Procedimiento para cumplimiento de la Ley de Protección de Datos Personales N° 29733

En el Perú, la Ley N.º 29733 – Ley de Protección de Datos Personales se encuentra vigente desde octubre de 2013, y su cumplimiento es obligatorio desde mayo de 2015 para todas las entidades públicas y privadas que realicen tratamiento de datos personales en el país.

Esta norma reconoce y protege el derecho fundamental a la privacidad y establece un marco legal que regula la recolección, almacenamiento, uso, difusión y eliminación de datos personales.

En ese marco, COLTUR PERU S.A.C. (en adelante, “COLTUR”) declara su compromiso con la protección de los datos personales de sus clientes, colaboradores, proveedores y aliados, y realiza todo tratamiento de datos en estricto cumplimiento de los principios rectores establecidos por la normativa vigente.

Asimismo, COLTUR promueve una cultura organizacional basada en las mejores prácticas del sector turístico y en estándares de ética, transparencia y sostenibilidad alineados con los principios del sistema B Corp, reforzando así su compromiso con el respeto a los derechos de las personas y la gestión responsable de la información.

Establecer los lineamientos, recomendaciones y procedimientos aplicables al tratamiento de datos personales en COLTUR PERU S.A.C., con el objetivo de garantizar y evidenciar el cumplimiento de lo dispuesto en la Ley N.º 29733 – Ley de Protección de Datos Personales y su reglamento.

El presente documento es de carácter obligatorio y aplica a todos los Integrantes de COLTUR PERU S.A.C. que estén involucrados en el tratamiento de datos personales o que interactúen con ellos en el ejercicio de sus funciones.

• Banco de datos personales.

conjunto organizado de datos personales, automatizado o no, independientemente del soporte (físico, magnético, digital, óptico u otros), cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.
Ejemplo: la base de datos de clientes de COLTUR.

• Datos personales.

Toda información sobre una persona natural que la identifica o la hace identificable a través de medios razonablemente utilizados.
Ejemplo: números de documento de identidad de los clientes de COLTUR.

• Encargado de tratamiento de datos personales.

Persona natural, persona jurídica de derecho privado o entidad pública que, de forma individual o conjunta, realiza el tratamiento de datos personales por encargo del titular del banco de datos, en virtud de una relación jurídica que delimita el alcance de su intervención.
Ejemplo: los Integrantes de COLTUR con acceso autorizado al banco de datos de clientes.

• Flujo transfronterizo de datos personales.

Transferencia internacional de datos personales a un destinatario ubicado en un país distinto al de origen, sin importar el medio, soporte o tratamiento posterior.
Ejemplo: cuando COLTUR aloja la base de datos de clientes en un servicio en la nube como Microsoft OneDrive.

• Nivel suficiente de protección para los datos personales.

Grado de protección que asegura el cumplimiento de los principios rectores de la Ley N.º 29733, así como la implementación de medidas técnicas de seguridad y confidencialidad adecuadas, según la categoría de datos que se trate.

• Titular de datos personales.

Persona natural a quien pertenezcan los datos personales.

• Titular del banco de datos personales.

Persona natural, jurídica de derecho privado o entidad pública que define la finalidad, contenido y tratamiento del banco de datos personales, así como las medidas de seguridad aplicables.

• Tratamiento de datos personales.

Cualquier operación técnica o procedimiento, automatizado o no, que implique la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, uso, bloqueo, supresión, comunicación o cualquier forma de procesamiento que permita el acceso, correlación o interconexión de datos personales.

La Ley N°29733 – Ley de Protección de Datos Personales define los siguientes principios rectores:

Tabla 1. Principios rectores de la Ley N° 29733

A continuación, se detallarán los lineamientos, recomendaciones y procedimientos aplicables a cada uno de los principios definidos:

• El cumplimiento del principio de legalidad debe estar respaldado contractualmente, tanto en el caso de los Integrantes de COLTUR como de proveedores y terceros externos.
• En el caso de los Integrantes de COLTUR, este principio se garantiza a través del artículo octavo del contrato de trabajo.
• Para los proveedores de servicios que participen en las operaciones de COLTUR, la obligación se formaliza en el artículo quinto – Confidencialidad del Contrato de Locación de Servicios.
• En situaciones donde personas naturales o jurídicas, que no estén comprendidas en los flujos contractuales anteriores, realicen tareas que impliquen tratamiento de datos personales, deberán firmar expresamente su compromiso de cumplimiento con lo dispuesto en la Ley N.º 29733 – Ley de Protección de Datos Personales.

• El consentimiento para el tratamiento de datos personales debe ser obtenido del titular de forma libre, previa, informada, expresa e inequívoca, mediante la aceptación de las condiciones establecidas por COLTUR.
• Este consentimiento se formaliza a través del formato “Autorización para el tratamiento de datos personales y sensibles”, el cual puede ser físico o digital. La aceptación del titular en el momento de la recolección cumple con lo establecido por el principio de consentimiento.
• Aunque COLTUR no siempre será responsable directo de la recolección de los datos, sí deberá verificar que el titular haya otorgado su consentimiento para que la información sea compartida con COLTUR, cuando esta realice tratamiento posterior.
• Asimismo, todos nuestros clientes tienen la posibilidad de ejercer control sobre el uso de sus datos personales, incluyendo la facultad de decidir en qué medida desean que sean utilizados y con qué fines específicos, conforme a las disposiciones legales vigentes.

