Cargando

Política sobre Protección de Datos Personales
Política Corporativa de Protección de Datos Personales

Política Corporativa de Protección de Datos Personales

1. Objetivos Generales:

LA EMPRESA está comprometida con la protección y privacidad de los Datos Personales de los Usuarios en cumplimiento de la Ley de Protección de Datos Personales – Ley N° 29733 y su Reglamento aprobado por el Decreto Supremo N° 003 – 2013 – JUS (*las Normas de Protección de Datos Personales*). En coherencia con ello, esta Política Corporativa tiene como objetivos:

  1. Establecer los lineamientos generales para el Tratamiento y Transferencia de Datos Personales de grupos de interés tales como colaboradores, Usuarios, clientes y proveedores de LA EMPRESA.
  2.  Asegurar que LA EMPRESA cumplan las Normas de Protección de Datos Personales.
  3. Hacer de conocimiento de todos los colaboradores de LA EMPRESA el impacto del incumplimiento de las Normas de Protección de Datos Personales.

 

2. Definiciones:

  1. APDP: Autoridad Nacional de Protección de Datos Personales.
  2. Activo de Información: Todo documento físico (DF), documento digital (DD) y aplicativos informáticos (APP) que tengan un valor para la empresa y/o soporten o sean parte de la actividad, proceso o giro de negocio de la organización.
  3. Aplicativo informático fuera de la custodia de la Unidad de Sistemas (AppnoIT): Todo activo de información orientado al procesamiento y administración de datos que se encuentre administrado por una Unidad, y además que se encuentre alojado en la misma Unidad o en la Unidad de Sistemas. Se incluye a esta definición los archivos digitales con lógica de programación en su contenido, como por ejemplo: macros de Excel, bases de datos en Access, flujos de trabajo en SharePoint, entre otros.
  4. Banco de Datos Personales: Conjunto organizado de Datos Personales automatizados o no, independientemente del soporte, sea este físico, magnético, digital u otros que se cree, cualquiera fuera la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
  5. Consentimiento: Autorización del Titular de los Datos Personales para que el Titular del Banco de Datos Personales realice Tratamiento y/o Transferencia de los mismos.
  6. Datos Personales: Aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a una persona natural, que la identifica o le hace identificable directa o indirectamente a través de medios que puedan ser razonablemente utilizados. Ej: nombres y apellidos, DNI/RUC, pasaporte, sexo, profesión, edad, nacionalidad, fecha de nacimiento, dirección, teléfono, correo electrónico, fotografía, firma, voz, etc.
  7. Datos sensibles: Datos Personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, hábitos personales de la esfera más íntima, información relativa a la salud física o mental, datos biométricos que por sí mismos pueden identificar al titular, datos referidos al origen racial o étnico, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, afiliación sindical, información relacionada a la salud o a la vida sexual u otras que afecten la intimidad de la persona natural.
  8. Documento Digital (DD): Todo activo de información que contenga datos en formato electrónico, y que requiere de un dispositivo informático para su acceso y consulta. Se excluye de esta definición a todo archivo digital que contenga lógica de programación en su contenido, como por ejemplo macros en Excel.
  9. Documento Físico (DF): Todo activo de información que contenga datos registrados en un formato tangible tales como comprobantes de caja, documentos de control operativo, documentos activos, documentos pasivos, documentos para archivo físico, entre otros.
  10. Encargado del Banco de Datos Personales: Toda persona natural, jurídica de derecho privado o entidad pública que, sola o actuando conjuntamente con otra, realiza el Tratamiento de Datos Personales por encargo del Titular del Banco de Datos Personales.
  11. Titular de Datos Personales: Persona natural a quien corresponden los Datos Personales.
  12. Titular del Banco de Datos Personales: Persona natural, jurídica de derecho privado o entidad pública que determina la finalidad y contenido del Banco de Datos Personales, Tratamiento de estos y las medidas de seguridad.
  13. Transferencia: Toda transmisión, suministro o manifestación de Datos Personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del Titular de Datos Personales. No se considera transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de Datos Personales.
  14. Tratamiento: Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de Datos Personales.
  15. Usuarios: Personas naturales que pueden o hacen uso de los servicios que ofrece LA EMPRESA.

