A través de esta política la Organización busca establecer principios que velen por la buena práctica administrativa que establece los Principios, tratamientos aplicables y Derechos de Protección de Datos Personales, en conformidad con los lineamientos exigidos en el Acuerdo 001-2022 por la Superintendencia de Bancos de Panamá y la Ley 81 de Protección de Datos Personales de la República de Panamá y The Data Protection Law, 2017 de Isla Caimán.
Esta política se aplica a todas las actividades de recolección, tratamiento, almacenamiento y transferencia de datos personales realizadas por Towerbank International Inc. y Subsidiarias en el ejercicio de su actividad comercial. Es de cumplimiento obligatorio para:
• Todos los colaboradores, proveedores, contratistas y terceros que manejen datos personales en nombre de Towerbank International Inc. y Subsidiarias.
• Todas las áreas y procesos internos donde se realice el tratamiento de datos personales.
• Datos personales de clientes, colaboradores, proveedores y cualquier otra persona cuyos datos sean gestionados por la entidad.
• Transferencias de datos personales dentro y fuera de la jurisdicción, asegurando elcumplimiento de la Ley 81 de 2019 de Panamá y la Data Protection Law 2017 de Islas Caimán.
Esta política es aplicable a nivel local e internacional, incluyendo aquellos países donde Towerbank International Inc. y Subsidiarias opere o transfiera datos personales conforme a acuerdos contractuales y regulaciones vigentes.
La organización tendrá la responsabilidad de velar por la adecuada implementación de controles en marcado al lineamiento de mejores prácticas en conformidad con los lineamientos que establece el modelo referencial ISO 27,001 en materia del “Sistema de Gestión de Seguridad dela Información” y el Acuerdo 01-2022 “Que establece lineamientos especiales para la protección de datos personales tratados por las entidades bancarias”.
Panamá:
a. Marco Normativo (art. 2 Decreto Ejecutivo 285)
b. Términos y definiciones (art. 4 Decreto Ejecutivo 285, art. 4 Acuerdo 1-2022)
c. Contenido del aviso de privacidad (art. 14 Decreto Ejecutivo 285)
d. Plazos para facilitar la información (aviso de privacidad) (art. 15 Decreto Ejecutivo 285)
e. Forma para facilitar la información (aviso de privacidad) (art. 16 Decreto Ejecutivo 285)
f. Revocación del consentimiento (art. 19 Decreto Ejecutivo 285)
g. Disposiciones generales sobre ejercicio de los derechos de los titulares de los datos (art. 21 Decreto Ejecutivo 285)
h. Identificación de la información solicitada. (art. 25 Decreto Ejecutivo 285)
i. Ejercicio derechos ARCO (artículos 26, 27, 28, 29, 30 y 31 del Decreto Ejecutivo 285)
j. Condiciones de licitud para el tratamiento (art. Decreto Ejecutivo 285)
k. Limitaciones al ejercicio de los derechos (art. 31 Decreto Ejecutivo 285)
l. Forma para facilitar la información (solicitud de acceso) (art. 16 Decreto Ejecutivo 285)
m. Entrega de información a la autoridad judicial competente (art. 24 Decreto Ejecutivo 285)
n. Deber de confidencialidad. (art. 34 Decreto Ejecutivo 285)
o. Registro de las bases de datos. (art. 35 Decreto Ejecutivo 285)
p. Seguridad de los datos personales (art. 36 Decreto Ejecutivo 285)
q. Notificación de violaciones de la seguridad de los datos personales (art. 37 Decreto Ejecutivo 285)
r. Documentación de las violaciones de la seguridad de los datos personales. (art. 38 Decreto Ejecutivo 285)
s. Condiciones para las transferencias extra fronterizas de datos. (art. 51 Decreto Ejecutivo 285)
t. Procedimientos para recibir y responder solicitudes y reclamaciones de los titulares de los datos. (art. 18 y 19 del Acuerdo 1-2022)
u. Reclamos ante la Superintendencia de Bancos (art. 27, Acuerdo 1-2022)
Isla Caimán:
a. Objeto de la Ley (Art. 1)
b. Ámbito de Aplicación (Art. 2)
c. Definiciones (Art. 3)
d. Principios Generales (Art. 4)
e. Derecho de Información (Art. 5)
f. Derecho de Acceso (Art. 6)
