Carlos Torres y Torres Lara 1942 2000 Alonso Morales Acosta Carlos Torres Morales Rafael Torres Morales Juan Carlos Benavente Teixeira Miguel Angel Torres Morales Sylvia Torres de Ferreyros Indira Navarro Palacios Percy Huaroc LLaja Enory Okuma Fullita Mauricio Paredes Contreras Britta Olsen de Torres Juan Ricardo Lay Ferrato Carlos Amorin Sepúlveda Fernando Nakaya Vargas Machuca Maribel Castillo Wong Helmuth Quezada Bolzmann Cynthia Conde López Ailyn Pun Lay Moscaiza Ernesto Alonso Naveda Cavero Katty Deborah Avalos Núñez Juan Carlos Mendoza Beltrán Renzo Medina Vassallo Karina Seminario Coronado Erika Abad Realpe Guadalupe Montenegro Ruiz Joaquín Chávez Hurtado Elizabeth Salas Cabrejos Carolina Montero Flores Daniel Mejía Acosta Ralph Sánchez Yaringaño Kaori Kamichi Miyashiro María del Rosario Barriga Escalante Manuel Chong Tello Johana Benites Iriarte Lima, 14 de julio de 2015 Consultores Externos: Gonzalo Chávez Hurtado Jorge Juan Freyre Paulet Jorge Granados Velarde Jaime Li Ojeda Fabiola Oviedo Candela Miguel Rostagno Flores Robert K. Slattery Roberto Yumi Yagui Señor; Jesús Martín Ocampos Mogollón STEVIA ONE PERÚ S.A.C. Presente.- De nuestra consideración: Por medio de la presente se les hace entrega de los siguientes documentos: 1. Informe Especial (recomendamos ponerlo en conocimiento de las gerencias y personas encargadas sobre el tratamiento de la información personal en la organización). 2. Compromiso documentado de respeto a los principios de la Ley. * Este documento tiene como objeto mostrar el compromiso de la empresa por cumplir con la normatividad legal vigente en materia de Protección de Datos Personales y los principios que la rigen. Este aviso debe ser colocado en un lugar visible en las oficinas de STEVIA ONE. Su obligatoriedad se encuentra prevista en el art. 16 de la Ley y según se indica en el numeral 2.1.2 de las Medidas de Seguridad Organizativas de la Directiva de Seguridad establecida por la Autoridad Nacional de Protección de Datos Personales (APDP). 3. Declaración de Consentimiento * Este documento tiene como objeto recabar el consentimiento de los trabajadores de la empresa para tratar sus datos personales. Deberá constar como anexo en los contratos a firmar por los trabajadores. Deberá ser firmado
Página 2 de 6 por éstos al momento de ingresar a laborar a la institución, y deberá ser suscrito por los trabajadores que ya se encuentren laborando. Su obligatoriedad nace a fin de cumplir con los arts. 5, 16 y 18 de la Ley y los arts. 7, 11, 12 y 14 del Reglamento de la Ley. 4. Política de Privacidad Aviso Legal de Protección de Datos Personales. * Este documento tiene como objeto poner en conocimiento del público en general que la empresa respeta la privacidad, el secreto y la seguridad de los Datos Personales que se encuentran en el banco de datos personales que ésta maneja. Debe entenderse como una forma de cumplimiento del deber de información. En ese sentido, dado que en su página web cuentan con dos canales de captación por parte del mismo titular de la información se tendrá que implementar un recuadro, en cada caso, con el siguiente mensaje antes del botón SEND : 1) Caso Contact Us ( http://www.steviaone.com/index.php/en/contactform ) I accept the privacy policy
Página 3 de 6 2) Caso Work with us ( http://www.steviaone.com/index.php/en/work-with-us ) I accept the privacy policy Posteriormente, en cada caso, se tendrá que abrir un link en el texto resaltado (privacy policy) donde se visualice el contenido del documento denominado Aviso Legal Política de Privacidad. Su obligatoriedad nace a fin de cumplir con los arts. 16 y 18 de la Ley y el art. 13 del Reglamento de la Ley. 5. Manual Procedimiento de Atención de solicitudes para el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). * Este Manual tiene como objeto dar a conocer a los titulares de los datos personales el procedimiento que deben seguir en caso quieran ejercer sus derechos ARCO ante la empresa.
