Política de Protección de Datos Personales

‍

OBJETIVO

A través de esta política la Organización busca establecer principios que velen por la buena práctica administrativa que establece los Principios, tratamientos aplicables y Derechos de Protección de Datos Personales, en conformidad con los lineamientos exigidos en el Acuerdo 001-2022 por la Superintendencia de Bancos de Panamá y la Ley 81 de Protección de Datos Personales de la República de Panamá.

‍

ÁMBITO DE APLICACIÓN

Esta política aplica a los procesos administrativos que estén relacionados con el seguimiento a los principios, derechos y obligaciones generales de todo tratamiento de protección de datos personales y las facultades atribuidas en el Régimen de Protección de Datos Personales.  Las disposiciones que establece este lineamiento estarán sujeto a cumplimiento dentro de las sociedades actuales o futuras que se constituyan en el Grupo Towerbank y Subsidiarias.

‍

MARCO NORMATIVO

La organización tendrá la responsabilidad de velar por la adecuada implementación de controles enmarcado al lineamiento de mejores prácticas en conformidad con los lineamientos que establece el modelo referencial ISO 27,001 en materia del “Sistema de Gestión de Seguridad de la Información” y el Acuerdo 01-2022 “Que establece lineamientos especiales para la protección de datos personales tratados por las entidades bancarias”.
‍

1. Marco Normativo: No contempla la Ley 81 de 2019 y Decreto Ejecutivo 285
2. Términos y definiciones (art. 4 Ley, art. 4 reglamentación, art. 4 Acuerdo 1-2022)
3. Contenido del aviso de privacidad (lo establece, pero debe agregar lo establecido en el art. 14 Decreto Ejecutivo 285)
4. Plazos para facilitar la información (aviso de privacidad) (art. 15 Decreto Ejecutivo 285)
5. Forma para facilitar la información (aviso de privacidad) (art. 16 Decreto Ejecutivo 285)
6. Revocación del consentimiento (art. 19 Decreto Ejecutivo 285)
7. Disposiciones generales sobre ejercicio de los derechos de los titulares de los datos (art. 21 Decreto Ejecutivo 285)
8. Identificación de la información solicitada. (art. 25 Decreto Ejecutivo 285)
9. Ejercicio derechos ARCO (artículos 26, 27, 28, 29, 30 y 31 del Decreto Ejecutivo 285)
10. Modificación o bloqueo de datos personales (art. 17 Ley 81)
11. Limitaciones al ejercicio de los derechos (art. 31 Decreto Ejecutivo 285)
12. Plazo para la entrega de información (solicitud de acceso) (art. 16 Ley 81)
13. Entrega de información a la autoridad judicial competente (art. 24 Ley)
14. Deber de confidencialidad. (art. 34 reglamentación)
15. Registro de las bases de datos. (art. 35 reglamentación, art. 31, 32, 33 Ley)
16. Seguridad de los datos personales (art. 36 reglamentación)
17. Notificación de violaciones de la seguridad de los datos personales (art. 37 reglamentación)
18. Documentación de las violaciones de la seguridad de los datos personales. (art. 38 reglamentación)
19. Condiciones para las transferencias extrafronterizas de datos. (art. 51 reglamentación
20. Recolección de información a través de internet (art.27 Ley 81)
21. Procedimientos para recibir y responder solicitudes y reclamaciones de los titulares de los datos. (numeral 6, artículo 18 y artículo 9 del Acuerdo 1-2022)
22. Reclamos ante la Superintendencia de Bancos (art. 27, Acuerdo 1-2022)

‍

LINEAMIENTOS GENERALES

Towerbank International Inc. Y subsidiarias, mantendrá la responsabilidad de atender lo pactado en conformidad a las mejores prácticas de Seguridad de la Información y Protección de Datos Personales que prevengan cualquier tipo impacto a nivel estratégico, operativo o reputacional a Towerbank International Inc. y/o subsidiarias o a sus clientes.

