1. PRESENTACIÓN.
La ASOCIACIÓN COALICIÓN COSTARRICENSE DE INICIATIVAS DE DESARROLLO (“CINDE”) es una organización privada, sin fines de lucro, apolítica que provee servicios de asesoría en el proceso de inversión. CINDE es una empresa domiciliada en la República de Costa Rica, Mata Redonda, Sabana Sur, Torre Universal, Piso 22, con cédula de persona jurídica número 3-002-056152. Si desea contactarnos para obtener información adicional, puede llamar al siguiente número de teléfono: +506 2201-2800 o enviarnos un correo a la siguiente dirección de correo electrónico: invest@cinde.og
2. OBJETIVO.
De conformidad con la normativa costarricense de protección de datos personales, la presente Política tiene como objeto definir los lineamientos generales de CINDE en materia de protección de datos personales, además de regular los procedimientos y mecanismos de control que se deben seguir para el correcto manejo, tratamiento y protección de la información. Mediante la expedición de la presente Política, CINDE integra la privacidad y la protección de datos personales en todos los procesos de su organización. Su cumplimiento es de vital importancia para su funcionamiento normal y su ajuste a la normativa vigente.
3. ALCANCE.
Esta Política aplica a las Bases de Datos y/o Archivos que contengan datos personales que sean objeto de tratamiento por parte de CINDE.
Las disposiciones de este documento deberán ser aplicadas siempre que CINDE, sus representantes, agentes y/o empleados de cualquier rango, procedan con el tratamiento de datos personales, lo que incluye, entre otros, los actos de recolección, almacenamiento, uso, circulación, supresión, transmisión, y/o transferencia, salvo en los casos exceptuados por ley.
Se encontrarán sujetos a lo dispuesto en este documento todos aquellos actos que den inicio, trámite o fin al tratamiento de datos personales. Adicionalmente, las disposiciones de la presente política deberán ser aplicadas siempre que CINDE se desempeñe como Responsable y/o como Encargado del tratamiento.
4. DEFINICIONES.
Las siguientes son definiciones consagradas en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, número 8968 y su reglamento Decreto Ejecutivo N° 37554-JP:
- Base de datos: Cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales públicos o privados, que sean objeto de tratamiento, automatizado o manual, en el sitio o en la nube, bajo control o dirección de un responsable, cualquiera que sea la modalidad de su elaboración, organización o acceso.
- Consentimiento del titular de los datos personales: Toda manifestación de voluntad expresa, libre, inequívoca, informada y específica que se otorgue por escrito o en medio digital para un fin determinado, mediante la cual el titular de los datos personales o su representante consienta el tratamiento de sus datos personales. Si el consentimiento se otorga en el marco de un contrato para otros fines, dicho contrato deberá contar con una cláusula específica e independiente sobre consentimiento del tratamiento de datos personales.
- Datos personales: cualquier dato relativo a una persona física identificada o identificable.
- Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros.
- Deber de confidencialidad: obligación de los responsables de bases de datos, personal a su cargo, de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por la normativa, principalmente cuando se acceda a información sobre datos personales y sensibles. Esta obligación perdurará aun después de finalizada la relación con la base de datos.
- Encargado: Toda persona física o jurídica, entidad pública o privada, o cualquier otro organismo que da tratamiento a los datos personales por cuenta del responsable de la base de datos.
- Garantía de confidencialidad: Obligación de toda persona física o jurídica, pública o privada, que tenga participación en el tratamiento o almacenamiento de datos personales, de cumplir con el deber de confidencialidad que exige la normativa.
- Intermediario tecnológico o proveedor de servicios: Persona física o jurídica, pública o privada que brinde servicios de infraestructura, plataforma, software u otros servicios.
- Procedimiento de desasociación: Acción y efecto de disociar los datos personales, de modo que la información que se obtenga no pueda asociarse o vincularse a persona determinada o determinable.
- 4.10.Responsable: Toda persona física o jurídica, pública o privada, que administre o, gerencia o, se encargue o, sea propietario, de una o más bases de datos públicas o privadas, competente con arreglo a la normativa, para decidir cuál es la finalidad de la base de datos, cuáles categorías de datos de carácter personal deberán registrarse y qué tipo de tratamiento les aplicarán.
- 4.11.Supresión o eliminación: Procedimiento en virtud del cual el responsable o el encargado de la base de datos, borra o destruye total o parcialmente de manera definitiva, los datos personales del titular, de su base de datos.
- 4.12.Titular o interesado: Persona física dueña de los datos personales tutelados, o su representante.
- 4.13.Transferencia de datos personales: Acción mediante la cual se trasladan datos personales del responsable de una base de datos personales a cualquier tercero distinto del propio responsable, de su grupo de interés económico, del encargado, proveedor de servicios o intermediario tecnológico, en estos casos siempre y cuando el receptor no use los datos para distribución, difusión o comercialización.
- 4.14.Tratamiento de datos: Cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.
