INTRODUCCIÓN
1. Objetivo. –
1.1. General: CNS tiene como objetivo principal el cumplir con los derechos, principios y obligaciones establecidas en la Ley Orgánica de Protección de Datos Personales (“LOPDP”), normativa secundaria y resoluciones emitidas por la Autoridad de Protección de Datos, procurando el correcto uso, tratamiento y protección de los datos personales de las personas relacionadas directa o indirectamente con CNS. Por tal motivo, es importante establecer parámetros de protección de la información personal y sensible conocida como Datos o Información de Carácter Personal, de acuerdo con la legislación local.
1.2 Específicos:
1.2.1. Establecer los principios que guiarán a CNS en el manejo de los datos personales de sus clientes, trabajadores y/o proveedores o tercero con los cuales mantenga alguna relación comercial por el giro de negocio.
1.2.2. Establecer las guías para crear los mecanismos de control relacionados con los datos personales.
1.2.3. Determinar los principales lineamientos para la contratación de proveedores con enfoque a la protección de datos personales.
1.2.4 Establecer las guías para implementar los mecanismos de seguridad técnicas, físicas y organizativas para garantizar la confidencialidad y seguridad de los datos personales.
2. Responsabilidad en el tratamiento de datos. –
CNS es el responsable por la custodia y debida conservación de los datos registrados; sin embargo, dicha responsabilidad sobre la veracidad y autenticidad de los datos registrados es exclusiva de la o el declarante cuando esta o este provee toda la información.
En el evento que exista un mal tratamiento de Datos Personales bajo custodia de CNS, las personas afectadas por información falsa o imprecisa, o difundida sin autorización expresa de su Titular, tendrán derecho a las indemnizaciones correspondientes, previo el ejercicio de la respectiva acción legal.
En nuestra legislación penal se considera como violación a la intimidad cuando sin contar con el consentimiento o la autorización legal previo se acceda, intercepte, examine, retenga, grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz, audio y vídeo, objetos postales, información contenida en soportes informáticos, comunicaciones privadas o reservadas. de otra persona por cualquier medio.
3. Ámbito de Aplicación. –
3.1. La Política General de Protección de Datos Personales (“La Política”), está dirigida y es de aplicación obligatoria para todos sus clientes, trabajadores, proveedores, personas relacionadas con CNS (accionistas y órganos directivos) y compañías relacionadas en el tratamiento de los datos personales de los titulares.
3.2. Así también se aplicará, al tratamiento de datos personales en formatos físicos y digitales que tiene habilitados CNS. Regulando el acceso y el uso de los siguientes servicios de gestión de información: Sitios web, Redes sociales, plataformas tecnológicas y sistemas: administrativos, contables, de recursos humanos. Así también, aplica a todas las bases de datos y archivos de información personal que se encuentren en poder de CNS y que estén dentro del marco contextual de la normativa vigente
4. Glosario de Términos. –
Para los efectos de la aplicación de la Ley Orgánica de Protección de Datos Personales se establecen las siguientes definiciones tomadas del artículo 4 de esta ley:
4.1. Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la presente ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales.
4.2. Amonificación: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados. Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
4.3. Consentimiento: Manifestación de la voluntad libre, específica, informada e
inequívoca, por el que el titular de los datos personales autoriza al
responsable del tratamiento de los datos personales a tratar los mismos.
Cookie: es un fichero que se descarga en el ordenador/smartphone/tablet
del usuario al acceder a determinadas páginas web para almacenar y
recuperar información sobre la navegación que se efectúa desde dicho
equipo.
4.4. Dato biométrico: Dato personal único, relativo a las características físicas o
fisiológicas, o conductas de una persona natural que permita o confirme la
identificación única de dicha persona.
4.5. Dato Personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente. Por ejemplo: nombre, cédula de identidad, dirección, correo electrónico, número de teléfono, estado civil, datos de salud, huella dactilar, salario, bienes, estados financieros, entre otros.
4.6. Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES (LOPDP). Protección
4.7. Dato Sensible: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
4.8. Custodio de Datos: Rol encargado de garantizar funcionalmente la implementación de Gobierno de Datos. Dueño de Proceso Denominación utilizada para identificar a la persona que es responsable de un proceso que debe gestionar la correcta ejecución de los procesos a su cargo y el mejoramiento continuo, para ordenar las prácticas de trabajo, dar mayor satisfacción a los clientes internos e incrementar la eficiencia, con el apoyo de todos los participantes del proceso designado.
