Políticas de Datos Personales

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

1. INTRODUCCIÓN

L’ORÉAL está obligado a cumplir con la legislación peruana vigente en materia de protección de datos personales, Ley N° 29733 - Ley de protección de datos personales - y sus disposiciones complementarias. Dicha normativa obliga a L’ORÉAL a:

- Informar a los titulares de los datos personales sobre las finalidades del tratamiento a las que sus datos personales serán sometidos.

- Utilizar únicamente aquellos datos personales obtenidos a través de un consentimiento libre, previo, expreso e informado.

- Velar por la integridad de los datos y la seguridad de la información.

- Respetar los derechos de los titulares de datos personales.

L’ORÉAL se encuentra comprometida con la protección, el manejo y tratamiento adecuado de los datos personales a los que tiene acceso en la regular operación de sus negocios. Dicho compromiso incluye la revisión y mejora continua de sus procesos a fin de garantizar una adecuada protección de dichos datos personales. La presente política de protección de datos personales recoge los lineamientos establecidos por L’ORÉAL para la recolección y tratamiento de datos personales a fin de asegurar el respeto de los derechos de sus titulares y el cumplimiento del marco normativo vigente. Esta política podrá ser complementada con procedimientos, reglamentos y/o lineamientos adicionales que desarrollen lo establecido en el presente documento siempre que se encuentren alineadas con sus principios rectores.

2. OBJETIVOS

El presente documento tiene como objetivo establecer principios, prácticas uniformes y responsabilidades referidas al tratamiento de datos personales en los que L’ORÉAL se encuentra involucrado.

3. ALCANCE

El presente documento es aplicable a todos los bancos de datos personales o datos personales destinados a estar contenidos en bancos de datos de L’ORÉAL y al tratamiento de éstos que realice L’ORÉAL de manera directa y/o a través de terceros. La Política será conocida y cumplida a cabalidad por todos los trabajadores, directivos y colaboradores de L’ORÉAL. A efectos de interpretar la presente Política son de aplicación las definiciones contenidas en la Ley y en especial las que se incluyen a continuación.

4. DEFINICIONES

- Dato personal: Toda información que identifica a una persona natural o la hace identificable a través de medios razonablemente utilizados.

- Datos sensibles: Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.

- Tratamiento de datos personales: Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales. En síntesis el tratamiento de datos personales regula todas las posibles formas de utilización y procesamiento de datos personales dentro de la organización desde su ingreso hasta su eventual eliminación o conservación.

- Consentimiento: Autorización previa, libre y expresa que debe otorgar el titular de los datos personales para autorizar el tratamiento de sus datos personales.

- Previa: Debe ser obtenida antes de la recopilación.

- Libre: No debe ser forzada o condicionada.

- Expresa: No debe quedar duda de la manifestación afirmativa y deberá constar en algún medio tangible.

- Banco de datos personales: Conjunto organizado de datos personales, automatizado o no, independientemente del soporte en que se encuentre, sea este físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.

- Titular del banco de datos personales: Persona natural, persona jurídica de derecho privado o entidad pública que determina la finalidad y contenido del banco de datos personales, el tratamiento de estos y las medidas de seguridad.

- Encargado del banco de datos personales: Toda persona natural, persona jurídica de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza el tratamiento de los datos personales por encargo del titular del banco de datos personales.

5. RESPONSABLES DE CUMPLIMIENTO

L’ORÉAL asignará y comunicará las responsabilidades correspondientes a las distintas direcciones de la empresa para el cumplimiento de la presente Política. Las áreas responsables de revisar anualmente esta política y efectuar los ajustes respectivos dentro de L’ORÉAL serán Control Interno y Data Manager. Asimismo serán las encargadas de absolver cualquier consulta relacionada con la aplicación y alcances de la presente Política. Sin perjuicio de ello, todos los trabajadores, directivos y colaboradores de L’ORÉAL así como todos los terceros con quienes L’ORÉAL se vincule en el ejercicio regular de su negocio y tengan acceso o realicen tratamiento de datos personales se encuentran sujetos al cumplimiento de la política. Ningún colaborador de L’ORÉAL deberá realizar en nombre de L’ORÉAL acciones, o incurrir en omisiones, que supongan un incumplimiento con la Ley de protección de datos personales.

6. CONFIDENCIALIDAD

La presente política será de uso interno y exclusivo de L’ORÉAL y, por tanto, tiene carácter confidencial. Cualquier uso distinto al señalado se encuentra prohibido. Los datos personales a los que tanto los colaboradores de L’ORÉAL como terceros relacionados tengan acceso o participen de su tratamiento no podrán ser tratados ni utilizados de manera alguna sin el previo consentimiento del titular de los datos personales aún luego de la terminación de su relación con L’ORÉAL, salvo las excepciones reguladas en Ley. En el caso de trabajadores que por la naturaleza de sus funciones tengan acceso a información personal confidencial y sensible, L’ORÉAL procurará desarrollar capacitaciones y acciones de sensibilización específicas. Las personas que intervengan en el tratamiento de datos personales están obligadas a guardar el secreto profesional y a mantener la confidencialidad respecto de los mismos. Dicha obligación se mantendrá aún luego de finalizada su relación con L’ORÉAL.

