Aviso de Privacidad y Política de Protección de Datos

AVISO DE PRIVACIDAD

ASSA Compañía de Seguros, S.A. y ASSA Vida, S.A. Seguros de Personas, para el ejercicio de su finalidad comercial para la cual se encuentra debidamente autorizada, recopila datos personales y datos personales sensibles, con el objetivo de poder brindar cobertura para los eventos de riesgo asegurados por medio de la contratación de pólizas de seguro, ya sea de ramos personales como de ramos generales.

Los datos que recopilamos pueden incluir: datos de identificación personal, datos financieros y de medios de pago, datos sensibles relacionados al estado de salud y físico, datos de contacto, y demás necesarios para la evaluación, contratación y prestación de nuestros servicios.

El tratamiento de dichos datos, se realiza de conformidad a lo dispuesto en el Art. 32 de la Ley de Protección de Datos Personales de El Salvador, con el objeto de garantizar el derecho a la intimidad y a la autodeterminación informativa de las personas naturales.

El resguardo y custodia de la información de los titulares, se realiza en los servidores propiedad del responsable del tratamiento, así como en sitios alternos de contingencia contratados para tal propósito, de conformidad a la normativa local vigente, siempre cumpliendo con las medidas de seguridad legalmente exigibles, de índole técnica y organizativa, garantizando la seguridad de los mismos, evitando su alteración, pérdida, tratamiento o acceso no autorizado, atendiendo a la naturaleza de los datos y los posibles riesgos a que estén expuestos.

El responsable del tratamiento podrá compartir sus datos personales y datos personales sensibles, con reaseguradoras, ajustadores, proveedores de servicios, autoridades competentes y demás terceros necesarios para el cumplimiento de sus obligaciones legales y contractuales, dentro o fuera del territorio de El Salvador, garantizando en todo momento niveles adecuados de protección.

El titular de los datos personales y datos personales sensibles, puede ejercer sus derechos ARCO-POL y revocar el consentimiento otorgado, mediante solicitud formulada de acuerdo a los requisitos que establece el Art. 18 de la Ley de Protección de Datos Personales, dirigida al Delegado de Protección de Datos de ASSA Compañía de Seguros, S.A. y ASSA Vida S.A. Seguros de Personas: OLGA RUTH RIVERA DE TAMAYO con domicilio en el distrito de San Salvador, municipio de San Salvador Centro, departamento de San Salvador, Calle Loma Linda N° 265, Colonia San Benito. Dicha Solicitud puede ser presentada en físico en el domicilio antes indicado o enviarse al correo electrónico a la siguiente dirección: [email protected]. La información solicitada se proporcionará de manera completa siempre que la petición reúna los requisitos que señala la disposición legal ya citada, y cuando los mismos no hayan sido objeto de seudonimización, es importante tener en cuenta que, si en dicha información se vinculan datos de terceros, estos no serán proporcionados.

El ejercicio de los derechos ARCO-POL por parte del titular solo será limitado, si su cumplimiento implica la contravención de alguna obligación legal, por parte del responsable del tratamiento de los datos. Los datos personales y datos personales sensibles que se recopilan en ASSA Compañía de Seguros S.A. y ASSA VIDA Seguros de Personos S.A. son conservados únicamente por el tiempo necesario para lograr sus fines, y por aquél que señala el marco legal regulatorio local.

Este aviso de privacidad puede ser modificado a entera discreción y en cualquier momento por, ASSA Compañía de Seguros S.A. y ASSA VIDA Seguros de Personas S.A., cualquier cambio puede verificarse en www.assanet.com.sv.

Política de Protección de Datos

La presente Política tiene por objeto establecer los principios, responsabilidades, procedimientos y medidas de protección aplicables al tratamiento de los datos personales que ASSA Compañía de Seguros, S.A. y ASSA Vida, S.A. Seguros de Personas, empresa referida en adelante en su conjunto como ASSA, recolecte, almacene, use, transfiera o elimine, así como la gestión de la seguridad de la información relacionada.

Parte I. – Lineamientos Generales

Principios Generales del Tratamiento de la Información

Principio de la exactitud de los datos: los datos personales se mantendrán exactos, completos y actualizados hasta donde sea posible para las finalidades de su tratamiento, de tal manera que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Se presumirán exactos y actualizados los datos obtenidos directamente de su titular.

