Política de Protección de Datos Personales Albo Logistica Express S.A.

1. Objetivos Generales:

ALBO LOGISTICA EXPRESS S.A., identificada con Registro Único de Contribuyente N°20601937647 y con domicilio fiscal en Calle Uno, N°383 Urb. Industrial Bocanegra – Callao, es una persona jurídica de derecho privado, constituida como depósito aduanero autorizado, que brinda servicios también de almacenamiento para mercaderías nacional o nacionalizada, y alquiler de espacios (en adelante, “LA EMPRESA”), está comprometida con la protección y privacidad de la información de los Datos Personales de los Usuarios en cumplimiento de la Ley de Protección de Datos Personales – Ley N° 29733, y su Reglamento aprobado por el Decreto Supremo N° 003 – 2013 – JUS, y normas complementarias. En coherencia con ello, esta Política tiene los objetivos de:

  • 1.1. Establecer los lineamientos generales para el Tratamiento de los Datos Personales de grupos de interés tales como: colaboradores, usuarios, clientes y proveedores de LA EMPRESA.
  • 1.2. Asegurar que LA EMPRESA cumpla las Normas de Protección de Datos Personales.
2. Definiciones:

a. ANPDP: Autoridad Nacional de Protección de Datos Personales.

b. Banco de Datos Personales: Conjunto organizado de Datos Personales automatizados o no, independientemente del soporte, sea este físico, magnético, digital u otros que se cree, cualquiera fuera la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.

c. Consentimiento: Autorización del Titular de los Datos Personales para que el Titular del Banco de Datos Personales realice Tratamiento y/o Transferencia de los mismos.

d. Datos Personales: Aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a una persona natural, que la identifica o le hace identificable directa o indirectamente a través de medios que puedan ser razonablemente utilizados. Ej.: nombres y apellidos, DNI/RUC, pasaporte, sexo, profesión, edad, nacionalidad, fecha de nacimiento, dirección, teléfono, correo electrónico, fotografía, firma, voz, etc.

e. Documento Digital: Todo activo de información que contenga datos en formato electrónico, que requiere de un dispositivo informático para su acceso y consulta.

f. Documento Físico: Todo activo de información que contenga datos registrados en un formato tangible, tales como comprobantes de caja, documentos de control operativo, documentos para archivo físico, entre otros.

g. Encargado del Banco de Datos Personales: Toda persona natural, jurídica de derecho privado o entidad pública que, sola o actuando conjuntamente con otra, realiza el Tratamiento de Datos Personales por encargo del Titular del Banco de Datos Personales.

h. Titular de Datos Personales: Persona natural a quien corresponden los Datos Personales.

i. Titular del Banco de Datos Personales: Persona natural, jurídica de derecho privado o entidad pública que determina la finalidad y contenido del Banco de Datos Personales, Tratamiento de estos y las medidas de seguridad.

j. Transferencia: Toda transmisión, suministro o manifestación de Datos Personales, de carácter nacional o internacional, a una persona jurídica de derecho privado, a una entidad pública o a una persona natural distinta del Titular de Datos Personales.

k. Tratamiento: Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de Datos Personales.

l. Usuarios: Personas naturales que pueden o hacen uso de los servicios que ofrece LA EMPRESA.

m. Derechos ARCO: El titular de Datos Personales, tiene los derechos de Acceso, Rectificación, Cancelación y Oposición de sus datos personales.

3. Alcance:

Las Normas de Protección de Datos Personales establecen un marco de protección para los Datos Personales a ser contenidos en Bancos de Datos Personales de administración pública y/o privada, cuyo tratamiento se realice por personas naturales, entidades públicas o instituciones del sector privado en el territorio nacional.