7. PRINCIPIOS

Todos los colaboradores de L’ORÉAL deberán cumplir en el ejercicio de sus funciones, de forma permanente, con los principios establecidos en la Ley que detallamos a continuación:

a) Legalidad: El tratamiento de datos personales realizado por L’ORÉAL se hará conforme a lo dispuesto en la Ley. Se encuentra prohibida la recopilación de datos personales por medios fraudulentos, desleales o ilícitos.

b) Consentimiento: L’ORÉAL no podrá tratar datos personales que no cuenten con el consentimiento previo, expreso, inequívoco y libre de su titular según sea necesario, salvo las excepciones previstas por la Ley.

c) Finalidad: L’ORÉAL recopilará datos personales señalando claramente la finalidad para la cual realiza dicha recopilación, la misma deberá ser determinada, explícita y lícita. Los datos personales objeto de tratamiento no podrán ser utilizados para fines distintos o incompatibles con aquellos que motivaron su obtención, salvo consentimiento de su titular.

En tal sentido, L’ORÉAL cumplirá con implementar medidas que garanticen que

- La recopilación, almacenamiento y conservación de los datos personales cumplan con los principios de proporcionalidad y finalidad.El resguardo de los datos personales será el adecuado y cumplirá con las medidas de seguridad técnicas y legales adecuadas.

- L’ORÉAL no podrá revelar datos personales salvo que sea ordenado por mandamiento motivado del juez o con autorización de su titular, con las garantías previstas en la Ley.

- L’ORÉAL no podrá negarse a entregar a una entidad pública información que contenga datos personales siempre que dicho requerimiento se efectúe para el estricto cumplimiento de las competencias de dichas entidades asignadas por la legislación vigente.

d) Proporcionalidad: Todo tratamiento de datos personales realizado por L’ORÉAL deberá ser adecuado, relevante y no excesivo de la finalidad para la que hubiesen sido recopilados.

e) Calidad: Los datos personales que vayan a ser tratados por L’ORÉAL deben ser veraces, exactos y - en la medida de lo posible - actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento, respetando los plazos legales de conservación de documentos e información que resulten aplicables.

f) Seguridad: L’ORÉAL y los terceros a los que encargue el tratamiento de datos personales deben adoptar las medidas técnicas, organizativas y legales necesarias y apropiadas para garantizar la seguridad de los datos personales contra diferentes riesgos, como la pérdida accidental o la destrucción por siniestro, el acceso no autorizado, la utilización encubierta o la infección por malware o virus informáticos. Estas medidas serán establecidas, comunicadas y, de ser el caso, actualizadas por L’ORÉAL.

g) Nivel de protección adecuado: En caso L’ORÉAL realice transferencias internacionales de datos personales deberá garantizar un nivel suficiente de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por la Ley.

h) Derechos de los titulares de datos personales: L’ORÉAL contará con un procedimiento sencillo y gratuito de atención de los derechos de titulares de datos personales contemplados en la Ley: información, acceso, rectificación, cancelación y oposición. Este procedimiento se denominará “Procedimiento para el Ejercicio de los Derechos ARCO” y será comunicado y difundido por L’ORÉAL.

Por lo tanto L’ORÉAL:

Tomará las medidas necesarias para informar al titular de los datos personales sobre los derechos conferidos por la Ley.

- Adoptará las medidas que permitan al titular de los datos personales mantener los mismos actualizados.

- Cumplirá con atender de manera oportuna y en los plazos de ley los requerimientos y solicitudes relacionadas con los derechos de los titulares de datos personales antes mencionados;

- En los procesos de atención de derechos de titulares de datos personales serán de aplicación las siguientes directrices.

- La supresión o rectificación de datos personales no procederá cuando ello afecte derechos o intereses legítimos de L’ORÉAL, sus accionistas, empleados o directivos o terceros o cuando exista una obligación legal de conservación de los datos personales.

- L’ORÉAL podrá rechazar determinados requerimientos cuando la divulgación de datos personales pueda comprometer u obstaculizar actuaciones judiciales o administrativas en curso.

8. TRANSFERENCIAS DE DATOS PERSONALES

Los datos personales objeto de tratamiento por L’ORÉAL sólo podrán ser cedidos o transferidos a terceros para el cumplimiento de los fines relacionados con el interés legítimo del cedente y del cesionario y siempre que se cuente con el consentimiento previo, expreso, libre, inequívoco e informado del titular de los datos personales. Dicho consentimiento no será requerido en los supuestos permitidos por la Ley.