4.9. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento (CNS), como aliado o proveedor. En los eventos en
que el responsable no ejerza como encargado de la base de datos, se identificará expresamente quién será el encargado.
4.10. Titular: Persona natural cuyos datos son objeto del tratamiento.
4.11. Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
4.12. Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.
Definiciones adicionales que se utilizan en la presente Política:
4.13. Autorización: Base legitimadora que permite que las empresas o personas responsables o encargadas del manejo de la información puedan utilizar sus datos personales.
4.14. Base de Datos: Conjunto organizado de datos personales.
4.15. Persona Natural: Individuos capaces de ejercer derechos, y contraer obligaciones.
5. LEGISLACIÓN APLICABLE Y VIGENTE
CNS, fundamenta el tratamiento que brinda a los datos personales en las siguientes disposiciones legales, que se citan a continuación:
a) La Constitución de la República del Ecuador;
b) La Ley Orgánica de Protección de Datos Personales (Supl. R. O. 459 de 26 de mayo de 2021); y,
c) Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el Suplemento del Registro Oficial 557 del 17 de abril de 2002.
d) Reglamento a La Ley Orgánica de Protección de Datos Personales, Decreto Ejecutivo No. 904.
e) Demás normativa vigente y aplicable
6. Lineamientos respecto a la obtención de datos. –
CNS en el desempeño de sus actividades debe recolectar, administrar, archivar y utilizar Datos de sus empleados o colaboradores, proveedores, contratistas, suministradores, socios estratégicos y clientes, por tal motivo es importante que previo la obtención de los Datos Personales contar con la autorización expresa de su Titular.
6.1. Autorización del Titular para recolección, uso y transferencia de sus datos
Los Titulares deberán otorgar previamente a la entrega de información personal, una autorización expresa y de manera voluntaria para el tratamiento de sus Datos Personales. CNS no podrá utilizar con ningún fin información que no haya sido debidamente autorizada por su Titular.
La Autorización para el tratamiento de Datos Personales es el consentimiento expreso y voluntario que da cualquier persona para que las empresas o personas responsables del tratamiento de la información puedan utilizar sus datos personales.
Los formatos que CNS elabore para obtener dicha autorización deben contemplar en su texto los derechos del Titular mencionados en el punto 7 de esta Política.
La Autorización del Titular de la información no será necesaria en los siguientes casos:
6.1.1. Orden de autoridad competente.
6.1.2. En los casos en que la información se encuentre en bases de datos de acceso público.
6.2. Otras formas de recolección de Datos
Los Datos podrán ser suministrados explícitamente a CNS mediante formatos de ingreso o vinculación, recolectados personalmente a través de sus empleados, prestadores de servicios o representantes comerciales, recolectados implícitamente de las operaciones de análisis de mercado, de grupos objetivo, adquisición de los productos o servicios que son ofrecidos por CNS, o de los comportamientos de los Titulares como reclamaciones, solicitudes de cotización, encuestas, propuestas, ofertas, solicitudes de empleo, de participación en proyectos, programas, eventos, etc. Sin embargo, para que estos datos puedan ser utilizados para otros fines o transferidos es necesaria la autorización expresa del Titular.
7. Principios del Tratamiento de Datos Personales. –
7.1. Los principios que rigen esta política y el tratamiento de datos personales realizados por CNS son los siguientes:
7.1.1 Lealtad
7.1.1.1. Los datos personales serán recopilados de una manera leal y lícita para una o más finalidades específicas informadas al titular de los datos. CNS podrá utilizar cualquier base legitimadora que sea aplicable para el tratamiento de datos personales.
7.1.1.2. Dentro de lo posible, no se tratarán datos personales que sean considerados como sensibles tales como etnia, orientación sexual, convicciones filosóficas y política, ideología de género. En caso de que CNS requiera datos sensibles, lo hará en los casos que la ley lo ordene o cuente con autorización expresa del titular de los datos personales. En el caso de datos de salud, especialmente y no limitándose a datos de trabajadores, estos serán tratados de acuerdo con lo establecido en la normativa laboral correspondiente.