Principio de lealtad: el responsable tratará los datos personales en su posesión, privilegiando la protección de los intereses de sus titulares y absteniéndose de tratar o recabar éstos a través de medios fraudulentos, desleales y/o ilícitos.

Principio de consentimiento y finalidad: en el tratamiento y recolección de datos personales debe existir un consentimiento libre, específico, informado, expreso e individualizado del titular, que establezca el fin, propósito y periodo de almacenamiento y tratamiento.

Principio de minimización de datos: los datos personales recopilados y utilizados deben ser suficientes, pertinentes y no excesivos en relación con el propósito específico y legítimo.

Principio de Transparencia: se informará al titular de los datos personales de todas las características del tratamiento al que serán sometidos sus datos y, asimismo, la información que se solicite será proporcionada en forma concisa, de fácil acceso y con un lenguaje claro y sencillo. Se prohíbe recurrir a textos extensos, terminologías técnicas o legales y/o letra pequeña en la aplicación de este principio.

Principio de Seguridad de Datos: se garantizará la seguridad, integridad, disponibilidad y confidencialidad de los datos personales, a fin de evitar su alteración, pérdida, consulta o tratamiento no autorizado, así como detectar desviaciones de información, intencionales o no, que provengan de la acción humana o de un medio técnico.

Principio de Licitud: El tratamiento de datos personales debe realizarse en cumplimiento a lo establecido en la presente ley y la normativa aplicable, para lo cual debe cumplirse al menos una de las siguientes condiciones: 1) El tratamiento de los datos se base en el consentimiento expreso otorgado por el titular para una o varias finalidades; 2) El tratamiento sea necesario para la ejecución de un contrato, del cual forma parte el titular, para la ejecución de medidas precontractuales; 3) El tratamiento sea necesario para el cumplimiento, por parte del responsable, de alguna obligación legal; 4) El tratamiento sea necesario para garantizar la protección de los intereses vitales del titular u otra persona afectada; 5) El tratamiento sea necesario para el cumplimiento de un fin de interés público o para que el responsable pueda ejercer los poderes públicos que le han sido conferidos; 6) El tratamiento sea necesario para que el responsable pueda satisfacer sus intereses legítimos, siempre y cuando esos intereses no atenten contra los derechos o libertades de los titulares de los datos personales.

Principio de temporalidad: la conservación de los datos personales debe limitarse al periodo en el que se lograran los fines que se persiguen para su tratamiento.

Principio de responsabilidad demostrada: una entidad que recoge y efectúa el tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las medidas que implementen para proteger la privacidad de sus titulares y de garantizar una efectiva protección de datos personales.

Principio de ejercicio progresivo de las facultades: Los derechos y garantías reconocidos a las niñas, niños y adolescentes serán ejercidos de manera progresiva tomando en consideración el desarrollo evolutivo de sus facultades, su condición o situación individual, la dirección y orientación apropiada de sus padres, madres o de quien ejerza la representación legal, y las disposiciones establecidas en la legislación vigente.

Parte II. – Lineamientos Específicos

A. Designación y funciones del Delegado de Protección de Datos

Nombramiento y Funciones:

ASSA designará un Delegado de Protección de Datos (DPD), el cual tendrá como función principal supervisar el cumplimiento de esta Política, de la Ley de Protección de Datos Personales y las directrices de la ACE, pero además de ello deberá:

  • Actuar como punto de contacto con la autoridad de control (ACE) y responder a las solicitudes, requerimientos o inspecciones.
  • Mantener el Registro de Actividades de Tratamiento.
  • Gestionar y tramitar las solicitudes de los titulares de la información para el ejercicio de los derechos ARCO-POL (acceso, rectificación, cancelación, oposición).
  • Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o al representante de este que se encuentre debidamente acreditado, así como también proponer procedimientos internos que aseguren y fortalezcan con mayor eficiencia la gestión de las solicitudes para el ejercicio de los derechos ARCOPOL.
  • Coordinar auditorías internas de protección de datos.
  • Asesorar y capacitar al personal en materia de privacidad y seguridad de la información.
  • Ser punto de contacto con la Autoridad de Protección de Datos Personales.
  • Auxiliar y orientar al responsable en las actividades que lo requiera con relación al ejercicio del derecho de los titulares de datos personales.
  • Publicar el aviso de privacidad en el sitio web del responsable o en lugares visibles dentro de la compañía.

