Política de privacidad

Introducción y directrices generales

La presente Política de Tratamiento y Protección de Datos Personales (la «Política») de JJ Associates (la «Compañía») establece los criterios que deben aplicarse para el tratamiento y protección de los Datos Personales, tales como la recolección, almacenamiento, uso, circulación, eliminación y, en general, todas aquellas actividades que impliquen el Tratamiento de Datos Personales.

Del mismo modo, el objetivo de esta política es proporcionar una comprensión común de los datos de la empresa como un recurso fundamental para la línea de negocio y establecer las responsabilidades que conlleva el uso de estos datos y su gestión por parte de todos los empleados de JJ Associates.

Los datos de la empresa se definen como cualquier información creada, recopilada y almacenada por la empresa o cualquier oficina de la empresa en apoyo de sus funciones. Dichos datos pueden estar relacionados con empleados, clientes, clientes de nuestros clientes u otros miembros de la empresa. Esto incluye tanto a empleados actuales como antiguos, clientes, clientes de nuestros clientes y otros miembros de la empresa, y puede consistir en información personal, financiera, médica o sobre el rendimiento laboral.

Los datos de nuestros clientes son uno de los recursos más valiosos de JJ Associates y representan una inversión significativa. Las políticas, procedimientos y prácticas sólidas de gestión de datos respaldarán de manera eficaz la toma de decisiones informadas basadas en datos reales que pueden contribuir significativamente a promover las direcciones estratégicas de la empresa.

Nuestras políticas, procedimientos y prácticas de gestión de datos están diseñados para proteger tres aspectos fundamentales de los datos: integridad, seguridad y acceso.

La integridad de los datos incluye cualidades como la precisión, la coherencia y la puntualidad. Estos datos son un recurso de la empresa que pueden utilizar muchos usuarios y en el que se puede confiar. La integridad de los datos comienza con la persona o el departamento que los crea, y es responsabilidad del departamento de TI y de todos los departamentos de JJ Associates garantizar que exista.

La seguridad de los datos abarca más que la seguridad electrónica. Si bien algunos aspectos de la seguridad pueden garantizarse mediante la tecnología, la seguridad también abarca una medida de confianza. Como recurso empresarial crítico, los datos deben protegerse en todos los niveles contra daños, pérdidas, corrupción y violaciones de seguridad, y todos los usuarios comparten esta responsabilidad.

El acceso a los datos institucionales se concede internamente cuando existe una necesidad comercial o de investigación legítima demostrada para los datos, y externamente cuando la divulgación de dichos datos no infringe obligaciones, legislación sobre privacidad o contratos legales. Siempre que sea posible, los datos deben recopilarse en la fuente y ponerse a disposición de todos los miembros de la empresa que tengan una necesidad comercial legítima de los datos con fines comerciales.

1. Definiciones

Estos términos corresponden a generalidades y directrices relativas a la protección de datos personales, que deben interpretarse de conformidad con la normativa vigente en cada país.