Se encuentran fuera del alcance de las Normas de Protección de Datos Personales:

  • El Tratamiento realizado a información de una persona jurídica.
  • Los Bancos de Datos Personales creados por personas naturales para fines exclusivamente domésticos o relacionados con su vida familiar.
  • Los Bancos de datos de administración pública, cuando su tratamiento sea necesario para el cumplimiento de las competencias asignadas por ley para la defensa nacional, seguridad pública y para el desarrollo de actividades en materia penal para la investigación y represión del delito.
4. Responsabilidades:

A efectos de cumplir con las Normas de Protección de Datos Personales, los funcionarios nombrados de LA EMPRESA, y los colaboradores en general tendrán las siguientes responsabilidades:

a. LA EMPRESA, en su calidad de Titular de los Bancos de Datos Personales debe realizar las acciones que se requieran a fin de que se adopten las medidas necesarias para asegurar el cumplimiento de las Normas de Protección de Datos Personales y el control periódico del cumplimiento de las políticas y procedimientos que implemente para tal fin. En tal sentido, debe alinear sus procedimientos a esta Política Corporativa y adoptar las medidas necesarias para asegurar que el personal a su cargo la conozca y aplique.

b. El responsable del tratamiento de los datos personales de LA EMPRESA deberá:

  • Hacer cumplir las obligaciones vinculadas a la protección de Datos Personales.
  • Asegurar el monitoreo e investigación para el cumplimiento de esta Política.
  • Coordinar las sanciones por el incumplimiento de esta Política.
  • Asegurar el desarrollo e implementación de procedimientos que permitan el cumplimiento de las Normas de Protección de Datos Personales.
  • Ser interlocutor entre la ANPDP y LA EMPRESA.
  • Gestionar la inscripción y actualización de los Bancos de Datos Personales de responsabilidad de LA EMPRESA ante la ANPDP.
  • Dar asistencia ante las inspecciones y requerimientos de la ANPDP.
  • Informar al Directorio sobre cualquier tema de interés relacionado al cumplimiento de esta Política.

d. El responsable de Seguridad de la Información de LA EMPRESA deberá:

Seguridad informática:

  • Identificar las normas sobre la materia que hagan referencia a las Normas de Protección de Datos Personales.
  • Definir las líneas base de seguridad para la Infraestructura donde residen las aplicaciones.
  • Definir lineamientos de seguridad para las aplicaciones que realizan Tratamiento de Datos Personales fuera de las instalaciones de LA EMPRESA.
  • Ejecutar capacitaciones virtuales para que los colaboradores conozcan las normas internas de seguridad técnica.
  • Definir lineamientos de seguridad para el envío de Datos Personales por medios de soporte informático.
  • Definir lineamientos para mantenimiento de registros de auditoría.
  • Definir lineamientos para Transferencias por correo electrónico.
  • Definir lineamientos para que los Documentos Digitales cumplan con las Normas de Protección de Datos Personales.

Seguridad de la Información para Documentos Físicos:

  • Identificar las normas sobre la materia que se relacionen con las Normas de Protección de Datos Personales.
  • Definir lineamientos de seguridad para el Tratamiento de Datos Personales en medios físicos dentro y fuera de las instalaciones.
  • Definir lineamientos de seguridad para el traslado y envío de Datos Personales por medios físicos, a fin de adoptar medidas que impidan el acceso o manipulación de la información objeto del traslado.
  • Definir lineamientos para que los Tratamientos de documentos físicos que contengan Datos Personales cumplan con las Normas de Protección de Datos Personales.
  • Capacitar a los colaboradores sobre los controles de seguridad definidos en las normas internas para el tratamiento de Datos Personales en documentos físicos.
  • Monitorear el cumplimiento de los lineamientos de seguridad para el tratamiento de datos personales en documentos físicos.

e. Todos los colaboradores de LA EMPRESA deben cumplir las Normas de Protección de Datos Personales y esta Política.

5. Consideraciones Generales:

Al haber funciones y roles que mantengan Datos Personales, LA EMPRESA podrá disponer mayores restricciones que las disposiciones de esta Política, en cuyo caso prevalecerá la más exigente.

