01 730 4404
PIDE TU CITA

Política de Protección de Datos Personales

1. Objetivo

El Objetivo de la presente Política es proteger datos personales tratados por BOSTON SERVICIOS MEDICOS S.A.C. (en adelante BOSTON SERVICIOS MEDICOS) preservando la confidencialidad, disponibilidad e integridad de estos en cumplimiento al marco normativo dado por la Ley N° 29733, Ley de Protección de Datos Personales y su Reglamento, aprobado mediante DS 016-2024-JUS (en adelante, la “Normativa de Protección de Datos Personales”).

2. Alcance y usuario

La presente política aplica a todas las áreas de BOSTON SERVICIOS MEDICOS en Perú.

3. Abreviaturas y definiciones: 

3.1 Autoridad Nacional de Protección de Datos Personales (ANPDP):

Órgano del Ministerio de Justicia y Derechos Humanos encargado de supervisar, regular y garantizar el cumplimiento de la Ley de Protección de Datos Personales y su Reglamento. Ejerce funciones de fiscalización, sanción, orientación y promoción de buenas prácticas en el tratamiento de datos personales en el ámbito público y privado.

3.2 Banco de datos personales:

Es aquel conjunto organizado de datos personales, automatizado o no, cualquiera fuera el soporte sobre el que se encuentre y la forma o modalidad de su creación, formación, almacenamiento, organización y acceso.

3.3 Banco de datos personales de administración privada:

Banco de datos personales cuya titularidad corresponde a una persona natural o jurídica de derecho privado.

3.4 Dato personal:

Cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse a una persona natural.

3.5 Datos sensibles:

Son aquellos datos constituidos por los datos biométricos que por sí mismos pueden identificar al titular o que lo hacen identificable, datos referidos al origen racial y étnico, ingresos económicos, opinión política, religiosa, filosófica o moral, afiliación sindical e información referida a la salud o a la vida sexual.

3.6 Derechos Arco:

Son los derechos que tiene todo titular de los datos personales al Acceso, Rectificación, Cancelación y Oposición sobre sus datos personales.

3.7 Flujo transfronterizo de datos personales:

Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios ni el tratamiento. Solo podrá realizarse a países con un nivel adecuado de protección de datos o mediante garantías contractuales aprobadas por la Autoridad Nacional de Protección de Datos Personales (ANPDP).

3.8 Responsable del tratamiento:

Persona natural o jurídica, pública o privada que por sí misma o asociada con otros, decida sobre la base de datos y/o Tratamiento de los datos.

3.10 Titular o propietario del banco de datos personales:

  • Es responsable de otorgar y mantener el nivel suficiente de protección a los datos personales contenidos en el banco de datos personales que tenga bajo su titularidad.
  • Es responsable por la determinación y cumplimiento de la finalidad y del contenido del banco de datos personales bajo su titularidad.
  • Es responsable por el tratamiento de los datos personales contenidos en el banco de datos personales bajo su titularidad.
  • Es responsable de garantizar el cumplimiento de los derechos del titular de los datos personales.

3.11 Tratamiento:

Cualquier operación o procedimiento técnico que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de datos personales.

4. Base Legal:

4.1 Constitución Política del Perú:
 

El artículo 2 de la Constitución Política del Perú contiene una lista enunciativa y no taxativa de los derechos fundamentales que tiene toda persona por su propia naturaleza. Así pues, dentro de aquella lista, el numeral 6 del mencionado artículo indica expresamente que “toda persona tiene derecho a que los servicios informáticos, computarizados o no,públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar”.