• La finalidad del tratamiento debe ser declarada expresamente al momento de solicitar el consentimiento del titular. Esta declaración permite que el titular esté debidamente informado sobre el uso que se dará a sus datos personales.
  Ejemplo: “Gestión de reservas de hospedaje o transporte: los datos recibidos serán traslados principalmente a los proveedores de alojamiento (hoteles) y transporte, ya sea terrestre o aéreo”.

• Para cumplir con este principio, deberá elaborarse una ficha o mapeo de datos personales, donde se identifiquen claramente
  – Qué datos se recopilan o se reciben.
  – Por qué son necesarios para la operación.
  – Si su entrega es obligatoria u opcional.

1. Para garantizar la seguridad de los datos personales recolectados, toda la información es almacenada de forma digital, protegida mediante usuario y contraseña, así como por los protocolos de seguridad que provee la red interna de COLTUR. Este tema se desarrolla con mayor detalle en el punto 5.6.
2. En cumplimiento de obligaciones tributarias y considerando posibles auditorías —reguladas en el Perú por la SUNAT—, los datos personales de clientes se conservarán durante un período de cinco (5) años, contados a partir de su registro en el banco de datos personales y carpetas de archivo de COLTUR.
3. Actualmente, se viene realizando un proceso de adecuación en la base de datos, a fin de que a partir de agosto de 2022 se cumpla plenamente con lo dispuesto en el punto anterior.
4. Adicionalmente, COLTUR cuenta con el procedimiento TI-PR-008 “Copia de seguridad de información v2”, el cual establece los lineamientos para garantizar la seguridad y persistencia de los datos personales almacenados.

5.6 Principio de seguridad

1. COLTUR utiliza dos (2) medios de almacenamiento para los datos personales recolectados: una base de datos local (banco de datos personales) y una carpeta de archivos alojada en la nube a través del servicio OneDrive de Microsoft.
2. La base de datos local es gestionada mediante el Sistema de Gestión de COLTUR, el cual opera con autenticación mediante credenciales de usuario y contraseña. Esta base se encuentra alojada físicamente en los servidores internos de la compañía, y su acceso está restringido exclusivamente a la red interna de COLTUR.
3. El Sistema de Gestión establece perfiles de acceso con restricciones específicas para los datos personales almacenados. La creación y eliminación de usuarios se rige por el procedimiento interno TI-PR-005: Atención de creación y eliminación de usuarios.
4. La carpeta de archivos en la nube, alojada en OneDrive de Microsoft, también emplea autenticación mediante usuario y contraseña. Los usuarios con acceso están organizados por perfiles definidos, que les permiten visualizar únicamente los datos personales estrictamente necesarios para el ejercicio de sus funciones.
5. La Declaración de Privacidad de Microsoft está disponible en el siguiente enlace: https://privacy.microsoft.com/es-mx/privacystatement..
6. Asimismo, Microsoft pone a disposición de sus clientes un Centro de Confianza, con información sobre prácticas y medidas adoptadas en la gestión segura de datos personales: https://www.microsoft.com/es-ww/trust-center/privacy?rtc=1.

1. COLTUR ha establecido como canal administrativo para la atención de titulares de datos personales la casilla de correo electrónico: info@colturperu.com.
2. Las solicitudes recibidas serán gestionadas operativamente por el personal responsable del tratamiento de datos personales y atendidas en un plazo no mayor a treinta (30) días hábiles, conforme a lo dispuesto por la normativa vigente.

1. Para la recepción de datos personales mediante flujos transfronterizos, COLTUR deberá asegurarse de que la información sea transmitida bajo medidas mínimas de seguridad, como la protección con contraseña (por ejemplo, archivos comprimidos en formato ZIP o mediante funciones de cifrado de Microsoft Office).
2. En los casos en que COLTUR realice un envío transfronterizo de datos personales, deberá requerir al destinatario garantías razonables de cumplimiento normativo, acreditando un nivel de protección equiparable al exigido por la legislación peruana o conforme a los estándares internacionales en la materia.

El incumplimiento de cualquiera de los principios establecidos en el presente documento conllevará, de forma preventiva, la suspensión inmediata del acceso a los recursos informáticos, con el objetivo de resguardar la integridad, estabilidad y correcto funcionamiento de los sistemas.

El Departamento de Tecnología de la Información (TI) es responsable de realizar auditorías periódicas para verificar el cumplimiento de los lineamientos definidos, y deberá notificar por escrito al usuario infractor, con copia a su responsable de área.

En casos de faltas graves o reincidencia, el área de TI coordinará con Recursos Humanos y la Gerencia del área correspondiente para definir las acciones correctivas o disciplinarias que correspondan, en conformidad con las políticas internas de COLTUR.