POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
TABLA DE CONTENIDO
La presente política de protección de datos personales, en adelante "la política", tiene como objetivo trazar los lineamientos generales y fundamentales del tratamiento que ICONPAY SAC, realiza sobre los datos personales que integran sus bases de datos.
ICONPAY SAC, en adelante ICONPAY, o "la empresa", es una empresa comercial constituida en la República del Perú; con RUC No. 20609783053; Sede principal en la ciudad Lima, Perú; Correo electrónico, servicios@i-compay.com. ICONPAY será la responsable del tratamiento de los datos personales, con estricta sujeción a la ley nacional vigente y aplicable sobre la utilización y tratamiento de datos personales.
Esta política entra en vigor a partir de 10/12/2022, correspondiente a su versión 001, y deja sin efectos cualquier política anterior de protección de datos personales de la empresa. Los lineamientos aquí trasados tendrán aplicación sobre las operaciones realizadas por la empresa respecto del tratamiento de datos personales, y está dirigida para todos aquellos interesados de datos personales que se encuentren almacenados en las bases de datos de ICONPAY.
Como interesado de sus datos personales, consiente del tratamiento de estos cuando, estando en los sitios web de la empresa le pidamos que verifique y apruebe la casilla de aceptación de "Términos y Condiciones" para el uso de nuestros servicios. También cuando acepte expresamente el tratamiento de sus datos personales, éste último en los casos que aplique. Lo invitamos a que se familiarice con nuestros "Términos y Condiciones" y conozca esta política, previo a otorgarnos la facultad de tratamiento de sus datos personales.
No está obligado a proporcionarnos su información personal, sin embargo, el no hacerlo impedirá que use los servicios de la empresa que requieran su autorización. Tampoco nos permitirá responder adecuadamente sus consultas, reclamos o peticiones.
Siempre tendrá acceso a esta política, la cual puede ser modificada en cualquier momento. Conocerá estas modificaciones a través de su publicación en nuestra página web https://i-compay.com/index.html. Cuando la modificación requiera su consentimiento expreso, por modificar los fines del tratamiento de sus datos personales, será debida y oportunamente informado para que acepte expresamente estos cambios y renueve la autorización que nos ha dado para el tratamiento de su información.
Para poder entender adecuadamente esta política debe tener claro algunos conceptos:
1. Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no.
2. Tratamiento transfronterizo: Tratamiento de datos personales que implica la comunicación de estos fuera del territorio del Estado donde fueron recolectados, cuando tenga por objeto la realización de un tratamiento por otro responsable del tratamiento o de un encargado por cuenta del responsable establecido en otro Estado.
3. Interesado: Persona física, identificada o identificable, cuyos datos personales son objeto de tratamiento.
4. Encargado: Persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.
5. Responsable: Persona física o jurídica que, solo o junto con otros, determine los fines y medios del tratamiento.
6. Tercero: Persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
7. Autoridad de control interesada: Autoridad de control a la que afecta el tratamiento de datos personales debido a que:
A. El responsable o el encargado del tratamiento está establecido en el territorio del Estado de esa autoridad de control.
B. Los interesados que residen en el Estado de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento.
C. Se ha presentado una reclamación ante esa autoridad de control.
9. Base de datos: es el conjunto organizado de datos personales de distintos interesados que sean objeto de tratamiento por parte del responsable.
10. Consentimiento del interesado: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
11. Aviso de privacidad: Comunicación, verbal o escrita, que hace el responsable del tratamiento al interesado, mediante la cual se le informa sobre la existencia de políticas de tratamiento de información que le serán aplicables, la forma de acceder a ellas y las finalidades que persigue el tratamiento de los datos personales.
12. Datos personales: Cualquier pieza de información vinculada o asociable a un interesado determinado o determinable.
13. Destinatario: Persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero.
14. Empresa: Persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica.
15. Establecimiento principal:
A. En lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado, el lugar de su administración central, o si careciera de esta, el establecimiento encargado en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas.
