Link Copied!
The link has been successfully copied to your clipboard.

Privacy Policy

Last update:  01/06/2024

MANUAL DE PROCEDIMIENTOS INTERNOS PARA EL TRATAMIENTO DEDATOS PERSONALES DE YUNO INTERMEDIAÇÃO DE SERVIÇOS LTDA.

En cumplimiento de las disposiciones contenidas en la Ley General de Protección de Datos Personales (Ley 13.709/2018 –“LGPD”), y en atención a las guías expedidas por la Autoridad Nacional de Protección de Datos (en adelante “ANPD”) para el efecto,YUNO INTERMEDIAÇÃO DE SERVIÇOS LTDA. (en adelante “YUNO” o la “Compañía”), adopta el presente Manual de Procedimientos Internos para el

Tratamiento de Datos Personales (en adelante el “Manual”).

I. OBJETIVO

YUNO, con la finalidad de dar estricto cumplimiento a la normatividad vigente sobre la protección de Datos Personales, de acuerdo con lo establecido en la LGPD y demás disposiciones que las modifiquen, adicionen o complementen, adopta el presente Manual.

Este Manual tiene el objetivo de definir los lineamientos generales para efectuar el tratamiento de los Datos Personales en YUNO. Así mismo, este documento también se utiliza como medida preventiva para evitar cualquier violación a las normas de protección de Datos Personales e incentivar al personal de YUNO den cumplimiento a la normativa de protección de Datos Personales.

Asimismo, el Manual también delimita el alcance del tratamiento que puede ser efectuado por YUNO en caso de actuar caso de tratar Datos Personales provenientes de la Unión Europea en calidad de Encargado.  

Por último, el presente Manual adopta mecanismos para la recepción de consultas, quejas y reclamos, y prevé mecanismos de vigilancia y control para que exista un cumplimiento cabal del Manual. La implementación de estos mecanismos y procedimientos permite garantizar los derechos de los titulares y mitigar los riesgos de incidentes de seguridad.

II. ¿A QUIÉNES ESTA DIRIGIDO ESTE MANUAL?

El presente Manual está dirigido a trabajadores, colaboradores o contratistas de YUNO que tengan acceso y realicen algún tipo de tratamiento sobre los Datos Personales de usuarios, clientes, proveedores, empleados, candidatos, aliados y en general terceros, personas naturales, sobre los cuales YUNO realice algún tratamiento sobre sus datos personales. De manera general, este Manual aplica al Tratamiento de los Datos Personales de los cuales YUNO sea Responsable y/o Encargado en los términos de la ley.

III. VINCULACIÓN A LA POLÍTICA DE TRATAMIENTO DE DATOS

La Política de Protección de Datos Personales (la “Política de Tratamiento”) adoptada por YUNO, hace parte integral del presente Manual y, por lo tanto, se entiende incorporada. Se podrá acceder a la Política a través de la siguiente dirección electrónica:
https://www.y.uno

IV. ALCANCE

YUNO está comprometido con el cumplimiento integral del régimen de protección de DatosPersonales en Brasil. Por lo tanto, este Manual pretende guiar a los empleados, contratistas y en general, las personas que tengan acceso a Datos Personales almacenados por YUNO, para que su desempeño al interior de la misma se ajuste a los más altos estándares de integridad en el cumplimiento de las normas de protección de Datos Personales, garantizando así, los principios de seguridad y confidencialidad de la información.  

En concordancia con lo anterior, y como paso fundamental para permitir el cumplimiento de los objetivos descritos, el presente Manual prevé la inversión de recursos administrativos y económicos para su debida implementación.

El presente Manual constituye entonces un código de conducta de obligatorio cumplimiento, que se debe seguir por todas aquellas personas que tengan acceso a Datos Personales almacenados por YUNO. Todos los niveles de la Compañía deberán participar en la implementación y adecuada ejecución de los procedimientos previstos en esteManual. El incumplimiento del Manual será una falta de compromiso con laCompañía, y dará lugar a las consecuencias establecidas en el contrato de trabajo por incumplimiento de obligaciones.

Antes de realizar cualquier operación, recolección, almacenamiento, administración, procesamiento, transferencia, transmisión, supresión, circulación, uso y/o de cualquier manera realizar algún proceso mecánico y/o automático (el “Tratamiento”), sobre Datos Personales usted, como empleado y/o contratista de la Compañía, deberá leer atentamente esteManual. Es responsabilidad de todas las personas que realizan el Tratamiento deDatos Personales, leer atentamente este Manual y la Política, asistir y aprobar satisfactoriamente las capacitaciones que para el efecto se programen a través del Oficial de protección de Datos Personales.