- 4.15.Tratamiento de datos automatizado: Cualquier operación, conjunto de operaciones o procedimientos, aplicados a datos personales, efectuados mediante la utilización de hardware, software, redes, servicios, aplicaciones, en el sitio o en la nube, o cualquier otra tecnología de la información que permitan la recolección, el registro, la organización, la conservación, la modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión, distribución o cualquier otra forma que facilite el acceso a estos, el cotejo, o la interconexión, así como su bloqueo, supresión o destrucción, intercambio o digitalización de datos personales, entre otros.
- 4.16.Grupo de interés económico: agrupación de sociedades que se manifiesta mediante una unidad de decisión, es decir, la reunión de todos los elementos de mando o dirección empresarial por medio de un centro de operaciones, y se exterioriza mediante dos movimientos básicos: el criterio de unidad de dirección, ya sea por subordinación o por colaboración entre empresas, o el criterio de dependencia económica de las sociedades que se agrupan, sin importar que la personalidad jurídica de las sociedades se vea afectada, o que su patrimonio sea objeto de transferencia, independientemente de su domicilio y razón social.
5. PRINCIPIOS.
En todas las acciones que impliquen el tratamiento de datos personales, así como la interpretación de las disposiciones de la presente Política, por parte de CINDE, sus representantes, agentes y/o empleados de cualquier rango, deberán ser observados los principios que los tutelan, los cuales corresponden a:
- Autodeterminación informativa. Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales. Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.
- Principio de consentimiento informado.
- Obligación de informar. Cuando se soliciten datos de carácter personal será necesario informar de previo a las personas titulares o a sus representantes, de modo expreso, preciso e inequívoco:
- De la existencia de una base de datos de carácter personal.
- De los fines que se persiguen con la recolección de estos datos.
- De los destinatarios de la información, así como de quiénes podrán consultarla.
- Del carácter obligatorio o facultativo de sus respuestas a las preguntas que se le formulen durante la recolección de los datos.
- Del tratamiento que se dará a los datos solicitados.
- De las consecuencias de la negativa a suministrar los datos.
- De la posibilidad de ejercer los derechos que le asisten.
- De la identidad y dirección del responsable de la base de datos.
- Cuando se utilicen cuestionarios u otros medios para la recolección de datos personales figurarán estas advertencias en forma claramente legible.
- Otorgamiento del consentimiento.
Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar por escrito, ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo.
No será necesario el consentimiento expreso cuando: a) Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo; b) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general; y c) Los datos deban ser entregados por disposición constitucional o legal.
- Principio de calidad de la información. Solo podrán ser recolectados, almacenados o empleados datos de carácter personal para su tratamiento automatizado o manual, cuando tales datos sean actuales, veraces, exactos y adecuados al fin para el que fueron recolectados.
- Actualidad: Los datos de carácter personal deberán ser actuales. El responsable de la base de datos eliminará los datos que hayan dejado de ser pertinentes o necesarios, en razón de la finalidad para la cual fueron recibidos y registrados. En ningún caso, serán conservados los datos personales que puedan afectar, de cualquier modo, a su titular, una vez transcurridos diez años desde la fecha de ocurrencia de los hechos registrados, salvo disposición normativa especial que disponga otra cosa. En caso de que sea necesaria su conservación, más allá del plazo estipulado, deberán ser desasociados de su titular.
- Veracidad: Los datos de carácter personal deberán ser veraces. La persona responsable de la base de datos está obligado a modificar o suprimir los datos que falten a la verdad. De la misma manera, velará por que los datos sean tratados de manera leal y lícita.
- Exactitud: Los datos de carácter personal deberán ser exactos. La persona responsable de la base de datos tomará las medidas necesarias para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados. Si los datos de carácter personal registrados resultan ser inexactos en todo o en parte, o incompletos, serán eliminados o sustituidos de oficio por la persona responsable de la base de datos, por los correspondientes datos rectificados, actualizados o complementados. Igualmente, serán eliminados si no media el consentimiento informado o está prohibida su recolección.
- Adecuación al fin. Los datos de carácter personal serán recopilados con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines. No se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando se establezcan las garantías oportunas para salvaguardar los derechos contemplados en la normativa. Las bases de datos no pueden tener finalidades contrarias a las leyes ni a la moral pública.
6. DEBERES COMO RESPONSABLE
Siempre que CINDE realice operaciones que impliquen el tratamiento de datos personales en calidad de Responsable, entenderá que los mismos son propiedad de los individuos a los que se refieren. Por consiguiente, CINDE se comprometen a observar y cumplir las siguientes obligaciones:
- Solicitar y conservar copia del respectivo consentimiento otorgado por el Titular.
- Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente a un Encargado, Intermediario Tecnológico o Proveedor de Servicios del tratamiento.
- Exigir al Encargado Intermediario Tecnológico o Proveedor de Servicios del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
- Tramitar las consultas y reclamos formulados en los términos señalados en la normativa.
- Adoptar la presente Política para garantizar el adecuado cumplimiento de la ley aplicable.
- Implementar las Políticas de Privacidad específicas de cada base de datos y/o archivo, cuando sean necesarios, a fin de informar de forma efectiva al Titular de los datos personales.
- Limitar el acceso a la información únicamente a las personas que deban tener acceso a ella para cumplir las finalidades consentidas.