4.2 Ley de Protección de Datos Personales y su Reglamento:

Con la promulgación de la Ley y el Reglamento, el Perú cuenta con un marco jurídico que busca garantizar el respeto al derecho fundamental a la protección de datos personales a través de un adecuado tratamiento. De esta manera, ambas normas no sólo buscan proteger los derechos de los titulares de aquellos datos, sino también se ocupan de las obligaciones de los referidos titulares de los bancos de datos personales, como es el caso de BOSTON SERVICIOS MEDICOS. En tal sentido, lo que se pretende conseguir es que la actuación de los titulares de los bancos de datos personales, en relación con el tratamiento de datos personales se ajuste al contenido del nuevo marco jurídico y a los principios rectores que a partir de ahora guían todo tratamiento de información personal.

4.3 Nuevo reglamento:

El nuevo Reglamento de la Ley N.º 29733, aprobado por Decreto Supremo N.º 016-2024-JUS y publicado el 30 de noviembre de 2024, entró en vigencia el 30 de marzo de 2025 y establece obligaciones clave como la designación obligatoria del Oficial de Datos Personales según el tamaño de la empresa, la notificación de incidentes de seguridad en un plazo máximo de 48 horas, y la elaboración de un documento de seguridad alineado con estándares como la NTP-ISO/IEC 27001; además, refuerza principios como la responsabilidad proactiva y la transparencia, reconoce el derecho a la portabilidad de datos y regula el tratamiento automatizado, todo ello con el fin de adecuar el régimen peruano de protección de datos personales a los estándares internacionales y a las exigencias del entorno digital actual.

5. Documentos relacionados:

  • Reglamento Interno de Trabajo de BOSTON SERVICIOS MEDICOS; en su versión vigente. 

6. Responsabilidades:

6.1 Apoderado:

Velar por el cumplimiento de los lineamientos detallados en la presente política.

6.2 Oficial de Datos Personales (ODP):

El ODP supervisará el cumplimiento normativo y de la presente política, asesorará en el tratamiento de datos y actuará como punto de contacto con la ANPDP. Asimismo, se deberá asistir de un estudio jurídico externo para la aplicación de sanciones cuándo exista y sea comunicada con las pruebas respectivas de alguna infracción de los lineamientos detallados en la presente política.

6.3 Área Legal:

Brindar soporte en la aplicación de sanciones cuándo exista y sea comunicada con las pruebas respectivas de alguna infracción de los lineamientos detallados en la presente política.

7. Infracciones y denuncia:

7.1 Notificación de Incidentes de Seguridad:

En caso de un incidente que comprometa datos personales, el ODP notificará a la ANPDP dentro de las 48 horas posteriores a su detección. Si el incidente involucra datos sensibles o grandes volúmenes, también se informará al titular afectado y al Centro Nacional de Seguridad Digital, conforme al procedimiento interno de gestión de incidentes.

La empresa considerará que cualquier infracción de esta política constituye un incumplimiento grave (de acuerdo con el RIT y/o el Código de Ética) de las obligaciones del Personal.

8. Disposiciones generales:

  • La política de protección de datos personales se alinea con los objetivos de la empresa y da soporte a las exigencias legales y regulatorias.
  • BOSTON SERVICIOS MEDICOS en su condición de titular de los bancos de datos personales deberán facilitar el ejercicio de los derechos ARCO al titular de la información contenida en dichos repositorios de datos.
  • Todo colaborador de BOSTON SERVICIOS MEDICOS que acceda al banco de datos personales deberá preservar la confidencialidad, disponibilidad e integridad de estos en cumplimiento de la Normativa de Protección de Datos Personales.
  • El Oficial de Datos Personales debe revisar y monitorear la implementación y ejecución de los controles y políticas de protección de datos personales.
  • BOSTON SERVICIOS MEDICOS mantendrá actualizado los controles de seguridad para el banco de datos personales, basándose en un proceso de identificación y evaluación de riesgos de seguridad de la información.
  • BOSTON SERVICIOS MEDICOS mantendrá la información contenida en los bancos de datos personales bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • El Oficial de Datos Personales deberá revisar y proponer la actualización de documentos normativos referidos a la Normativa de Protección de Datos Personales para su aprobación.
  • La presente política deberá formar parte del proceso de inducción de nuevos colaboradores, y en el caso de terceros debe ser anexado al contrato.
  • BOSTON SERVICIOS MEDICOS, así como todos sus colaboradores que efectúen tratamiento de datos personales, deberán facilitar el ejercicio de los derechos ARCO a los titulares de la información que generan, administren o usen información personal.