g. Derecho de Rectificación (Art. 7)
h. Derecho de Supresión o Cancelación (Art. 8)
i. Derecho a la Limitación del Tratamiento (Art. 9)
j. Derecho a la Portabilidad de los Datos (Art. 10)
k. Derecho a Oponerse al Tratamiento (Art. 11)
l. Base Legal para el Tratamiento (Art. 12)
m. Medidas de Seguridad (Art. 13)
n. Notificación de Brechas de Seguridad (Art. 14)
o. Reglas Generales de Transferencia Internacional (Art. 15)
p. Autoridad de Supervisión (Art. 16)
q. Sanciones y Responsabilidades (Art. 17)
Towerbank International Inc. y subsidiarias, mantendrá la responsabilidad de atender lo pactado en conformidad a las mejores prácticas de Seguridad de la Información, Ciberseguridad y Protección de Datos Personales que prevengan cualquier tipo impacto a nivel estratégico,operativo o reputacional a Towerbank Intl y/o subsidiarias o a sus clientes.
Towerbank International Inc. y subsidiarias, ofrece a sus clientes una diversidad de productos y servicios en miras de generar experiencias de negocio, manteniendo premisas de integridad,confidencialidad, disponibilidad y seguridad de datos. En este sentido, Towerbank International Inc. y Subsidiarias, con el compromiso de velar por mejores prácticas en materia de Seguridad dela Información, Ciberseguridad y Protección de Datos, manifiesta su postura de mantener una sana práctica de implementación de medidas de control aplicables de Seguridad de Información,Ciberseguridad y Protección de Datos Personales.
Aplicabilidad de buenas prácticas Internacionales como medidas de acción de control interno exigidas por la Ley PDP Towerbank International Inc. y sus subsidiarias garantizarán la aplicación de los lineamientos exigidos por la Ley de Protección de Datos Personales, adoptando medidas de control que permitan mitigar la exposición a riesgos asociados al tratamiento de información sensible dentro de la organización.Para ello, la entidad se basará en un modelo referencial de mejores prácticas internacionales,incorporando estándares reconocidos en Seguridad de la Información, como la norma ISO 27001.Siguiendo estos lineamientos en Seguridad de la Información, Ciberseguridad y Protección de Datos Personales, Towerbank International Inc. y sus subsidiarias establecerán directrices de control interno aplicables a los procesos operativos relacionados con el tratamiento de información sensible. Asimismo, implementarán medidas de control y gestión administrativa en conformidad con lo establecido en la Ley de Protección de Datos Personales, el Acuerdo 001-2022 de la Superintendencia de Bancos de Panamá y la Ley de Protección de Datos de las Islas Caimán.El objetivo prioritario es garantizar el cumplimiento de los principios fundamentales que rigen la protección de datos personales, tales como lealtad, finalidad específica, proporcionalidad,veracidad, exactitud, minimización de datos, seguridad de la información, transparencia,confidencialidad, licitud, portabilidad, equidad y limitación del almacenamiento.
Permite al titular obtener sus datos personales que se encuentren almacenados o sujetos a tratamiento en bases de datos, además de conocer el origen y la finalidad para los cuales han sido recabados.Viabilidad de Acceso a suministro de información: En el evento que el cliente solicite información sobre sus datos personales, la organización deberá brindarle a su requerimiento la información establecida en el artículo 24 del Decreto Ejecutivo No. 285 del 2021, que comprende los siguientes aspectos:
• Los fines del tratamiento;
• Las categorías de datos personales de que se trate;
• Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales;
• Plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
• El derecho al ejercicio de la rectificación o cancelación de datos personales, o a oponersea dicho tratamiento, o a la portabilidad de los datos;
• Cualquier información de su origen cuando no haya sido proporcionada por el cliente.