‍

ANTECEDENTES

El banco ofrece a sus clientes una diversidad de productos y servicios en miras de generar experiencias de negocio, manteniendo premisas de integridad, confidencialidad, disponibilidad y seguridad de datos. En este sentido, Towerbank con el compromiso de velar por mejores prácticas en materia de seguridad de la información, manifiesta su postura de mantener una sana práctica de implementación de medidas de control aplicables de Seguridad de Información y Protección de Datos Personales.

‍

Aplicabilidad de buenas prácticas Internacionales como medidas de acción de control interno exigidas por la Ley PDP.

Towerbank International Inc., y subsidiarias velará por la aplicación de los lineamientos exigidos por la Ley de Protección de Datos Personales como buena práctica en medidas de control que permitan mitigar la exposición a riesgos en función al tratamiento que debe dársele a toda información sensible que hoy día es administrada en la organización.  Para ello, se amparará en el modelo referencial de mejores prácticas internacionales que establece medidas de control en materia de Seguridad de la Información como lo es el estándar internacional ISO 27,001.  En base a los lineamientos establecidos de mejores prácticas en materia de Seguridad de la Información, en medida de ello, Towerbank International Inc., y subsidiarias establecerá las directrices de control interno que serán aplicados a los procesos operativos relacionados con el tratamiento de información que pudiera ser sensitiva, así como también las medidas de control o  gestión administrativa que sean aplicables en conformidad con lo exigido por la Ley de Protección de Datos Personales, según Acuerdo 001-2022 de la Superintendencia de Bancos de Panamá, con el único interés prioritario de velar por las garantías que impulsan los principios generales (Lealtad, finalidad, proporcionalidad, veracidad y exactitud, seguridad de los datos, transparencia, confidencialidad, licitud, y portabilidad) que rigen la protección de datos personales que enmarcan esta política.

‍

‍

Como medida consecuente de velar por los principios generales que rigen la protección de datos personales, Towerbank International Inc., y subsidiarias velará también por las garantías de los derechos irrenunciables que adquieren los titulares de los datos personales.  Estos derechos son conocidos como los Derechos ARCO (Acceso, Rectificación, Cancelación Oposición) los cuales representan en sí las libertades fundamentales de los ciudadanos, sean personas naturales o jurídicas, de derecho público o privado, lucrativas o no, que traten datos personales en términos previstos en la ley 81 de Protección de Datos Personales. Derechos que se describen a continuación:

‍

‍

DERECHO DE ACCESO:

Permite al titular obtener sus datos personales que se encuentren almacenados o sujetos a tratamiento en bases de datos, además de conocer el origen y la finalidad para los cuales han sido recabados.

Viabilidad de Acceso a suministro de información: En el evento que el cliente solicite información sobre sus datos personales, la organización deberá brindarle a su requerimiento la información establecida en el artículo 24 del Decreto Ejecutivo No. 285 del 2021, que comprende los siguientes aspectos:

• Los fines del tratamiento;
• Las categorías de datos personales de que se trate;
• Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales;
• Plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
• El derecho al ejercicio de la rectificación o cancelación de datos personales, o a oponerse a dicho tratamiento, o a la portabilidad de los datos;
• Cualquier información de su origen cuando no haya sido proporcionada por el cliente
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere la Ley No. 81 de 2019.  En tal caso, información significativa de la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el titular.

No viabilidad de derecho de Acceso: El derecho de Acceso no aplicará en los siguientes casos:

• Cuando el solicitante no sea el titular de los datos personales, o el representante no esté debidamente autorizado para ello;

• Cuando en la base de datos o en la del custodio de la base de datos, no se encuentren los datos personales del cliente;
• Cuando se configure alguna de las limitaciones establecidas en el artículo 31 del Decreto Ejecutivo 285 del 2021, o cualquier otra disposición legal o las normas que la desarrollen, cuando apliquen.

‍

DERECHO DE RECTIFICACIÓN:

Permite al titular solicitar la corrección de sus datos personales que sean incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes.

Nota: Los datos deberán ser modificados cuando sean erróneos, inexactos, equívocos o incompletos dentro de un término de cinco días hábiles siguientes a la solicitud de modificación, y en su defecto Towerbank en conformidad con la Ley 81 de Protección de Datos Personales, podrá proceder a la eliminación, modificación o bloqueo de los datos personales sin necesidad de requerimientos del titular, cuando existan pruebas de inexactitud de dichos datos.

