POLÍTICA INTERNA DE PROTECCIÓN DE DATOS PERSONALES PAGOSEGURO S. A.

Contenido

  1. Introducción
  2. Definiciones
  3. Ámbito de aplicación
  4. Responsable del Tratamiento de Datos Personales
  5. Delegado de Protección de Datos Personales (DPD)
  6. Principios del tratamiento de datos personales
  7. Bases legitimadoras de tratamiento de datos personales
  8. Consentimiento como base legitimadora
  9. Tratamiento de datos que conste en bases de datos de acceso público como base legitimadora
  10. Tratamiento de datos personales, sobre datos no obtenidos de manera directa del titular
  11. Interés legítimo como base legitimadora
  12. Información a los titulares
  13. Tratamiento de categorías especiales de datos
  14. Tratamiento de datos crediticios
  15. Encargado del tratamiento de datos personales
  16. Delegado de Protección de Datos Personales (DPD)
  17. Contestación al ejercicio de derecho de los titulares
  18. ¿Cómo puede ejercer sus derechos?
  19. Registro nacional de protección de datos personales
  20. Capacitación
  21. Trazabilidad de datos personales
  22. Notificación de brechas de seguridad a la autoridad y a los titulares
  23. Evaluación de impacto

1. Introducción

PAGOSEGURO S. A. (en adelante “PAGOSEGURO S.A.” el “Responsable del Tratamiento” o la “Compañía”) es respetuosa de los datos personales e información que le suministran sus clientes, proveedores, trabajadores, ejecutivos y terceros. En cumplimiento de la Ley Orgánica de Protección de Datos Personales (en adelante la “LOPDP” y su reglamento y respectivas resoluciones), PAGOSEGURO S.A. estableció la política de protección de datos personales y privacidad (en adelante la “Política”) en su sitio web de la compañía: PAGOSEGURO S.A.

PAGOSEGURO S.A. ha establecido, además de la Política, un conjunto de reglas que se referencian en los siguientes capítulos, y los cuales se mantienen como parte del sistema de protección de datos personales, las cuales deberán ser revisadas y ejecutadas por todas las personas que son parte de PAGOSEGURO S.A. Se entenderá, además, como parte integrante del sistema de protección de datos, cualquier lineamiento que la compañía desarrolle, modifique o actualice con relación a la protección de los datos personales. 

PAGOSEGURO S.A. es la entidad responsable del tratamiento de los datos de carácter personal suministrados por los TITULARES de los datos personales. La siguiente Política de Protección de Datos Personales debe leerse íntegra y cuidadosamente por los titulares y al momento que el titular acepta la presente política se rige jurídicamente por las presentes condiciones. establece 

2. Definiciones

Los términos utilizados en la presente Política Interna se definen de la siguiente manera:

2.1 Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la LOPDP, reglamento y resoluciones que esta dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales (en adelante la “Autoridad”).

2.2 Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural sin esfuerzos desproporcionados.

2.3 Base de datos: Conjunto estructurado de datos, cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.

2.4 Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

2.5 Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.

2.6 Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente

2.7 Datos personales crediticios: Datos que integran el comportamiento económico de personas naturales para analizar su capacidad financiera.

2.8 Datos relativos a la salud: Datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria que revelen información sobre su estado de salud.

2.9 Datos sensibles: Son los datos referentes a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

2.10 Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos (en adelante el “DPD”).

2.11 Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.

2.12 Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, ubicación, movimiento físico de una persona, entre otros.

2.13 Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales (en adelante el “Encargado del Tratamiento”).

2.14 Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo acceso es público, incondicional y generalizado.

2.15 Responsable de tratamiento de datos personales: Persona que sola o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales (PAGOSEGURO S.A.). 

2.16 Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

2.17 Titular: Persona natural cuyos datos son objeto de tratamiento.

2.18 Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.

2.19 Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

2.20 Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.

3. Ámbito de aplicación

Esta Política se aplica a todos los datos personales tratados por PAGOSEGURO S.A. en el marco de la prestación de sus servicios, a través de sus plataformas tecnológicas, aplicaciones, sitios web, canales digitales y de atención al cliente.4.