6. Lineamientos / Políticas:

6.1. Principios Rectores. –

LA EMPRESA, en su calidad de Titular de los Bancos de Datos Personales, debe cumplir con los principios rectores de la protección de datos personales de conformidad con lo establecido en las Normas de Protección de Datos Personales.

a. Principio de Legalidad: El tratamiento de los datos personales se hace conforme a lo establecido en la Ley N°29733. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

b. Principio de Consentimiento: El tratamiento de Datos Personales es lícito cuando el Titular de los Datos Personales prestó su consentimiento libre, previo, expreso, informado e inequívoco. No se admiten fórmulas de consentimiento en las que éste no sea expresado de forma directa.

c. Principio de Finalidad: Se considera que una finalidad está determinada, cuando haya sido expresada con claridad, sin lugar a confusión y cuando de manera objetiva se especifica el objeto que tendrá el Tratamiento de los Datos Personales. Las personas que realicen el Tratamiento de algún Dato Personal, además de estar limitados por la finalidad de sus servicios, se encuentran obligadas a guardar el secreto profesional.

d. Principio de Proporcionalidad: Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.

e. Principio de Calidad: Los Datos Personales contenidos en un Banco de Datos Personales deben ajustarse con precisión a la realidad. Se presume que los datos directamente facilitados por el Titular de los mismos son exactos.

f. Principio de Seguridad: En el Tratamiento de los Datos Personales deben adoptarse las medidas de seguridad que resulten necesarias, a fin de evitar cualquier tratamiento contrario a las Normas de Protección de Datos Personales, incluyéndose en ellos a la adulteración, la pérdida, las desviaciones de información, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio tecnológico utilizado.

g. Principio de Disposición de Recurso: Todo Titular de Datos Personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuando estos sean vulnerables por el tratamiento de sus datos personales.

h. Principio de Nivel de Protección Adecuado: Para el flujo transfronterizos de datos personales, se debe garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o por lo menos, equiparable a lo previsto por las normas de Protección de Datos Personales o por lo estándares internacionales en la materia.

6.2. Consentimiento del Titular de Datos Personales. –

LA EMPRESA, en su calidad de Titular de los Bancos de Datos Personales, tiene la obligación de obtener el Consentimiento del Titular de los Datos Personales que se detallan en el Anexo N°1, para poder realizar el Tratamiento de sus Datos Personales, teniendo en cuenta las disposiciones de las Normas de Protección de Datos Personales.

En ningún caso, asimilará el silencio del Titular a una conducta inequívoca. Cualquiera que sea el mecanismo utilizado por LA EMPRESA, es necesario que la autorización se conserve para poder ser consultada con posterioridad. El Consentimiento debe ser:

  • Libre: sin que medie error, mala fe, violencia o dolo que pueda afectar la manifestación de voluntad del Titular de Datos Personales, la cual debe ser voluntaria.
  • Previo: debe ser pedido antes de la recopilación y Tratamiento de los Datos Personales.
  • Expreso e inequívoco: debe ser manifestado en condiciones que no admitan dudas de su otorgamiento. La manifestación de voluntad del titular de datos personales puede ser verbal cuando ésta es exteriorizada oralmente de manera presencial o mediante el uso de cualquier tecnología que permita la interlocución oral; o escrita mediante documento con firma autógrafa, huella dactilar u otro autorizado por el ordenamiento jurídico que queda o pueda ser impreso en una superficie de papel o similar (ej. “hacer clic” es una manifestación escrita válida a través de un medio digital), en el caso de los Datos Sensibles, el Consentimiento manifestado debe ser por escrito.
  • Informado: el Titular de Datos Personales debe ser informado por el Titular del Banco de Datos Personales de manera clara, expresa, sencilla y de manera previa a su recopilación, sobre la finalidad para la cual sus Datos Personales serán tratados, quiénes son o pueden ser sus destinatarios, la existencia del Banco de Datos Personales en que se almacenarán, así como la identidad y domicilio del Titular del Banco, y de ser el caso, del Encargado del Banco de Datos Personales, el carácter obligatorio y facultativo de sus respuestas al cuestionario que se le proponga, las consecuencias de proporcionar sus Datos Personales y de su negativa a hacerlo, el tiempo durante el cual se conserven los Datos Personales, la Transferencia de sus Datos Personales y la posibilidad de ejercer los derechos que la Ley de Protección de Datos Personales y los medios previstos para ello.