B. En lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado, el lugar de administración central, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable y éste último establecimiento tenga el poder de hacerlas aplicar.
Un principio es un mandato que debe de aplicarse en la medida de lo posible. El tratamiento de los datos personales efectuado por el responsable y el encargado del tratamiento, si es el caso, se regirán por los siguientes:
1. Licitud, lealtad y transparencia: El tratamiento de los datos personales será licito, leal y transparente en relación con el interesado.
A. La licitud se refiere al cumplimiento de determinadas condiciones que autoricen el tratamiento de los datos personales;
B. La lealtad refiere a que los datos personales no serán tratados para finalidad diferente a las establecidas por la empresa;
C. Transparencia implica que durante el tratamiento debe garantizarse el derecho del interesado a obtener del responsable o del encargado del tratamiento información acerca de la existencia de datos que le conciernan.
2. Veracidad o calidad de los registros o datos: La información contenida en los bancos de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
3. Limitación de finalidad: Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
4. Limitación de plazo de conservación: Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los mismos. Los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo, en interés público, o en cumplimiento de una obligación legal o contractual.
5. Circulación restringida: Los datos personales no podrán ser accesibles por internet o por otros medios de divulgación o comunicación masiva.
6. Exactitud: Los datos personales deben ser exactos y, si fuera necesario, actualizados. Se adoptarán medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
7. Minimización de datos: Los datos personales recolectados serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
8. Responsabilidad proactiva: El responsable del tratamiento será responsable del cumplimiento de los principios y demás obligaciones a su cargo, y deberá ser capaz de demostrarlo.
9. Seguridad: La información se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros, evitando su adulteración, pérdida, consulta o uso no autorizado.
10. Integridad y confidencialidad: Los datos personales serán tratados de tal manera que garantice una seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
11. . Confidencialidad: Todas las personas, físicas o jurídicas, que intervengan en la administración de datos personales están obligados, en todo momento, a garantizar la reserva de la información, inclusive después de finalizada la relación por la cual se obtuvo dicha información desde el principio.
Nuestra empresa puede obtener, recolectar, recabar o conocer información personal de los interesados a través de las siguientes fuentes:
A. Información proporcionada por el interesado. Mediante la utilización de los servicios prestados por la empresa, así como de su plataforma electrónica de procesamiento de pagos, para lo cual se pondrá a disposición del interesado diferentes documentos y formularios de registro, en los cuales se solicitará el suministro de información personal, con la finalidad principal de poder contactarlo y brindar de manera diligente y eficaz los servicios prestados por la empresa.
Se puede solicitar, por ejemplo, información relacionada con el nombre, teléfono, dirección de residencia, correo electrónico, número de identificación, entre otros datos. También se puede requerir más información por razones de orden público relacionadas con asuntos tributarios, fiscales o para la prevención y control del lavado de activos y prevención del terrorismo, entre otros.
B. Información que obtenemos cuando se hace uso de nuestros servicios. La utilización de los servicios de la empresa requiere la recolección de información relacionada con su uso. Entre la información obtenida de esta forma, se incluyen datos como la dirección IP y cookies, que permitan la identificación del navegador utilizado para el acceso y uso de nuestra plataforma de pagos electrónicos, y para la aplicación de medidas de seguridad de la información, así como evitar suplantación de la identidad u otras conductas que pongan en riesgo los datos personales del interesado.
Asimismo, recolectamos información relacionada con los hábitos de pago, como cuantía, periodicidad, los movimientos y las transacciones a través de la plataforma de pagos electrónicos de la empresa.
C. Información que obtenemos de terceros. Estos pueden ser oficinas de crédito o validadores de identidad, así como terceros aliados, siempre que legalmente podamos recurrir a estas fuentes.
