datos de carácter personal.
Para los efectos de la presente Política el responsable del tratamiento de datos personales es VIGATEC S.A.
2.2 Los Datos de Contacto del Responsable del Tratamiento de los Datos Personales
Los datos de contacto del responsable son:
Responsable del tratamiento: VIGATEC S.A.
Dirección postal: José Ananías 441, Macul, Santiago de Chile
Teléfono: +56 2 2350 7000
Correo electrónico: hola@vigatec.cl
2.3 De lo que se Entiende Como Dato Personal
Datos de carácter personal o datos personales, son los relativos a cualquier información concerniente a personas naturales, identificadas o identificables.
2.4 Qué Datos Personales son Tratados por VIGATEC
Para las finalidades establecidas en esta Política VIGATEC trata los siguientes datos personales:
a) Antecedentes Personales: Nombres, apellidos, cédula de identidad, fecha de nacimiento, correo electrónico, empresa y Nº telefónico.
b) Antecedentes Demográficos: Domicilio, Comuna, Ciudad y Región.
c) Además, por el hecho de navegar en nuestra página web y mediante el uso de cookies, VIGATEC recaba datos de los usuarios (como por ejemplo el tipo de navegador, el sistema operativo o la dirección IP), con el objeto de mejorar su navegación en nuestra página. Si desea obtener más información respecto del uso de las cookies, puede consultar la Política de Cookies (PO-CIS-014).
2.5 Cómo se Recaban Datos Personales
Los datos personales se recaban directamente del titular de los datos que los proporciona al momento de solicitar información en el formulario de contacto o al proporcionarlos para la generación de credenciales y acceder a un producto o servicio de VIGATEC. También se recolectan datos personales mediante el uso de cookies al navegar en el sitio web de VIGATEC.
2.6 Finalidad del Uso de Datos Personales y Bases Legales Para el Tratamiento
a) Obtener información estadística relativa al tráfico de la página web, basando el tratamiento en el consentimiento que nos otorga cada vez que el usuario navega en nuestro sitio.
b) Gestionar la solicitud de información o contacto a través del formulario habilitado a tal efecto o mediante el correo electrónico indicado en nuestra página web, en base al consentimiento otorgado al remitirnos dicho formulario.
c) Gestionar las cotizaciones que nos solicita a través de los diferentes canales de atención de VIGATEC.
d) Comunicaciones comerciales personalizadas. Al contar con el consentimiento del usuario, sea en soporte papel o electrónico al momento de contratar algún producto o servicio o con posterioridad en los siguientes términos:
- “Consiento en que sean tratados mis datos personales para que se evalúen aspectos personales, tales como el análisis y predicción de mi situación económica, preferencias personales, intereses, comportamiento, ubicación, movimientos y actitudes, siendo la lógica aplicada para la obtención de estos perfiles la utilización de procedimientos estadísticos y siendo las consecuencias de este tratamiento de la elaboración de perfiles, el envío de comunicaciones personalizadas de mi interés con contenidos, productos y servicios de VIGATEC, consiento en recibir comunicaciones comerciales personalizadas mediante el uso de esos perfiles por medios electrónicos, por teléfono o correo postal, especialmente publicaciones, encuestas de opinión, felicitaciones, información promocional y publicitaria y ofertas de productos de VIGATEC”.
2.7 Forma de Poder Revocar los Consentimientos Otorgados
Cada usuario podrá revocar el consentimiento otorgado para que se le envíe comunicaciones comerciales personalizadas, sin que esta revocación del consentimiento afecte a los tratamientos realizados con anterioridad a la revocación. Para revocar estos consentimientos puede ponerse en contacto con VIGATEC a través de cualquiera de los canales indicados en la sección 2.2 de esta Política.
2.8 Destinatarios de los Datos Personales
a) Los datos personales tratados por VIGATEC no son comunicados ni cedidos a terceras personas.
b) No se ha previsto la realización de transferencias internacionales de datos personales, sin perjuicio de que la información recabada por cookies de terceros sea objeto de este tipo de operaciones. Puede obtener más información acerca de estas transferencias en la Política de Cookies (PO-CIS-014).
c) En el caso de que fuese necesario realizar una transferencia internacional de datos, VIGATEC se compromete al cumplimiento de las medidas técnicas y organizativas necesarias, sin perjuicio de las obligaciones derivadas de la normativa vigente en materia de protección de datos.