V. NORMATIVIDAD

Las leyes que actualmente componen la normatividad brasileña sobre manejo de la información personal incluye la LGPD y otras legislaciones sectoriales que abarquen el tema. Adicionalmente, debe tenerse en cuenta las Resoluciones y Guías que sean emitidas por la ANPD, en su rol de autoridad de protección de datos.  

VI. DEFINICIONES

Las palabras que a continuación se enlistan tendrán significado que para el presente documento se especifica, las palabras no definidas se interpretarán de conformidad con el uso común que se le da por el idioma español.

(i)            Autorización: Consentimiento previo, libre, inequívoco e informado del Titular para llevar a cabo el Tratamiento de Datos Personales, para fines específicos.

(ii)           Base de Datos Personales: Conjunto organizado de los Datos Personales que son objeto deTratamiento por parte de YUNO, o quien ésta designe, en su condición deResponsable y/o Encargada de los Datos Personales.

(iii)          Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

(iv)          Datos de Menores y Adolescentes: Son los Datos Personales cuyos

Titulares son menores de edad, entiendo por ello los sujetos con edad inferior a los 18 años, cuyo Tratamiento deberá asegurar la prevalencia de sus derechos fundamentales. Esta tipología de datos incluye aquellos que pertenecen a los infantes los cuales tendrán unTratamiento especial por pertenecer a una población con derechos prevalentes.

(v)           Datos Sensibles: Los que pueden afectar la intimidad del Titular o cuyo uso indebido puede generar su  discriminación,  tales como  aquellos  que revelen  el  origen racial  o  étnico, la  orientación  política, las convicciones  religiosas,  la pertenencia  a  sindicatos u organizaciones sociales de carácter religioso, filosófico o político así como  los  datos relativos  a  la salud,  a  la  vida  sexual, los  datos biométricos y los datos genéticos.

(vi)          Encargado del Tratamiento oEncargado: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento deDatos Personales por cuenta del Responsable del Tratamiento.

(vii)         Página Web de YUNO: Es la página web a través de la cual YUNO presta sus servicios, la cual se localiza en el siguiente URL:
https://www.y.uno

(viii)        Política:Es la Política y los procedimientos para el Tratamiento de Datos Personales adoptados por YUNO.  

(ix)          Responsable del Tratamiento oResponsable: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre los elementos esenciales del Tratamiento de los Datos Personales.

(x)           ANPD: Es laAutoridad Nacional de Protección de Datos, autoridad administrativa en materia de protección de datos personales en Brasil.

(xi)         Titular:Persona natural cuyos Datos Personales sean objeto de Tratamiento.

(xii)        Transferencia: La Transferencia de Datos Personales es el envío de Datos Personales de parte del Responsable y/o Encargado a un tercero que se encuentra fuera o dentro del país y que a su vez será tratado como el Responsable delTratamiento.

(xiii)      Transmisión: Tratamiento de Datos Personales que hace el Encargado por cuenta delResponsable, y que implica una comunicación o envío de los Datos Personales dentro o fuera del territorio.

(xiv)      Tratamiento: Cualquier operación, recolección, almacenamiento, administración, procesamiento, transferencia, transmisión, supresión, circulación, uso y/o de cualquier manera realizar algún proceso mecánico y/o automático sobre los DatosPersonales.  

(xv)        Vinculados:Todas aquellas personas que tengan acceso a los Datos Personales almacenados por YUNO, incluyendo pero sin limitarse a: (i) empleados; (ii) contratistas;(iii) trabajadores en misión, etc.

VII. ORGANIZACIÓN INTERNA

Con el propósito develar por la implementación de buenas prácticas de gestión de Datos Personales dentro de YUNO, la Gerencia de la Compañía ha nombrado a Manuela Arango Carrizosa, del área de Legal, como Oficial de Protección de Datos Personales

(el “Oficial”).