1. Para procesar las transacciones de pagos que se realicen utilizando nuestra plataforma. Debe tenerse en cuenta que, para ello, recolectaremos o recabaremos los datos del interesado para generar adecuadamente el proceso de pago escogido. Estos datos pueden corresponder al medio de pago utilizado, bien sea con tarjeta débito o crédito, PSE, QR, u otro medio de pago que proporcione la empresa. Dependiendo del tipo de pago escogido, compartiremos esos datos con las instituciones que validan y procesan cada medio de pago, para su autorización, validación y compensación correspondiente. Ello implica que los datos personales pueden ser recabados para esos fines por instituciones financieras emisoras de los medios de pago, redes de procesamiento de pagos, entre otras.
2. Es indispensable que los pagos realizados con tarjetas de crédito o débito no sean fraudulentos y así mitigar el riesgo de suplantación de identidad de los tarjetahabientes. Para lograrlo, algunos de los datos personales, recabados por la empresa o entregados a nosotros, ingresarán en nuestra base de datos, y allí permanecerán para futuras referencias y cruces de información requerida para validar los pagos.
3. Utilizar los datos en los filtros provistos por terceros a la empresa, con el fin de validar las transacciones y mitigar el riesgo de suplantación de identidad del tarjetahabiente.
4. Guardar los datos en caso de que el interesado ejerza los distintos derechos aplicables por su calidad de consumidor, sobre compras realizadas utilizando nuestra plataforma de pagos electrónicos, o que las mismas sean objeto de disputa.
Esto lo hacemos con el fin de compartir la información de la transacción y, si es requerido, la información personal del interesado, con las instituciones financieras y/o de otro orden encargadas de resolver este tipo de disputas.
6. Almacenaremos los datos personales por el tiempo que sea requerido para el cumplimiento de obligaciones contractuales, y siempre bajo los límites temporales establecidos en las leyes aplicables y vigentes de datos personales.
7. Brindar el servicio de asistencia y solución de problemas.
8. Para verificación de identidad. Los datos personales serán necesarios para tener seguridad que es el interesado, y no un tercero, quien realiza una transacción con los medios de pago, así como identificar que sea el interesado de los datos quien eleva una consulta o reclamo, o ejerce derechos propios de información sobre datos personales. De esta manera evitamos que la información caiga en conocimiento de un tercero no autorizado para ello.
9. Utilizar los datos personales en los casos en que, como interesado, se trate de un comprador/pagador. Esta utilización tendrá fines transaccionales y/o de monitoreo, que pueden ser usados por la empresa o terceros habilitados para el tratamiento.
10. Comparar la información para verificar su precisión. Es importante para la empresa que la información personal que reposa e integra nuestras bases de datos sea precisa, completa y veraz. Por ello se realizarán actividades de comparación y verificación constantemente con esta finalidad.
11. Prevenir que el sistema de pagos electrónicos proporcionado por la empresa sea utilizado para llevar a cabo actividades ilegales y con el fin de hacer cumplir nuestros términos y condiciones generales para el uso del sistema, bien como comprador o como comercio cliente.
12. Brindar información de la empresa, incluyendo información de carácter publicitario o promocional.
13. Informar sobre fallos y actualizaciones del sistema o de los servicios de la empresa.
14. Contactar al interesado.
15. Podrá ser usada para el análisis de la empresa, mismo que puede ser realizado por medios automatizados o manuales, y puede conllevar la creación de perfiles que pueden ser tratados para el desarrollo, mejoramiento, ofrecimiento de productos y/o servicios que sean propios o en alianza con terceros. Esto con el fin de mejorar la interacción y uso de nuestra plataforma, así como para desarrollos futuros.
Las actividades descritas anteriormente podrán ser realizadas por la empresa en los casos en que tenga la calidad de responsable del tratamiento de datos personales y podría estar sujeta a un consentimiento adicional por parte del interesado, cuando así lo exija la ley aplicable.
16. Resolver disputas.
17. Facturar el uso de los servicios prestados por la empresa.
18. Usar la información personal para fines internos de nuestra empresa, como auditorías, reportes, análisis o minería de datos, investigaciones para mejorar los productos, servicios y comunicaciones.
19. Para el cumplimiento de los fines estipulados en la presente política o para el cumplimiento de obligaciones contractuales o legales.