4. Responsable del Tratamiento de Datos Personales

  • Nombre del responsable: PAGOSEGURO S.A.
  • RUC: 0993014680001
  • Domicilio: Av. Samborondón, Km 6.8, Edificio Exedra, Local 4M2, C.C. Plaza Lagos Town Center, cantón Samborondón, provincia del Guayas, Ecuador.
  • Correo electrónico: notificacionprotecciondatos@nuvei.com

5. Delegado de Protección de Datos Personales (DPD)

  • Nombre: Ricardo Herrada Galindo
  • Cargo: Delegado de Protección de Datos Personales
  • Domicilio: Av. De los Shyris y Calle Suecia – Edificio Iqon Piso 2 ImpaQTO
  • Correo electrónico: ricardo.herrada@nuvei.com

El Delegado de Protección de Datos es el punto de contacto para consultas, reclamos y solicitudes relacionadas con el tratamiento de datos personales.

6. Principios del tratamiento de datos personales

PAGOSEGURO S.A. tratará los datos personales respetando siempre los principios establecidos en la Constitución de la República, la LOPDP y cualquier otra normativa que la Autoridad establezca (en adelante los “Principios del Tratamiento de Datos Personales”).

En este sentido la Compañía y sus colaboradores trataran los datos personales de los Titulares de conformidad con los siguientes principios:

i. Juridicidad: Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la LOPDP, su reglamento y la demás normativa y jurisprudencia aplicable.

ii. Lealtad: El tratamiento de datos personales deberá ser leal, por lo que para los Titulares debe quedar claro para qué se están recogiendo, utilizando, consultando o tratando sus datos personales. En ningún caso los datos personales podrán ser tratados a través de medios o para fines ilícitos o desleales.

iii. Transparencia: El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender, para lo cual se deberá utilizar un lenguaje sencillo y claro.

iv. Finalidad: Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas a los Titulares; no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la LOPDP. El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada a los Titulares en ese proceso y, en particular, las expectativas razonables de los Titulares basadas en su relación con PAGOSEGURO S.A. en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los Titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

v. Pertinencia y minimización de datos personales: Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.

vi. Proporcionalidad del tratamiento: El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos.

vii. Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en la LOPDP. Para tal efecto, el Responsable del Tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.

viii. Calidad y exactitud: Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados, de tal forma que no se altere su veracidad. PAGOSEGURO S.A. adoptará todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. En caso de tratamiento por parte de un Encargado del Tratamiento, la calidad y exactitud será obligación del Responsable del Tratamiento.

ix. Conservación: Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Para garantizar que los datos personales no se conserven más tiempo del necesario, PAGOSEGURO S.A. establecerá plazos para su supresión o revisión periódica, según el tratamiento que se realice. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines estadísticos, siempre y cuando los datos personales sean anonimizados.

x. Seguridad de datos personales: PAGOSEGURO S.A. y el Encargado de Tratamiento implementarán todas las medidas de seguridad adecuadas y necesarias, ya sean organizativas, técnicas o de cualquier índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.

xi. Responsabilidad proactiva y demostrada: PAGOSEGURO S.A. deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la LOPDP, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de autorregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento. PAGOSEGURO S.A. está obligado a rendir cuentas sobre el tratamiento a los Titulares y a la Autoridad. PAGOSEGURO S.A. deberá evaluar y revisar los mecanismos que adopte para cumplir con este principio de forma continua y permanente con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la LOPDP.

7. Bases legitimadoras de tratamiento de datos personales

Además del cumplimiento obligatorio de los Principios del Tratamiento de Datos Personales, PAGOSEGURO S.A. y sus colaboradores deberán tratar los datos personales de los Titulares cumpliendo con al menos una de las siguientes bases legitimadoras para tratamiento de datos personales:

i. Por consentimiento de los Titulares para el tratamiento de sus datos personales, enfocadas a una o varias finalidades especificas;

ii. Que sea realizado por el Responsable del Tratamiento en cumplimiento de una obligación legal;

iii. Que sea realizado por el Responsable del Tratamiento en cumplimiento de alguna orden judicial;

iv. Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al Responsable del Tratamiento, derivados de una competencia atribuida por una norma con rango de ley;

v. Para la ejecución de medidas precontractuales a petición de los Titulares o para el cumplimiento de obligaciones contractuales perseguidas por el Responsable del Tratamiento de datos personales, Encargado del Tratamiento de datos personales o por un tercero legalmente habilitado;

vi. Para proteger intereses vitales de los Titulares o de otra persona natural, como su vida, salud o integridad;

vii. Para tratamiento de datos personales que consten en bases de datos de acceso público; y

viii. Para satisfacer un interés legítimo del Responsable del Tratamiento o de un tercero, siempre que no prevalezca el interés o derechos fundamentales de los Titulares al amparo de lo dispuesto en la LOPDP.