 

3. Alcance:

Las Normas de Protección de Datos Personales establecen un marco de protección para los Datos Personales a ser contenidos y/o destinados a ser contenidos en Bancos de Datos Personales de administración pública y/o privada, cuyo tratamiento se realice por personas naturales, entidades públicas o instituciones del sector privado en el territorio nacional o en los siguientes casos:

  • Se efectúe por un Encargado del Banco de Datos Personales, con independencia de su ubicación, a nombre de un Titular del Banco de Datos Personales establecido en un territorio nacional.
  • Cuando el Titular del Banco de Datos Personales o el responsable del Tratamiento no esté establecido en territorio peruano, pero le resulte aplicable la legislación peruana por disposición contractual o del derecho internacional.
  • Cuando el Titular del Banco de Datos Personales o el responsable del Tratamiento no esté establecido en territorio peruano, pero utilice medios situados en dicho territorio.

Se encuentran fuera del alcance de las Normas de Protección de Datos Personales:

  • El Tratamiento realizado a información de una persona jurídica.
  • Los Bancos de Datos Personales creados por personas naturales para fines exclusivamente domésticos o relacionados con su vida familiar.
  • Los Bancos de datos de administración pública, cuando su tratamiento sea necesario para el cumplimiento de las competencias asignadas por ley para la defensa nacional, seguridad pública y para el desarrollo de actividades en materia penal para la investigación y represión del delito.

 

4. Responsabilidades:

A efectos de cumplir con las Normas de Protección de Datos Personales, los directores, las gerencias, funcionarios respectivos de LA EMPRESA, y los colaboradores en general tendrán las siguientes responsabilidades:

  1. El Directorio de LA EMPRESA debe realizar las acciones necesarias a fin de que se adopten las medidas necesarias para asegurar el cumplimiento de las Normas de Protección de Datos Personales y el control periódico del cumplimiento de las políticas y procedimientos que implemente para tal fin.
  2. Las gerencias en LA EMPRESA deben alinear sus procedimientos a esta Política Corporativa y adoptar las medidas necesarias para asegurar que el personal a su cargo la conozca y aplique.
  3. El responsable de Cumplimiento y de las áreas respectivas de LA EMPRESA deberán:
  • Incorporar en la cultura de cumplimiento, las obligaciones vinculadas a la protección de Datos Personales.
  • Asegurar el monitoreo e investigación para el cumplimiento de esta Política.
  • Coordinar las sanciones por el incumplimiento de esta Política.
  • Asegurar el desarrollo e implementación de procedimientos que permitan asegurar el cumplimiento de las Normas de Protección de Datos Personales.
  • Ser interlocutor entre la APDP y LA EMPRESA.
  • Gestionar la inscripción y actualización de los Bancos de Datos Personales de responsabilidad de LA EMPRESA ante la APDP.
  • Dar asistencia ante las inspecciones y requerimientos de la APDP.
  • Informar al Directorio sobre cualquier tema de interés relacionado al cumplimiento de esta Política.
  1. El responsable de Seguridad de la Información y los encargados en LA EMPRESA deberán:
  1. Seguridad informática:
    • Identificar las normas sobre la materia que hagan referencia a las Normas de Protección de Datos Personales.
    • Definir las líneas base de seguridad para la Infraestructura donde residen las aplicaciones.
    • Definir lineamientos de seguridad para las aplicaciones que realizan Tratamiento de Datos Personales fuera de las instalaciones de LA EMPRESA.
    • Ejecutar capacitaciones virtuales para que los colaboradores conozcan las normas internas de seguridad técnica.
    • Definir lineamientos de seguridad para el envío de Datos Personales por medios de soporte informático.
    • Definir lineamientos para mantenimiento de registros de auditoría.
    • Definir lineamientos para Transferencias por correo electrónico.
    • Definir lineamientos para que las APPnoIT y Documentos Digitales cumplan con las Normas de Protección de Datos Personales.