  • Datos personales: cualquier información vinculada o que pueda asociarse a una persona específica, como el nombre o el número de identificación, o que permita identificarla, como las características físicas.
  • Datos públicos: Se trata de uno de los tipos de datos personales existentes. Los datos públicos incluyen, entre otros, los datos relativos al estado civil de las personas, su profesión o oficio, y su condición de comerciante o funcionario público. Por su naturaleza, los datos públicos pueden figurar, entre otros, en registros públicos, documentos públicos, boletines y diarios oficiales y sentencias judiciales debidamente ejecutadas que no estén sujetas a reserva.
  • Datos semiprivados: Datos que no son de carácter íntimo, reservado o público y cuyo conocimiento o divulgación puede ser de interés no solo para el titular, sino también para un determinado sector o la sociedad en general. Algunos ejemplos son los datos financieros y crediticios derivados de actividades comerciales o de servicios.
  • Datos privados: Son aquellos datos que, por su carácter íntimo o reservado, solo son relevantes para el titular. Los gustos o preferencias de las personas, por ejemplo, corresponden a datos privados.
  • Datos sensibles: Es información de carácter personal que revela, por ejemplo, pero sin limitarse a ello: origen racial o étnico, preferencias políticas, convicciones o creencias religiosas, orientación sexual, autodeterminación en sus diferentes ámbitos, ejercicio del derecho a la intimidad, y el ejercicio del derecho a la libertad de expresión, afiliación sindical, afiliaciones políticas, pertenencia a grupos sociales, información sobre el estado de salud de la persona, datos biométricos, entre otros.
  • Autorización: Es el consentimiento otorgado a cualquier persona para que las empresas o personas responsables del tratamiento de la información puedan utilizar sus datos personales.
  • Base de datos: Organización de datos personales sujetos a tratamiento y uso.
  • Encargado del tratamiento: La persona física o jurídica que realiza el tratamiento de datos personales, basándose en una delegación realizada por el responsable del tratamiento, recibiendo instrucciones sobre la forma en que deben gestionarse los datos.
  • Responsable del tratamiento: La persona física o jurídica, pública o privada, que decide sobre la finalidad de las bases de datos y/o el uso de los datos.
  • Interesado: La persona física cuyos datos personales son objeto de tratamiento.
  • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales, como la recogida, el almacenamiento, la utilización, la difusión o la supresión.
  • Aviso de privacidad: Es una de las opciones de comunicación verbal o escrita que concede la ley para informar a los propietarios de la información sobre la existencia y las formas de acceder a las políticas de tratamiento de la información, así como sobre la finalidad de su recogida y uso.
  • Delegado de protección de datos: Persona encargada de supervisar y controlar que se cumplan las medidas sobre el tratamiento de datos personales implementadas por la empresa. A su vez, se convierte en responsable del tratamiento de dichos datos.
  • Transmisión de datos: Tratamiento de datos personales que implica la comunicación de dichos datos dentro o fuera del territorio de cada país cuando la finalidad del tratamiento debe ser llevada a cabo por el encargado del tratamiento en nombre del responsable del tratamiento.
  • Transferencia de datos: Se refiere a la transferencia por parte del responsable o del encargado directo del tratamiento de datos personales de la información o los datos personales a otra persona o entidad pública o privada, que a su vez es responsable del tratamiento de los datos, y que puede estar ubicada dentro o fuera de cada país.

2. Principios generales

  • Principio de legalidad: El tratamiento a que se refiere la ley es una actividad regulada que debe estar sujeta a las disposiciones de la ley y otras disposiciones que la desarrollan.
  • Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con las leyes que lo regulan, que debe ser comunicada al interesado.
  • Principio de libertad: El tratamiento solo podrá realizarse con el consentimiento previo, expreso e informado del interesado. No se podrán obtener ni divulgar datos personales sin autorización previa o en ausencia de un mandato legal que exima del consentimiento.
  • Principio de veracidad o calidad: La información objeto de tratamiento debe ser veraz, completa, exacta, actualizada, verificable y comprensible. Queda prohibido el tratamiento de datos parciales, incompletos, fraccionados o engañosos.
  • Principio de transparencia: El derecho del interesado a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información sobre la existencia de datos que le conciernen, debe garantizarse en el tratamiento.
  • Principio de acceso restringido: El tratamiento está sujeto a los límites que se derivan de la naturaleza de los datos personales y de las disposiciones de las leyes que lo regulan. El tratamiento solo puede ser realizado por personas autorizadas por el responsable del tratamiento y/o por las personas previstas en las leyes que lo regulan.
  • Principio de seguridad: La información sujeta a tratamiento por parte del responsable o de los responsables a que se refieren las leyes que la regulan, será tratada con las medidas técnicas, humanas y administrativas que sean necesarias para dar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o ilícito.
  • Principio de confidencialidad: Todas las personas que intervienen en el tratamiento de datos personales que no sean de carácter público están obligadas a garantizar la confidencialidad de la información, incluso después de la finalización de su relación con cualquiera de las tareas relacionadas con el tratamiento, y solo podrán facilitar o comunicar datos personales cuando corresponda al desarrollo de las actividades autorizadas por la ley y en los términos de la misma.

3. Responsable del tratamiento de datos

Cualquier solicitud, queja o reclamación relacionada con el tratamiento de datos personales, en aplicación de las disposiciones de la legislación de cada país, deberá dirigirse a:

Nombre: JJ Associates
Número de teléfono: +1 (205) 843-1921
Responsable principal de protección de datos: Director de TI
Responsable suplente de protección de datos: Director de operaciones
Correo electrónico: dataprotection@jj-associate.com
Sitio web: https://www.jj-associate.com

4. Disposiciones generales establecidas en el RGPD (Reglamento General de Protección de Datos)

El RGPD desarrolla el derecho a conocer, actualizar y rectificar la información recogida en bases de datos y los demás derechos, libertades y garantías (derecho a la intimidad y derecho a la información, respectivamente).

Teniendo en cuenta la forma en que se almacena una base de datos, se puede distinguir entre bases de datos automatizadas y bases de datos o archivos manuales. Las bases de datos automatizadas son aquellas que se almacenan y gestionan con la ayuda de herramientas informáticas.