7. CONSENTIMIENTO INFORMADO.
Toda captura, recolección, uso y almacenamiento o procesamiento de datos personales que realice CINDE en el desarrollo de sus actividades, requiere de los titulares un consentimiento libre, previo, expreso, inequívoco e informado, a menos de que sea aplicable una de las excepciones contempladas en la normativa.
CINDE debe custodiar los consentimientos obtenidos para el tratamiento de los datos personales, ya sea en formatos físicos o de los formularios web en los cuales se da trazabilidad sobre la aceptación del tratamiento.
8. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN.
CINDE garantiza el derecho de toda persona al acceso de sus datos personales, rectificación o supresión de estos y a consentir la cesión de sus datos.
- Acceso a la información. El derecho de acceso a la información personal garantiza las siguientes facultades del interesado:
- Obtener en intervalos razonables, sin demora y a título gratuito, la confirmación o no de la existencia de datos suyos en archivos o bases de datos. En caso de que sí existan datos suyos, estos deberán ser comunicados a la persona interesada en forma precisa y entendible.
- Recibir la información relativa al Titular, así como la finalidad con que fueron recopilados y el uso que se le ha dado a sus datos personales. El informe deberá ser completo, claro y exento de codificaciones. Deberá estar acompañado de una explicación de los términos técnicos que se utilicen.
- Ser informado por escrito de manera amplia, por medios físicos o electrónicos, sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento solo comprenda un aspecto de los datos personales. Este informe en ningún caso podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con la persona interesada, excepto cuando con ellos se pretenda configurar un delito penal.
- Tener conocimiento del sistema, programa, método o proceso utilizado en los tratamientos de sus datos personales.
- Derecho de rectificación. Se garantiza el derecho de obtener, llegado el caso, la rectificación de los datos personales y su actualización o la eliminación de estos cuando se hayan tratado con infracción a las disposiciones de normativa, en particular a causa del carácter incompleto o inexacto de los datos, o hayan sido recopilados sin autorización del titular.
- Todo titular puede solicitar y obtener de la persona responsable de la base de datos, la rectificación, la actualización, la cancelación o la eliminación y el cumplimiento de la garantía de confidencialidad respecto de sus datos personales.
- En el caso de datos de personas fallecidas, el ejercicio de estos derechos le corresponderá a sus sucesores o herederos.
9. PROCEDIMIENTO DE EJERCICIO DE DERECHOS DE LOS TITULARES.
Los procedimientos para el ejercicio de los derechos de los titulares serán los siguientes:
- Consultas: El Titular de los Datos o sus representantes, podrán consultar su información y datos personales la base de datos, caso en el cual les suministraremos la información solicitada, previa verificación de la legitimación para presentar dicha solicitud. La consulta será atendida en un término máximo de cinco (5) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, por requerir información adicional CINDE podrá requerir al titular, por una vez, y dentro de los cinco días hábiles siguientes a la recepción de la solicitud, que aporte los elementos o documentos necesarios para dar trámite a la misma. El titular contará con un plazo de cinco (5) días hábiles, contados a partir del día siguiente de su recepción, para atender el requerimiento. De no dar respuesta en dicho plazo, se tendrá por no presentada la solicitud correspondiente. En caso de que el Participante, atienda el requerimiento de información, el plazo para que CINDE dé respuesta a la solicitud, será de cinco (5) días hábiles, que empezarán a correr el día siguiente de que el Participante, haya atendido el requerimiento.
- Reclamos: Si el Titular de los Datos o sus representantes, consideran que la información y datos personales contenidos en la base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la legislación costarricense, podrán presentar un reclamo ante CINDE, el cual será tramitado bajo las siguientes reglas:
- El reclamo deberá formularse mediante solicitud dirigida a CINDE, con su identificación, la descripción de los hechos que dan lugar al reclamo, su dirección, y acompañando los documentos que quiera hacer valer. Si el reclamo resulta incompleto, lo requeriremos dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos cinco (5) días hábiles desde la fecha del requerimiento, sin que usted presente la información requerida, entenderemos que ha desistido del reclamo.
- En caso de que CINDE no sea competente para resolver su reclamo, se dará traslado a quien corresponda en un término máximo de cinco (5) días hábiles y se le informará oportunamente.
- El término máximo para atender el reclamo será de cinco (5) días hábiles contados a partir del día siguiente a la fecha de su recibo debidamente soportado.
- La solicitud de supresión de la información y la revocatoria de la autorización o la solicitud de limitación del uso y divulgación de los datos personales no procederán cuando el Titular de los Datos tenga un deber legal o contractual de permanecer en la base de datos, en los términos que las leyes aplicables dispongan.
10. MEDIDAS DE SEGURIDAD.
CINDE deberá adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a la normativa.
Dichas medidas deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual, para garantizar la protección de la información almacenada.
No se registrarán datos personales en bases de datos que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas.
CINDE mantendrá los protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.
11. CONFIDENCIALIDAD
CINDE y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevado del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.
12. VIGENCIA.
El presente manual rige a partir de Diciembre 2020.