Página 4 de 6 Este Manual debe estar en soporte físico (a fin de que esté al alcance de los trabajadores) y en soporte virtual (a fin de que se pueda acceder a él a través de la web de la empresa). Su obligatoriedad se encuentra prevista en el art. 53 del Reglamento y cumple con las disposiciones del Capítulo I del Título IV del Reglamento de la Ley. 6. Solicitud de ejercicio de los derechos ARCO (Formulario N 1) * Este documento tiene como objeto facilitarle al titular de los datos personales el ejercicio sus derechos ARCO. Aquí, el solicitante llenará su información básica, el derecho que va a ejercer y fundamentará su petición. Aplica para trabajadores y socios/clientes. Esta solicitud debe estar en soporte físico y en soporte virtual (en la web). Su obligatoriedad nace a fin de cumplir con las disposiciones del Capítulo I del Título IV del Reglamento de la Ley. 7. Compromisos de Confidencialidad: - Del Titular del Banco de Datos Personales (BDP). - Del Responsable de Seguridad. - Del usuario trabajador. * Estos documentos configuran medidas de seguridad de carácter legal que garantizan la seguridad de los datos personales y evitan su alteración, pérdida, tratamiento o acceso no autorizado, además de reconocer exactamente a la persona que accede o realiza tratamiento sobre los datos recopilados en el banco de datos personales. Estos documentos deben ser firmados por los sujetos que intervengan en el tratamiento de los datos personales, según se indica en el documento señalado en el punto 10 - Manual Organizativo de Seguridad. Su obligatoriedad está prevista en los arts. 16 y 17 de la Ley. 8. Cláusula de Confidencialidad contratos con terceros. * Esta cláusula deberá entenderse como una adecuación de los contratos con terceros, por lo cual deberá estar incluida en todo contrato que se celebre con otra parte que tenga acceso o realice un tratamiento de la información contenida en el banco de datos personales de la empresa; a fin de que
Página 5 de 6 respeten los derechos fundamentales del titular de los datos personales y las disposiciones de la Ley. Su obligatoriedad nace a fin de cumplir con lo dispuesto en el numeral 13.1 del art. 13 de la Ley. 9. Declaración Jurada Outsourcing * Estas declaraciones se han elaborado para ser suscritas por el outsourcing contable, informático y marketing online, de ser el caso, a fin de asegurar que éstos se encuentren en cumplimiento con la normativa de protección de datos personales y, del mismo modo, se responsabilicen frente a una posible vulneración de la información a la cual tienen acceso. 10. Manual Organizativo de Seguridad. * Este Manual tiene como objeto cumplir con el principio de seguridad establecido en la Ley. El Manual es un documento interno que describe las funciones de los intervinientes en el tratamiento de los datos personales. Asimismo, contiene medidas de seguridad organizativa que deben ser cumplidas por la empresa, a fin de adecuarse a la Ley. En ese sentido, como complemento a este Manual se han elaborado dos documentos organizativos denominados Registro de Control de Acceso para Banco No Automatizado y Registro de Incidentes y Problemas. El Manual se encontrará en soporte físico y virtual para uso exclusivo de los trabajadores de la empresa, a fin de que conozcan las medidas implementadas por la empresa en materia de protección de datos personales. Su obligatoriedad nace a fin de cumplir con los arts. 9 y 16 de la Ley y los arts. 41, 42, 43, 44, 45 y 46 del Reglamento. 11. Informe Técnico * En este documento se encuentra la evaluación realizada a los bancos de datos personales de titularidad de STEVIA ONE. Aquí se explica los motivos de la categorización de los bancos de datos personales, en razón de la Directiva de Seguridad de la información establecida por la Autoridad Nacional de Protección de Datos Personales.
Página 6 de 6 12. Medidas de Seguridad Técnicas a aplicar. * Este documento contiene una serie de directivas que debe cumplir e implementar STEVIA ONE de acuerdo a la categorización de los bancos señalados en Informe Técnico. Las medidas, como bien lo señala su nombre, tienen carácter de seguridad técnica y buscan que la empresa cuente con mecanismos que permitan el adecuado tratamiento y protección de los datos personales contenidos en el banco de datos personales de la empresa. En ese sentido, se deberá realizar una auditoría sobre el cumplimiento de este documento cada 6 meses y se archivará en un file denominado Registro de Auditorias. El responsable de seguridad de cada banco identificado en el Informe Técnico, es el encargado de su adecuación e implementación de estas directivas en los procesos internos de la empresa. 13. Formularios Con el objeto de dar inicio a la tercera fase de nuestra consultoría, necesitamos que luego de revisar los siguientes documentos y de encontrarse conforme con la información en ellos consignados, impriman 2 juegos de cada uno, lo firmen y nos lo hagan llegar en físico a nuestro domicilio conjuntamente de una caja chica ascendente a S/.300.00 (Trescientos con 00/100 Nuevos Soles). Con ello procederemos a inscribir los siguientes bancos de datos que hemos logrado identificar dentro de la consultoría contratada: 1. Trabajadores 2. Registro Compra de Pasajes 3. Proveedores 4. Registro imágenes trabajadores Sin otro particular, quedamos de usted. Atentamente. RAFAEL TORRES MORALES