• La existencia de decisiones automatizadas, incluida la elaboración de perfiles a que se refiere la Ley No. 81 de 2019.
En tal caso, información significativa de la lógica aplicada,así como la importancia y las consecuencias previstas de dicho tratamiento para el titular.
No viabilidad de derecho de Acceso: El derecho de Acceso no aplicará en los siguientes casos:
• Cuando el solicitante no sea el titular de los datos personales, o el representante no esté debidamente autorizado para ello;
• Cuando en la base de datos o en la del custodio de la base de datos, no se encuentren los datos personales del cliente;
• Cuando se configure alguna de las limitaciones establecidas en el artículo 31 del Decreto Ejecutivo 285 del 2021, o cualquier otra disposición legal o las normas que la desarrollen,cuando apliquen.
Permite al titular solicitar la corrección de sus datos personales que sean incorrectos, irrelevantes,incompletos, desfasados, inexactos, falsos o impertinentes.
Nota: Los datos deberán ser modificados cuando sean erróneos, inexactos, equívocos o incompletos dentro de un término de cinco días hábiles siguientes a la solicitud de modificación,y en su defecto Towerbank en conformidad con la Ley 81 de Protección de Datos Personales,podrá proceder a la eliminación, modificación o bloqueo de los datos personales sin necesidad de requerimientos del titular, cuando existan pruebas de inexactitud de dichos datos.
En conformidad con el Acuerdo 01 2022 de la Superintendencia de Bancos de Panamá, una vez presentada la solicitud por el cliente o su representante autorizado, en la cual se indiquen los datos específicos a que se refiere y la acción de rectificación a realizar, y siempre que la acompañe con la documentación que sustente la inexactitud de los datos, se analizará la solicitud en medida de proceder con su corrección.
Towerbank International Inc., y subsidiarias podrá aplicar medidas razonables para proceder a la rectificación de los datos personales sin el requerimiento del cliente, cuando exista prueba de la inexactitud de los datos de conformidad con el principio de exactitud.
No viabilidad de rectificación: El derecho de Rectificación no aplicará en los siguientes casos:
• Cuando se configure alguna de las limitaciones establecidas en el artículo 31 del Decreto Ejecutivo No. 285 de 2021, así como en cualquier otra disposición legal o la norma que la desarrolle, cuando apliquen.
• Cuando ya haya sido previamente realizada
Permite al titular solicitar la eliminación de sus datos personales incorrectos, irrelevantes,incompletos, desfasados, inexactos, falsos o impertinentes.
Nota: Sin perjuicio de las excepciones legales, el titular tendrá derecho a exigir que se eliminen sus datos personales cuando su almacenamiento carezca de fundamento legal, cuando no hayan sido expresamente autorizados o cuando estuvieran caducos. Se bloquearán los datos personales cuya exactitud no puede ser establecida o cuya vigencia sea dudosa y respecto de los cuales no corresponda la cancelación. En este caso, serán bloqueados para acceso a terceros o para evitar su uso en otros fines que no hayan sido los expresamente autorizados.
Viabilidad de Cancelación: Se aplicarán las medidas de las cuales el cliente haya solicitado la supresión o eliminación de sus datos personales bajo las siguientes condiciones:
• Cuando los datos personales ya no sean necesarios en relación con los fines para lo cual fueron recogidos o tratados;
• Cuando el cliente retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico;
• Cuando el cliente se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento;
• Cuando los datos personales deban suprimirse para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento;
• Cuando la operación con el potencial cliente no llegara a perfeccionarse o a concluirse;
• Cuando se haya culminado o cumplido la relación contractual con el cliente y haya transcurrido el plazo legal para su conservación según lo que establecen las leyes y regulaciones vigentes;
No viabilidad de Cancelación: El derecho de cancelación no se aplicará en las circunstancias siguientes:
• Cuando deban ser conservados o tratados para el cumplimiento de una disposición bancaria u otra disposición legal;
• Cuando el transcurrido el plazo legal para su conservación exista una disposición especial que establezca otro plazo legal de conservación;
• Cuando transcurrido el plazo legal para su conservación, medie un interés legítimo del banco para su conservación;
• Cualquiera otra circunstancia que basada en un motivo legítimo requiera de su conservación, siempre que no prevalezca los derechos del titular de datos;
• Cuando se configura alguna de las limitaciones establecidas en el artículo 31 del Decreto Ejecutivo No. 285 de 2021, así como en cualquier otra disposición legal o la norma que la desarrolle, cuando apliquen.
