Protección de Datos.

1. Compromiso institucional

DIGITAL RESET, vertical de Reset Corp (en adelante, la "Firma"), reconoce la protección de datos personales como un derecho fundamental de las personas y como una obligación profesional indelegable. Esta Política establece el marco institucional sobre el que la Firma diseña, implementa y supervisa el tratamiento de los datos personales que recibe en el desarrollo de su actividad.

Por la naturaleza de los servicios de arquitectura tecnológica empresarial que presta la Firma, sus profesionales acceden de forma habitual a sistemas de información de clientes que contienen datos personales. La Firma asume este acceso como una responsabilidad técnica y ética que debe ejercerse con disciplina, trazabilidad y respeto absoluto a la legislación aplicable.

2. Marco legal aplicable

Esta Política está alineada con el siguiente marco normativo de la República de Panamá:

• Ley 81 de 26 de marzo de 2019, sobre Protección de Datos Personales.
• Decreto Ejecutivo 285 de 28 de mayo de 2021, que reglamenta la Ley 81 de 2019.
• Resoluciones y guías emitidas por la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI).
• Disposiciones sectoriales aplicables a clientes de la Firma que operen en sectores supervisados.

Cuando la Firma presta servicios a clientes en jurisdicciones distintas a la República de Panamá, también considera el marco legal aplicable en dichas jurisdicciones, incluido el RGPD cuando sea relevante.

3. Principios rectores

El tratamiento de datos personales en la Firma se rige por los siguientes principios:

• Licitud, lealtad y transparencia: todo tratamiento cuenta con una base legal explícita, se realiza de forma leal hacia el titular y se documenta de manera transparente.
• Limitación de la finalidad: los datos se tratan únicamente para las finalidades específicas, explícitas y legítimas declaradas al momento de la recolección.
• Minimización: la Firma recolecta y trata únicamente los datos adecuados, pertinentes y limitados a lo estrictamente necesario.
• Exactitud: la Firma adopta medidas razonables para que los datos sean exactos y estén actualizados.
• Limitación del plazo de conservación: los datos se conservan por el tiempo necesario y se eliminan o anonimizan al vencer los plazos definidos.
• Integridad y confidencialidad: la Firma protege los datos mediante medidas técnicas y organizativas razonables y proporcionales al riesgo.
• Responsabilidad proactiva: la Firma asume la responsabilidad de cumplir con los principios anteriores y de poder demostrar dicho cumplimiento.

4. Estructura organizacional para la protección de datos

4.1 Responsable de Protección de Datos

La Firma designa un Responsable de Protección de Datos (RPD) cuya función es supervisar el cumplimiento de esta Política, atender las solicitudes de los titulares, coordinar con la autoridad de control cuando sea necesario, y mantener actualizado el inventario de tratamientos. El RPD reporta directamente al Socio responsable del área Comercial y Administrativo.

4.2 Equipo técnico

El equipo técnico que ejecuta proyectos para clientes recibe formación periódica sobre buenas prácticas de protección de datos, tratamiento de información sensible y procedimientos en caso de incidente. Cada miembro del equipo asume el compromiso de confidencialidad como condición de su vinculación con la Firma.

4.3 Encargados del tratamiento

La Firma utiliza proveedores tecnológicos que actúan como encargados del tratamiento bajo contrato escrito que establece las finalidades del tratamiento, las medidas de seguridad exigidas y el deber de confidencialidad.

5. Categorías de datos tratados

La Firma trata las siguientes categorías de datos personales:

• Datos de identificación y contacto profesional de visitantes del sitio web, prospectos comerciales y representantes de clientes.
• Datos de los miembros del equipo profesional de la Firma, en el contexto de la relación laboral o de prestación de servicios.
• Datos contenidos en sistemas de información de clientes a los que la Firma accede en el marco de proyectos contratados, sujeto a las cláusulas específicas del contrato profesional.
• Datos de proveedores y aliados comerciales de la Firma.

La Firma evita, cuando es técnicamente posible, el acceso a categorías especiales de datos personales. Cuando dicho acceso resulta inevitable, se aplican medidas reforzadas de control de acceso, registro de actividad y confidencialidad.

6. Medidas técnicas y organizativas

6.1 Medidas técnicas

• Control de acceso por usuario individual a los sistemas internos de la Firma.
• Autenticación multifactor para sistemas que tratan información sensible.
• Cifrado de comunicaciones (HTTPS/TLS) y de credenciales en reposo.
• Copias de respaldo periódicas y verificación de su recuperabilidad.
• Monitoreo de actividad y registro de auditoría sobre los sistemas críticos.
• Actualizaciones de seguridad regulares en los sistemas operativos y aplicaciones.
• Segregación de ambientes de desarrollo, pruebas y producción.

6.2 Medidas organizativas

• Política de acceso a información clasificada por necesidad de conocimiento.
• Acuerdos de confidencialidad con todo el personal y con todos los proveedores.
• Capacitación periódica del equipo en protección de datos y seguridad de la información.
• Inventario actualizado de los tratamientos de datos personales que opera la Firma.
• Procedimientos documentados para atender solicitudes de los titulares.

7. Procedimiento ante incidentes de seguridad

La Firma cuenta con un procedimiento documentado para responder ante incidentes que afecten la confidencialidad, integridad o disponibilidad de datos personales:

1. Detección y registro inicial del incidente.
2. Contención inmediata para limitar el alcance.
3. Análisis de causa raíz y evaluación del riesgo para los titulares.
4. Notificación a la ANTAI, cuando el incidente represente un riesgo significativo, dentro de los plazos establecidos por la legislación.
5. Notificación a los titulares afectados, cuando corresponda.
6. Implementación de medidas correctivas y de prevención de recurrencia.
7. Documentación interna del incidente y de las medidas adoptadas.

8. Derechos del titular

Toda persona cuyos datos personales sean tratados por la Firma puede ejercer los derechos previstos en la Ley 81 de 2019: acceso, rectificación, cancelación, oposición y portabilidad. Los titulares también tienen derecho a no ser objeto de decisiones automatizadas con efectos jurídicos significativos sin intervención humana.

El detalle del procedimiento para ejercer estos derechos se encuentra en la Política de Privacidad de la Firma.

9. Auditoría y revisión

Esta Política se revisa al menos una vez al año, o antes cuando ocurran cambios normativos relevantes, cambios sustanciales en los servicios de la Firma o incidentes que justifiquen una revisión anticipada. Las revisiones quedan documentadas y la Política se actualiza con nuevo número de versión y fecha de vigencia.

La Firma puede contratar auditorías externas sobre su sistema de protección de datos cuando lo considere oportuno o cuando un cliente lo requiera contractualmente.

10. Vigencia y contacto

Esta Política de Protección de Datos entra en vigencia en la fecha indicada en la portada del documento. Su aplicación es obligatoria para todos los socios, miembros del equipo profesional y proveedores de la Firma.

Para consultas o solicitudes relacionadas con esta Política: legal@digitalreset.io · C.C. Plaza Paitilla, P.B. Oficina 25. Panamá, Rep. de Panamá.