8. Consentimiento como base legitimadora

Con el fin de legitimar el tratamiento de los datos personales de los Titulares de PAGOSEGURO S.A. por medio del consentimiento, el Responsable del Tratamiento y sus colaboradores deben tener en cuenta que este debe de ser:

  • Libre, es decir que se encuentre exento de vicios del consentimiento (error, fuerza y dolo);
  • Específico, es decir que se debe concretar de manera concreta los medios y fines del tratamiento;
  • Informado, es decir que cumpla con el principio de transparencia y se efectivice el derecho a la información;
  • Inequívoco, es decir que la voluntad de los Titulares no presente dudas sobre el alcance de la autorización otorgada por estos.
  • El consentimiento podrá revocarse en cualquier momento por parte de los Titulares, sin que sea necesaria justificación alguna.

9. Tratamiento de datos que conste en bases de datos de acceso público como base legitimadora

Si los datos personales de los Titulares que PAGOSEGURO S.A. trata o tratará son obtenidos por fuentes accesibles al público, la Compañía verificará que la finalidad pretendida con el nuevo tratamiento sea compatible con la finalidad que justificó la publicación de los datos, y deberá informar a los Titulares de manera expresa, inequívoca, transparente, inteligible, concisa, precisa y sin barreras técnica dentro de los primeros 30 días de haber obtenido los datos personales, o en su defecto, en la primera comunicación que se tenga con los Titulares por parte de la Compañía.

El tratamiento de los datos obtenidos por fuentes de acceso público debe de igual forma cumplir con los Principios del Tratamiento de Datos Personales, especialmente el de limitación de la finalidad.

10. Tratamiento de datos personales, sobre datos no obtenidos de manera directa del titular

De igual manera que en el punto anterior, PAGOSEGURO S.A. informará a los Titulares de manera expresa, inequívoca, transparente, inteligible, concisa, precisa y sin barreras técnica dentro de los primeros 30 días de haber obtenido los datos personales, o en su defecto, en la primera comunicación que se tenga con los Titulares por parte de la Compañía, cuando los datos no han sido obtenidos directamente de los Titulares.

11. Interés legítimo como base legitimadora

Cuando PAGOSEGURO S.A. invoque el interés legítimo como base legitimadora para el tratamiento de datos personales de los Titulares, el Responsable del Tratamiento deberá tener en cuenta lo siguiente:

  • Únicamente podrán ser tratados los datos que sean estrictamente necesarios para la realización de la finalidad.
  • El PAGOSEGURO S.A. deberá garantizar que el tratamiento sea transparente para los Titulares.
  • El Responsable del Tratamiento deberá realizar una evaluación de riesgos para la protección de datos, en el cual se verificará si no hay amenazas concretas a las expectativas legítimas de los titulares y a sus derechos fundamentales.
  • Aplicará la regla de ponderación, siempre que no prevalezcan los intereses o derechos y libertades del titular, a través de una evaluación meticulosa que atienda a los factores de: (i) evaluación del interés del responsable que deberá ser necesario y proporcionado; (ii) impacto sobre los titulares que mida las consecuencias reales o potenciales derivadas del tratamiento; (iii) equilibrio provisional que contemple las medidas adoptadas por el Responsable del Tratamiento para cumplir sus obligaciones en términos de proporcionalidad y transparencia; y (iv) garantías adicionales aplicadas para impedir cualquier impacto indebido sobre los titulares.

12. Información a los titulares

En cumplimiento con los principios de juridicidad, lealtad, transparencia y de responsabilidad proactiva y demostrada, el Responsable del Tratamiento deberá proporcionar a los Titulares, antes de cualquier tratamiento, toda la información referente a este, la cual podrá transmitirse por cualquier modo comprobable, un lenguaje claro, sencillo y de fácil comprensión.

Esta información, como mínimo deberá contener lo siguiente:

  • Los fines del tratamiento;
  • La base legal para el tratamiento;
  • Tipos de tratamiento;
  • Tiempo de conservación;
  • La existencia de una base de datos en la que constan los datos personales;
  • El origen de los datos personales cuando no se hayan obtenido directamente de los Titulares;
  • Otras finalidades y tratamientos ulteriores;
  • Identidad y datos de contacto del Responsable del Tratamiento, que incluirá: dirección del domicilio legal, número de teléfono y correo electrónico;
  • Identidad y datos de contacto del DPD, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;
  • Las transferencias o comunicaciones, nacionales o internacionales de datos personales que la Compañía pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;
  • Las consecuencias para los Titulares de los datos personales de su entrega al Responsable del Tratamiento o negativa a ello;
  • El efecto de suministrar datos personales erróneos o inexactos;
  • La posibilidad de revocar el consentimiento por parte de los Titulares;
  • La existencia y forma en que pueden hacerse efectivos los derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas;
  • Los mecanismos para hacer efectivo su derecho a la portabilidad, cuando los Titulares lo soliciten;
  • Dónde y cómo realizar sus reclamos ante el Responsable del Tratamiento y la Autoridad; y
  • La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles de los Titulares.