8.1 Principios rectores:

Todos los colaboradores de BOSTON SERVICIOS MEDICOS que ejecuten tratamiento de datos personales deben de tener en cuenta los siguientes principios para la ejecución de sus actividades:

8.1.1 Principio de calidad:

Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.

8.1.2 Principio de consentimiento:

Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.

8.1.3 Principio de finalidad:

Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.

8.1.4 Principio de disposición de recurso:

Todo titular de datos personales debe contar con las vías administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos, cuanto estos sean vulnerados por el tratamiento de sus datos personales.

8.1.5 Principio de legalidad:

El tratamiento de los datos personales se hace conforme a lo establecido en la Ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos.

8.1.6 Principio de nivel de protección adecuado:

Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente de protección de datos personales que se vayan a tratar o, por lo menos, equiparable a lo previsto por la Ley o por los estándares internacionales en la materia.

8.1.7 Principio de proporcionalidad:

Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.

8.1.8 Principio de seguridad:

El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con los datos personales que se traten.

8.1.9 Principio de transparencia:

El titular del banco de datos y el encargado del tratamiento deben asegurar que la información sobre el tratamiento de datos personales sea clara, accesible y comprensible. Deben informar de manera precisa sobre la finalidad, plazos, transferencias y derechos de los titulares, empleando un lenguaje sencillo y formatos adecuados.

8.1.10 Principio de Responsabilidad Proactiva:

El titular del banco de datos y el encargado del tratamiento deben adoptar medidas preventivas y correctivas para garantizar el cumplimiento normativo, documentando y evaluando continuamente su efectividad. Deben demostrar su cumplimiento ante la ANPDP, implementando controles, auditorías y políticas que minimicen riesgos en el tratamiento de datos personales.