7.1.1.3. Para la recolección o recopilación de datos personales, esto se lo realizará informando al titular de los mismos respecto del tipo de datos, tiempo de conservación, base del tratamiento y todos los requisitos establecidos en la LOPDP.
7.1.1.4. El titular de los datos será responsable de proporcionar datos exactos y correctos. CNS podrá realizar la actualización o solicitar la actualización de los mismos.
7.1.1.5. CNS no adquirirá datos personales o bases de datos, que no cuenten con los mecanismos de legitimación correspondiente, así como tampoco transferirá los datos a terceros destinatarios sin contar con la autorización o base legitimadora correspondiente.
7.1.2. Transparencia
7.1.2.1 El tratamiento de datos personales será transparente respecto del titular de los mismos. De esta manera, CNS informará y comunicará a los titulares de los datos personales de una manera clara y sencilla todo lo que requiera saber el titular de los datos personales respecto del tratamiento de datos personales. CNS informará al titular de los datos a través de la política y documentos constantes en las oficinas, almacenes, sitios web y/o locaciones administradas y de propiedad de, CNS así como también a través de campañas, contratos, cláusulas y documentos preparados por CNS para el efecto.
7.1.1.2. CNS garantiza que los titulares de datos personales puedan ejercer sus derechos, poniendo a su disposición diferentes canales mediante los cuales el titular podrá presentar las solicitudes correspondientes.
7.1.3 Finalidad
7.1.3.1 CNS informará al titular de los datos personales la o las finalidades para las cuales los datos personales han sido recopilados y serán tratados. Las finalidades serán determinadas y específicas de acuerdo con la base legitimadora con la cual los datos fueron recopilados.
7.1.4 Minimización y Proporcionalidad
7.1.4.1 CNS procesará los datos personales que sean necesarios para las finalidades informadas al titular de los datos personales, no se recopilarán datos en exceso o que no sean necesarios para una finalidad previamente establecida. En caso de tener datos excesivos, CNS procederá a borrarlos o eliminarlos de sus bases de datos.
7.1.5 Confidencialidad
7.1.5.1. CNS realizará los mejores esfuerzos para garantizar la confidencialidad de los datos personales. CNS adaptará la tecnología y procesos, técnica y económicamente viables, para garantizar la confidencialidad, disponibilidad e integridad de los datos personales, limitando dentro de lo posible que terceros que no tengan derecho accedan a los datos personales. CNS no transferirá los datos personales a terceros destinatarios sin la autorización o la base legitimadora correspondiente.
7.1.6. Seguridad
7.1.6.1. CNS adoptará las medidas de seguridad que sean necesarias para garantizar la confidencialidad de los datos personales, tomando en consideración el tipo de datos personales a ser tratados, así como que, las medidas sean técnica y económicamente viables.
7.1.6.2. Todos los proveedores y clientes de CNS con quienes se comparta datos personales deberán acreditar la implementación de medidas de seguridad que garanticen la protección de datos personales.
7.1.7. Conservación
7.1.7.1. CNS conservará los datos personales de acuerdo con las finalidades para los cuales fueron proporcionados por el titular o, de acuerdo con lo establecido en las diferentes bases legitimadoras. Una vez cumplido el período de conservación, CNS eliminará o borrará los datos de sus sistemas.
7.1.7.2. CNS podrá anonimizar los datos en caso de considerarlo necesario. El dato anonimizado podrá ser libremente utilizado por CNS.
7.1.8. Responsabilidad Proactiva y Demostrada
7.1.8.1. CNS obtendrá los medios de verificación necesarios y correspondientes para demostrar el cumplimiento de la Ley de Protección de Datos Personales. En caso de que sea necesario o a criterio de CNS, se obtendrán las certificaciones correspondientes.
7.1.8.2. En caso de requerirlo y de acuerdo con la normativa correspondiente, CNS podrá contar con un delegado de protección de datos (“DPO”), quien será responsable de generar el programa de cumplimiento de datos personales, obtener los medios de verificación correspondientes, obtener las certificaciones necesarias y comunicarse con la Autoridad de Protección de Datos.