 

  1. Seguridad de la Información para Documentos Físicos:
    • Identificar las normas sobre la materia que se relacionen con las Normas de Protección de Datos Personales.
    • Definir lineamientos de seguridad para el Tratamiento de Datos Personales en medios físicos dentro y fuera de las instalaciones.
    • Definir lineamientos de seguridad para el traslado y envío de Datos Personales por medios físicos a fin de adoptar medidas que impidan el acceso o manipulación de la información objeto del traslado.
    • Definir lineamientos para que los Tratamientos de documentos físicos que contengan Datos Personales cumplan con las Normas de Protección de Datos Personales.
    • Capacitar a los colaboradores sobre los controles de seguridad, definidos en las normas internas para el tratamiento de Datos Personales en documentos físicos.
    • Monitorear el cumplimiento de los lineamientos de seguridad para el Tratamiento de datos personales en documentos físicos.

e. Todos los colaboradores de LA EMPRESA deben cumplir las Normas de Protección de Datos Personales y esta Política.

5. Consideraciones Generales:

Al haber funciones y roles que mantengan Datos Personales, las gerencias podrán disponer mayores restricciones en su unidad que las disposiciones de esta Política, en cuyo caso prevalecerá la más exigente.

6. Lineamientos / Políticas:

6.1 Principios Rectores

LA EMPRESA, en su calidad de Titular de los Bancos de Datos Personales deben cumplir con los principios rectores de la protección de datos personales de conformidad con lo establecido en las Normas de Protección de Datos Personales.

  1. Principio de Legalidad: El tratamiento de los datos personales se hace conforme a lo establecido en la Ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.
  2. Principio de Consentimiento: El tratamiento de Datos Personales es lícito cuando el Titular de los Datos Personales prestó su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa.
  3. Principio de Finalidad: Se considera que una finalidad está determinada, cuando haya sido expresada con claridad, sin lugar a confusión y cunado de manera objetiva se especifica el objeto que tendrá el Tratamiento de los Datos Personales. Las personas que realicen el Tratamiento de algún Dato Personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar el secreto profesional.
  4. Principio de Proporcionalidad: Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
  5. Principio de Calidad: Los Datos Personales contenidos en un Banco de Datos Personales deben ajustarse con precisión a la realidad.  Se presume que los datos directamente facilitados por el Titular de los mismos son exactos.
  6. Principio de Seguridad: En el Tratamiento de los Datos Personales deben adoptarse las medidas de seguridad que resulten necesarios a fin de evitar cualquier tratamiento contrario a las Normas de Protección de Datos Personales, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio tecnológico utilizado.
  7. Principio de Disposición de Recurso: Todo Titular de Datos Personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerables por el tratamiento de sus datos personales.
  8. Principio de Nivel de Protección Adecuado: Para el flujo transfonterizos de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o por lo menos, equiparable a lo previsto por las normas de Protección de Datos Personales o por lo estándares internacionales en la materia.

 

6.2 Consentimiento del Titular de Datos Personales

LA EMPRESA, en su calidad de Titular de los Bancos de Datos Personales, tiene la obligación de obtener el Consentimiento del Titular de los Datos Personales para poder realizar el Tratamiento y Transferencia de sus Datos Personales, teniendo en cuenta las disposiciones de las Normas de Protección de Datos Personales y los lineamientos establecidos por el área Legal de LA EMPRESA. El Consentimiento debe ser:

  • Libre: sin que medie error, mala fe, violencia o dolo que pueda afectar la manifestación de voluntad del Titular de Datos Personales, la cual debe ser voluntaria.
  • Previo: debe ser pedido antes de la recopilación y Tratamiento de los Datos Personales.
  • Expreso e inequívoco: debe ser manifestado en condiciones que no admitan dudas de su otorgamiento. La manifestación de voluntad del titular de datos personales puede ser verbal cuando ésta es exteriorizada oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral; o escrita mediante documento con firma autógrafa, huella dactilar u otro autorizado por el ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel o similar (ej. “hacer clic” es una manifestación escrita válida a través de un medio digital), en el caso de los Datos Sensibles, el Consentimiento manifestado debe ser por escrito.
  • Informado: el Titular de Datos Personales debe ser informado por el Titular del Banco de Datos Personales de manera clara, expresa, sencilla y de manera previa a su recopilación, sobre la finalidad para la cual sus Datos Personales serán tratados, quiénes son o pueden ser sus destinatarios, la existencia del Banco de Datos Personales en que se almacenarán, así como la identidad y domicilio del Titular del Banco, y de ser el caso, del Encargado del Banco de Datos Personales, el carácter obligatorio y facultativo de sus respuestas al cuestionario que se le proponga, las consecuencias de proporcionar sus Datos Personales y de su negativa a hacerlo, el tiempo durante el cual se conserven los Datos Personales, la Transferencia de sus Datos Personales y la posibilidad  de ejercer los derechos que la Ley de Protección de Datos Personales y los medios previstos para ello.

 

6.3 Excepciones al Consentimiento del Titular de Datos Personales

De acuerdo con el artículo 14° de la Ley de Protección de Datos Personales, el Titular del Banco de Datos Personales o el responsable del Tratamiento no necesita obtener la autorización del Titular de los Datos Personales cuando realice Tratamiento en los siguientes supuestos:

  1. Cuando los Datos Personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias.
  2. Cuando sean Datos Personales contenidos o destinados a ser contenidos en fuentes accesibles al público (RENIEC, SUNAT, SBS, JNE, SUNARP, ESSALUD, Páginas Blancos, Colegios Profesionales, INFOCORP, Centrales de Riesgos, etc.)
  3. Cuando sean Datos Personales sobre la solvencia patrimonial y de crédito, conforme a lo establecido en la ley.
  4. Cuando medie norma para la producción de la competencia en los mercados regulados, emitida en ejercicio de la función normativa para los organismos reguladores a que se refiere la Ley 27332 – Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o que la haga sus veces, siempre que la información brindada sea utilizada en perjuicio de la privacidad del usuario.
  5. Cuando los Datos Personales sean necesarios para ejecutar una relación contractual en la que el Titular de Datos Personales sea parte o cuando se trate de Datos Personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.
  6. Cuando se realice el Tratamiento de los Datos Personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho Tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.
  7. Cuando el Tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical y se refiera a los Datos Personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin Consentimiento de aquellos.
  8. Cuando se hubiera aplicado un procedimiento de anonimización o disociación.
  9. Cuando el Tratamiento sea necesario para salvaguardar intereses legítimos del Titular de los Datos Personales.
  10. Cuando el Tratamiento o Transferencia sea un cumplimiento de una norma nacional o internacional (Ej. Entrega de información de la UIF por las normas de prevención de lavado de activos y financiamiento del terrorismo, al MINTRA por las normas de seguridad y salud en el trabajo, a la SUNAT o a la IRS (EEUU) por las normas FATCA, etc.)
  11. Otros establecidos por la ley, o por el reglamento otorgado de conformidad con la Ley de Protección de Datos Personales.

 

6.4 Contratación de proveedores

LA EMPRESA debe incorporar una cláusula de protección de Datos Personales en los contratos que suscriba con sus proveedores cuando éstos últimos tengan acceso a datos de Usuarios, clientes o colaboradores de la empresa, que pueden variar de acuerdo con el siguiente detalle:

  1. Cláusula general de proveedores.
  2. Cláusula de proveedores de cobranza.
  3. Cláusula para contratos de adquisición de base de datos.