20. Si se trata de un pagador interesado en utilizar la funcionalidad de almacenamiento de tarjetas de crédito o débito para futuros pagos, podrá almacenar y tener a su disposición en la empresa la información relacionada con las tarjetas de crédito o débito que desee. Para poder hacer efectiva esta funcionalidad, solicitaremos determinados datos, como número de la tarjeta de crédito/débito, fecha de vencimiento, entre otros.
21. Personalizar, medir y mejorar los servicios prestados, así como nuestra página web y acceso a nuestros servicios. La información nos permitirá mejorar cada día como empresa y brindar la experiencia merecida por quienes utilizan nuestra plataforma.
22. La información relacionada con hábitos de pago, de uso de los servicios de la empresa, de acceso a nuestro sitio web, de movimientos y transacciones pagadas a través de nuestra plataforma, los que pueden incluir la revisión de la información de las personas habilitadas a las que se les haya realizado determinado pago a través de nuestro sistema, así como cualquier otra información relacionada y generada por la interacción con nuestra plataforma de pagos.
23. Nos reservamos el derecho de transferir datos personales a terceros países, asegurando que dichos países tengan niveles de protección de datos personales adecuados a los establecidos en esta política y a la legislación vigente, y cumpliendo con las condiciones legales aplicables para que ello sea posible y lícito.
Al usar nuestros servicios, se entiende que el interesado comprende que la transferencia es necesaria para la prestación de estos y autoriza dicha transferencia.
24. Solicitar la opinión o participación en encuestas electrónicas y enviar comunicaciones e información comercial y publicitaria de la empresa o de terceros aliados. Esto puede estar sujeto a consentimiento adicional cuando así lo exijan las leyes aplicables, en referencia a productos y/o servicios, así como promociones respecto de estos.
26. Cuando sea aplicable, y al consentir la respectiva política de tratamiento de datos personales, se nos autoriza a consultar y a reportar información y comportamiento sobre obligaciones dinerarias a centrales de riesgo crediticio, financiero, comercial o de servicios legítimamente constituidas, o a otras entidades financieras, de acuerdo con la regulación legal aplicable.
27. Podremos igualmente hacer validaciones del perfil de riesgo de crédito a partir de la información personal proporcionada o que obtengamos de las fuentes que nos proporcionan información sobre el interesado, como se explica en el presente manual.
28. Hacer copias de seguridad de las bases de datos, a fin de proteger los mismos y garantizar la continuidad de nuestro negocio.
29. Solicitaremos el consentimiento cuando este sea necesario de acuerdo con la ley aplicable, antes de utilizar los datos personales para cualquier fin distinto de los establecidos en esta política o en el aviso de privacidad, en los eventos en que este último sea aplicable.
30. Cuando quiera que la ley aplicable lo exija, nuestras bases de datos o bancos de datos serán registradas ante las autoridades competentes.
El tratamiento de los datos personales se limitará al cumplimiento de las finalidades aquí previstas y en el aviso de privacidad, cuando aquel aplique. También podrán ser tratados los datos con fines distintos a los aquí establecidos, pero que resulten compatibles o análogos a los mismos, sin que para ello se requiera obtener nuevamente autorización del interesado.
ICONPAY dará a sus datos personales el tratamiento autorizado por usted y por la ley. El tratamiento comprende las finalidades previstas en esta política, o el aviso de privacidad, en los casos en que este sea necesario, para tratar, recolectar, usar, almacenar, proteger, entre otras actividades, su información personal. Estos datos podrán ser:
A. DATOS PÚBLICOS: Son aquellos calificados por la ley aplicable como tal, y que no son privados, semiprivados o sensibles. Algunos tipos de datos públicos, a modo de ejemplo, son los relativos al estado civil del interesado, tales como el nombre, número de identificación, entre otros. No obstante, se evaluará en el caso específico de la normatividad local aplicable los distintos tipos de datos que son considerados públicos.