Las principales funciones del Oficial son las siguientes:

  • Mantener un inventario de las bases de datos.
  • Recibir y tramitar en los términos señalados en el Manual y la Política a las PQR’s de los Titulares.  
  • Velar por que se dé estricto cumplimiento a lo consignado en la Política y lo dispuesto en este Manual.  
  • Entregar un reporte a la Dirección de YUNO que incluya: (i) alcance del Tratamiento de Datos Personales por la Compañía, (ii) capacitaciones realizadas, (iiii) incidentes de seguridad presentados.
  • Proponer capacitaciones dirigidas a los vinculados de YUNO.
  • Realizar auditorías periódicas para evaluar el cumplimiento por parte de los Encargados de la Política de Tratamiento de YUNO.
  • Identificar, monitorear y advertir sobre los riesgos que puedan afectar la seguridad de los Datos Personales depositados en la Compañía.
  • Revisar permanentemente la Política del manejo de Datos Personales, de acuerdo con la dinámica institucional y proponer los ajustes que sean necesarios.
  • Diseñar anualmente el Programa de Gestión de Datos Personales de YUNO.
  • Impulsar una cultura de protección de Datos Personales dentro de YUNO.
  • Acompañar y asistir a YUNO en la atención de las visitas y los requerimientos que realice la ANPD.
  • Realizar seguimiento al Programa de Gestión de Datos Personales.

VIII. DEBERES DE LOS VINCULADOS

Los siguientes serán los deberes de los vinculados según corresponda:

(i) Leer, conocer y aplicar la Política de tratamiento de datos personales de YUNO y el Manual.

(ii) Poner en conocimiento de los Titulares la Política de Tratamiento.

(iii) Guardar estricta confidencialidad de toda la información personal que conozca de los Titulares en virtud de sus relaciones contractuales y comerciales que sostenga con YUNO.

(iv) Informar a sus superiores sobre temas relacionados con tratamiento de información personal.

(v) Conservar la seguridad y disponibilidad de los Datos Personales a los que tengan acceso.

IX. PROGRAMA DE CUMPLIMIENTO Y SEGUIMIENTO DEL REGIMEN DE PROTECCIÓN DE DATOS PERSONALES

El Programa de Cumplimiento y Seguimiento del Régimen de Protección de Datos Personales (el “Programa”) será ejecutado de forma anual. El Programa deberá ser ejecutado por el Oficial de Protección de Datos Personales y deberá ser presentado a la Dirección de YUNO para su correspondiente discusión y aprobación.

El Programa deberá incluir los siguientes elementos:

  • Inventario de las bases de datos personales de YUNO.
  • Actualización de la Política deTratamiento de Datos Personales de YUNO.
  • Actualización de las medidas de seguridad implementadas por YUNO.
  • Actualización de los procedimientos internos implementados para atender las PQR’s de los Titulares. En particular, aquellas peticiones relacionadas con la modificación de los canales de notificación, la supresión de Datos Personales y la revocatoria de la autorización de tratamiento.
  • Actualización de los canales de comunicación ofrecidos a los Titulares, conservando su gratuidad y fácil accesibilidad.
  • Actualización de los sistemas de conservación de las autorizaciones de tratamiento de Datos Personales de los Titulares.
  • Agenda de capacitaciones a realizar a los Vinculado de YUNO. Adicionalmente, se debe realizar un informe de la asistencia y desempeño de las capacitaciones.
  • Informe de los incidentes de seguridad generados en el año inmediatamente anterior, junto con las medidas implementadas o pendientes de implementar, con el objetivo de evitar de nuevo su materialización.
  • Informe de los riesgos analizados en el año inmediatamente anterior, junto con las medidas implementadas o pendientes de implementar, con el objetivo de mitigarlos.
  • Proyección de los riesgos que deberán ser analizados en ese año y el orden de prioridad que cada uno tiene en la agenda de discusión y análisis.
  • Actualización del Protocolo de respuesta a la violación a los códigos de seguridad de la información.
  • Actualización de los formatos de autorización de tratamiento de datos personales, incluido el aviso de video vigilancia.
  • Actualización de los acuerdos de confidencialidad suscritos con los empleados y Encargados.

Una vez el Programa se desarrolle, el Oficial certificará el cumplimiento del mismo; situación que deberá documentar.

X. CICLO DE VIDA DE LOS DATOS PERSONALES

En el desarrollo del Programa, el Oficial deberá realizar una revisión de los Datos Personales que se encuentran almacenados en los repositorios de YUNO y determinar qué información ha dejado de servir para la finalidad del banco de datos.  

La información que no resulte útil será eliminada de la base de datos de YUNO o será anonimizada. Adicionalmente, en caso de ser viable, se realizará el cifrado o la seudonimización, con el fin de que los Datos Personales no puedan atribuirse a un interesado sin utilizar información adicional.

Eliminación o disposición final:

Se deberá proceder a eliminar los Datos Personales en los siguientes casos:

  • Por instrucción expresa del Titular o de la ANPD.
  • Cuando termine la finalidad para la cual los Datos Personales fueron recolectados.