En conformidad con el Acuerdo 01 2022 de la Superintendencia de Bancos de Panamá, una vez presentada la solicitud por el cliente o su representante autorizado, en la cual se indiquen los datos específicos a que se refiere y la acción de rectificación a realizar, y siempre que la acompañe con la documentación que sustente la inexactitud de los datos, se analizará la solicitud en medida de proceder con su corrección.

Towerbank International Inc., y subsidiarias podrá aplicar medidas razonables para proceder a la rectificación de los datos personales sin el requerimiento del cliente, cuando exista prueba de la inexactitud de los datos de conformidad con el principio de exactitud.

No viabilidad de rectificación: El derecho de Rectificación no aplicará en los siguientes casos:

• Cuando se configure alguna de las limitaciones establecidas en el artículo 31 del Decreto Ejecutivo No. 285 de 2021, así como en cualquier otra disposición legal o la norma que la desarrolle, cuando apliquen.
• Cuando ya haya sido previamente realizada.

‍

DERECHO DE CANCELACIÓN:

Permite al titular solicitar la eliminación de sus datos personales incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes.

Nota: Sin perjuicio de las excepciones legales, el titular tendrá derecho a exigir que se eliminen sus datos personales cuando su almacenamiento carezca de fundamento legal, cuando no hayan sido expresamente autorizados o cuando estuvieran caducos.

Se bloquearán los datos personales cuya exactitud no puede ser establecida o cuya vigencia sea dudosa y respecto de los cuales no corresponda la cancelación.   En este caso, serán bloqueados para acceso a terceros o para evitar su uso en otros fines que no hayan sido los expresamente autorizados.

Viabilidad de Cancelación: Se aplicarán las medidas de las cuales el cliente haya solicitado la supresión o eliminación de sus datos personales bajo las siguientes condiciones:

• Cuando los datos personales ya no sean necesarios en relación con los fines para lo cual fueron recogidos o tratados;
• Cuando el cliente retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico;
• Cuando el cliente se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento;
• Cuando los datos personales deban suprimirse para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento;
• Cuando la operación con el potencial cliente no llegara a perfeccionarse o a concluirse;
• Cuando se haya culminado o cumplido la relación contractual con el cliente y haya transcurrido el plazo legal para su conservación según lo que establecen las leyes y regulaciones vigentes;

No viabilidad de Cancelación: El derecho de cancelación no se aplicará en las circunstancias siguientes:

• Cuando deban ser conservados o tratados para el cumplimiento de una disposición bancaria u otra disposición legal;
• Cuando el transcurrido el plazo legal para su conservación exista una disposición especial que establezca otro plazo legal de conservación;
• Cuando transcurrido el plazo legal para su conservación, medie un interés legítimo del banco para su conservación;
• Cualquiera otra circunstancia que basada en un motivo legítimo requiera de su conservación, siempre que no prevalezca los derechos del titular de datos;
• Cuando se configura alguna de las limitaciones establecidas en el artículo 31 del Decreto Ejecutivo No. 285 de 2021, así como en cualquier otra disposición legal o la norma que la desarrolle, cuando apliquen.
• Cuando la cancelación haya sido previamente realizada.

‍

DERECHO DE OPOSICIÓN:

Permite al titular, por motivos fundados y legítimos relacionados con una situación en particular, negarse a proporcionar sus datos personales o a que sean objeto de determinado tratamiento, así como a revocar su consentimiento.

Viabilidad de Oposición:  Se aplicarán las medidas de las cuales el cliente haya solicitado bajo las siguientes condiciones establecidas:

• Cuando los datos sean tratados para fines distintos del determinado o sean incompatibles con los mismos;
• Cuando el tratamiento tenga fines de comercialización o mercadeo;
• Cuando los datos no sean necesarios en relación con la operación, servicio o producto a prestar o no corresponda a requerimientos regulatorios.