B. DATOS PRIVADOS: Es el dato que por su naturaleza íntima o reservada solo concierne al interesado.
C. DATOS SEMI-PRIVADOS: Es el dato que no tiene naturaleza íntima o reservada, pero tampoco naturaleza pública. Su divulgación interesa no solo al interesado, sino también a un sector o grupo de la sociedad. Como ejemplo, pueden ser los datos financieros y/o crediticios del interesado de la información.
D. DATOS SENSIBLES: Es aquel dato que afecta la intimidad del interesado o cuyo uso indebido puede generar su discriminación. La recolección de datos sensibles está prohibida por regla general, salvo ciertos casos en los cuales se pueden recolectar:
a. Cuando el interesado haya dado su autorización explícita a dicho tratamiento, salvo en los casos en que el derecho del Estado aplicable establezca que la prohibición mencionada no puede ser levantada por el interesado.
b. El tratamiento de estos datos sea necesario para salvaguardar el interés vital del interesado, y éste se encuentre física o jurídicamente incapacitado. En este último evento el representante legal deberá otorgar su autorización.
c. Cuando el tratamiento sea realizado en el desarrollo de actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier organismo sin ánimo de lucro. La finalidad de estas debe ser política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad.
d. Cuando el tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e. Cuando el tratamiento tenga una finalidad histórica, estadística o científica.
E. DATOS DE MENORES DE EDAD: En el mismo sentido que los datos sensibles, el tratamiento de datos personales de menores de edad está prohibido por regla general. Los servicios prestados por la empresa no están diseñados para atraer a menores de edad a su utilización. En el caso que la empresa, en el desarrollo de su actividad comercial, recolecte datos personales de menores de edad, se procederá a su eliminación inmediata de nuestras bases de datos, informando a su vez, en la medida de lo posible, a los tutores legales del menor de edad sobre la utilización y suministro de información y datos personales en nuestra plataforma.
Estos datos podrán ser compartidos con los usuarios de la empresa cuando sea necesario para prestarle nuestros servicios, los cuales estarán obligados a usar su información personal únicamente para los fines establecidos en esta política. Nosotros nos cercioramos de que todo tercero involucrado en el tratamiento de sus datos personales utilice estándares de protección acordes con la legislación nacional y de conformidad con lo establecido en esta política.
Al aceptar esta política, nos brinda su consentimiento para poder compartir su información personal con los usuarios de la empresa, dentro de los limites ya explicados.
También podemos combinar su información personal con otra información que recolectemos, proveniente de terceros o que conozcamos por el uso que haga de nuestros servicios, esto con el fin de proporcionarle un mejor servicio. Si combinamos su información privada con información semiprivada o pública, la información será tratada en un todo como información privada por la empresa.
El interesado de la información tratada por la empresa, por su calidad de tal, tiene diferentes derechos que puede ejercer frente al responsable del tratamiento, con relación a su titularidad de los datos personales:
7.1. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos
El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda la información indicada en los subtítulos 7.2. y 7.3. del presente capítulo, así como cualquier comunicación relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso. Dicha información será facilitada por medios electrónicos.
Al interponer ante la empresa una consulta, reclamo o petición, el responsable del tratamiento le dará trámite al mismo, de acuerdo con el procedimiento establecido por la compañía para tal finalidad.
Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento le facilitará la siguiente información:
1. La identidad y los datos de contacto del responsable y, en su caso, del encargado del tratamiento.
2. Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento.
3. Las categorías de datos personales de que se trate.
4. Los destinatarios o las categorías de destinatarios de los datos personales.
5. La intención del responsable de transferir datos personales a un destinatario en un tercer país, y la existencia o ausencia de una decisión de adecuación. En caso de no existir decisión de adecuación, debe hacerse referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas.
6. El plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar este plazo.
7. La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento.
8. Cuando el tratamiento se base en el consentimiento dado por el interesado, el derecho que este tiene para retirar su consentimiento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada.
9. El derecho a presentar una reclamación ante una autoridad de control.
10. La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público.
Las disposiciones de los subtítulos 6.2. y 6.3. del presente capítulo no serán aplicables cuando y en la medida en que se presente una de las siguientes situaciones:
1. El interesado ya disponga de la información.
2. La comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado.
3. La comunicación esté expresamente prohibida o restringida parcialmente por el ordenamiento jurídico nacional, que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado.
4. Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por la legislación nacional.
7.3. Información de que debe facilitarse cuando los datos personales se obtengan del interesado
Cuando se obtenga de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará la siguiente información:
1. La identidad y los datos de contacto del responsable del tratamiento, y en su caso, del encargado del tratamiento.
2. Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
3. Los destinatarios o las categorías de destinatarios de los datos personales.
4. La intención del responsable de transferir datos personales a un tercer país y la existencia o ausencia de una decisión de adecuación. En caso de no existir decisión de adecuación, debe hacerse referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas.
5. El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
6. La existencia del derecho a solicitar al responsable el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento.
7. Cuando el interesado haya dado su consentimiento para el tratamiento de sus datos personales, informar de la existencia del derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada.
8. El derecho a presentar una reclamación ante una autoridad de control.
9. Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato.
7.4. Derecho de rectificación
El interesado tendrá derecho a obtener del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
7.5. Derecho de oposición
El interesado tendrá derecho a oponerse en cualquier momento al tratamiento de los datos personales que le conciernen, por motivos relacionados con su situación particular, cuando:
1. El tratamiento de datos personales tenga por objeto la mercadotécnica directa. En este caso, cuando el interesado se oponga al tratamiento de sus datos personales con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
2. Los datos personales sean objeto de tratamiento para la elaboración de perfiles con fines comerciales, estadísticos, históricos o de investigación, salvo que el responsable acredite motivos legítimos imperiosos para que el tratamiento prevalezca.
3. La legislación nacional aplicable imponga otras causales o situaciones que permitan al interesado oponerse a determinado tratamiento de sus datos personales.
7.6. Derecho de acceso
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y/o a la siguiente información:
1. Los fines del tratamiento.
2. Las categorías de datos personales de que se trate.
3. Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países.
4. El plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo.
5. La existencia del derecho a solicitar al responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento.
6. El derecho a presentar una reclamación ante una autoridad de control.
7. Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen.
8. Cuando se transfieran datos personales a un tercer país, el interesado tendrá derecho a ser informado de las garantías adecuadas de protección de datos personales, relativas a la transferencia.
9. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, previa solicitud expresa de ello por parte del interesado, y una vez se haya confirmado la identidad del mismo.
7.7. Derecho de limitación de tratamiento
El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
1. El interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos.
2. El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.
3. El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.
4. El interesado se haya opuesto al tratamiento en virtud del derecho de oposición, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
Cuando se cumpla alguna de las anteriores condiciones, el tratamiento de los datos personales del interesado se suspenderá hasta tanto desaparezcan las circunstancias que dieron origen a la limitación.
El interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir los datos personales cuando concurra alguna de las circunstancias siguientes:
1. Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
2. El interesado retire el consentimiento en que se basa el tratamiento, y este no se base en otro fundamento jurídico.
3. El interesado se oponga al tratamiento, con arreglo al derecho de oposición, y no prevalezcan otros motivos legítimos para el tratamiento.
4. Los datos personales hayan sido tratados ilícitamente.
5. Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el derecho nacional, aplicable al responsable del tratamiento.
Las anteriores circunstancias no se aplicarán cuando el tratamiento sea necesario:
1. Para ejercer el derecho a la libertad de expresión e información.
2. Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por la legislación nacional, aplicable al responsable del tratamiento.
3. Para el cumplimiento de un deber contractual asumido por el interesado.
4. Para la formulación, el ejercicio o la defensa de reclamaciones.
7.9. Derecho a presentar una reclamación ante autoridad de control competente
Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el país en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe los deberes del responsable o encargado del tratamiento, o vulnera los derechos del interesado respecto de sus datos personales.
7.10. Ejercicio de los derechos por parte del interesado
Para el adecuado ejercicio de los derechos del interesado respecto de los datos personales que le conciernen, tratados por la empresa, debe tramitarse el procedimiento respectivo para la elevación de consultas, reclamos y peticiones.