Cuando se trate de una alianza comercial con intercambio de Datos Personales de Usuarios, clientes o colaboradores, LA EMPRESA incluirá otra modalidad de cláusula de protección de Datos Personales en el Contrato, por la cual ambas partes se obliguen a cumplir las Normas de Protección de Datos Personales.

6.5 Tratamiento de los Datos Personales de Menores de Edad

LA EMPRESA solo realizará Tratamiento de los Datos Personales de menores de edad con el previo Consentimiento de sus padres o tutores. En tal sentido, en caso los menores de edad opten por facilitar sus Datos Personales a través del sitio web, deberán solicitar el permiso correspondiente a sus padres o tutores, quienes serán considerados responsables de todos los actos realizados por los menores a su cargo.

6.6 Medidas de Seguridad

El Titular del Banco de Datos Personales debe implementar las medidas de seguridad correspondientes de acuerdo con el tipo de activo de información que soporte los Datos Personales. LA EPRESA debe asegurar el cumplimiento de las Políticas de Seguridad de la Información y otras políticas internas sobre el tratamiento de los Activos de Información y de los riesgos relacionados.

Dichas políticas deberán contener lineamientos para asegurar el cumplimiento de las Normas de Protección de Datos Personales, asegurando el adecuado:

  1. Control de Accesos (¿quién puede acceder? ¿cuándo? ¿desde cuándo? ¿qué puede hacer?)
  2. Almacenamiento seguro de los Datos Personales (respaldos, áreas con acceso protegido)
  3. Transferencia segura de Datos Personales fuera de LA EMPRESA (medios de transporte autorizados, medidas de seguridad como cifrado para evitar accesos no autorizados, pérdida o corrupción de información durante el tránsito)
  4. Traslado seguro de Datos Personales para impedir acceso o su manipulación.
  5. Tratamiento de los Datos Personales en documentos físicos (copia o reproducción de los documentos, custodia, traslado, destrucción)

 

6.7 Atención de Derechos Protegidos

LA EMPRESA debe garantizar la atención de los derechos protegidos que pueda ejercer el Titular de los Datos Personales. Para ello deberán mantener disponibles canales, procedimientos e información para atender las solicitudes en los plazos establecidos por las Normas de Protección de Datos Personales.

Los derechos que puede ejercer el Titular de los Datos Personales son:

  1. Acceso / Información:

El derecho de acceso es aquel derecho a ser informado sobre cuáles son los Datos Personales incluidos en los Bancos de Datos de responsabilidad de LA EMPRESA, así como de las condiciones y generalidad del Tratamiento y Transferencia de los mismos.

El derecho de información es aquel derecho del Titular de Datos Personales a que se le brinde toda la información sobre la finalidad para la cual sus Datos Personales serán tratados, quiénes son o pueden ser sus destinatarios, la existencia del Banco de Datos Personales en que se almacenarán así como la identidad y domicilio del Titular de los Datos Personales y, de ser el caso, del Encargado del Banco de Datos Personales, de la Transferencia de sus Datos Personales,  de las consecuencias de proporcionarlos y de su negativa a hacerlo,  del tiempo de conservación de los mismos y  de la posibilidad de ejercer los derechos que la ley le concede.

  1. Rectificación / Actualización:

Aquel derecho del Titular de Datos Personales a actualizar, incluir o modificar sus Datos Personales. Aplica cuando los datos son parcial o totalmente inexactos, incompletos, erróneos, falsos o están desactualizados. El Titular de Datos Personales deberá especificar los datos que sea desea sean rectificados, actualizados y/o incluidos, así como la corrección y/o incorporación que quiera que LA EMPRESA realice y deberá adjuntar los documentos de sustento necesarios para que la rectificación y/o inclusión solicitada sea procedente.