XI. PROCEDIMIENTOS PARA EJERCER LOS DERECHOS DE LOS USUARIOS

YUNO ha implementado diferentes canales de atención para los Titulares para que estos puedan realizar las acciones encaminadas a materializar sus derechos sobre sus Datos Personales. Para el debido ejercicio de los derechos se debe acreditar la siguiente información:

(i) Ser titular de la información, acreditar la identidad en forma suficiente mediante cualquier medio que YUNO destine para ello.

(ii) Por los causahabientes, quienes deberán acreditar tal calidad.

(iii) Por el representante/apoderado del titular de la información, quien también deberá acreditar tanto la calidad del Titular de información como la de representan/apoderado calidad.

a. Canales de Atención:

Los Titulares podrán ejercer sus derechos a través de correo electrónico datospersonales@y.uno.

b. Procedimientos de atención:

Consultas

El Titular o sus causahabientes podrán realizar consultas sobre sus Datos Personales que reposen en la Base de Datos, ya sea por escrito o personalmente a través de los medios previstos anteriormente. YUNO garantiza el derecho de consulta, suministrando al Titular, o a sus causahabientes debidamente acreditados, toda la información que esté contenido con la identificación del Titular. Bajo la gestión del Oficial, la consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se le informará al Titular, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual, en ningún caso, podrá superar los cinco (5) días hábiles siguientes al vencimiento del término inicial.

Reclamos

El Titular, o sus causahabientes, que consideren que la información contenida en la Base de Datos debe ser  objeto  de  corrección,  actualización  o  supresión,  o  cuando  adviertan  el  presunto  incumplimiento  de cualquiera de los deberes contenidos en la normativa de protección de Datos Personales o ésta Política, podrán presentar un reclamo ante el Responsable del Tratamiento, el cual deberá incluir: (i) la identificación del Titular; (ii) la descripción de los hechos que dan lugar al reclamo; (iii) la dirección física o electrónica donde  desea  recibir  notificaciones;  y  (iv)  los  documentos  que  fundamenten  los  hechos  del  reclamo.  El reclamo se formulará a través de los canales de atención descritos en estas Política.  

Si el reclamo se presenta de forma incompleta, se requerirá al Titular, o a sus causahabientes, dentro de los cinco (5) días siguientes a la recepción de la reclamación para que complemente el reclamo. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que el reclamante ha desistido de su pretensión. Bajo la gestión del Oficial, se deberá dar respuesta al reclamo en el término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.  

Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

XII. CONFIDENCIALIDAD, FLUJO DE INFORMACIÓN, SEGURIDAD DE LOS DATOS PERSONALES

Las Bases de Datos Personales recolectadas por YUNO son tratadas mediante Sistemas de Información que están sustentados en plataformas tecnológicas y programas de seguridad, que garantizan los más altos estándares de confidencialidad y evitan incidentes de seguridad. Los Sistemas de Información implementados por YUNO son aplicables a la totalidad de Bases de Datos Personales recolectados, ya sea que estas Bases de Datos estén contenidas en archivos automatizados (computadores o la nube), manuales (papel) o mixtas.  

Para el efecto, YUNO implementa los siguientes Sistemas de Seguridad:

a. Controles de acceso. YUNO tan solo permite que ciertos Vinculados accedan a los datos personales, exclusivamente para el cumplimiento de sus funciones.  

b. Factores de autenticación. Los Vinculados que accedan a los datos deberán identificarse y acreditar que se encuentran autorizados para el Tratamiento de los Datos Personales.

c. Prevención de accesos de terceros. YUNO cuenta con programas que identifican y eliminar virus informáticos, así como ataques cibernéticos de terceros.  

d. Buenas prácticas establecidas en la Certificación PCI. YUNO cuenta con una certificación Payment Card Industry Data Security Standard (PCI DSS), el cual es un estándar de seguridad de datos en la industria de pagos que acredita que la compañía ha adoptado altos niveles de protección. Así las cosas, YUNO ha aprobado el Reporte de Cumplimiento de la versión 3.2.1 de la PCI DSS, lo cual demuestra la adopción de medidas razonables y conducentes para proteger los Datos Personales tratados.  

Cláusulas de confidencialidad

Por su parte, los Vinculados, se rigen bajo una estricta cláusula de confidencialidad mediante la cual se les prohíbe de manera expresa divulgar cualquier información que conozcan (para efectos del presente Manual, Datos Personales), en virtud del contrato bajo el cual se encuentren vinculados a la Compañía.