9. RECOPILACIÓN DE DATOS SENSIBLES

L’ORÉAL únicamente recopilará datos personales y/o datos sensibles cuando sea estrictamente necesario y en respeto de los principios de finalidad y proporcionalidad. Cuando la recopilación y tratamiento de dichos datos se derive del cumplimiento de una obligación legal, L’ORÉAL informará de tal situación al titular de los datos de manera previa a su recopilación.

10. DIVULGACION DE DATOS PERSONALES

L’ORÉAL no divulgará datos personales a terceros salvo cuando:

a) Sea necesaria para la finalidad para la que los datos personales fueron recopilados;

b) Se le informe al titular de los datos personales antes de la divulgación o al momento de la recopilación de los datos personales;

c) El titular de los datos personales preste su consentimiento previo y expreso;

d) El consentimiento no sea exigido por la Ley;

e) Los datos personales sean requeridos por entidades públicas en el ámbito de sus competencias y atribuciones legales;

f) Los datos personales sean necesarios para satisfacer legítimos requerimientos de alguna compañía interesada en adquirir alguna de las operaciones de L’ORÉAL, previo consentimiento de su titular; o,

g) El acceso a datos personales sea por parte de auditores y abogados y demás profesionales obligados a guardar el secreto profesional.

11. RELACIONES CONTRACTUALES CON TERCEROS

En sus relaciones con terceros L’ORÉAL deberá contemplar clausulas no sólo de confidencialidad sino además de protección de datos personales que regulen el ciclo de vida de los datos personales dentro de la organización. En caso L’ORÉAL encargue el tratamiento de datos personales a terceros, procurará que en la medida de lo posible los respectivos contratos contemplen:

a) Disposiciones que dispongan que el tratamiento de datos personales se realizará de acuerdo a las directrices y lineamientos definidos expresamente por L’ORÉAL;

b) Medidas de seguridad;

d) Confidencialidad en forma indefinida, o por plazos lo más extensos posibles de conformidad con la legislación vigente;

d) Finalidad del tratamiento de datos personales;

e) Prohibición de cesiones o transferencias adicionales a terceros salvo se cuente con el consentimiento del titular y sea estrictamente necesario;

f) Eliminación de los datos personales una vez finalizado el tratamiento, salvo se cuente con autorización para conservarlos por parte del titular.

g) El conocimiento de la política

12. ELIMINACIÓN DE LOS DATOS PERSONALES

Una vez finalizado el tratamiento de los datos personales y se haya cumplido con el principio de finalidad, y siempre que no exista mandato legal o razón que justifique la conservación de los datos personales, L’ORÉAL procederá a eliminarlos de sus registros.

Alternativamente L’ORÉAL podrá aplicar procesos de disociación, anonimización o equivalentes cuando por alguna razón comercial, de estadística o de análisis de mercado justifiquen la conveniencia de conservar tales datos.

L’ORÉAL definirá oportunamente los procedimientos respectivos que resulten necesarios para la eliminación de datos personales.

13. AUDITORÍA INTERNA

L’ORÉAL cumplirá con las exigencias de auditoría interna establecidas en la Directiva de Seguridad de la Información Administrada por los Bancos de Datos Personales.

14. RÉGIMEN DE SANCIONES

Será considerada una falta grave y susceptible de sanción el empleado que cometiera alguna infracción a las previsiones establecidas en la presente política. L’ORÉAL tomará las medidas disciplinarias que considere pertinentes en los casos de incumplimiento de las obligaciones aquí estipuladas por parte de los empleados.

15. DIFUSIÓN Y CUMPLIMIENTO DE LA POLÍTICA

L’ORÉAL procurará: i) que se cumpla lo dispuesto en la presente Política; ii) hacer conocer, observar y respetar la presente política por cada empleado; iii) publicar la presente política en lugares de fácil acceso; y iv) suscribir obligaciones de confidencialidad con los empleados, usuarios, contratistas y terceros que accedan a los datos personales incluidos en los bancos de datos.

CONSENTIMIENTO DE USO DE DATOS PERSONALES

Ley N° 29733 – Ley de Protección de Datos Personales

En cumplimiento de la Ley 29733, L’ORÉAL le informa que los datos personales que anote en el presente formato serán incluidos en nuestro banco de datos de Clientes Indirectos y su tratamiento corresponderá a las siguientes finalidades: acciones de marketing, publicidad, promoción de eventos o productos, evaluación de productos o servicios y elaboración de estadísticas. El titular de los datos personales suscribe esta ficha en manifestación libre, previa e inequívoca de su consentimiento. Asimismo, se le informa que le asiste la posibilidad de revocar libremente y en cualquier momento el consentimiento que otorga y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Para ello deberá dirigir una solicitud escrita a nuestro domicilio sito en Jr. Mariscal La Mar (ex. Ugarte y Moscoso) 991, Magdalena del Mar, Lima, Perú.