9. Disposiciones específicas:

  • BOSTON SERVICIOS MEDICOS deberá realizar campañas de sensibilización de manera anual a los colaboradores en temas, métodos y herramientas de protección de datos personales. Asimismo, en caso de terceros, sean estos personas naturales o jurídicas, y en caso de empresas con las que hayamos firmado convenios de colaboración se debe comunicar los lineamientos de protección de datos personales de la empresa.
  • Todo contrato, convenio de personal o compañía de servicios involucrada en los procesos de BOSTON SERVICIOS MEDICOS, debe contar con una cláusula que exprese el acuerdo en el cumplimiento de la confidencialidad de la información, según el nivel de sensibilidad de la información que administrará el contrato. Estas cláusulas deben señalar las sanciones en caso de incumplimiento.
  • En caso de incumplimientos relacionados a protección de datos personales, se sancionará a los responsables teniendo como referencia el Reglamento Interno de Trabajo de BOSTON SERVICIOS MEDICOS, contratos y convenios firmados. Los incumplimientos serán reportados al Oficial de Datos Personales y las Gerencias respectivas, en caso del personal con copia a la Unidad de Gestión Humana y en caso de terceros al Apoderado para la aplicación de las sanciones correspondientes.
  • Los accesos a los bancos de datos personales; se realizará en base a perfiles de acceso elaborados en función a las responsabilidades asignadas.
  • El Oficial de Datos Personales como responsable de la seguridad del banco de datos personales, coordinará en la empresa la implementación la Normativa de Protección de Datos Personales, además de las disposiciones relativas a la materia.
  • El Apoderado en su calidad de responsable ante el órgano judicial por el tratamiento de los datos personales contenidos en las diferentes bases de datos declaradas; nombrará en sesión de Directorio a los encargados del tratamiento interno de las mismas cuyas responsabilidades son:
    • Velar por el cumplimiento de los parámetros de seguridad lógica y de identificación en los accesos a los sistemas de almacenamiento de los bancos de datos.
    • Llevar y resguardar en los medios de soporte correspondiente el registro de altas y bajas de usuarios con acceso a los bancos de datos y los niveles de acceso brindados.
    • Supervisar la correcta asignación de permisos y accesos a los bancos de datos según el perfil correspondiente al nivel del usuario.
    • Supervisar y auditar los niveles de seguridad de los bancos de datos de la compañía.
  • Toda recuperación de datos personales, desde su copia de respaldo, debe contar con la autorización expresa del encargado del banco de datos personales o del responsable de su tratamiento.
  • BOSTON SERVICIOS MEDICOS en su labor de prevención y en cumplimiento de lo dispuesto por la Ley han tomado las siguientes medidas preventivas:
    • Determinar una estructura organizacional con roles y funciones determinados con el objeto de resguardar el correcto tratamiento de los datos personales contenidos en sus diversos bancos de datos.
    • Mantener con sus trabajadores acuerdos de confidencialidad referidos a los datos personales que pudiesen tomar conocimiento como parte de sus funciones.
    • Implementar el acceso a los bancos de datos personales mediante el uso de usuarios y contraseñas personalizados, únicos e intransferibles.
    • Elaborar perfiles determinados para acceso a los bancos de datos según las funciones de cada trabajador y resguardando el acceso a la información estrictamente necesaria para el cumplimiento de sus funciones.
    • Registrar la actividad desarrollada por cada uno de los usuarios de los bancos de datos.
    • Establecer los medios necesarios para comunicar a los titulares de datos personales el tratamiento que se dará a sus datos y obtener el consentimiento para el mencionado tratamiento.
    • Establecer y hacer público el procedimiento para el ejercicio de los derechos de los titulares de datos personales.
    • Implementar canales de atención para la solución de controversias, reclamos y solicitudes de los titulares de datos personales contenidos en los diversos bancos de datos.

9.1 Condiciones para el Tratamiento de Datos Personales:

9.1.1 Autorización del titular:

Para que BOSTON SERVICIOS MEDICOS realice cualquier acción de tratamiento de datos personales, se requiere la previa autorización expresa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al titular su manifestación automatizada o pueden ser por escrito o de forma oral. En el caso de datos sensibles, el consentimiento para efectos de su tratamiento deberá efectuarse por escrito. El consentimiento deberá cumplir con las siguientes características:

  • Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la manifestación de voluntad del titular de los datos personales.
  • Previo: Con anterioridad al tratamiento de los datos personales.
  • Expreso e Inequívoco: Cuando el consentimiento haya sido manifestado en condiciones que no admitan dudas de su otorgamiento. Tratándose del entorno digital, también se considera expresa la manifestación consistente en “hacer clic”, “cliquear” o “pinchar”, “dar un toque”, “touch” o “pad” u otros similares. En este contexto el consentimiento escrito podrá otorgarse mediante firma electrónica, mediante escritura que quede grabada, de forma tal que pueda ser leída e impresa, o que por cualquier otro mecanismo o procedimiento establecido permita identificar al titular y recabar su consentimiento, a través de texto escrito. También podrá otorgarse mediante texto preestablecido, fácilmente visible, legible y en lenguaje sencillo, que el titular pueda hacer suyo mediante una respuesta escrita, gráfica o mediante clic o pinchado, o mediante manifestación verbal la cual podrá constar en grabaciones.
  • Informado: Al titular de los datos personales se le debe comunicar de manera clara, expresa e indubitablemente, con lenguaje sencillo, cuando menos lo siguiente:
    • La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento y/o ejercer sus derechos.
    • La finalidad o finalidades del tratamiento a las que sus datos serán sometidos.
    • La identidad de los que son o pueden ser sus destinatarios, de ser el caso.
    • La existencia del banco de datos personales en que se almacenarán.
    • El carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, cuando sea el caso.
    • Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo.
    • En su caso, la transferencia nacional e internacional de datos que se efectúen.
    • El tiempo durante el cual se conservarán sus datos personales.
    • La posibilidad de ejercer los derechos que la Ley le concede y los medios previstos para ello.