• Cuando la cancelación haya sido previamente realizada.
Permite al titular, por motivos fundados y legítimos relacionados con una situación en particular,negarse a proporcionar sus datos personales o a que sean objeto de determinado tratamiento, así como a revocar su consentimiento.
Viabilidad de Oposición: Se aplicarán las medidas de las cuales el cliente haya solicitado bajo las siguientes condiciones establecidas:
• Cuando los datos sean tratados para fines distintos del determinado o sean incompatibles con los mismos;
• Cuando el tratamiento tenga fines de comercialización o mercadeo;
• Cuando los datos no sean necesarios en relación con la operación, servicio o producto aprestar o no corresponda a requerimientos regulatorios.
No viabilidad a la Oposición: El derecho de oposición no aplicará, en los siguientes casos:
• Cuando la información sea necesaria para la celebración o ejecución de un contrato y los servicios bancarios relacionados con la misma.
• Los demás casos dispuesto por Ley o la regulación bancaria.
• Cuando se configure alguna de las limitaciones establecidas en el artículo 31 del Decreto Ejecutivo No. 285 de 2021, así como en cualquier otra disposición legal o la norma que le desarrolle cuando apliquen.
Nota: en caso de que el cliente revoque su consentimiento al tratamiento o a un determinado tratamiento, la organización deberá dejar de tratar los datos personales, salvo que exista una condición de licitud o motivo legítimo para el tratamiento que prevalezca sobre su derecho de oposición. La revocación del consentimiento por parte del cliente o su representante no tendrá efectos retroactivos y, no afectará la licitud del tratamiento basado en el consentimiento previo.
Derecho a obtener una copia de los datos personales de manera estructurada, en un formato
genérico y de uso común, que permita ser operado por distintos sistemas y/o transmitirlos a otro responsable, cuando:
• El titular haya entregado sus datos directamente al responsable.
• Sea un volumen relevante de datos, tratados de forma automatizada.
• El titular haya dado su consentimiento para el tratamiento o se requiera para la ejecución o el cumplimiento de un contrato.
Viabilidad de la Portabilidad: Se aplicarán las medidas de las cuales el cliente haya solicitado bajo las siguientes condiciones establecidas:
• Cuando el cliente haya facilitado sus datos directamente al banco responsable;
• Que el tratamiento de datos se efectúe por medios automatizados, es decir por medios digitales o tecnológicos;
• Sea un volumen relevante de datos;
• El cliente haya dado su consentimiento para el tratamiento de datos o esté basado en un contrato.
No viabilidad de la Portabilidad: El derecho de portabilidad no aplicará, en los siguientes casos:
• Cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el banco con base en los datos personales proporcionados por el cliente;
• Cuando afecte los derechos de terceros y los derechos y libertades de otros titulares de los datos.
El suministro de información, la modificación, bloqueo o la eliminación de los datos personales será absolutamente gratuito y deberá proporcionarse, a solicitud del titular de los datos o quien lo represente, constancia de la base de datos actualizada en lo concerniente. No obstante,Towerbank International Inc., y Subsidiarias, en pleno conocimiento de lo exigido en la Ley 81 de Protección de Datos Personales, se abstendrá de atender cualquier tipo de solicitud de información, rectificación, cancelación o bloqueo de datos personales cuando ello impida o entorpezca el debido trámite dentro de un proceso administrativo o judicial o por seguridad del Estado, o cuando se requiera mantener datos personales almacenados por mandato legal fuera de los casos establecidos en leyes especiales que les aplique.
Towerbank como organización responsable, velará por las medidas aplicables que garanticen a los titulares de los datos personales el ejercer estos derechos, los cuales son irrenunciables, salvo las excepciones establecidas que estipulen leyes especiales.