7.1.9. Sensibilidad de datos
7.1.9.1. El Custodio de datos será responsable de definir los datos que pueden catalogarse como “Datos sensibles” dentro de la base legal, considerando la siguiente síntesis:
Tipo de Dato
Descripción
Medida preventiva
Dato sensible
Dato relativo a etnia, identidad de género, identidad cultural, religión, ideología, afiliación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, genéricos, y todos aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos humanos o la dignidad e integridad de las personas.
Categorías especiales
Datos de niñas, niños y adolescentes, y de personas con discapacidad y sus sustitutos.
Se debe evitar incluir estos datos en repositorios organizacionales. Salvo para el cumplimiento de las obligaciones derivadas de la relación laboral y de seguridad social.
8. Derechos de los Titulares de Datos Personales. –
8.1. El procedimiento de atención de los derechos y requerimientos de los titulares se establecerá mediante la Política de Atención de los Derechos de los Titulares de Datos Personales y cualquier otro documento que CNS emita para el efecto. En todo caso, los formatos utilizados por CNS donde conste la Autorización de los Titulares deben contemplar los derechos que éstos tienen respecto a la LOPDP. Los Titulares podrán gozar de los siguientes derechos, con sujeción a la legislación aplicable y de conformidad con la misma:
8.1.1 Transparencia de la información: derecho a ser informado conforme los principios de lealtad y transparencia sobre todos los aspectos que indica el artículo 12 de la LOPDP.
8.1.2. Acceso: derecho a:
- Obtener confirmación de si se están tratando o no sus Datos Personales;
- Recibir una copia de todos sus Datos Personales que estén siendo procesados por CNS, salvo las excepciones definidas por la legislación pertinente (por ejemplo, información comercial confidencial, o información que vulneraría demasiado los derechos de privacidad de un tercero);
- Solicitar información sobre el intercambio de sus Datos Personales con otras organizaciones.
- Detalle de las Políticas y procedimientos institucionales para la protección de la privacidad de datos personales; y,
- Servicio de trámite en línea de las consultas y reclamos en materia de datos personales.
8.1.3. Rectificación y actualización: derecho a obtener del responsable del tratamiento la rectificación y actualización de sus datos personales inexactos o incompletos.
8.1.4. Eliminación: derecho a que se suprima sus datos personales en los casos que determinar el artículo 15 de la LOPDP.
8.1.5. Oposición: derecho a oponerse al tratamiento de sus datos personales en circunstancias particulares determinadas en el artículo 16 de la LOPDP. CNS deberá dejar de tratar dichos Datos cuando se presente una oposición, a menos que exista una razón específica por la que la oposición no sea válida.
8.1.6. Portabilidad: El titular tiene el derecho a recibir del responsable del tratamiento, sus datos personales en un formato compatible, actualizado, estructurado, común, inter- operable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables. El Titular de los datos personales, tendrá derecho a seleccionar la información que se puede compartir con terceros.
8.1.7. Suspensión: derecho a obtener del responsable del tratamiento la suspensión del tratamiento de los datos, cuando se cumpla alguna de las condiciones del artículo 19 de la LOPDP.
8.1.8. Solicitud de revisión de decisiones tomadas exclusivamente sobre la base de un tratamiento automatizado: derecho a oponerse, pedir explicaciones y solicitar la revisión humana de las decisiones basadas exclusivamente en un tratamiento automatizado de datos que afecten a sus intereses.
9. DEBERES DEL TITULAR DE LOS DATOS PERSONALES
Son deberes del titular de los datos personales son los siguientes:
a) Suministrar datos personales y/o sensibles en forma veraz, exacta, completa y oportuna.
b) Ejercer los derechos conferidos por la ley en debida forma, sin abuso alguno.
c) Consultar constantemente la información que CNS publique en su página web u otros medios disponibles, en materia de protección de datos personales y temas afines.
d) Actualizar los datos personales suministrados.
e) Cumplir a cabalidad con los demás compromisos, deberes, y obligaciones establecidas en este documento.
10. Tratamiento de los datos personales almacenados en las bases de datos
10.1. CNS solo usará, procesará y circulará los datos personales y otra información de los Titulares para las finalidades descritas y para los tratamientos autorizados en esta Política o en las leyes vigentes.