En consecuencia, BOSTON SERVICIOS MEDICOS adoptará los procedimientos necesarios a fin de que la autorización del Titular para el tratamiento de los mismos cumpla con las características antes señaladas.

9.2 Ubicación de los Bancos de Datos y Traslado Transfronterizo:

BOSTON señala que algunos de sus bancos de datos se encuentran alojados en los siguientes proveedores:

Nombre País
Qualoom Expertise Technology SL España
Boston Medical Group de Colombia SAS Colombia
Hubspot Inc Estados Unidos

Asimismo, dicho servicio facilita la aplicación de los derechos ARCO de los propietarios de la información personal contenida.
Como parte de sus políticas, BOSTON transfiere a título gratuito y previo consentimiento, determinados datos personales, principalmente los contenidos en sus bancos de datos ubicado en Estados Unidos y a sus empresas clientes ubicadas en el extranjero. En los países donde se transfieren datos personales, las empresas destinatarias de dicha información deberán garantizar niveles de protección de datos personales adecuados conforme a lo establecido en la Ley y Reglamento.

9.3 Procedimiento para el Registro, Consulta, Modificación y Supresión de Datos Personales en los Bancos de Datos de BOSTON SERVICIOS MEDICOS:

9.3.1 Del registro:

Al registrar los datos del titular, BOSTON SERVICIOS MEDICOS solicitará al titular la autorización y deberán informarle de manera clara y expresa lo siguiente:

  • El tratamiento al cual serán sometidos sus datos personales y la finalidad de este.
  • El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre datos de menores de edad.
  • Los derechos que le asisten como titular.
  • La identidad y domicilio o dirección del titular del banco de datos personales o del responsable del tratamiento al que puede dirigirse para revocar el consentimiento o ejercer sus derechos.
  • La identidad de los que son o pueden ser sus destinatarios, de ser el caso.
  • La existencia del banco de datos personales en que se almacenarán.
  • Las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo.
  • En su caso, la transferencia nacional e internacional de datos que se efectúen.
  • El tiempo durante el cual se conservarán sus datos personales.

9.3.2 De la(s) consulta(s) y/o solicitud(es) del titular (actualización, rectificación, inclusión y supresión de datos personales):

  • Los titulares de datos personales tienen derecho a la actualización, inclusión, rectificación y supresión de sus datos personales materia de tratamiento cuando estos sean parcial o totalmente inexactos, incompletos, o cuando se hubiere advertido omisión o falsedad de los mismos, o cuando ya no sean necesarios o pertinentes para la finalidad que fueron recopilados.
  • El titular de datos personales que considere que la información contenida en un banco de datos debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley, podrá presentar a la empresa BOSTON SERVICIOS MEDICOS que corresponda, una solicitud de corrección, actualización o supresión de datos personales, la cual debe contar con la siguiente información:
    • Nombre del solicitante.
    • Copia del DNI.
    • Solicitud o requerimiento referente a sus datos personales, de manera clara y explícita (debe de especificarse qué datos se desea rectificar, incluir o actualizar).
    • Fecha y firma.
    • Domicilio o dirección (puede ser electrónica) de notificación.
  • Las solicitudes realizadas por el titular o su representante serán atendidas por la empresa del BOSTON SERVICIOS MEDICOS que corresponda y las respuestas a estas se trasladarán por el mismo medio que fue formulada la solicitud.
  • El titular puede realizar solicitudes por los siguientes medios:
    • Mediante documento físico entregado en las oficinas de BOSTON SERVICIOS MEDICOS según corresponda.
    • Mediante correo electrónico a la siguiente dirección electrónica: notificaciones@bostonmedical.com.pe