No viabilidad a la Oposición: El derecho de oposición no aplicará, en los siguientes casos:

• Cuando la información sea necesaria para la celebración o ejecución de un contrato y los servicios bancarios relacionados con la misma.
• Los demás casos dispuesto por Ley o la regulación bancaria.
• Cuando se configure alguna de las limitaciones establecidas en el artículo 31 del Decreto Ejecutivo No. 285 de 2021, así como en cualquier otra disposición legal o la norma que le desarrolle cuando apliquen.

Nota: en caso de que el cliente revoque su consentimiento al tratamiento o a un determinado tratamiento, la organización deberá dejar de tratar los datos personales, salvo que exista una condición de licitud o motivo legítimo para el tratamiento que prevalezca sobre su derecho de oposición.   La revocación del consentimiento por parte del cliente o su representante no tendrá efectos retroactivos y, no afectará la licitud del tratamiento basado en el consentimiento previo.

‍

DERECHO DE PORTABILIDAD:

Derecho a obtener una copia de los datos personales de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas y/o transmitirlos a otro responsable, cuando:

1. El titular haya entregado sus datos directamente al responsable.
2. Sea un volumen relevante de datos, tratados de forma automatizada.
3. El titular haya dado su consentimiento para el tratamiento o se requiera para la ejecución o el cumplimiento de un contrato.

Viabilidad de la Portabilidad:  Se aplicarán las medidas de las cuales el cliente haya solicitado bajo las siguientes condiciones establecidas:

• Cuando el cliente haya facilitado sus datos directamente al banco responsable;
• Que el tratamiento de datos se efectúe por medios automatizados, es decir por medios digitales o tecnológicos;
• Sea un volumen relevante de datos;
• El cliente haya dado su consentimiento para el tratamiento de datos o esté basado en un contrato.

No viabilidad de la Portabilidad: El derecho de portabilidad no aplicará, en los siguientes casos:

• Cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el banco con base en los datos personales proporcionados por el cliente;
• Cuando afecte los derechos de terceros y los derechos y libertades de otros titulares de los datos.

El suministro de información, la modificación, bloqueo o la eliminación de los datos personales será absolutamente gratuito y deberá proporcionarse, a solicitud del titular de los datos o quien lo represente, constancia de la base de datos actualizada en lo concerniente.   No obstante, Towerbank en pleno conocimiento de lo exigido en la Ley 81 de Protección de Datos Personales, se abstendrá de atender cualquier tipo de solicitud de información, rectificación, cancelación o bloqueo de datos personales cuando ello impida o entorpezca el debido trámite dentro de un proceso administrativo o judicial o por seguridad del Estado, o cuando se requiera mantener datos personales almacenados por mandato legal fuera de los casos establecidos en leyes especiales que les aplique.

Towerbank como organización responsable, velará por las medidas aplicables que garanticen a los titulares de los datos personales el ejercer estos derechos, los cuales son irrenunciables, salvo las excepciones establecidas que estipulen leyes especiales.

‍

Condiciones y Formalidades para el Tratamiento

En conformidad con el acuerdo 1-2022 de la Superintendencia de Bancos de Panamá, todo tratamiento de datos personales ejecutado por el banco estará sujeto al consentimiento previo, informado e inequívoco del titular de los datos o de su representante autorizado, salvo las excepciones antes indicadas en esta política.

En consecuencia, cuando el tratamiento se base en el consentimiento, el mismo deberá manifestarse por escrito, o por cualquier otro medio electrónico que garantice la identidad del titular de los datos personales a manera que exista certeza sobre su identidad que la identifique o la haga identificable. En caso de que el consentimiento se obtenga a través de medios electrónicos, el banco se asegurará de cumplir con los requerimientos que establecen los Acuerdos Bancarios y las leyes especiales sobre la materia.

