Procedimento para cumprimento da Lei de Proteção de Dados Pessoais n° 29733

No Peru, a Lei de Proteção de Dados Pessoais (Lei n.º 29733) está em vigor desde outubro de 2013, e seu cumprimento é obrigatório desde maio de 2015 para todas as entidades públicas e privadas que realizam tratamento de dados pessoais no país.

A norma reconhece e protege o direito fundamental à privacidade e estabelece o marco legal que regula a coleta, armazenamento, utilização, divulgação e eliminação de dados pessoais.

Nesse contexto, a COLTUR PERU S.A.C. (doravante denominada “COLTUR”) declara seu compromisso com a proteção dos dados pessoais de seus clientes, colaboradores, fornecedores e parceiros, e realiza todo o tratamento de dados em estrita conformidade com os princípios orientadores estabelecidos pela legislação vigente.

Além disso, a COLTUR promove uma cultura organizacional baseada nas melhores práticas do setor turístico e em padrões de ética, transparência e sustentabilidade alinhados com os princípios de empresa B (B Corp), reforçando seu compromisso com o respeito aos direitos das pessoas e a gestão responsável das informações.

Definir diretrizes, recomendações e procedimentos aplicáveis ao tratamento de dados pessoais na COLTUR PERU S.A.C., a fim de garantir e demonstrar o cumprimento do disposto na Lei n.º 29733 – Lei de Proteção de Dados Pessoais e seu regulamento.

Definir diretrizes, recomendações e procedimentos aplicáveis ao tratamento de dados pessoais na COLTUR PERU S.A.C., a fim de garantir e demonstrar o cumprimento do disposto na Lei n.º 29733 – Lei de Proteção de Dados Pessoais e seu regulamento.

• Banco de dados pessoais

conjunto estruturado de dados pessoais, automatizado ou não, independentemente do meio utilizado (físico, magnético, digital, óptico ou outro), qualquer que seja a forma ou modalidade de sua criação, formação, armazenamento, organização e acesso.
Exemplo: a base de dados de clientes da COLTUR.

• Dados pessoais.

qualquer informação relacionada a pessoa natural que a identifique, ou que, em combinação com outras informações tratadas, identifiquem o indivíduo através de meios razoavelmente utilizados.
Exemplo: números de documento de identidade dos clientes da COLTUR.

• Responsável pelo tratamento de dados pessoais

pessoa física, pessoa jurídica de direito privado ou entidade pública que, individualmente ou em conjunto, realiza o tratamento de dados pessoais por conta do titular do banco de dados, em virtude de uma relação jurídica que delimita o âmbito de sua intervenção.
Exemplo: os membros da COLTUR com acesso autorizado ao banco de dados de clientes.

• Transferência internacional de dados pessoais

transferência internacional de dados pessoais para um destinatário situado em país diferente do país de origem, independentemente do meio, suporte ou tratamento posterior.
Exemplo: quando a COLTUR armazena o banco de dados de clientes em um serviço na nuvem, como o Microsoft OneDrive.

• Nível suficiente de proteção para os dados pessoais.

grau de proteção que assegura o cumprimento dos princípios orientadores da Lei n.º 29733, bem como a implementação de medidas técnicas de segurança e confidencialidade adequadas, de acordo com a categoria dos dados em questão.

• Titular dos dados pessoais.

pessoa natural a quem se referem os dados pessoais do tratamento.

• Titular do banco de dados pessoais

pessoa física, jurídica de direito privado ou entidade pública que define a finalidade, o conteúdo e o tratamento do banco de dados pessoais, bem como as medidas de segurança aplicáveis.

• Tratamento de dados pessoais.

qualquer operação técnica ou procedimento, automatizado ou não, que implique a coleta, registro, organização, armazenamento, conservação, elaboração, modificação, extração, consulta, utilização, bloqueio, eliminação, comunicação ou qualquer forma de processamento que permita o acesso, correlação ou interconexão de dados pessoais.

A Lei n.º 29733 – Lei de Proteção de Dados Pessoais define os seguintes princípios orientadores:

Tabela 1. Princípios norteadores da Lei n° 29733

A seguir, serão detalhadas as diretrizes, recomendações e procedimentos aplicáveis a cada um dos princípios definidos:

• O cumprimento do princípio da legalidade deve ser respaldado contratualmente, tanto para os colaboradores da COLTUR quanto para os fornecedores e terceiros externos.
• No caso dos membros da COLTUR, este princípio é garantido pelo art. 8º do contrato de trabalho.
• Para os prestadores de serviços que participam nas operações da COLTUR, a obrigação é formalizada no art.5º – Confidencialidade do Contrato de Locação de Serviços.
• Em situações em que pessoas físicas ou jurídicas, que não estejam incluídas nos contratos mencionados, realizem tarefas que envolvam o tratamento de dados pessoais, deverão assinar expressamente seu compromisso de cumprimento do disposto na Lei n.º 29733 – Lei de Proteção de Dados Pessoais.