6.3. Finalidad del Tratamiento de Datos Personales. –

Los datos personales recolectados por LA EMPRESA serán utilizados para las siguientes finalidades:

  • Para un mejor manejo de información y comunicación entre LA EMPRESA y los usuarios, trabajadores y proveedores.
  • Confirmar y corregir la información que conocemos de los usuarios, trabajadores y proveedores.
  • Contar con información que permita la toma de decisiones en beneficio de los usuarios.
  • Dar respuesta a solicitudes, reclamos y/o quejas por parte de los usuarios.
  • Contar con información que permita determinar la identidad de las personas que visitan las instalaciones de LA EMPRESA.

La información obtenida por LA EMPRESA únicamente podrá proporcionarse a las entidades públicas en ejercicio de sus funciones legales o por orden judicial.

6.4. Excepciones al Consentimiento del Titular de Datos Personales. –

De acuerdo con el artículo 14° de la Ley de Protección de Datos Personales, el Titular del Banco de Datos Personales o el responsable del Tratamiento no necesita obtener la autorización del Titular de los Datos Personales cuando realice Tratamiento en los siguientes supuestos:

a. Cuando los Datos Personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias.

b. Cuando sean Datos Personales contenidos o destinados a ser contenidos en fuentes accesibles al público (RENIEC, SUNAT, SBS, JNE, SUNARP, ESSALUD, Páginas Blancas, Colegios Profesionales, INFOCORP, Centrales de Riesgos, etc.)

c. Cuando sean Datos Personales sobre la solvencia patrimonial y de crédito, conforme a lo establecido en la ley.

d. Cuando medie norma para la producción de la competencia en los mercados regulados, emitida en ejercicio de la función normativa para los organismos reguladores a que se refiere la Ley 27332 – Ley Marco de los Organismos Reguladores de la Inversión Privada en los Servicios Públicos, o que la haga sus veces, siempre que la información brindada sea utilizada en perjuicio de la privacidad del usuario.

e. Cuando los Datos Personales sean necesarios para ejecutar una relación contractual en la que el Titular de Datos Personales sea parte o cuando se trate de Datos Personales que deriven de una relación científica o profesional del titular y sean necesarios para su desarrollo o cumplimiento.

f. Cuando se realice el Tratamiento de los Datos Personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho Tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.

g. Cuando el Tratamiento sea efectuado por organismos sin fines de lucro cuya finalidad sea política, religiosa o sindical y se refiera a los Datos Personales recopilados de sus respectivos miembros, los que deben guardar relación con el propósito a que se circunscriben sus actividades, no pudiendo ser transferidos sin Consentimiento de aquellos.

h. Cuando se hubiera aplicado un procedimiento de anonimización o disociación.

i. Cuando el Tratamiento sea necesario para salvaguardar intereses legítimos del Titular de los Datos Personales.

j. Cuando el Tratamiento o Transferencia sea un cumplimiento de una norma nacional o internacional (Ej. Entrega de información de la UIF por las normas de prevención de lavado de activos y financiamiento del terrorismo, al MINTRA por las normas de seguridad y salud en el trabajo, a la SUNAT o a la IRS (EEUU) por las normas FATCA, etc.)

k. Otros establecidos por la ley, o por el reglamento otorgado de conformidad con la Ley de Protección de Datos Personales.

6.5. Contratación de proveedores. –

LA EMPRESA debe incorporar una cláusula de protección de Datos Personales en los contratos que suscriba con sus proveedores cuando éstos últimos tengan acceso a datos de Usuarios, Clientes o Colaboradores de LA EMPRESA, que pueden variar de acuerdo con el siguiente detalle:

  • a. Cláusula general de proveedores.
  • b. Cláusula de proveedores de cobranza.
  • c. Cláusula para contratos de adquisición de base de datos.