9.3.3 De la revocatoria de autorización para el tratamiento de datos y supresión de datos personales:

La revocatoria (total o parcial) de autorización para el tratamiento de datos personales podrá solicitarse en cualquier momento, sin justificación previa y sin que le atribuyan efectos retroactivos. En caso de que la revocatoria afecte la totalidad del tratamiento, BOSTON SERVICIOS MEDICOS gestionará la supresión de los datos personales correspondientes al solicitante.
La solicitud de revocatoria se realizará mediante los siguientes canales de atención:

  • Mediante documento físico entregado en las oficinas de BOSTON SERVICIOS MEDICOS, según corresponda.
  • Mediante correo electrónico a la dirección: notificaciones@bostonmedical.com.pe

La solicitud deberá contener de forma clara y legible los siguientes datos:

  • Nombre completo.
  • Copia del DNI.
  • Datos que solicita se supriman del banco de datos BOSTON SERVICIOS MEDICOS, según corresponda.
  • Fecha y firma.
  • Domicilio o dirección (puede ser electrónica) de notificación

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando los datos que el titular requiere suprimir sean necesarios para el cumplimiento de los servicios ofertados y contratados con BOSTON SERVICIOS MEDICOS, a menos de que el contrato entre las partes no se encuentre vigente.

9.3.4 Plazos de atención a consultas y solicitudes del titular:

Las solicitudes y consultas del titular serán absueltas en el término de plazos razonables y según lo estipulado en la Ley.

  • Consultas referentes al derecho de la información: ocho (08) días hábiles, contados desde el día siguiente a la presentación de la solicitud.
  • Solicitudes referentes al derecho de acceso: veinte (20) días hábiles, contados desde el día siguiente a la presentación de la solicitud.
  • Rectificación, Cancelación, u oposición de datos: diez (10) días hábiles, contados desde el día siguiente a la presentación de la solicitud.

9.3.5 De la recepción, subsanación o requerimiento de información adicional para la atención de solicitudes:

9.3.5.1 De la recepción de solicitudes:

BOSTON SERVICIOS MEDICOS implementará los medios para la recepción de todas las solicitudes de los titulares de dato y contará con los medios necesarios para dejar constancia de la recepción de documentos y la fecha correspondiente a la misma.

9.3.5.2 De la subsanación de solicitudes:

En caso las solicitudes no cuenten con los datos señalados en el punto 14.2 del presente documento y/o los señalados en el artículo 50 del Reglamento, BOSTON SERVICIOS MEDICOS deberá notificar la omisión al solicitante en un plazo máximo de cinco (05) días contados desde el día siguiente a la recepción de la solicitud. El titular deberá subsanar las omisiones en el plazo de cinco (05) días después de recibida la notificación, en caso no lo hiciera se tendrá por no presentada la solicitud.

9.3.5.3 Del requerimiento por ampliación de información:

En el caso que la información proporcionada en la solicitud sea insuficiente o errónea de forma que no permita su atención, BOSTON SERVICIOS MEDICOS podrá requerir dentro de los siete (7) días siguientes de recibida la solicitud, documentación adicional al titular de los datos para atenderla.

En un plazo de diez (10) días de recibido el requerimiento, contado desde el día siguiente de la recepción del mismo, el titular de datos personales acompañará la documentación adicional que estime pertinente para fundamentar su solicitud. En caso contrario, se tendrá por no presentada dicha solicitud.