Como medida de gestión administrativa la organización dispondrá:

• De todos los medios y procedimientos adecuados para el otorgamiento efectivo y eficaz del consentimiento, los cuales serán de fácil comprensión, acceso, gratuitos y debidamente identificados.
• De una declaración escrita de forma comprensible, de fácil acceso y utilizando lenguaje claro y sencillo, a fin de que conste el consentimiento otorgado para cada cliente.
• Mecanismos que permitan demostrar con certeza el consentimiento otorgado por el cliente y que el mismo ha sido otorgado adecuadamente para el tratamiento de sus datos personales.  En caso de utilizar medios electrónicos o tecnológicos deberá cumplir los requerimientos para su validez, así como los demás controles de seguridad establecidos en los Acuerdos bancarios.

‍

Datos Personales Obtenidos de Otras Fuentes

Como medida de transparencia Towerbank International Inc., y subsidiarias recabará siempre toda información de datos personales de fuentes fidedignas.  En aquellos casos que la fuente de obtención de los datos personales provenga de otro responsable del tratamiento de datos domiciliado en la República de Panamá, la Organización se asegurará que el cliente haya dado su consentimiento previo para tales fines.  En el caso que la información provenga o se recolecte de fuentes públicas o accesibles en medios públicos, no se requerirá la autorización o el consentimiento por parte del cliente, para el tratamiento de sus datos.

En conformidad con el Artículo 12, del Acuerdo 1-2022, se considerará fuentes de acceso público la información de datos personales obtenida a través de medios de comunicación, ya sean los medios tradicionales o medios digitales como redes sociales (Ejemplo: X, Facebook, Instagram entre otras).

‍

Tratamientos que no requieren del consentimiento

Towerbank International Inc., y subsidiarias no requerirá del consentimiento o autorización del cliente para el tratamiento de datos personales, en los supuestos indicados en el artículo 111 de la Ley Bancaria y los Acuerdos que la desarrollan.  

Adicionalmente, en cumplimiento del artículo 8 de la Ley No. 81 de 2019 y del artículo 17 del Decreto Ejecutivo No. 285 de 28 de mayo de 2021, no se requerirá autorización o consentimiento para el tratamiento de los datos personales, en los siguientes casos:

• Para aquellos tratamientos de carácter bancario que cuenten con el consentimiento previo;
• Cuando sea necesario para la aplicación y ejecución de contratos bancarios en los que el cliente sea parte o tenga interés;
• Para aquellos tratamientos cuya finalidad sea la de preservar la seguridad de las personas y las instalaciones del banco;
• Cuando el tratamiento sea necesario para la debida administración y gestión de los distintos riesgos bancarios;
• Cuando sea necesario para el cumplimiento de requerimientos u obligaciones exigidas por la normativa bancaria;
• Cuando los datos sean utilizados o compartidos por el banco con la propietaria de acciones bancarias, subsidiarias u otra sociedad del grupo bancario para el ejercicio de las funciones propias de la entidad bancaria, siempre que no sea para fines de mercadeo;
• Cuando el tratamiento de datos sea necesario para el cumplimiento de los requerimientos establecidos por la Superintendencia de Bancos para el intercambio de información con otros organismos de supervisión financiera;
• Cuando el tratamiento este basado en un interés legítimo del banco derivado de la relación o vínculo existente con el cliente, por razón de un servicio o producto bancario;
• Cuando el tratamiento sea necesario para la transferencia, comunicación o interconexión de los datos personales a un custodio de bases de datos, a un proveedor de servicios bancarios o a terceros para la gestión de la relación contractual Banco-Cliente, siempre que sea relacionado con la prestación de un servicio o producto bancario y de mercadeo.
• Los demás tratamientos establecidos por la Ley y las normativas relacionadas.

Nota importante: La remisión al cliente de comunicación de carácter publicitario, comercial o de mercadeo sobre productos y servicios bancarios u otras análogas requerirá de su consentimiento, previo, informado e inequívoco.

‍

Sistema de Control Interno

En miras de velar el cumplimiento de las disposiciones establecidas en el Acuerdo 1-2022 en cuento a la Protección de Datos Personales, Towerbank International Inc., y Subsidiarias se asegurará de aplicar los lineamientos contemplados en la regulación sobre Gobierno Corporativo emitida por la Superintendencia de Bancos de Panamá, en lo que respecta al Sistema de Control Interno.