Cuando se trate de una alianza comercial con intercambio de Datos Personales de Usuarios, clientes o colaboradores, LA EMPRESA incluirá otra modalidad de cláusula de protección de Datos Personales en el Contrato, por la cual ambas partes se obliguen a cumplir las Normas de protección de Datos Personales.

6.6. Tratamiento de los Datos Personales de Menores de Edad. –

LA EMPRESA solo realizará Tratamiento de los Datos Personales de menores de edad con el previo Consentimiento de sus padres o tutores. En tal sentido, en caso los menores de edad opten por facilitar sus Datos Personales a través del sitio web, deberán solicitar el permiso correspondiente a sus padres o tutores, quienes serán considerados responsables de todos los actos realizados por los menores a su cargo.

6.7. Medidas de Seguridad. –

En cumplimiento de la normativa vigente, LA EMPRESA adopta las medidas jurídicas, organizativas y técnicas apropiadas que sean necesarias para garantizar la seguridad de los datos personales, evitando su alteración, pérdida, tratamiento indebido o acceso no autorizado.

Para este propósito, pone a disposición todos los recursos humanos y tecnológicos necesarios, aplicándolos en proporción a la naturaleza de los datos almacenados y los riesgos a los que se encuentran expuestos.

LA EMPRESA sólo realizará el tratamiento de los datos personales que estén almacenados en repositorios que reúnan las condiciones de seguridad exigidas por la Normativa de Protección de Datos Personales

6.8. Atención de Derechos Protegidos. –

LA EMPRESA garantiza la atención de los derechos protegidos que pueda ejercer el Titular de los Datos Personales. Para ello se mantendrá disponibles canales, procedimientos e información para atender las solicitudes en los plazos establecidos por las Normas de Protección de Datos Personales.

Los derechos que puede ejercer el Titular de los Datos Personales son:

a. Acceso / Información:

El derecho de acceso es aquel derecho a ser informado sobre cuáles son los Datos Personales incluidos en los Bancos de Datos de responsabilidad de LA EMPRESA, así como de las condiciones y generalidad del Tratamiento y Transferencia de los mismos.

El derecho de información es aquel derecho del Titular de Datos Personales a que se le brinde toda la información sobre la finalidad para la cual sus Datos Personales serán tratados, quiénes son o pueden ser sus destinatarios, la existencia del Banco de Datos Personales en que se almacenarán así como la identidad y domicilio del Titular de los Datos Personales y, de ser el caso, del Encargado del Banco de Datos Personales, de la Transferencia de sus Datos Personales, de las consecuencias de proporcionarlos y de su negativa a hacerlo, del tiempo de conservación de los mismos y de la posibilidad de ejercer los derechos que la ley le concede.

b. Rectificación / Actualización:

Aquel derecho del Titular de Datos Personales a actualizar, incluir o modificar sus Datos Personales. Aplica cuando los datos son parcial o totalmente inexactos, incompletos, erróneos, falsos o están desactualizados. El Titular de Datos Personales deberá especificar los datos que sea desea sean rectificados, actualizados y/o incluidos, así como la corrección y/o incorporación que quiera que LA EMPRESA realice y deberá adjuntar los documentos de sustento necesarios para que la rectificación y/o inclusión solicitada sea procedente.

c. Cancelación / Supresión:

Aquel derecho del Titular de Datos Personales a solicitar la supresión o cancelación total o parcial de sus Datos Personales de un Banco de Datos Personales. Esta solicitud procede si los Datos Personales del titular hubieran dejado de ser necesarios o pertinentes para la finalidad que fueron recopilados, cuando; (i) hubiera vencido el plazo para su Tratamiento, (ii) decida revocar su Consentimiento para el Tratamiento de los mismos y (iii) en los casos en los que el Tratamiento no sea conforme a las Normas de Protección de Datos Personales.