• O consentimento para o tratamento de dados pessoais deve ser obtido do titular de forma livre, prévia, informada, expressa e inequívoca, mediante a aceitação das condições estabelecidas pela COLTUR.
• Esse consentimento é formalizado por meio do formulário “Autorização para o tratamento de dados pessoais e sensíveis”, disponível em formato físico ou digital. A aceitação do titular no momento da coleta constitui o consentimento exigido pela legislação aplicável.
• Embora a COLTUR nem sempre seja diretamente responsável pela coleta dos dados, deverá verificar se o titular concedeu o consentimento para o compartilhamento das informações com a COLTUR, quando esta for responsável pelo tratamento posterior.
• Além disso, todos os nossos clientes têm a possibilidade de exercer controle sobre o uso de seus dados pessoais, inclusive decidindo em que medida desejam que esses dados sejam utilizados e para quais fins específicos, conforme as disposições legais vigentes.

• A finalidade do tratamento deve ser informada de forma explícita no momento da solicitação do consentimento do titular dos dados. Essa declaração permite que o titular esteja devidamente informado sobre o uso que será dado aos seus dados pessoais.
  Exemplo: “Gestão de reservas de hospedagem ou transporte: os dados recebidos serão transferidos principalmente para os fornecedores de hospedagem (hotéis) e transporte, seja terrestre ou aéreo.”

• Para cumplir con este principio, deberá elaborarse una ficha o mapeo de datos personales, donde se identifiquen claramente
  – Qué datos se recopilan o se reciben.
  – Por qué son necesarios para la operación.
  – Si su entrega es obligatoria u opcional.

1. Para garantir a segurança dos dados pessoais coletados, todas as informações são armazenadas digitalmente, protegidas por usuário e senha, bem como pelos protocolos de segurança da rede interna da COLTUR. Esse tema é tratado com mais detalhes no item 5.6.
2. Em cumprimento às obrigações fiscais e considerando possíveis auditorias — conforme regulamentação da SUNAT no Peru —, os dados pessoais dos clientes serão conservados por um período de cinco (5) anos, a partir do seu registro no banco de dados pessoais e arquivos da COLTUR.
3. Atualmente, está em andamento um processo de adequação do banco de dados, visando assegurar, a partir de agosto de 2022, o pleno cumprimento do disposto no item anterior.
4. Além disso, a COLTUR conta com o procedimento TI-PR-008 “Cópia de segurança de informações v2”, que estabelece as diretrizes para garantir a segurança e a persistência dos dados pessoais armazenados.

5.6 Princípio de segurança

1. A COLTUR utiliza dois (2) meios de armazenamento para os dados pessoais coletados: um banco de dados local (banco de dados pessoais) e uma pasta de arquivos hospedada na nuvem através do serviço OneDrive da Microsoft.
2. A base de dados local é administrada pelo Sistema de Gestão COLTUR, que opera com autenticação por meio de credenciais de usuário e senha. Essa base está hospedada fisicamente nos servidores internos da empresa, com acesso restrito exclusivamente à rede interna da COLTUR.
3. O Sistema de Gestão estabelece perfis de acesso com restrições específicas para os dados pessoais armazenados. A criação e eliminação de usuários é regida pelo procedimento interno TI-PR-005: Atendimento para a criação e eliminação de usuários.
4. A pasta de arquivos na nuvem, hospedada no OneDrive da Microsoft, também requer autenticação com usuário e senha. Os usuários com acesso são organizados por perfis definidos, que lhes permitem acessar apenas os dados pessoais estritamente necessários para o exercício de suas funções.
5. A Declaração de Privacidade da Microsoft está disponível no link:
   https://privacy.microsoft.com/es-mx/privacystatement..
6. Além disso, a Microsoft disponibiliza aos seus clientes uma Central de Confiabilidade, com informações sobre práticas e medidas adotadas na gestão segura de dados pessoais: https://www.microsoft.com/es-ww/trust-center/privacy?rtc=1.

1. A COLTUR estabeleceu como canal administrativo para atendimento aos titulares de dados pessoais o endereço de e-mail: info@colturperu.com.
2. As solicitações recebidas serão tratadas operacionalmente pela equipe responsável do tratamento de dados pessoais e atendidas em um prazo não superior a trinta (30) dias úteis, de acordo com o disposto pela regulamentação vigente.

1. Para a recepção de dados pessoais através de fluxos transfronteiriços, a COLTUR deverá garantir que as informações sejam transmitidas sob medidas mínimas de segurança, tais como proteção por senha (por exemplo, arquivos compactados em formato ZIP ou através de funções de criptografia do Microsoft Office).
2. Nos casos em que a COLTUR realizar uma transferência internacional de dados pessoais, deverá exigir do destinatário garantias razoáveis de conformidade legal, que assegurem um nível de proteção equivalente ao previsto na legislação peruana ou conforme normas internacionais aplicáveis.

O descumprimento de qualquer dos princípios estabelecidos neste documento implicará, de forma preventiva, a suspensão imediata do acesso aos recursos informáticos, a fim de preservar a integridade, estabilidade e correto funcionamento dos sistemas.

O Departamento de Tecnologia da Informação (TI) é responsável por realizar auditorias periódicas para verificar o cumprimento das diretrizes definidas e deve notificar por escrito o usuário infrator, com cópia para o responsável pela área.

Em casos de faltas graves ou reincidência, a área de TI coordenará com Recursos Humanos e a Gerência da área correspondente para definir as ações corretivas ou disciplinares cabíveis, de acordo com as políticas internas da COLTUR.