2.9 Tiempo de Conservación de los Datos Personales
a) Los datos personales son eliminados una vez que termina el fundamento que autorizó su tratamiento, por regla general, el vencimiento de cualquier relación precontractual o contractual con VIGATEC.
b) En cuanto a la conservación de la información relativa a los datos de navegación y cookies, puede obtener más información en la Política de Cookies (PO-CIS-014).
2.10 Derechos Respecto al Tratamiento de Sus Datos Personales
El derecho con relación al tratamiento de sus datos personales es gratuito para el usuario.
Estos derechos son los siguientes:
a) Derecho de información: El usuario tiene derecho a que se le informe con un lenguaje claro y sencillo, sobre la forma en que VIGATEC tratará sus datos personales.
b) Derecho de acceso: El usuario tiene derecho a solicitar en cualquier momento que se le confirme si VIGATEC está tratando sus datos personales, a que se le facilite acceso a los mismos y a la información sobre su tratamiento y a obtener una copia de dichos datos.
c) Derecho de rectificación: El usuario tiene derecho a solicitar la rectificación de los datos personales inexactos, no actualizados o incompletos que le conciernan.
d) Derecho de cancelación: El usuario tiene derecho a solicitar la cancelación de sus datos personales cuando los datos ya no sean necesarios para cumplir los fines señalados en la sección 3.6 de esta Política.
e) Derecho de oposición: Este derecho le permite al usuario a oponerse al tratamiento de sus datos personales, incluida la elaboración de perfiles. Las empresas corresponsables podrán no atender su derecho de oposición, únicamente cuando acredite motivos legítimos para el tratamiento o para la formulación, el ejercicio o la defensa de reclamaciones.
f) Derecho a retirar el consentimiento: En los casos en los que se hubiera obtenido el consentimiento del usuario para el tratamiento de sus datos personales en relación con determinadas actividades (por ejemplo, con el fin de enviarle comunicaciones comerciales), podrá retirarlo en cualquier momento. De esta forma, se deja de realizar esa actividad concreta para la que había consentido previamente, salvo que exista otra razón que justifique la continuidad del tratamiento de sus datos con estos fines, en cuyo caso, le notificaremos dicha situación.
El usuario puede ejercitar sus derechos de acceso, rectificación, cancelación, oposición y revocar el consentimiento otorgados mediante el envío de una comunicación a VIGATEC a José Ananías 441, Macul, Santiago de Chile o al correo electrónico hola@vigatec.cl.
2.11 Medidas Aplicadas para Mantener Seguros los Datos Personales
a) VIGATEC adopta las medidas técnicas y organizativas adecuadas para proteger los datos personales contra cualquier uso indebido, destrucción, pérdida, modificación accidental o ilícita, divulgación o acceso no autorizado, incluidas las necesarias para tratar cualquier sospecha de violaciones de datos. Para lograr ello VIGATEC tiene un Sistema de Gestión de Seguridad de la Información según la norma internacional ISO/IEC 27001:2013.
b) Si un usuario tiene conocimiento o sospecha del uso indebido por terceros de sus datos personales o un acceso no autorizado a los mismos, le rogamos que informe a VIGATEC a la mayor brevedad a través de cualquiera de los canales indicados en la sección 2.2 de esta Política.
2.12 Modificaciones
VIGATEC podrá modificar esta Política cuando lo considere oportuno.
La versión más actualizada estará siempre disponible en https://www.vigatec.com.
a) El Gerente General debe:
- Asegurar por el establecimiento de esta Política y su adecuación a los procesos y al negocio.
- Verificar que el Comité Seguridad de la Información revise al menos una vez al año la presente política, revisión que debe ser aprobada por el mismo Gerente General.