El Titular de Datos Personales debe tener en cuenta que su solicitud no procederá cuando sus datos sean necesarios para ejecutar la relación contractual que mantiene con LA EMPRESA, ni cuando deban ser conservados durante los plazos previstos en las disposiciones legales vigentes ni cuando sean conservados en virtud de razones históricas, estadísticas o científicas de acuerdo con la legislación aplicable.

d. Oposición:

Aquel derecho del Titular de Datos Personales a oponerse a figurar en un Banco de Datos Personales de responsabilidad de LA EMPRESA o al Tratamiento de su información personal cuando no hubiere prestado Consentimiento para su recopilación por haber sido tomados de fuentes de acceso al público o cuando habiendo prestado su Consentimiento, acredite la existencia de motivos fundados y legítimos relativos a una concreta situación personal que justifique el ejercicio de este derecho.

Procedimiento para el ejercicio de los Derechos ARCO

El titular de Datos Personales, podrá ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición de sus datos personales), según lo previsto en la Ley N°29733 – Ley de Protección de Datos Personales y su Reglamento aprobado por el Decreto Supremo N°003-2013-JUS, para lo cual deberá seguir el procedimiento establecido por LA EMPRESA, mediante la presentación de su DNI u otro documento oficial de identidad y enviando su solicitud y/o consultas a:

Correo electrónico: contacto@albo.com.pe;
Dirección: Calle Uno No 383 Urb. Industrial Bocanegra – Callao.

En el horario establecido para la atención al público.

6.9. Registro de Bancos de Datos Personales. –

LA EMPRESA está obligada a inscribir en el Registro Nacional de Datos Personales, administrado por la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia (MINJUS), los Bancos de Datos Personales bajo su responsabilidad, sea que se encuentren en soportes físicos (archivos, almacenes) o digitales (aplicativos, Excel, Access, etc.)

Asimismo, sólo se deben registrar los Bancos de Datos Personales matrices. En ese sentido, se deberá informar al Responsable de Cumplimiento o los encargados respectivos en LA EMPRESA sobre los Bancos de Datos Personales existentes que se identifiquen y que no hayan sido registrados ante el MINJUS o que cualquier área vaya a crear, quien analizará si ese Banco de Datos Personales es parte de algún otro banco ya registrado o si requiere registrarse como Banco de Datos Personales matriz.

7. Tratamiento por Encargo:

LA EMPRESA puede encargar parte del tratamiento de datos personales de los cuales es responsable, o que forman parte de los bancos de datos personales de los cuales es titular, a proveedores legítimos. Los titulares de los datos personales serán previamente informados del nombre de la empresa, su dirección y correo electrónico, de quien se encargará del tratamiento de sus datos.

8. Presentación de Reportes de potenciales violaciones a las Normas de Protección de Datos Personales y señales de alerta:

El colaborador de LA EMPRESA deberá informar a la unidad de Cumplimiento cualquier acto ilícito o incumplimiento de esta Política para garantizar el cumplimiento de las Normas de Protección de Datos Personales. LA EMPRESA adoptará las medidas necesarias para proteger la confidencialidad de cualquier reporte, sujeto a ley, regulaciones o procedimientos legales.

LA EMPRESA tiene estrictamente prohibido tomar represalias contra los colaboradores que, o bien elaboran reportes de buena fe y/o participan en informar cualquier acto ilícito o incumplimiento de esta Política. Cabe precisar que cualquier colaborador que tome represalias estará sujeto a sanciones disciplinarias.

9. Medidas disciplinarias:

Las infracciones a esta Política o la falta de cooperación con una investigación interna podrán dar lugar a la aplicación de sanciones disciplinarias según la gravedad del caso, que pueden llegar hasta la separación del colaborador de LA EMPRESA de sus funciones, en concordancia con la legislación laboral; sin perjuicio de las acciones civiles y penales que pudieran corresponder.

10. Vigencia:

Esta política de Protección de Datos Personales está vigente desde el 01 Julio de 2022.