PRIMERO. PROPÓSITO
Establecer los principios, normas, responsabilidades y procedimientos que regulan el tratamiento de datos personales efectuado por CCL Auditores Consultores (en adelante “CCL”), garantizando el cumplimiento de la Ley N° 21.719, la normativa complementaria y los estándares internos de seguridad de la información.
La presente política forma parte integrante del sistema de cumplimiento corporativo de CCL.
SEGUNDO. ALCANCE
Esta política aplica a:
•Todos los trabajadores, socios, directores, colaboradores, practicantes y terceros que traten datos personales por cuenta de CCL.
•Todas las actividades, procesos, sistemas, plataformas tecnológicas y contratos en que se traten datos personales.
•El tratamiento de datos de:
o Clientes y potenciales clientes.
o Trabajadores y postulantes.
o Proveedores y contratistas.
o Contactos comerciales.
o Cualquier persona natural cuyos datos sean tratados por CCL.
TERCERO. DEFINICIONES RELEVANTES
•Dato personal: Cualquier información vinculada o referida a una persona natural identificada o identificable.
•Dato sensible: Datos que se refieren a características físicas o morales, salud, biometría, geolocalización, datos financieros, entre otros definidos por ley.
•Titular: Persona natural a quien se refieren los datos.
•Responsable del tratamiento: CCL, quien decide sobre los fines y medios del tratamiento.
•Mandatario/Encargado: Tercero que trate datos por cuenta de CCL.
CUARTO. PRINCIPIOS RECTORES
CCL se obliga a cumplir los siguientes principios:
•Finalidad: Los datos se recolectarán con fines específicos, explícitos y legítimos.
•Proporcionalidad y minimización: Solo se tratarán datos estrictamente necesarios.
•Calidad: Los datos deberán ser exactos, completos y actualizados.
•Responsabilidad: CCL deberá acreditar el cumplimiento normativo.
•Seguridad: Se adoptarán medidas técnicas y organizativas adecuadas.
•Transparencia: Se informará claramente a los titulares.
•Confidencialidad: Toda persona que acceda a datos personales deberá guardar secreto.
QUINTO. BASES DE TRATAMIENTO
El tratamiento de datos personales en CCL se fundamentará en:
•Consentimiento libre, específico, informado e inequívoco del titular.
•Ejecución de contrato o medidas contractuales.
•Cumplimiento de obligaciones legales.
•Interés legítimo debidamente evaluado.
•Defensa de derechos ante tribunales.
•Otras hipótesis contempladas en la ley.
Los datos sensibles requerirán consentimiento explícito, salvo excepción legal.
SEXTO. DERECHOS DE LOS TITULARES
Los titulares podrán ejercer los siguientes derechos:
•Acceso: El titular tiene derecho a solicitar y obtener confirmación acerca de si CCL está tratando o no datos personales que le conciernen
•Rectificación: El titular tiene derecho a solicitar la corrección o actualización de sus datos personales cuando estos sean: inexactos, incompletos, desactualizados o incorrectamente registrados. CCL adoptará todas las medidas necesarias para rectificar los datos una vez verificada la procedencia de la solicitud.
•Supresión: El titular podrá solicitar la eliminación de sus datos personales cuando concurra alguna de las siguientes circunstancias:
o Los datos ya no sean necesarios para los fines para los cuales fueron recolectados.
o El titular retire el consentimiento en que se basa el tratamiento.
o Exista obligación legal de eliminar los datos.
Este derecho no procederá cuando el tratamiento sea necesario para cumplir obligaciones legales, contractuales o para la defensa de derechos ante tribunales.
•Oposición: El titular tiene derecho a oponerse al tratamiento de sus datos personales cuando dicho tratamiento se base en el interés legítimo del responsable o cuando los datos sean utilizados para fines distintos a los originalmente informados.
•Bloqueo temporal o limitación del tratamiento: El titular podrá solicitar que el tratamiento de sus datos sea temporalmente suspendido o restringido cuando:
o Se impugne la exactitud de los datos,
o El tratamiento sea ilícito pero el titular no desee su eliminación,
o El responsable ya no necesite los datos pero el titular los requiera para la formulación o defensa de reclamaciones,
o Exista una oposición en curso mientras se evalúa su procedencia.
Canal para el ejercicio de derechos
CCL habilitará un canal formal para la recepción y gestión de solicitudes relacionadas con los derechos de los titulares: XXXXXX
Las solicitudes deberán incluir:
•Identificación del titular.
•Descripción clara del derecho que se desea ejercer.
•Información necesaria para localizar los datos.
•Medio de contacto para la respuesta.
SÉPTIMO. MEDIDAS DE SEGURIDAD
CCL implementará medidas técnicas y organizativas tales como:
•Control de accesos y autenticación segura.
•Gestión de perfiles y segregación de funciones.
•Encriptación y respaldos periódicos.
•Políticas de uso de equipos y activos tecnológicos.
•Protocolos específicos para uso de herramientas de IA (ej. Microsoft Copilot).
•Anonimización obligatoria cuando corresponda.
•Auditorías internas periódicas.
•Capacitación anual obligatoria.
Toda herramienta tecnológica deberá utilizarse conforme a los protocolos internos vigentes.
OCTAVO. TRANSFERENCIAS Y CESIONES DE DATOS
Toda comunicación o cesión de datos a terceros deberá:
•Contar con base legal.
•Formalizarse mediante contrato de encargo de tratamiento.
•Exigir estándares de seguridad equivalentes.
•Regular expresamente la confidencialidad y uso limitado.
NOVENO. MODELO DE PREVENCIÓN
En cumplimiento del artículo 49 de la Ley N° 21.719, CCL adopta un Modelo de Prevención que incluye:
•Designación de un Delegado o Encargado de Protección de Datos.
•Identificación y mapeo de procesos de tratamiento.
•Protocolos internos documentados.
•Matriz de riesgos.
•Canal de denuncias.
•Régimen disciplinario interno.
•Supervisión periódica y mejora continua.
DÉCIMO. RESPONSABILIDADES
Directorio
•Aprobación de política.
•Asignación de recursos (de proceder).
•Supervisar cumplimiento.
Encargado de Protección de Datos
•Asesorar internamente.
•Supervisar cumplimiento.
•Gestionar solicitudes de titulares.
•Coordinar respuesta ante incidentes.
Área TI
•Implementar controles técnicos.
•Administrar accesos.
•Resguardar activos tecnológicos.
Trabajadores y Colaboradores
•Cumplir esta política.
•Mantener confidencialidad.
•Reportar vulneraciones.
•Participar en capacitaciones.
UNDECIMO: CONSERVACIÓN DE DATOS.
Los datos personales se conservarán únicamente durante el tiempo necesario para cumplir la finalidad que justificó su tratamiento o el plazo legal aplicable, luego de lo cual serán:
•Eliminados,
•Anonimizados, o
•Bloqueados cuando proceda.
DÉCIMO SEGUNDO: REVISIÓN Y ACTUALIZACIÓN.
La presente política será revisada:
•Al menos una vez al año.
•Cuando exista modificación legal relevante.
•Ante cambios significativos en procesos o riesgos.
DÉCIMO TERCERO: APROBACIÓN Y VIGENCIA
La presente política entra en vigencia a partir de su aprobación y será revisada periódicamente o cuando se produzcan cambios relevantes en la operación, la tecnología o los riesgos asociados.