13. Tratamiento de categorías especiales de datos

De conformidad con la LOPDP las categorías especiales de datos personales son las siguientes:

  1. Datos sensibles: Datos referentes a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales;
  2. Datos de niñas, niños y adolescentes;
  3. Datos de salud; y
  4. Datos de personas con discapacidad y de sus sustitutos relativos a la discapacidad.

El tratamiento de datos sensibles, por regla general está prohibido, a menos que los Titulares hayan dado su consentimiento explícito, especificándose claramente sus fines. El consentimiento expreso para el tratamiento de estos datos no será suficiente.

PAGOSEGURO S.A. podrá tratar los datos de salud de sus colaboradores, sin contar con el consentimiento expreso de estos, únicamente para el cumplimiento de obligaciones de PAGOSEGURO S.A. en el ámbito del derecho laboral y de la seguridad y protección social, incluyendo medicina preventiva, la prestación de asistencia sanitaria o social, la gestión de sistemas y servicios de asistencia sanitaria o social.

14. Tratamiento de datos crediticios

Se podrán tratar datos crediticios por parte de la Compañía, siempre y cuando exista autorización expresa por parte de los Titulares.

15. Encargados del tratamiento de datos personales

Antes de la contratación de cualquier proveedor que trate datos personales a nombre del Responsable del Tratamiento, la compañía verificará la idoneidad del Encargado del Tratamiento en cuanto al cumplimiento de la LOPDP.

Una vez que el Responsable del Tratamiento haya comprobado que el Encargado del Tratamiento cumple con los estándares necesarios con relación a la protección de datos personales, la Compañía firmará un contrato de encargo del tratamiento, el cual deberá ser independiente al contrato comercial que con el proveedor se plantee suscribir.

16. Delegado de protección de datos (DPD)

El DPD deberá ser una persona natural con las certificaciones necesarias para cumplir con este cargo. El DPD deberá ser contratado como prestador de servicios externos.

Las funciones del DPD serán las siguientes:

  1. Verificar que PAGOSEGURO cumpla de manera correcta con la LOPDP;
  2. Asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales del Responsable del Tratamiento;
  3. Supervisar la contratación del Encargado del Tratamiento y, velar y supervisar el tratamiento de datos que ha este se ha encargado;
  4. Realizar y/o coordinar las actualizaciones y modificaciones a cualquier política o guía referente a la protección de datos en la Compañía;
  5. Diseñar y coordinar programas internos de capacitación en protección de datos personales;
  6. Cooperar con la Autoridad, sirviendo como punto de contacto entre esta y PAGOSEGURO S.A. o, en su defecto, entre PAGOSEGURO S.A. y los Titulares, en los casos que ameriten;
  7. Responder a los ejercicios de los derechos que se realicen al Responsable del Tratamiento o Encargado del Tratamiento por parte de los Titulares;
  8. Comunicar las brechas de seguridad, de conformidad con la LOPDP, a la Autoridad o a los Titulares; y
  9. Cualquier otra actividad que le sea encomendada por el Responsable del Tratamiento, la LOPDP, su reglamento o la Autoridad por medio de directrices que pudiere expedir, relacionadas con la protección de datos personales de PAGOSEGURO S.A.

17. Contestación a ejercicio de derechos de los titulares

El Responsable del Tratamiento, por medio de su DPD, contestará a las solicitudes hechas por los Titulares relacionadas con el ejercicio de sus derechos dentro del plazo máximo de 15 días, contados desde la recepción de estas. Derechos de los titulares de datos personales:

Usted tiene derecho a ejercer, en cualquier momento, los siguientes derechos:

  • Acceso: Conocer si tratamos sus datos y acceder a ellos.
  • Rectificación y actualización: Corregir datos inexactos o incompletos.
  • Eliminación: Solicitar la supresión de datos cuando corresponda.
  • Oposición: Oponerse al tratamiento en los casos previstos por la ley.
  • Suspensión: Solicitar la limitación temporal del tratamiento.
  • Portabilidad: Recibir sus datos en un formato estructurado, cuando aplique.
  • No ser objeto de decisiones automatizadas: No ser afectado por decisiones basadas únicamente en tratamientos automatizados.