9.3.6 De la Gestión de Incidentes de Seguridad de Datos Personales:

9.3.6.1 Del registro:

Todo incidente de seguridad de datos personales deberá ser reportado de inmediato al Oficial de Datos Personales (ODP) o al área de Seguridad de la Información.
BOSTON SERVICIOS MEDICOS deberá registrar el incidente en el Registro de Incidentes de Seguridad de Datos Personales, consignando:

  • Fecha y hora del incidente.
  • Tipo de incidente (acceso no autorizado, pérdida de datos, alteración, divulgación indebida, etc.).
  • Datos personales comprometidos.
  • Medidas preliminares adoptadas.

BOSTON SERVICIOS MEDICOS clasificará el incidente de acuerdo con su impacto y alcance:

  • Incidente menor: No compromete datos sensibles ni un volumen significativo de información.
  • Incidente grave: Involucra datos sensibles o un número importante de titulares.
  • Incidente crítico: Puede generar un alto impacto en los derechos de los titulares o en la seguridad de los sistemas.

9.3.6.2 De la Evaluación y Mitigación del Incidente:

  • BOSTON SERVICIOS MEDICOS realizará un análisis del incidente para determinar su origen, impacto y posibles riesgos adicionales.
  • Se implementarán medidas inmediatas de contención y mitigación, tales como:
    • Bloqueo de accesos no autorizados.
    • Restauración de datos.
    • Refuerzo de controles de seguridad.
    • Implementación de acciones correctivas para prevenir la recurrencia del incidente.

9.3.6.3 Notificación a la ANPDP y a los Titulares Afectados:

  • Si el incidente afecta datos sensibles, involucra un gran volumen de información o compromete derechos fundamentales, BOSTON SERVICIOS MEDICOS notificará a la Autoridad Nacional de Protección de Datos Personales (ANPDP) dentro de las 48 horas posteriores a su detección, conforme al artículo 34 del Reglamento.
  • Si el incidente involucra datos personales tratados en entornos digitales, se notificará también al Centro Nacional de Seguridad Digital.
  • BOSTON SERVICIOS MEDICOS informará a los titulares de los datos afectados, indicándoles:
    • Naturaleza del incidente y datos comprometidos.
    • Posibles consecuencias.
    • Medidas adoptadas para mitigar riesgos.
    • Recomendaciones para proteger su información.

9.3.6.4 Plazos de Atención y Registro:

  • Toda acción tomada en respuesta al incidente deberá documentarse en el Registro de Incidentes de Seguridad.
  • Las medidas correctivas deberán implementarse en un plazo máximo de 10 días hábiles desde la detección del incidente.
  • La información del incidente deberá conservarse por un período mínimo de 2 años.

9.3.6.5 Canales de Recepción de Reportes de Incidentes:

Los colaboradores y terceros podrán reportar incidentes de seguridad de datos personales a través de los siguientes medios:

9.3.6.6 Revisión y Actualización del Procedimiento:

Este procedimiento será revisado anualmente y actualizado conforme a cambios normativos o nuevos riesgos en seguridad de datos personales.

9.4 Bancos de Datos Declarados:

BOSTON SERVICIOS MEDICOS cuenta con los siguientes Bancos de Datos Personales debidamente registrados ante la Dirección de Protección de Datos Personales del MINJUS:

10. Validez y gestión de documentos:

Este documento es válido hasta que se presente un cambio y se genere una versión nueva.
El propietario de este documento es el Oficial de Datos Personales, que debe verificar, y si es necesario actualizar, el documento cuando se presente un cambio en las políticas internas o externas que afecten la presente política.

11. Cambio de versión:

BOSTON se reserva el derecho de modificar y/o actualizar la Política como parte de su mejora continua, ya sea para adaptarla a futuros cambios normativos, brindar una mejor calidad de servicio o comunicar nuevas alternativas relacionadas a la presente Política.

No será necesaria la comunicación de los cambios que se introduzcan a la Política, ya que la versión actualizada se publica en: https://bostonmedical.com.pe/

12. Anexos

12.1 Anexo 1

12.2 Anexo 2

12.3 Anexo 3

PIDA SU CITA AHORA

Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.