- Informar al Directorio de los incidentes del SGSI de VIGATEC.
b) El Comité Seguridad de la Información debe:
- Informar al Gerente General y a la plana ejecutiva, de los riesgos asociados al uso de áreas seguras y resolver respecto de las medidas de mitigación a implementar.
- Verificar que los eventos e incidentes han sido registrados, asignar un responsable del análisis e implementación y hacer seguimiento hasta verificar la eficacia de la acción tomada.
- Revisar la presente Política, al menos una vez al año.
c) Cada Gerente, Jefatura de Área y Propietario de Proceso, debe:
- Permanentemente aplicar y resguardar el fiel cumplimiento de la presente política y los documentos relacionados.
- Asegurarse de que los incidentes sean registrados, analizados y se implementen acciones correctivas o de mejora, de forma de evitar la recurrencia.
- Dar cumplimiento a los lineamientos establecidos en esta Política.
- Reportar incidentes de seguridad de la información.
a) El Gerente General de VIGATEC debe asegurar los mecanismos para que todas las políticas, en especial la presente y sus futuras modificaciones sean conocidas y estén a disposición permanentemente por todos los directores, ejecutivos y colaboradores y sean dadas a conocer a las partes interesadas pertinentes, inclusive los proveedores, en el contexto de los servicios que le sean prestados a VIGATEC.
b) El Gerente General de VIGATEC reconoce como tareas prioritarias la sensibilización, capacitación y entrenamiento del personal, en las materias indicadas en la presente Política.
c) Los ejecutivos de VIGATEC deben crear mecanismos para que esta política y sus procedimientos, sean conocidos y considerados permanentemente por todos los integrantes de la organización, asegurándose que los colaboradores asumen y comprenden sus responsabilidades. Estas acciones estarán contenidas en las actividades de capacitación anual al personal de VIGATEC.
d) Los ejecutivos de VIGATEC deben asegurar que todos los colaboradores, dentro del alcance del SGSI, cuenten con una inducción y sean capacitados en materias de esta política, manteniendo un canal de comunicación formal para informar a toda la organización respecto a los avances, logros y novedades en la materia, con el objetivo de crear una cultura de seguridad de la información dentro de la Organización.
a) Ante la ocurrencia de algún incumplimiento a las medidas orientadas a resguardar la presente Política, el usuario que lo detecte debe informar a la brevedad a su jefatura directa y/o al CISO, quienes analizarán el incumplimiento y deben gestionar las medidas necesarias para minimizar los potenciales daños a la organización y lograr el cumplimiento integral de esta política, evitando que se reiteren situaciones similares.
b) Todo colaborador tiene la obligación de notificar cualquier actividad o situación que afecte o pueda afectar lo dispuesto en la presente Política. Dicha notificación se debe registrar conforme al Procedimiento Gestión de incidentes, No Conformidades y Acciones Correctivas (PR-GG-N-004).
c) Los incumplimientos graves, es decir, aquellos que afecten a los clientes, y/o a los clientes de los clientes, y/o que se manifiesten como quejas del cliente, deben ser informados al Gerente General y este debe informarlos al Directorio de VIGATEC.
d) Al colaborador que contravenga lo indicado en esta Política y/o los documentos relacionados a la misma, se le debe aplicar lo establecido en el Reglamento Interno de Orden, Higiene y Seguridad (RE-PER-001), en cuanto a sanciones y multas (ver TÍTULO XXI).
e) Con relación al personal externo y/o proveedores que no cumplan con lo indicado en esta Política, dependiendo del tipo de incumplimiento se debe amonestar o rescindir el contrato.
a) Esta Política debe responder al control A.18.1 – Cumplimiento de los requisitos legales y contractuales, de la norma internacional ISO/IEC 27001:2013, equivalente al control A.5.34 – Privacidad y protección de la PII, de la norma internacional ISO/IEC 27001:2022.
b) Esta Política, los procedimientos y demás documentos complementarios, deben mantener coherencia con los procesos, los objetivos, indicadores y los requerimientos del negocio.
c) Esta Política debe ser complementada con las demás políticas de VIGATEC.