El responsable del tratamiento, HairNeva Servicios de Salud, conserva y elimina los datos personales conforme a los principios generales y disposiciones establecidos en la presente Política de Conservación y Eliminación de Datos Personales, elaborada de acuerdo con la Constitución, la Ley de Protección de Datos Personales No. 6698, el Reglamento sobre la Eliminación, Destrucción o Anonimización de Datos Personales y demás normativa aplicable.
El propósito de esta Política es establecer los principios y directrices generales sobre la conservación y eliminación de los datos personales tratados por la empresa, así como garantizar el cumplimiento de las obligaciones legales.
Consentimiento expreso: Aprobación otorgada libremente, basada en información suficiente, respecto a un asunto específico.
Grupo de destinatarios: Categoría de personas físicas o jurídicas a las que el responsable del tratamiento transfiere datos personales.
Anonimización: Proceso mediante el cual los datos personales se modifican de tal manera que ya no puedan vincularse a una persona física identificada o identificable.
Usuario autorizado: Personas dentro de la organización del responsable del tratamiento (excluyendo al personal técnico encargado del almacenamiento o respaldo de datos) que procesan datos personales bajo su autoridad o instrucciones.
Destrucción: Eliminación, borrado o anonimización de los datos personales.
Datos personales: Toda información relativa a una persona física identificada o identificable (por ejemplo, nombre, apellidos, dirección de correo electrónico, número de identificación, dirección, fecha de nacimiento, número de cuenta bancaria, etc.).
Titular de los datos: Persona física cuyos datos personales son objeto de tratamiento.
Tratamiento de datos personales: Cualquier operación realizada sobre datos personales, ya sea por medios automáticos o no, como recolección, registro, almacenamiento, conservación, modificación, divulgación, transferencia o supresión.
Datos personales sensibles: Información relativa a origen racial o étnico, opiniones políticas, creencias filosóficas o religiosas, afiliación sindical, salud, vida sexual, antecedentes penales, así como datos biométricos o genéticos.
Eliminación periódica: Supresión, destrucción o anonimización que se realiza a intervalos regulares cuando dejan de existir las condiciones que justificaban el tratamiento de los datos personales.
Entornos de registro cubiertos por la política
Las actividades de tratamiento de datos incluyen todos los datos personales, tanto en formato físico como digital.
La empresa conserva los datos personales tratados en los siguientes entornos, tanto automatizados como no automatizados:
- Computadoras y cuentas de correo electrónico corporativas
- Computadoras de escritorio y dispositivos móviles asignados a empleados
- Servidores y áreas de respaldo
- Archivos en papel, carpetas y registros de visitantes
- Dispositivos de almacenamiento portátiles (CD, DVD, USB, discos duros externos)
- Equipos de oficina como impresoras y fotocopiadoras
Motivos para la conservación y eliminación de datos personales
Las siguientes reglas rigen el tratamiento de datos personales:
- Cumplimiento de la ley y los principios de buena fe
- Exactitud y actualización de los datos
- Tratamiento con fines específicos, explícitos y legítimos
- Relevancia y proporcionalidad con respecto a la finalidad del tratamiento
- Conservación solo durante el tiempo legal o necesario para cumplir su propósito
Los datos personales se almacenan y utilizan conforme a las finalidades legales.
Una vez que dichas condiciones dejan de existir, los datos se eliminan de oficio o a petición del titular.
Motivos legales de tratamiento incluyen:
- Consentimiento expreso del titular
- Obligación legal
- Protección de la vida o integridad física del titular o de terceros
- Ejecución o cumplimiento de un contrato
- Datos hechos públicos por el titular
- Ejercicio o defensa de un derecho
- Interés legítimo de la empresa, siempre que no vulnere los derechos fundamentales del titular.
Eliminación, destrucción o anonimización de datos personales
Los datos personales serán eliminados, destruidos o anonimizados por la empresa cuando:
- Se modifiquen o deroguen las disposiciones legales que constituyen la base de su tratamiento;
- Desaparezca el propósito que justificaba su procesamiento o almacenamiento;
- El tratamiento se haya basado únicamente en el consentimiento expreso del titular y este retire dicho consentimiento;
- Haya expirado el período máximo de conservación de los datos y no exista ninguna razón válida que justifique su conservación por más tiempo.