XIII. PROTOCOLO DE RESPUESTA A LA VIOLACIÓN DE LOS CODIGOS DE SEGURIDAD DE LA INFORMACIÓN

A. Cuando YUNO actúe como Responsable

En el evento de violaciones a los códigos de seguridad o de una fuga de información de Datos Personales, que se presente durante el Tratamiento de estos por parte de los Encargados o Vinculados, YUNO deberá, a través del Oficial implementar el siguiente procedimiento:  

a. Identificar de forma clara la afectación materializada, donde se identifiquen las siguientes variables:

• Tipo de afectación materializada (disponibilidad, integridad o confidencialidad de los Datos Personales).

• Identificar si la fuente de la afectación fue un elemento externo o interno de la Compañía.

• Bases de datos afectadas.

• Datos Personales afectados.

• Número de Titulares afectados.

• Duración temporal de la afectación.  

• Fecha en la que se tuvo conocimiento del incidente de seguridad.  

• Identificar si la afectación fue detenida o continua vigente.

• En caso de que la afectación continúe siendo vigente se deberá planear un procedimiento a través del cual se detenga la afectación.

• Daños o consecuencias generadas por la afectación.

b. Generar un informe que incluya todos los elementos anteriores dentro de un periodo de máximo dos (2) días siguientes al conocimiento de la violación del código de seguridad.

c. El procedimiento a través del cual se debe detener el incidente de seguridad debe ser aplicado de forma inmediata hasta que la afectación sea detenida.  

d. Al tercer (3) día siguiente al conocimiento de la violación del código de seguridad, el Oficial deberá presentar a la Dirección de YUNO el Informe elaborado sobre la afectación a los códigos de seguridad. Dentro del mismo a la presentación del informe, se deberá informe a la ANPD sobre la violación al código de seguridad, en caso de que la violación pueda afectar los derechos e libertades fundamentales del Titulares, de acuerdo con lo establecido en la regulación de protección de datos personales.

El Oficial deberá realizar seguimiento al incidente de seguridad hasta que quede completamente solucionado y deberá dejar trazabilidad de las medidas que se adopten por la Compañía, en caso de que sean requeridas por la ANPD.

e. Cuando corresponda, el Oficial deberá comunicar a los Titulares afectados con materialización del incidente de seguridad. El Oficial deberá comunicarse con los Titulares a través del correo electrónico y/o número celular de cada Titular registrado ante YUNO, o en caso de no ser posible a través de una comunicación masiva, en donde indicará lo siguiente:

• Tipo de afectación materializada  

• Datos personales afectados.  

• Duración temporal de la afectación.  

• Posibles consecuencias.

• Informar sobre las herramientas que puede utilizar los Titulares para minimizar el daño potencial o causado por el incidente de seguridad.

B. Cuando Yuno sea Encargado

En el evento de violaciones a los códigos de seguridad o de una fuga de información de Datos Personales, que se presente durante el Tratamiento de YUNO en calidad de Encargado, deberá, a través del Oficial, implementar el siguiente procedimiento:  

a. Identificar de forma clara la afectación materializada, donde se identifiquen las siguientes variables:

• Tipo de afectación materializada (disponibilidad, integridad o confidencialidad de los Datos Personales).

• Identificar si la fuente de la afectación fue un elemento externo o interno de la Compañía.

• Bases de datos afectadas.

• Datos Personales afectados.

• Número de Titulares afectados.

• Duración temporal de la afectación.  

• Fecha en la que se tuvo conocimiento del incidente de seguridad.  

• Identificar si la afectación fue detenida o continua vigente.

• En caso de que la afectación continúe siendo vigente se deberá planear un procedimiento a través del cual se detenga la afectación.

• Daños o consecuencias generadas por la afectación.

b. Generar un informe que incluya todos los elementos anteriores dentro de un periodo de máximo dos (2) días siguientes al conocimiento de la violación del código de seguridad y enviarlo al Responsable. En este informe se deberá incluir la información de contacto de YUNO en la cual el Responsable pueda obtener más información.

En caso de que luego del envío del informe, YUNO obtenga más información sobre el incidente de seguridad, deberá proporcionarle al Responsable sin dilación indebida.

c. En conjunto con el Responsable, definir el procedimiento a través del cual se debe detener el incidente de seguridad debe ser aplicado de forma inmediata hasta que la afectación sea detenida.