B. Registro de actividades que impliquen acceso a la información

Registro de Actividades:

Cada área mantendrá actualizado un registro con información sobre tipo de datos tratados, finalidad, base legal, destinatarios y plazos de conservación. También se documentarán accesos internos, eliminación y transferencias, asegurando la trazabilidad, seguridad y legalidad del uso de la información.

CONTENIDO FINALIDAD
Identificación del tratamiento Nombre del proceso o actividad (por ejemplo, emisión de pólizas, atención de siniestros).
Responsable Área o unidad encargada y persona responsable.
Finalidad Propósito del uso de los datos (gestión, evaluación, cumplimiento legal, etc.).
Tipos de datos Identificativos, financieros, sensibles, de beneficiarios o terceros.
Categorías de titulares Asegurados, beneficiarios, proveedores u otros involucrados.
Base legal Consentimiento, contrato, obligación legal o interés legítimo.
Destinatarios/transferencias Proveedores, autoridades, reaseguradoras, o terceros autorizados.
Conservación Tiempo o criterio de eliminación/anonimización de los datos.
Medidas de Seguridad Controles técnicos y organizativos (accesos, cifrado, auditorías, etc.).

El registro debe actualizarse periódicamente e incluir evidencia de accesos, eliminaciones y transferencias realizadas.

C. Compromisos de confidencialidad y responsabilidad de los empleados

Todos los empleados, funcionarios, directivos, contratistas, subcontratistas y personas con acceso a datos personales deberán comprometerse a lo siguiente:

  • No divulgar, revelar, compartir ni usar los datos personales fuera del marco autorizado.
  • Utilizar los datos únicamente para los fines previstos y autorizados.
  • Cumplir con esta Política, las instrucciones del Delegado de Protección de Datos y las normas internas de seguridad.
  • Informar de forma inmediata al delegado o al responsable interno autorizado cualquier incidente, pérdida, acceso no autorizado, brecha o sospecha de vulneración de datos.
  • No realizar copias no autorizadas, exportaciones o transferencias de datos fuera de los canales permitidos.

En caso de incumplimiento, podrán aplicarse sanciones disciplinarias internas conforme a la normativa laboral interna (Manual de Ética Empresarial), sin perjuicio de responsabilidades civiles, penales o administrativas que pudieran derivarse.

ASSA promoverá campañas internas de capacitación y concienciación en protección de datos y seguridad de la información, periódicas y dirigidas a todos los niveles.

D. Bases Legales del tratamiento

De conformidad con la Ley para la Protección de Datos Personales, el tratamiento de datos personales debe sustentarse en una base legal válida. Las bases legales aplicables incluyen:

  • Consentimiento explícito e informado del titular: cuando no exista otra base aplicable, se solicitará al titular su autorización libre, específica, informada e inequívoca para el tratamiento de sus datos. En el caso de datos personales sensibles (por ejemplo, datos de salud), el consentimiento debe constar por escrito (firma autógrafa o equivalente).
  • Ejecución de un contrato: tratamiento necesario para la celebración, cumplimento o ejecución de un contrato de seguro celebrado con el titular.
  • Cumplimiento de una obligación legal o normativa: cuando la ley exige conservar o reportar determinados datos (por ejemplo, regulaciones financieras, supervisión, reporte a autoridades).
  • Interés legítimo: en ciertos casos justificables en donde la Empresa (o terceros) tenga un interés legítimo, siempre que no prevalezcan los derechos del titular, y se haya realizado un análisis de ponderación.
  • Protección de intereses vitales del titular o de otra persona, en situaciones excepcionales.

ASSA justificará la base legal aplicable para cada tratamiento en el Registro de Actividades que corresponda.

E. Medidas técnicas y organizativas de seguridad

ASSA adoptará medidas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales y los sistemas de información relacionados, es decir, que los datos estén protegidos, completos y disponibles cuando se necesiten. Para cumplir con lo anterior es necesario que se tenga en cuenta o se tomen medidas como:

  • Solo el personal autorizado puede acceder a los datos, según su función.
  • Se deberán usar contraseñas seguras, sistemas de autenticación y hacer una revisión periódica de estos.
  • La información se transmite y guarda usando sistemas seguros y cifrados, evitando que terceros no autorizados puedan verla o modificarla.
  • Realización de respaldos periódicos de la información importante para poder recuperarla en caso de fallas, virus o desastres informáticos.
  • Contar con sistemas que permitan evitar accesos externos no autorizados; y respecto de las redes internas, estas deben ser protegidas y vigiladas.
  • Control de los accesos a las áreas donde se guardan servidores o documentos sensibles mediante credenciales, cámaras de seguridad y registros de ingreso. Los medios que ya no se usan se destruyen de forma segura.
  • Registro de los accesos y acciones importantes dentro de los sistemas. Estos registros se revisan para detectar fallas o comportamientos inusuales.
  • Revisión periódica de los riesgos, practicando pruebas de seguridad y auditorías internas para fortalecer las medidas existentes.
  • Existencia de un procedimiento claro para actuar ante incidentes o fugas de información, que incluye investigar, mitigar daños y notificar a la autoridad y a los titulares si es necesario.