A menos que la Autoridad de Protección de Datos Personales decida lo contrario, la empresa elegirá el método más adecuado —eliminación, destrucción o anonimización— en función de las posibilidades tecnológicas y los costos de aplicación.
En caso de solicitud del titular, la empresa explicará los motivos del método elegido. En todas estas operaciones se aplican las medidas técnicas y administrativas necesarias.
Medidas técnicas y administrativas adoptadas
De conformidad con el artículo 12 de la Ley de Protección de Datos Personales, las disposiciones reglamentarias, los principios generales y las decisiones de la Autoridad de Protección de Datos, la empresa adopta las siguientes medidas técnicas y administrativas, teniendo en cuenta los recursos tecnológicos y los costos de implementación:
- Se han identificado los programas y equipos necesarios. Se utilizan contraseñas seguras en ordenadores y cuentas de correo electrónico.
- El personal ha sido formado sobre la protección de la información de los clientes y sus responsabilidades se han definido por escrito en los contratos laborales (acuerdos de confidencialidad). Esta obligación continúa tras la finalización de la relación laboral.
- Se ha establecido la infraestructura necesaria para la copia de seguridad de todos los datos.
- Se ha definido qué empleados pueden acceder a los datos almacenados en los sistemas informáticos.
- Los archivos e información de los clientes solo se comparten con las personas interesadas, con familiares autorizados por escrito, con organismos públicos pertinentes o con autoridades judiciales competentes cuando sea necesario.
- Antes de iniciar cualquier tratamiento de datos personales, la empresa cumple con la obligación de informar a los titulares de los datos.
- Se ha elaborado un inventario de tratamiento de datos personales.
Plazos de conservación y eliminación
La empresa conserva los datos personales únicamente durante los períodos exigidos por la legislación aplicable o el tiempo necesario para cumplir con los fines del tratamiento. Una vez vencido este plazo, los datos personales son eliminados.
Si el titular solicita la eliminación de sus datos personales:
- Cuando todas las condiciones para el tratamiento hayan cesado:
La empresa resolverá la solicitud en un plazo máximo de treinta (30) días, informará al titular y, si los datos se han transferido a terceros, notificará a dichos terceros para que adopten las medidas correspondientes.
- Cuando no hayan cesado todas las condiciones:
La empresa podrá rechazar la solicitud, justificando su decisión de acuerdo con el artículo 13, párrafo 3, de la Ley de Protección de Datos Personales, e informará al titular por escrito o por vía electrónica en un plazo máximo de treinta (30) días.
Períodos de eliminación periódica
Los datos personales se eliminan durante la primera operación periódica de eliminación después de que surja la obligación de hacerlo.
En este contexto, cuando exista una obligación de eliminación, los datos personales se someten a procesos de destrucción, eliminación o anonimización cada seis (6) meses.
| PROCESO | PERÍODO DE CONSERVACIÓN | PERÍODO DE ELIMINACIÓN |
| Preparación de contratos | 10 años después de la finalización del contrato | En el primer período periódico de eliminación después del final del período de conservación |
| Ejecución de procesos de recursos humanos | 10 años después de la finalización de la actividad | En el primer período periódico de eliminación después del final del período de conservación |
| Gestión de procesos de acceso a hardware y software | 5 años | En el primer período periódico de eliminación después del final del período de conservación |
| Registro de visitantes y participantes en reuniones | 5 años | En el primer período periódico de eliminación después del final del período de conservación |
| Registro de datos personales de salud | Durante el período establecido por la legislación aplicable | En el primer período periódico de eliminación después del final del período de conservación |
| Datos de identidad | Durante el período establecido por la legislación aplicable | En el primer período periódico de eliminación después del final del período de conservación |
| Grabaciones de cámaras | Conservadas al menos 2 meses conforme al Reglamento de Hospitales Privados | En el primer período periódico de eliminación después del final del período de conservación |