XIV. ADMINISTRACIÓN DE RIESGOS ASOCIADOS AL TRATAMIENTO DE DATOS PERSONALES

Anualmente el Oficial realizará un análisis de los riesgos de cada Base de Datos. Este análisis de los riesgos deberá: (i) identificarlos y (ii) establecer la forma en que se deben manejar y mitigar, en concordancia con lo dispuesto en el presente Manual. Las siguientes son las etapas de la administración de los riesgos, sobre las cuales se debe elaborar el análisis de los mismos con la periodicidad mencionada:

Identificación: El Oficial deberá indicar cuáles son los riesgos que pueden estar asociados a cada Base de Datos de la Compañía, e identificar los riesgos e incidentes que se hayan materializado anteriormente.

En esta etapa se deberá llevar a cabo la siguiente metodología para la identificación de riesgos asociados al tratamiento de Datos Personales:  

• Identificación de los objetivos de la Política de tratamiento de Datos Personales de YUNO y del Manual. Los objetivos de estos dos documentos se encuentran alineados con lo dispuesto en la regulación brasileña de protección de Datos Personales y, a grandes rasgos son los siguientes:

o Obtener una base legal de tratamiento de Datos Personales de los

Titulares.

o Conservar copia de la autorización otorgada por los Titulares con el objetivo de poder ser verificada posteriormente, cuando corresponda.  

o Permitir de forma oportuna el ejercicio de los derechos de los Titulares sobre sus Datos Personales.  

o Conservar la confidencialidad, disponibilidad e integridad de los Datos Personales tratados.  

o Mantener a los Vinculados actualizados y capacitados respecto del régimen de protección de Datos Personales.  

o Vigencia y actualización de las bases de datos de YUNO.  

• Identificación de los obstáculos que se generan en la consecución de los objetivos de la Política de tratamiento de Datos Personales de YUNO y del Manual. Para poder identificar estos obstáculos se deben analizar cada uno de los procesos que permiten materializar estos objetivos, de forma independiente para cada Titular. En consecuencia, se deben analizar cada uno de los procesos:

o Verificación del proceso de obtención de autorizaciones sobre cada tipo de Titular.

o Verificación del proceso de almacenamiento de las autorizaciones de cada tipo de Titular.  

o Verificación y análisis de los procesos que componen el ciclo de vida de cada Dato Personal, sobre cada clasificación de Titular: almacenamiento de los datos personales, procesos antifraude, procesos de bloqueo, procesos de rehabilitación de cuentas.  o Verificación de cada uno de los procesos que permiten el ejercicio de los derechos sobre Datos Personales de cada uno de los tipos de Titulares: consulta, petición, queja, modificación de canales de notificación, supresión y modificación de Datos Personales.  o Verificación del cumplimiento de las medidas de seguridad sobre los Datos Personales: el Oficial deberá verificar el cumplimiento de cada una de las medidas implementadas: sistemas informáticos de seguridad, suscripción de acuerdos de confidencialidad, entre otras.  o Identificar las condiciones que permitieron la presentación de incidentes de seguridad en el semestre anterior y verificar si estas condiciones fueron modificadas o continúan estando vigentes.  o Verificación del nivel de cumplimiento del programa de capacitaciones, junto con la asistencia recibida y desempeño de los Vinculados.  

o Revisar el estado del inventario de las bases de datos y comprobar que la finalidad de cada una continúe estando vigente.  o Verificación de quejas o demandas que cursen ante la ANPD y los motivos que originaron estas acciones legales.  

Medición: Consiste en determinar la posibilidad de ocurrencia de los riesgos relacionados con el Tratamiento de Datos Personales, y su impacto en caso de materializarse.  

Control: La etapa de control hace referencia a las acciones que debe tomar YUNO con el fin de controlar y/o mitigar los riesgos a los que se ven expuestos los Datos Personales que trata YUNO, con el fin de disminuir la posibilidad y/o las consecuencias de la materialización de los mismos.  

Algunos de los controles sobre la mitigación de riesgos son los siguientes:

- De forma semestral, el Oficial verificará que todos los procesos relacionados con los ciclos de vida de los datos personales y materialización de los derechos de los Titulares se ejecuten de forma correcta, de acuerdo con los periodos de tiempo fijados por la regulación.

- El Oficial verificará trimestralmente los motivos de las quejas y denuncias presentadas en contra de YUNO, ante la misma Compañía o ante la ANPD. El Oficial corregirá cualquier inconsistencia que se esté presentando en la tramitación de las PQR’s y de los procesos internos relacionados con el tratamiento de Datos Personales.  

- De forma trimestral, el Oficial verificará con el Departamento de Tecnología que los estándares electrónicos y físicos de seguridad que conservan la confidencialidad, disponibilidad e integridad de los Datos Personales se encuentren vigentes y actualizados. En esta misma revisión, el Oficial se asegurará de que las medidas de corrección proyectada luego de haberse presentado algún incidente de seguridad hayan sido efectivamente implementadas.  