Condiciones y Formalidades para el Tratamiento
En conformidad con el acuerdo 1-2022 de la Superintendencia de Bancos de Panamá, todo tratamiento de datos personales ejecutado por el banco estará sujeto al consentimiento previo,informado e inequívoco del titular de los datos o de su representante autorizado, salvo las excepciones antes indicadas en esta política.
En consecuencia, cuando el tratamiento se base en el consentimiento, el mismo deberá manifestarse por escrito, o por cualquier otro medio electrónico que garantice la identidad del titular de los datos personales a manera que exista certeza sobre su identidad que la identifique o la haga identificable. En caso de que el consentimiento se obtenga a través de medios electrónicos, el banco se asegurará de cumplir con los requerimientos que establecen los Acuerdos Bancarios y las leyes especiales sobre la materia. Como medida de gestión administrativa la organización dispondrá:
• De todos los medios y procedimientos adecuados para el otorgamiento efectivo y eficaz del consentimiento, los cuales serán de fácil comprensión, acceso, gratuitos y debidamente identificados.
• De una declaración escrita de forma comprensible, de fácil acceso y utilizando lenguaje claro y sencillo, a fin de que conste el consentimiento otorgado para cada cliente.
• Mecanismos que permitan demostrar con certeza el consentimiento otorgado por el cliente y que el mismo ha sido otorgado adecuadamente para el tratamiento de sus datos personales. En caso de utilizar medios electrónicos o tecnológicos deberá cumplir los requerimientos para su validez, así como los demás controles de seguridad establecidos en los Acuerdos bancarios.
Como medida de transparencia Towerbank International Inc., y subsidiarias recabará siempre toda información de datos personales de fuentes fidedignas. En aquellos casos que la fuente de obtención de los datos personales provenga de otro responsable del tratamiento de datos domiciliado en la República de Panamá, la Organización se asegurará que el cliente haya dado su consentimiento previo para tales fines. En el caso que la información provenga o se recolecte de fuentes públicas o accesibles en medios públicos, no se requerirá la autorización o el consentimiento por parte del cliente, para el tratamiento de sus datos.En conformidad con el Artículo 12, del Acuerdo 1-2022, se considerará fuentes de acceso público la información de datos personales obtenida a través de medios de comunicación, ya sean los medios tradicionales o medios digitales como redes sociales (Ejemplo: Twitter, Facebook, Instagram entre otras).
Towerbank International Inc., y subsidiarias no requerirá del consentimiento o autorización del cliente para el tratamiento de datos personales, en los supuestos indicados en el artículo 111 dela Ley Bancaria y los Acuerdos que la desarrollan.Adicionalmente, en cumplimiento del artículo 8 de la Ley No. 81 de 2019 y del artículo 17 del Decreto Ejecutivo No. 285 de 28 de mayo de 2021, no se requerirá autorización o consentimiento para el tratamiento de los datos personales, en los siguientes casos:
• Para aquellos tratamientos de carácter bancario que cuenten con el consentimiento previo;
• Cuando sea necesario para la aplicación y ejecución de contratos bancarios en los que el cliente sea parte o tenga interés;
• Para aquellos tratamientos cuya finalidad sea la de preservar la seguridad de las personas y las instalaciones del banco;
• Cuando el tratamiento sea necesario para la debida administración y gestión de los distintos riesgos bancarios;
• Cuando sea necesario para el cumplimiento de requerimientos u obligaciones exigidas por la normativa bancaria;
• Cuando los datos sean utilizados o compartidos por el banco con la propietaria de acciones bancarias, subsidiarias u otra sociedad del grupo bancario para el ejercicio delas funciones propias de la entidad bancaria, siempre que no sea para fines de mercadeo;
• Cuando el tratamiento de datos sea necesario para el cumplimiento de los requerimientos establecidos por la Superintendencia de Bancos para el intercambio de información con otros organismos de supervisión financiera;
• Cuando el tratamiento este basado en un interés legítimo del banco derivado de la relación o vínculo existente con el cliente, por razón del un servicio o producto bancario;
• Cuando el tratamiento sea necesario para la transferencia, comunicación o interconexión de los datos personales a un custodio de bases de datos, a un proveedor de servicios bancarios o a terceros para la gestión de la relación contractual Banco-Cliente, siempre que sea relacionado con la prestación de un servicio o producto bancario y de mercadeo.