Las bases de datos o archivos manuales son aquellos cuya información se organiza y almacena de forma física, como los formularios de pedido de proveedores que contienen información personal relacionada con el proveedor, como el nombre, la identificación, los números de teléfono, las direcciones de correo electrónico, etc.

Las directrices excluyen del régimen de protección a los siguientes:

  • Archivos y bases de datos pertenecientes al ámbito personal o doméstico
  • Aquellos cuyo objetivo sea la seguridad y defensa nacional, la prevención, detección, supervisión y control del blanqueo de capitales y la financiación del terrorismo.
  • Aquellos cuyo propósito es contener información de inteligencia y contrainteligencia.
  • Información periodística y otros contenidos editoriales
  • Información financiera y crediticia, comercial, de servicios y de terceros países.
  • Información sobre censos de población y vivienda

5. Garantía de confidencialidad

A. Empleados

Bases de datos virtuales

El equipo de Recursos Humanos y Contratación mantiene bases de datos confidenciales a las que solo tiene acceso el departamento. Además, todo se gestiona a través de Google Drive, un sistema de almacenamiento cifrado que cumple con los más altos estándares de confidencialidad.

Bases de datos físicas

En la medida de lo posible, JJ Associates se abstiene de almacenar documentos físicos relacionados con los empleados. Cuando se recibe un documento, el equipo responsable lo escanea y lo almacena en la unidad compartida privada donde se guarda la información relevante del cliente.

B. Clientes

Unidades de almacenamiento virtuales («Unidades»)

Cada oficina de JJ Associates ha establecido protocolos para el almacenamiento y manejo de la información de los clientes. En general, JJ Associates cuenta con programas informáticos que cumplen con las siguientes normas.

El principal recurso de almacenamiento es la «nube» de Google Drive, un servicio protegido para uso exclusivo de los miembros de JJ Associates.

Unidades de almacenamiento físico

Además, para el manejo de los datos de los clientes, JJ Associates cuenta con unidades de almacenamiento físico para guardar los documentos físicos de los clientes. Estas unidades suelen ser armarios seguros o con candado, cuyo acceso está restringido únicamente a los empleados que trabajan directamente con el cliente o a los gerentes de la oficina.

Al igual que en los puntos anteriores, JJ Associates se encarga de no almacenar información física en ninguna de sus ubicaciones en la medida de lo posible. La mayor parte del tiempo, JJ Associates almacena la información de forma virtual con los más altos estándares de seguridad.

6. Programa integral de protección de datos

Controles del programa

1. Clasificación de los datos personales

Los datos que trata la empresa se definen y clasifican de la siguiente manera:

  • Datos generales de identificación, tales como: nombre, apellidos, tipo de identificación, número de identificación, fecha y lugar de emisión, nombre, estado civil, sexo, etc.
  • Datos específicos de identificación tales como: firma, nacionalidad, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento, edad, etc.
  • Datos biométricos tales como: huellas dactilares, fotografías, vídeos, etc.
  • Datos de localización relacionados con la actividad privada de las personas, tales como: dirección, teléfono, correo electrónico, etc.
  • Datos relacionados con la salud de la persona en términos de órdenes y lista de pruebas complementarias, tales como análisis de laboratorio, pruebas de imagen, endoscopias, estudios patológicos, etc.
  • Datos sobre personas con discapacidad.
  • Datos relacionados con el historial laboral de la persona, su experiencia laboral, su puesto, las fechas de incorporación y jubilación, anotaciones, avisos de atención, etc.
  • Datos relacionados con el nivel educativo, la formación y/o el historial académico de la persona, etc.
  • Datos generales relacionados con la afiliación y las cotizaciones a los sistemas de seguridad social de cada país.
  • Datos personales de acceso a sistemas de información tales como: usuarios, IP, contraseñas, perfiles, etc.

7. Obligaciones del responsable del tratamiento

JJ Associates, además de ser la autoridad encargada de la protección de datos personales, tiene la condición de responsable del tratamiento de las bases de datos creadas por la entidad.