8.1. Aplicación del procedimiento
ICONPAY adoptó un procedimiento único, a través del cual se podrán presentar consultas, reclamos y peticiones respecto de los datos personales tratados por esta. La empresa tramitará todas las consultas, reclamos y peticiones presentadas por los interesados, independientemente de que la misma se efectúe contra el responsable o encargado del tratamiento, o de un destinatario de los datos personales., respecto de las obligaciones a cargo de cada uno, o frente al ejercicio de un derecho del interesado respecto de estos.
8.2. Procedimiento para consultas, reclamos y peticiones
1. Legitimados por activa
Los legitimados para elevar una consulta, reclamo o petición ante la empresa son los interesados de la información tratada por la compañía, sus herederos o representantes legales. En cualquiera de estos casos deberá demostrarse ser el interesado, heredero o representante legal.
2. Diferenciación entre consulta, reclamo y petición
A efectos de darle el trámite correspondiente, se debe distinguir entre consulta, reclamo y petición presentada por el legitimado por activa:
A. Consulta. Es el ejercicio del derecho de acceso del interesado, mediante el cual pretende solicitar la información a la cual tiene derecho de acceder, de acuerdo con lo dispuesto en la presente política.
B. Reclamo. Es el ejercicio de los derechos de rectificación, supresión, limitación del tratamiento y/o de oposición, por lo cual, si el interesado pretende invocar alguno de estos derechos, de acuerdo con lo dispuesto en la presente política, se tramitará su solicitud como un reclamo ante la empresa.
C. Petición. Es toda manifestación efectuada ante la empresa por parte del legitimado por activa, y que no se refiere ni a una consulta o a un reclamo.
8.3. Procedencia de la consulta o reclamo
La consulta y/o el reclamo solo procederán cuando quien la presente, demuestre ser legitimado por activa para ello y pretenda el ejercicio de uno de los derechos relacionados en el subtítulo 7.2. numeral 2, del presente capítulo.
8.4. Formas de presentación
La consulta y el reclamo se presentarán por escrito, a través del correo electrónico habilitado por la empresa para tal fin, de forma que permita generar evidencia documental y soporte de la consulta o el reclamo por medios técnicos, así como la respuesta brindada frente a la solicitud que se trate.
8.5. Procedimiento
El procedimiento para la recepción y atención de consultas y/o reclamos es el siguiente:
8.5.1. Una vez recibida la consulta y/o el reclamo, se corroborará que quién la presenta sea legitimado para ello.
8.5.2. En caso de no poder confirmarse la calidad de legitimado, se devolverá el reclamo y/o consulta, solicitando que se alleguen los documentos pertinentes a efectos de probar tal calidad.
8.5.3. Si se identifica que quien presenta la consulta /o el reclamo es el legitimado para ello, se acusará recibo y será tramitada en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma.
8.5.4. Si se trata de un reclamo en el cual el solicitante pretenda ejercer su derecho de limitación de tratamiento, se informará de tal situación al encargado del tratamiento, cuando sea del caso, a efectos de garantizar su derecho, aun cuando no se haya proferido respuesta de fondo sobre el reclamo.
8.5.5. Cuando no fuere posible atender la consulta o el reclamo dentro del término establecido, se informará al interesado, expresando los motivos de la demora y señalando la nueva fecha en que se atenderá su solicitud. En ningún caso el nuevo término superará los cinco (5) días hábiles siguientes al vencimiento del primer término.
8.5.6. La consulta y/o el reclamo serán atendidos de fondo. En la respuesta se incluirá toda la información requerida por el actor cuando así sea procedente, o la respuesta brindada frente a la procedencia o no de un derecho invocado por el reclamante.
En los casos en que exista un encargado del tratamiento y ante este se presente una consulta, reclamo o petición relativa a los datos personales tratados, deberá dar traslado al responsable en un término máximo de dos (2) días hábiles. Al ser comunicado, el responsable del tratamiento verificará los requisitos de procedibilidad del reclamo, consulta o petición, informará al interesado que será este, como responsable, quien dará trámite a su solicitud, y continuará con el procedimiento explicado en el presente capítulo.