• Los demás tratamientos establecidos por la Ley y las normativas relacionadas.
Nota importante: La remisión al cliente de comunicación de carácter publicitario, comercial o de mercadeo sobre productos y servicios bancarios u otras análogas requerirá de su consentimiento,previo, informado e inequívoco.
Towerbank International Inc. y Subsidiarias garantizará que la conservación de los datos personales se realice conforme a las regulaciones aplicables en cada jurisdicción:
• Panamá:
De acuerdo con la Ley 81 de 2019 sobre Protección de Datos Personales, los datos personales serán conservados únicamente por el tiempo necesario para cumplir con la finalidad para la que fueron recolectados. No obstante, en cumplimiento con regulaciones financieras y fiscales, los datos podrán conservarse por un período mínimo de 5 años tras la finalización de la relación contractual con el titular.
• Islas Caimán:
Conforme a la Data Protection Law 2017, los datos personales deben conservarse solo por el tiempo estrictamente necesario para cumplir con el propósito original del tratamiento. Sin embargo, en el sector financiero, las entidades reguladas por la Cayman Islands Monetary Authority (CIMA) deben retener ciertos datos por un período mínimo de 5 años después de la finalización de la relación contractual, encumplimiento con regulaciones internacionales de la FATF (Financial Action Task Force)y normativas de prevención de lavado de dinero.
En miras de velar el cumplimiento de las disposiciones establecidas en el Acuerdo 1-2022 en cuanto a la Protección de Datos Personales y The Data Protection Law, 2017 de Isla Caimán,Towerbank International Inc., y subsidiarias se asegurará de aplicar los lineamientos contemplados en la regulación sobre Gobierno Corporativo emitida por la Superintendencia de Bancos de Panamá y Cayman Islands Monetary Authority (CIMA), en lo que respecta al Sistema de Control Interno.Asimismo, se han establecido formularios que ayudarán a colaboradores y clientes a gestionar sus solicitudes y derechos en relación con la protección de sus datos personales.
Towerbank International Inc. y Subsidiarias implementará indicadores de cumplimiento para garantizar la correcta gestión de los datos personales, asegurando que sean medibles y auditable:
• Derechos ARCO
▪ Tiempo de respuesta a solicitudes ARCO: 100% de las solicitudes de acceso, rectificación, cancelación y oposición deberán ser atendidas en un máximo de 30 días hábiles.
▪ Cantidad de solicitudes ARCO procesadas: Se registrará mensualmente el volumen y tipo de solicitudes gestionadas.
• Seguridad y Gestión de Brechas de Datos
▪ Número de incidentes de seguridad reportados: Se documentará cada incidente relacionado con datos personales.
▪ Tiempo de detección y respuesta ante una brecha: Identificación en un máximo de 24 horas y notificación en un plazo no mayor a 72 horas.Aplicable para el tratamiento en Panamá e Isla Caimán.
▪ Porcentaje de empleados capacitados en protección de datos: 100% del personal deberá completar formación anual sobre protección de datos personales. se medirá, con las capacitaciones.
• Evaluaciones y Auditorías de Cumplimiento
▪ Número de auditorías realizadas: Se ejecutará al menos una auditoría anual interna o externa para verificar el cumplimiento de la normativa aplicable.
▪ Nivel de cumplimiento en auditorías: Se espera un cumplimiento mínimo del 90% sin hallazgos críticos.
▪ Número de hallazgos de incumplimiento y su resolución: Todos los hallazgos deberán cerrarse en los plazos establecidos en los planes de acción correctiva.
• Conservación y Eliminación de Datos
▪ Porcentaje de eliminación de datos fuera del periodo de retención: 100%de los datos personales deben eliminarse o anonimizarse una vezcumplido el plazo de retención definido.