Los responsables del tratamiento de datos deben cumplir con las siguientes obligaciones, sin perjuicio de las demás disposiciones de las leyes que rigen sus actividades:

  • Garantizar al interesado, en todo momento, el ejercicio pleno y efectivo del derecho a la protección de los datos personales.
  • Solicitar y conservar, en las condiciones previstas en la legislación aplicable, una copia de la autorización correspondiente otorgada por el interesado.
  • Informar debidamente al interesado sobre la finalidad de la recogida y los derechos que le asisten en virtud de la autorización concedida.
  • Mantenga la información en las condiciones de seguridad necesarias para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Asegúrese de que la información proporcionada al encargado del tratamiento de datos sea veraz, completa, precisa, actualizada, verificable y comprensible.
  • Actualizar la información, comunicando oportunamente al Encargado del Tratamiento todos los acontecimientos relacionados con los datos previamente proporcionados.
  • Rectificar la información cuando sea incorrecta y comunicar la información pertinente al encargado del tratamiento.
  • Proporcione al encargado del tratamiento únicamente los datos cuyo tratamiento haya sido previamente autorizado.
  • Exigir al encargado del tratamiento que respete en todo momento las condiciones de seguridad y privacidad de la información del interesado.
  • Informar, a petición del interesado, sobre el uso que se da a sus datos.

8. Derechos de los titulares

Los titulares de los datos personales tendrán los siguientes derechos:

  • Conocer, actualizar y rectificar sus datos personales ante los responsables del tratamiento o los encargados del tratamiento.
  • Solicitar prueba de la autorización concedida al responsable del tratamiento.
  • Estar informado sobre el uso que se da a sus datos personales.
  • Revocar la autorización y/o solicitar la eliminación de los datos.
  • Acceso gratuito a los datos personales que han sido objeto de tratamiento.

9. Procesamiento

La información proporcionada a JJ Associates por clientes, proveedores, empleados y accionistas tiene, sin limitarse a los enumerados, los siguientes fines:

  • La prestación adecuada de los servicios contratados con JJ Associates.
  • Para ser contactado en relación con ofertas de productos y renovaciones de contratos.
  • Para enviar información comercial y promocional o invitaciones.
  • Procesos de selección y evaluación de personal.
  • Requisitos judiciales o administrativos y cumplimiento legal.
  • Invitaciones o reuniones con JJ Associates.
  • Procesos administrativos relacionados con empleados, clientes, proveedores y accionistas.
  • Atención a peticiones, quejas, reclamaciones y sugerencias.
  • Actualización de datos.
  • Requisitos de la entidad de control.
  • Vinculación contractual y comercial.
  • Reconocimiento económico por los servicios prestados.
  • Reconocimiento y protección de los derechos de los accionistas.
  • Supervisión de la seguridad de las instalaciones.
  • Cualquier otro fin derivado de la naturaleza jurídica de JJ Associates.

10. Directrices sobre el uso de datos e información

Los datos de la empresa solo deben ser utilizados por personas autorizadas y únicamente para los fines para los que se ha concedido el acceso.

La autorización para acceder a los datos no es transferible. No se permite acceder a los datos de la empresa ni manipularlos para obtener beneficios personales.

La información personal contenida en los archivos de la base de datos no puede ser divulgada. Cualquier infracción de esta política puede dar lugar a medidas disciplinarias, incluyendo el despido y el enjuiciamiento penal.

11. Directrices sobre tecnología y gestión de la información

  • Mantenga actualizado el sistema antivirus.
  • No descargues archivos sospechosos.
  • Protección contra el phishing.
  • Cambiar las contraseñas con regularidad.
  • Gestión de la información únicamente a través de G-Suite de la empresa.
  • No accedas a enlaces de fuentes desconocidas.
  • Aprobación del software del proveedor por parte del departamento de TI.
  • Proteja la información informática al abandonar los espacios de trabajo.

12. Inventarios de bases de datos

JJ Associates mantendrá un registro de todas las bases de datos de la organización.

El inventario de bases de datos personales incluye:

  • Nombre de la base de datos
  • Parte responsable
  • Canal de recolección
  • Tipo de datos personales
  • Número de titulares de datos
  • Ubicación de almacenamiento
  • Finalidad del tratamiento
  • Necesidad de los datos

Las actualizaciones deben notificarse al responsable de protección de datos por correo electrónico.

13. Consideraciones adicionales sobre seguridad

  • El acceso a la oficina está limitado al horario comercial.
  • No se permite el acceso sin autorización fuera del horario laboral.
  • Oficinas protegidas con seguridad privada.
  • Acceso de visitantes solo con autorización.
  • Es necesario registrarse como visitante.

14. Validez

Las políticas de tratamiento de datos personales de JJ Associates entrarán en vigor el 1 de diciembre de 2024. Las bases de datos gestionadas por JJ Associates se mantendrán indefinidamente durante el tiempo que sea necesario para cumplir con su finalidad y las obligaciones legales.

Los datos podrán ser eliminados a petición del titular, salvo que ello contravenga una obligación legal o contractual.

Registro de empresas en Panamá