18. ¿Cómo puede ejercer sus derechos?

PAGOSEGURO S.A. ha habilitado un procedimiento simple, gratuito y accesible para el ejercicio de derechos.

Canal oficial: notificacionprotecciondatos@nuvei.com

Descarga el formulario ↓

¿Qué debe incluir su solicitud?

  • Nombres y apellidos completos.
  • Documento de identificación.
  • Derecho que desea ejercer.
  • Descripción clara de su solicitud.
  • Medio para recibir respuesta.

Plazos de respuesta

PAGOSEGURO S.A. responderá las solicitudes dentro de los plazos establecidos en la LOPDP y su Reglamento (hasta 15 días, según el derecho ejercido).
De ser necesario, se podrá solicitar información adicional para verificar la identidad del titular, conforme a la ley.

Si el titular considera que su solicitud no ha sido atendida adecuadamente, podrá acudir ante la Superintendencia de Protección de Datos Personales.

19. Registro nacional de protección de datos personales

El responsable del tratamiento de datos personales a través del DPDP, deberá reportar y mantener actualizada la información ante la Autoridad sobre lo siguiente:

  1. Identificación de cada una de las bases de datos o ficheros;
  2. El nombre domicilio legal y datos de contacto del responsable y encargado del tratamiento de datos personales;
  3. Características y finalidad del tratamiento de datos personales;
  4. Naturaleza de los datos personales tratados;
  5. Identificación, nombre, domicilio legal y datos de contacto de los destinatarios de los datos personales, incluyendo encargados y terceros;
  6. Modo de interrelacionar la información registrada;
  7. Medios utilizados para implementar los principios, derechos y obligaciones contenidas en la LOPDP normativa especializada;
  8. Requisitos y herramientas administrativas técnicas y físicas, organizativas y jurídicas implementadas para garantizar la seguridad y protección de datos personales;
  9. Tiempo de conservación de los datos.

20. Capacitación

El DPD será el encargado de socializar Política Interna, y cualquier otra que la Compañía que se tenga o desarrolle a todos los colaboradores de PAGOSEGURO S.A.

21. Trazabilidad de datos personales

El encargado de cada una de las áreas de PAGOSEGURO S.A. tendrá actualizada de manera continua la matriz de trazabilidad de datos personales, la cual será levantada bajo la supervisión del DPD.

22. Notificación de brechas de seguridad a la autoridad y a los titulares

En el supuesto de que exista alguna brecha o vulneración a la seguridad, el DPD deberá comunicar a la Autoridad tan pronto sea posible, y a más tardar en el término máximo de 5 días después de que se haya tenido conocimiento de esta, a menos que sea improbable que esta brecha o vulneración tenga un riesgo para los derechos fundamentales y libertades individuales de los Titulares. Igualmente, en el supuesto que la brecha o vulneración a la seguridad conlleve un riesgo a los derechos fundamentales y libertades individuales de los Titulares, el DPD deberá comunicar a estos sobre la brecha o vulneración a la seguridad dentro del término de tres días, contados a partir de la fecha en la que se tuvo conocimiento del riesgo.

La notificación de vulneración de seguridad deberá contener lo siguiente:

  • La naturaleza y tipo de vulneración;
  • Identificar los titulares o interesados afectados;
  • El detalle inicial de los sistemas vulnerados;
  • La causa presunta de la vulneración;
  • El volumen y tipos de datos expuestos o comprometidos;
  • Las medidas adoptadas y previstas para responder y remediar la vulneración con la finalidad de mitigar las consecuencias presuntas;
  • La evaluación del riesgo que la vulneración implica para los derechos y libertades de los titulares; y
  • Otros aspectos que determine por la Autoridad.

23. Evaluación de impacto

PAGOSEGURO S.A. podrá realizar evaluaciones de impacto en base al principio de responsabilidad proactiva. La evaluación de impacto consiste en un análisis preventivo, de naturaleza técnica, mediante el cual PAGOSEGURO S.A. valorará los impactos reales del tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con el cumplimiento de los principios y el respeto de los derechos y de las obligaciones establecidas en la LOPDP, el reglamento y demás normativa aplicable.