▪ Revisión periódica de bases de datos: Se realizará una revisión anual para verificar el cumplimiento de los períodos de retención y eliminación de datos.
• Gestión de Transferencias de Datos
▪ Cantidad de transferencias internacionales de datos autorizadas: Se llevará un registro de las transferencias realizadas conforme a la normativa vigente.▪ Cumplimiento de contratos con cláusulas de protección de datos: 100% de los contratos con proveedores y terceros deberán incluir cláusulas de privacidad y seguridad de datos.
Estos indicadores serán revisados de manera semestral por el Comité de Seguridad de la Información, asegurando la implementación de medidas correctivas y el cumplimiento efectivo dela legislación aplicable.
• Datos Personales: Cualquier información que permite identificar directa o indirectamentea una persona natural.
• Datos Sensibles: Información personal que revela origen racial o étnico, opinionespolíticas, creencias religiosas o filosóficas, afiliación sindical, datos de salud o vida sexual.
• Titular de los Datos: Persona natural a quien pertenecen los datos personales que sonobjeto de tratamiento.
• Tratamiento de Datos: Cualquier operación realizada sobre datos personales, incluyendola recopilación, almacenamiento, uso, transferencia o eliminación.
• Consentimiento: Autorización previa, informada e inequívoca del titular de los datos parasu tratamiento.
• Derechos ARCO: Conjunto de derechos que incluyen Acceso, Rectificación, Cancelacióny Oposición al tratamiento de los datos personales.
• Derecho de Acceso: Permite al titular conocer si sus datos están siendo tratados, así comosu origen y finalidad.
• Derecho de Rectificación: Derecho del titular a solicitar la corrección de datos incorrectoso desactualizados.
• Derecho de Cancelación: Derecho a solicitar la eliminación de datos personales cuandoya no sean necesarios o se haya revocado el consentimiento.
• Derecho de Oposición: Facultad del titular para impedir el tratamiento de sus datos pormotivos legítimos.
• Derecho a la Portabilidad: Derecho a recibir los datos personales en un formatoestructurado y común, para transferirlos a otro responsable de tratamiento.
• Encargado del Tratamiento: Persona o entidad que trata los datos personales por cuentadel responsable del tratamiento.
• Responsable del Tratamiento: Persona o entidad que decide sobre la finalidad y mediosdel tratamiento de los datos personales.
• Aviso de Privacidad: Documento que informa a los titulares sobre el tratamiento de susdatos personales y sus derechos.
• Base de Datos: Conjunto organizado de datos personales tratados por un responsable oencargado.
• Medidas de Seguridad: Controles técnicos y organizativos aplicados para proteger losdatos personales contra accesos no autorizados, pérdida o destrucción.
• Violación de Datos Personales: Cualquier incidente que comprometa la confidencialidad,integridad o disponibilidad de los datos personales.
• Transferencia Internacional de Datos: Movimiento de datos personales fuera del país,sujeto a regulaciones específicas.
• Confidencialidad: Principio que obliga a proteger los datos personales de accesos noautorizados.
• Minimización de Datos: Principio que establece que solo deben recopilarse los datosestrictamente necesarios para la finalidad declarada.
• Limitación del Almacenamiento: Restricción que impide conservar los datos personalespor más tiempo del necesario para su finalidad.• Decisión Automatizada: Evaluación de datos personales mediante algoritmos sinintervención humana.
• Superintendencia de Bancos de Panamá (SBP): Entidad reguladora que supervisa laprotección de datos personales en entidades bancarias en Panamá.
• ISO 27001: Estándar internacional para la gestión de la seguridad de la información.
• Ley 81 de Protección de Datos Personales: Legislación de Panamá que regula eltratamiento de datos personales.
• Data Protection Law (DPL): Ley de Protección de Datos Personales en Islas Caimán.
• Interés Legítimo: Justificación legal para el tratamiento de datos sin necesidad deconsentimiento, siempre que no prevalezcan los derechos del titular.