F. Conservación, eliminación y transferencia de datos

Conservación de datos

ASSA definirá en cumplimiento de las disposiciones legales y normativas aplicables y vigentes los plazos para la conservación de datos, extensión de la conservación de datos y revisión de estos.

Eliminación y anonimización

Al término del plazo de conservación o cuando los datos ya no sean necesarios, se procederá a su eliminación segura o anonimización irreversible, dejando constancia del acto de eliminación (quién, cuándo, medio empleado).

En casos de solicitudes de derechos como “olvido” (derecho de supresión), se deberá proceder conforme a la normativa, salvo que exista justificación legal que impida la eliminación (por ejemplo, cumplimiento de obligaciones legales).

Transferencia y cesión de datos a terceros

Cuando ASSA deba transferir o ceder datos personales a terceros (como reaseguradoras, proveedores, socios, entidades estatales), deberá cumplir los siguientes requisitos:

  • Solo se transferirán los datos necesarios, mínimos y pertinentes para el fin autorizado.
  • Existencia de una base legal que permita la transferencia (consentimiento, contrato, obligación legal, interés legítimo, etc.).
  • Firma de contrato de tratamiento con el tercero, que obligue al receptor a aplicar estándares de protección equivalentes, garantizar confidencialidad, no subcontratar sin autorización, permitir auditorías, responder por incumplimientos.
  • Verificar que el tercero (encargado o responsable) cuente con medidas de seguridad adecuadas.
  • Para transferencias internacionales, que el país receptor garantice un nivel de protección de datos comparable al salvadoreño, o implementar garantías adecuadas (cláusulas contractuales tipo, acuerdos de transferencia, certificaciones reconocidas).
  • Registrar la transferencia en el Registro de Actividades de Tratamiento y en el Registro de Transferencias.

Si la transferencia internacional no cuenta con nivel adecuado o garantías, obtener consentimiento explícito del titular o contar con excepción legal aplicable.

G. Relación con terceros y encargados del tratamiento

Antes de contratar un tercero con acceso o tratamiento de datos personales, la compañía deberá realizar una evaluación de su capacidad técnica y organizativa para cumplir con la normativa, incluyendo:

  • Políticas internas de protección de datos del tercero.
  • Medidas de seguridad implementadas.
  • Historial de incidentes o vulnerabilidades.
  • Medidas de seguridad implementadas.
  • Historial de incidentes o vulnerabilidades.
  • Contratos previos y referencias.
  • Compromiso de confidencialidad.

H. Procedimientos operativos y Gobernanza

Para que esta política funcione ASSA deberá establecer procedimientos y gobernanza adecuados, siendo estos los siguientes:

  • Mecanismos para elaborar y mantener el Aviso / Política de Privacidad que informe a los titulares sobre el tratamiento de sus datos.
  • Procedimientos estándar para atender solicitudes de derechos ARCO-POL (plazo, verificaciones, formato de respuesta).
  • Procedimientos de revisión anual de riesgos, auditorías y mejora continua.
  • Creación de comisiones internas (por ejemplo, Comité de Protección de Datos) que involucren las áreas de TI, cumplimiento, auditoría interna, legal y unidades de negocio.
  • Evaluaciones cuando el tratamiento implique alto riesgo para derechos y libertades de los titulares (por volumen, naturaleza sensible de datos, tratamiento automatizado, decisiones automatizadas).
  • Procedimientos de vigilancia de cambios regulatorios y actualización de políticas internas conforme a directrices de la ACE.
  • Reportes periódicos del Delegado de Protección de Datos a la alta dirección con indicadores clave (número de solicitudes, incidentes, resultados de auditorías, cumplimiento).
  • Integración con planes de continuidad del negocio y recuperación de desastres.
This site is registered on wpml.org as a development site.