  1. Cancelación / Supresión:

Aquel derecho del Titular de Datos Personales a solicitar la supresión o cancelación total o parcial de sus Datos Personales de un Banco de Datos Personales. Esta solicitud procede si los Datos Personales del titular hubieran dejado de ser necesarios o pertinentes para la finalidad que fueron recopilados, cuando; (i) hubiera vencido el plazo para su Tratamiento, (ii) decida revocar su Consentimiento para el Tratamiento de los mismos y (iii) en los casos en los que el Tratamiento no sea conforme a las Normas de Protección de Datos Personales.

El Titular de Datos Personales debe tener en cuenta que su solicitud no procederá cuando sus datos sean necesarios para ejecutar la relación contractual que mantiene con LA EMPRESA, ni cuando deban ser conservados durante los plazos previstos en las disposiciones legales vigentes ni cuando sean conservados en virtud de razones históricas, estadísticas o científicas de acuerdo con la legislación aplicable.

  1. Oposición:

Aquel derecho del Titular de Datos Personales a oponerse a figurar en un Banco de Datos Personales de responsabilidad de LA EMPRESA o al Tratamiento de su información personal cuando no hubiere prestado Consentimiento para su recopilación por haber sido tomados de fuentes de acceso al público o cuando habiendo prestado su Consentimiento, acredite la existencia de motivos fundados y legítimos relativos a una concreta situación personal que justifique el ejercicio de este derecho.

  1. Revocación:

Aquel derecho del Titular de Datos Personales a revocar su consentimiento para el Tratamiento de sus Derechos Personales en cualquier momento, sin justificación previa y siempre que dicho tratamiento se realice para finalidades adicionales a aquellas que dan lugar a su Tratamiento autorizado. En ese sentido, la solicitud de revocación no procederá si los Datos Personales son necesarios para la ejecución de la relación contractual que el Titular de los Datos Personales mantiene LA EMPRESA, no si debemos conservar los mismo por razones históricas, estadísticas o científicas de acuerdo con la legislación aplicable. Sin perjuicio del ejercicio del derecho de revocación, el Titular del Banco Personal conservará la información que corresponda por el plazo previsto en las disposiciones vigentes.

6.8 Registro de Bancos de Datos Personales

LA EMPRESA está obligada a inscribir en el Registro Nacional de Datos Personales, administrado por la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia (MINJUS), los Bancos de Datos Personales bajo su responsabilidad, sea que se encuentren en soportes físicos (archivos, almacenes) o digitales (aplicativos, Excel, Access, etc.)

Asimismo, sólo se deben registrar los Bancos de Datos Personales matrices. En ese sentido, se deberá informar al Responsable de Cumplimiento o los encargados respectivos en LA EMPRESA, sobre los Bancos de Datos Personales existentes que se identifiquen y que no hayan sido registrados ante el MINJUS o que cualquier área vaya a crear, quien analizará si ese Banco de Datos Personales es parte de algún otro banco ya registrado o si requiere registrarse como Banco de Datos Personales matriz.

 

7. Presentación de reportes de potenciales violaciones a las Normas de Protección de Datos Personales y señales de alerta.

El colaborador de LA EMPRESA deberá informar a la unidad de Cumplimiento cualquier acto ilícito o incumplimiento de esta Política para garantizar el cumplimiento de las Normas de Protección de Datos Personales. LA EMPRESA adoptará las medidas necesarias para proteger la confidencialidad de cualquier reporte, sujeto a ley, regulaciones o procedimientos legales.

LA EMPRESA tiene estrictamente prohibido tomar represalias contra los colaboradores que, o bien elaboran reportes de buena fe y/o participan en informar cualquier acto ilícito o incumplimiento de esta Política. Cabe precisar que cualquier colaborador que tome represalias estará sujeto a sanciones disciplinarias.

8. Medidas disciplinarias:

Las infracciones a esta Política o la falta de cooperación con una investigación interna podrán dar lugar a la aplicación de sanciones disciplinarias según la gravedad del caso, que pueden llegar hasta la separación del colaborador de LA EMPRESA de sus funciones, en concordancia con la legislación laboral; sin perjuicio de las acciones civiles y penales que pudieran corresponder.