- El Oficial verificará trimestralmente el estado de cumplimiento del Programa de entrenamiento de protección de datos personales por cada cargo de YUNO e implementará las medidas que sean necesarias para corregir cualquier imprecisión en el desarrollo del mismo.  

De cada medida de control implementada, el Oficial documentará el análisis realizado e implementación de medidas. Así mismo, una vez se identifique cualquier otro riesgo generado se documentarán las medidas de mitigación necesarias a ser implementadas.  

Monitoreo: El monitoreo consiste en la realización de un seguimiento constante al Sistema de Administración de riesgos asociados al tratamiento de datos personales, con el fin de asegurarse de que las medidas establecidas sean efectivas. En este sentido, se deben desplegar las siguientes medidas de monitoreo:

• Proceso de seguimiento efectivo que facilite la rápida detección y corrección de deficiencias en el Sistema de Administración de riesgos asociados al tratamiento de datos personales. En este orden de ideas, el mencionado Proceso incluirá las siguientes actividades:

o En la actividad semestral de análisis de los riesgos de cada Base de Datos se verificará lo siguiente:

▪ Número de riesgos identificados en el semestre anterior.

▪ Número de riesgos totalmente mitigados.

▪ Número de riesgos que aún se encuentran vigentes.  

▪ Razones por las cuales existen aún riesgos no mitigados.

▪ Identificar cuáles son las razones comunes en la ausencia de mitigación de riesgos.  

▪ Identificar las medidas implementadas en los riesgos que aún no han sido mitigados.

▪ Identificar las medidas comunes implementadas en los riesgos que aún no han sido mitigados.  

▪ Identificar las medidas implementadas en los riesgos que ya fueron mitigados.

▪ Identificar las medidas comunes implementadas en los riesgos que ya fueron mitigados.  

o De acuerdo con la información recolectada en el anterior ejercicio se implementarán las siguientes estrategias con el fin de corregir las ineficiencias que se presenten en el Sistema de Administración de riesgos asociados al tratamiento de datos personales.

▪ Verificar si las medidas comunes implementadas en los riesgos que aún no han sido mitigados han sido efectivas en la mitigación de algún riesgo en el pasado. En caso de que estas no hayan sido efectivas en el pasado, se deberán dejar de implementar, y deberá registrase constancia de esta decisión.  

▪ Verificar si en los riesgos que no se han mitigado es posible implementar alguna de las medidas de mitigación comunes implementadas en los riesgos que ya fueron cerrados.  

• Llevar un registro de incidentes que contemple: bases de datos y datos comprometidos, titulares, fecha del incidente y de descubrimiento, acciones correctivas realizadas y responsables.

Este registro es desarrollado de conformidad con lo dispuesto en el Título XIII del Manual.

XV. CAPACITACIONES Y ENTRENAMIENTOS

Para efectos de garantizar el cumplimiento del Manual, la Política de Tratamiento y la normativa sobre Protección de Datos Personales, el Oficial estará a cargo de realizar capacitaciones y entrenamientos a los Departamentos de la Compañía y cada uno de los Vinculados.

YUNO impartirá una formación de carácter general sobre el tratamiento de Datos Personales a todos sus Vinculados de forma anual. Respecto de los Vinculados que traten directamente datos personales, YUNO organizará una capacitación complementaria, adaptada específicamente a sus funciones. Las formaciones serán permanentes por lo que anualmente se revisará el programa de las capacitaciones y se actualizará.

XVI. TRANSFERENCIAS Y TRANSMISIONES DE DATOS PERSONALES A TERCEROS


a. Transferencias:

Para realizar una Transferencia de Datos Personales a terceros Responsables ubicados en Brasil, deberá existir una base legal que fundamente el Tratamiento de los Datos Personales para dicha Transferencia.  

En caso de Transferencias internacionales de Datos Personales, YUNO deberá aplicar todos los mecanismos de transferencia internacional de Datos Personales previstos en la legislación vigente y/o regulados por la ANPD para legitimar dicha transferencia.  