10.2. En adición a lo mencionado en otras cláusulas, el Titular expresamente autoriza a CNS para la recolección, uso y circulación de sus datos personales y otra información para los siguientes propósitos y en las siguientes circunstancias:
10.2.1. Para establecer comunicación entre CNS y los Titulares, para cualquier propósito relacionado con las finalidades que se establecen en la presente Política, ya sea mediante llamadas, mensajes de texto, correos electrónicos y/o físicos.
10.2.2. Efectuar o implementar la adquisición u oferta de productos o servicios por parte de CNS
10.2.3. Auditar, estudiar y analizar la información de la Base de Datos para diseñar estrategias comerciales y aumentar y/o mejorar los productos y servicios que ofrece CNS.
10.2.4. Combinar los datos personales con la información que se obtenga de otros aliados o compañías o enviarla a los mismos para implementar estrategias comerciales conjuntas.
10.2.5. Auditar, estudiar, analizar y utilizar la información de la Base de Datos para la socialización de políticas, proyectos, programas, resultados y cambios organizacionales.
10.2.6. Realizar calificación de riesgo financiero, jurídico comercial y de seguridad.
10.2.7. Cuando la información deba ser revelada para cumplir con leyes, regulaciones o procesos legales, para asegurar el cumplimiento de los términos y condiciones, para detener o prevenir fraudes, ataques a la seguridad de CNS, prevenir problemas técnicos o proteger los derechos de otros como lo requieran los términos y condiciones o la ley.
10.2.8. Consultar, almacenar y usar la información financiera obtenida que terceros administradores de bases de datos, previa autorización del Titular para dicha consulta.
10.2.9. Los demás descritos en la presente Política o legislación ecuatoriana aplicable.
10.3. Información que no es susceptible de tratamiento:
10.3.1. Menores de Edad: CNS no recopilará datos personales relacionados con niños, niñas y adolescentes, excepto si se trata de información de cargas familiares relacionada para el cumplimiento de las obligaciones derivadas de la relación laboral y de seguridad social o cuando dichos menores de edad sean beneficiarios de los proyectos de responsabilidad social que se ejecuten en las comunidades cercanas a las operaciones de CNS . CNS se reserva el derecho de eliminar o borrar cualquier información relacionada con niños, niñas y adolescentes en caso de que un titular de datos personales haya compartido información de niños, niñas y adolescentes.
11. Transferencia internacional de datos personales
11.1. En caso de transferencia internacional de datos, CNS se cerciorará que sea efectuada a jurisdicciones que tutelen la protección y privacidad de datos personales. CNS no comunicará dichos datos a terceros, salvo cuando sea necesario para gestionar los procesos y servicios de CNS. En particular, sólo tendrán acceso a los datos personales aquellos terceros a los que CNS haya encomendado una prestación de servicios.
11.2. Los destinatarios estarán sujetos a las mismas obligaciones y medidas de seguridad, técnicas y legales descritas en la LOPDP, normativa secundaria y resoluciones emitidas por la Autoridad de Protección de Datos.
12. Contratación de Proveedores
12.1. Todos los proveedores de CNS deberán tratar los datos personales a los que tengan acceso únicamente de acuerdo con las instrucciones documentadas CNS.
12.2. Todos los proveedores que manejen datos personales proporcionados por CNS deberán contar con las medidas adecuadas para garantizar la confidencialidad y seguridad de los datos personales, esto incluye, pero no se limita, a establecer, implementar y mantener un programa de seguridad de la información que incluya políticas y procedimientos, para proteger y mantener seguros los datos personales de acuerdo con las buenas prácticas de la industria y como lo exige la LOPDP. En específico, CNS verificará que se cuente con: una política de protección de datos, política de seguridad de la información, certificaciones (a consideración de CNS), un delegado de protección de datos o un responsable del tema de datos dentro de la organización, entre otros.