8.3. Procedimiento de peticiones
Cuando el legitimado para ello pretenda elevar una petición respecto de datos personales tratados por la empresa, y no se refiera a una consulta o un reclamo, el trámite del mismo se regirá de acuerdo con el manual dispuesto por la empresa, "Manual para el trámite y respuesta de peticiones", dispuesto para la República del Perú.
8.4. Requisito de procedibilidad
En caso de que el interesado o quién se encuentre legitimado para ello no esté conforme con la respuesta brindada por la empresa a su consulta, reclamo o petición, podrá elevar reclamación ante la autoridad de control interesada. También cuando considere que la empresa violó alguna de sus obligaciones respecto del interesado y la primera no brindó una solución efectiva a tal situación después de la consulta, reclamo o petición elevada.
En todo caso, se solicitará respetuosamente al interesado manifestar su inconformidad con la respuesta otorgada a la consulta, reclamo o petición, o del hecho referido a una violación de un deber por parte de ICONPAY, de manera que pueda ser resuelto oportunamente.
8.5. Canales para la presentación de consultas, reclamos y peticiones
A efectos de que poder presentar consultas, reclamos o peticiones ante ICONPAY. en los términos previstos en el presente capítulo, la empresa habilitó el correo electrónico, contacto_gt@pay-2-pay.com, el cual ha sido asignado para la recepción de peticiones, quejas, reclamos y sugerencias. A través de este, y solo por este medio, se recibirán consultas, reclamos o peticiones respecto de los temas tratados en esta política.
La transferencia de datos personales a terceros países implica la comunicación de estos fuera del territorio del Estado donde fueron recolectados inicialmente, cuando tenga por objeto la realización de un tratamiento por otro responsable del tratamiento o de un encargado por cuenta del responsable establecido en otro Estado.
9.1. Principio general de transferencia
Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país si, a reserva de las demás disposiciones legales aplicables, el responsable y el encargado del tratamiento cumplen las condiciones establecidas para la transferencia, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país a otro tercer país.
9.2. Transferencias basadas en una decisión de adecuación
Podrá realizarse una transferencia de datos personales a un tercer país cuando la autoridad de control nacional, u otra entidad nacional competente para ello, o un organismo internacional competente, haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, garantizan un nivel de protección adecuado.
Cuando la autoridad de control competente emita una decisión de adecuación o su equivalente, la transferencia de los datos personales a terceros países no requerirá ninguna autorización específica.
9.3. Transferencias mediante garantías adecuadas
A falta de decisión de adecuación o equivalente, el responsable o el encargado del tratamiento sólo podrá transferir datos personales a un tercer país si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
Las garantías adecuadas de protección podrán ser acreditadas, sin que se requiera ninguna autorización expresa de una autoridad de control, por:
1. Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
2. Normas corporativas vinculantes.
3. Cláusulas contractuales de protección de datos entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país.
4. Código de conducta aprobado por la empresa, junto con compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
5. Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
9.4. Excepciones para situaciones específicas
En ausencia de una decisión de adecuación o su equivalente, o de garantías adecuadas de protección de datos personales, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país únicamente se realizará si se cumple alguna de las condiciones siguientes:
1. El interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas.
2. La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
3. La transferencia sea necesaria para la celebración o ejecución de un contrato, en provecho del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
4. La transferencia sea necesaria por razones importantes de interés público.
5. La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
6. La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
7. La transferencia se realice desde un registro público que, con arreglo a la legislación nacional, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el ordenamiento jurídico nacional.
Cuando una transferencia no pueda basarse en ninguna de las disposiciones contempladas en el presente capítulo, y no sea aplicable ninguna de las excepciones para situaciones específicas, solo se podrá llevar a cabo la transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evaluó todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofreció garantías apropiadas con respecto a la protección de datos personales.