Cualquier Transferencia de Datos deberá ser plasmada en un contrato de Transferencia de Datos Personales y deberá ser previamente autorizada por el Oficial.  

b. Transmisiones:

Para realizar una Transmisión de Datos Personales a terceros Encargados ubicados en Brasil o en el exterior, debe existir (i) una base legal que fundamente el Tratamiento de los Datos Personales y, preferiblemente, (ii) un contrato de Transmisión de Datos Personales que contenga, por lo menos:

a. Los alcances de la obligación del Encargado para el Tratamiento de Datos Personales.

b. Las actividades que el Encargado deberá realizar por cuenta de la Compañía para el Tratamiento de los Datos Personales.

c. Las obligaciones del Encargado para con el Titular y la Compañía.

d. La obligación del Encargado de dar cumplimiento a las obligaciones de la Compañía bajo la Política de la Compañía.

e. La obligación del Encargado de realizar el Tratamiento de Datos Personales de acuerdo con las Finalidades autorizadas por los Titulares y con las leyes aplicables.

f. La obligación del Encargado de dar Tratamiento, a nombre del Responsable, a los Datos Personales conforme a los principios que los tutelan.

g. La obligación del Encargado de salvaguardar la seguridad de las Bases de Datos en los que se contengan Datos Personales.

h. La obligación del Encargado de guardar confidencialidad respecto del Tratamiento de los Datos Personales.

En el caso de Transmisiones internacionales de Datos Personales, YUNO (i) escogerá al Encargado de conformidad con su experticia demostrada en el tratamiento de Datos Personales por encargo de terceros; (ii) incluirá en el instrumento que regule contractualmente la transmisión, disposiciones tendientes a:  

a. El cumplimiento por parte de los Encargados, durante la ejecución del tratamiento Encargado, de las normas brasileñas de protección de datos y la Política de Tratamiento.

b. La obligación de reportar a YUNO cualquier incidente de seguridad que pueda presentarse, así como las medidas implementadas para mitigar sus efectos y prevenir su repetición en el futuro.  

c. La exigencia de cumplimiento de las obligaciones de información, custodia y seguridad le sean exigibles a sub-contratistas y/o sub-encargados.

El Oficial autorizará cada contrato de Transmisión de Datos Personales a suscribir con terceros. Así mismo, el Oficial realizará auditorías periódicas para evaluar el cumplimiento por parte de los Encargados de la Política de Tratamiento de YUNO, de las obligaciones establecidas en el contrato de Transmisión, y demás medidas para garantizar los principios de seguridad, confidencialidad y circulación restringida de la información.

XVII. TRATAMIENTO DE DATOS DE YUNO EN CALIDAD DE ENCARGADO

En caso de que YUNO trate los datos en calidad de Encargado deberá cumplir los deberes consagrados en la LGPD, para lo cual deberá: (i) Ceñir el Tratamiento de los datos a las instrucciones del Responsable; (ii) Garantizar el derecho de los Titulares de conocer y actualizar su información personal; (iii) Actualizar, rectificar o suprimir los datos en los términos señalados en la Política y en el Manual; (iv) Tramitar las consultas y reclamos de los Titulares; (v) Conservar la información bajo las medidas de seguridad descritas en este Manual y en la Política.

Asimismo, en caso de que YUNO trate Datos Personales provenientes de la Unión Europea, en los términos del Reglamento General de Protección de Datos Personales de la Unión Europea -Reglamento (UE) 2016/679- (“RGPD”), la Compañía deberá limitar el tratamiento de la información a las instrucciones que sean emitidas por el Responsable. En caso de no poder cumplir con una instrucción, YUNO informará inmediatamente al Responsable.

Asimismo, con el fin de garantizar un nivel de protección suficiente para que los derechos consagrados en el RGPD se mantengan vigentes y se cuente con acciones legales efectivas, YUNO dará cumplimiento a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países establecidas por la Comisión Europea, cuya aplicación se garantiza de acuerdo con lo establecido en la Política y en el Manual.  

YUNO colaborará con el Responsable para que pueda cumplir las obligaciones que le atribuye el RGPD, especialmente en cuanto a la notificación a la autoridad de control competente y a los Titulares afectados por eventuales incidentes de seguridad, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga YUNO.

XVIII. VIGILANCIA Y CONTROL DEL CUMPLIMIENTO

En caso de incumplimiento por parte de alguno de los Vinculados, en relación con el presente Manual o la Política de tratamiento de datos de la Compañía implementará los procedimientos disciplinarios y sancionatorios establecidos en el contrato de trabajo, en sus políticas internas y/o el Reglamento Interno de Trabajo, y las normas laborales aplicables para el efecto.

XIX. FECHA DE ENTRADA EN VIGENCIA DEL MANUAL

El presente Manual entra a regir a partir de noviembre de 2022, y es publicado desde la fecha en la plataforma utilizada por YUNO para gestionar las comunicaciones internas.