12.3. Todos los proveedores de CNS que manejen datos sensibles y aquellos que determine el Departamento Legal, deberán suscribir un Acuerdo de Tratamiento de Datos (“DPA”), en el cual se establecerán las condiciones del tratamiento de los datos personales, así como las medidas técnicas que serán adoptadas. En caso de no suscribir un DPA, en el contrato marco, declaración de trabajo, órdenes de compra o cualquier documento donde se verifique la relación con el proveedor se deberá incorporar disposiciones respecto del manejo de datos personales. En cualquiera de los documentos referidos se deberá establecer como mínimo: el objeto y la duración del tratamiento, la naturaleza y la finalidad del mismo, el tipo de datos personales que se van a utilizar, los sujetos de datos, así como las obligaciones y los derechos de CNS
12.4. Si el proveedor pretende utilizar a un subcontratista para el tratamiento de los datos personales, deberá: (i) notificar a CNS antes de subcontratar servicios o realizar cualquier cambio relativo a la adición o sustitución de subcontratistas; (ii) documentar la naturaleza y el alcance de los datos personales de subtratados por los subcontratistas, garantizando que la información CNS sea necesaria para la realización de la actividad; (ii) tratar los datos personales conforme las directrices de CNS; y, (iv) limitar el tratamiento de los datos personales de CNS por parte del subcontratista para los fines necesarios para cumplir el contrato del proveedor con CNS
12.5. En las evaluaciones
13. Evaluación y Control
13.1. CNS realizará procesos de evaluación y control respecto del cumplimiento de la Ley de Protección de Datos y las medidas técnicas de seguridad involucradas.
13.2. CNS podrá solicitar medios de verificación o realizar controles a los proveedores que manejen datos personales. Esto se establecerá en el DPA suscrito con el proveedor o en el contrato de prestación de servicios.
14. Capacitación
14.1. CNS realizará capacitaciones a todo su personal de forma anual, respecto de los principios, derechos y obligaciones establecidas en la LOPDP. CNS adoptará las acciones formativas y de concienciación correspondientes de forma periódica para que todas las personas conozcan la presente Política y los procesos de protección de datos personales, y desarrollen sus funciones de conformidad con los mismos.
15. Relación con la Autoridad de Control
15.1. CNS mantendrá un dialogo fluido y de cumplimiento con la Autoridad de Protección de Datos. CNS podrá compartir información y datos personales de acuerdo con los requerimientos realizado por la Autoridad de Protección de Datos.
15.2. En caso de que sea necesario, CNS nombrará a un Delegado de Protección de Datos quien será la persona a cargo de comunicarse y presentar la información requerida por la Autoridad de Protección de Datos.
16. Seguridad de los datos personales
17. Consideraciones generales
17.1. CNS deberá dar tratamiento a los datos en todo su ciclo de vida, para esto deberá tomar en cuenta las siguientes acciones:
17.2. Almacenamiento:
a. Protección antivirus (endpoint)
b. Consideraciones de respaldo de la información
c. Proceso de almacenamiento de información
17.3. Eliminación
a. Eliminación que contemple un borrado seguro
b. Definir procesos para la eliminación de la información, los cuales se establecerán en la Política de Almacenamiento, Tratamiento y Eliminación de Datos Personales.
18. CAMBIOS O MODIFICACIÓN A LA PRESENTE POLÍTICA DE PRIVACIDAD DE DATOS PERSONALES
CNS se reserva el derecho de modificar la presente política a fin de adaptarla a los cambios legislativos o de jurisprudencia que se originen en un futuro también cuando considere necesario, por lo que se recomienda revisar periódicamente la página web de CNS para obtener la información más reciente sobre nuestras prácticas de privacidad y tratamiento de datos personales.
19. RESPONSABLES DEL TRATAMIENTO DE DATOS PERSONALES
a) Titular: persona que le pertenece los datos o delegado.
b) Responsable del tratamiento: Representante Legal CNS.
c) Encargado del tratamiento: CNS (trabajadores, prestadores de servicios, proveedores, clientes y colaboradores, persona natural o jurídica que realiza el tratamiento de datos en nombre CNS.
d) Destinatario: persona o entidad a la que se va a revelar la información.
e) Autoridad de Protección de Datos Personales: instancia gubernamental.
f) Delegado de protección de datos personales: persona natural designada por CNS para supervisar, asesorar sobre el tratamiento y protección de datos.
20. Aprobación y Entrada en Vigencia
20.1. Esta Política será comunicada a todas las personas relacionadas y que deben cumplir con la misma de acuerdo con lo establecido en el Ámbito de Aplicación. La Política será revisada de forma recurrente de acuerdo con las actividades comerciales y objetivos estratégicos de CNS. Adicionalmente, La Política podrá ser revisada y adaptada de conformidad con los cambios legales, regulatorios o resoluciones de la Autoridad Competente.
