20

21

Política de
Protección de
Datos Personales
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 1 de 10
Versión 02

Preparado por: Revisado por: Aprobado por:

DIRECTOR DE SEGURIDAD VICEPRESIDENTE GERENCIA GENERAL
DE LA INFORMACIÓN Y DE FINANZAS Y
RIESGOS TIC Y DIRECTOR ADMINISTRACIÓN
LEGAL

Fecha: 01 de agosto 2018 Fecha: 01 de agosto 2018 Fecha: 01 de agosto 2018

Modificaciones con respecto a la versión anterior

La presente política (versión 02) reemplaza a la versión anterior denominada “Política

Corporativa de Protección de Datos Personales” (versión 01), la cual fue aprobada el 11
de octubre de 2016 por Pedro Solís, Representante del Comité de LPDP.
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 2 de 10
Versión 02

Contenido
1.Objetivo 3

2.Alcance 3

3.Referencia y legislación asociada 3

4.Definiciones 3

5.Roles y responsabilidades 7

6.Descripción de la política 7
6.1.Principios 7
-Principio de Legalidad 7
-Principio de Consentimiento 8
-Principio de Finalidad 8
-Principio de Proporcionalidad 8
-Principio de Calidad 8
-Principio de Seguridad 8
-Principio de Disposición de Recurso 8
-Principio de Nivel de Protección adecuado 8
6.2.Lineamientos 9

7.Compromiso de la Alta Dirección y sus colaboradores 9

8.Consideraciones complementarias 9
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 3 de 10
Versión 02

1.Objetivo
El presente documento tiene como finalidad definir los lineamientos mediante los cuales
se dará un adecuado tratamiento y protección a los datos personales que se recopilan,
almacenan y gestionan en las empresas del Grupo Buenaventura (en adelante, El Grupo).

2.Alcance
Aplica a todo el personal de El Grupo y terceros autorizados para acceder a los activos de
la información que contengan datos personales en la organización. La política alcanza la
información en papel, así como la información almacenada electrónicamente y/o transmitida
por correo electrónico. Para mayor detalle sobre el alcance a nivel de razones sociales ver la
sección “Consideraciones complementarias” en el presente documento.

3.Referencia y legislación asociada

Ley N° 29733 - Ley de Protección de Datos Personales, su reglamento, directiva de seguridad,
en sus versiones vigentes en el Perú.

4.Definiciones
Los términos en materia de protección de datos personales se encuentran detallados en el
artículo 2° de la Ley N° 29733 – Ley de Protección de Datos Personales y el artículo 2° de
su respectivo reglamento, en adelante LPDP. De dichas fuentes son aplicables para este
documento las siguientes definiciones:

• �Dato personal: Cualquier dato (nombre, teléfono personal, correo electrónico personal,
salario, deuda, datos de su familia, dirección, audio con voz, video con imagen, foto, etc.)
que identifique o haga identificable a una persona natural (colaborador, proveedor,
postulante, entre otros).

• �Dato personal sensible: Datos personales constituidos por los datos biométricos que por
sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos
económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación
sindical; e información relacionada a la salud o a la vida sexual.

• �Tratamiento: Acción sobre datos personales asociada a recopilar, elaborar, bloquear,

comunicar por transferencia, registrar, modificar, suprimir, organizar, extraer, acceso,
comunicar por difusión, almacenar, consultar, correlación, conservar, utilizar.

• �Titular de datos personales: Persona natural a quien corresponde los datos personales.

• �Consentimiento: Manifestación de voluntad, libre, previa, expresa, inequívoca e

informada por la cual un sujeto (Titular de datos personales) autoriza el tratamiento de
sus datos personales.
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 4 de 10
Versión 02

• �Anonimización: Tratamiento de datos personales que impide la identificación o que no

hace identificable al titular de éstos. El procedimiento es irreversible.

• �Disociación: Tratamiento de datos personales que impide la identificación o que no hace

identificable al titular de éstos. El procedimiento es reversible.

• �Seguridad: Medidas de seguridad adecuadas que permitan en el tratamiento de los

datos personales la preservación de la confidencialidad, disponibilidad e integridad de
los datos. Estas medidas de seguridad pueden ser: organizativas, legales o técnicas.

• �Medidas organizativas: Medidas de seguridad asociadas a la estructura organizacional,

compromisos, adecuación de procesos, controles de revisión y cumplimiento.

• �Medidas legales: Medidas de seguridad asociadas a los formatos de consentimiento y

adecuación de contratos en el marco de la LPDP.

• �Medidas técnicas: Medidas de seguridad asociadas a la disposición de políticas y

procedimientos relacionados a la seguridad de la información de los activos físicos y
digitales (que tratan o contienen datos personales).

• �Banco de Datos Personales: Conjunto organizado de datos personales, automatizado

o no, independientemente del soporte, sea este físico, magnético, digital, óptico u
otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación,
almacenamiento, organización y acceso.

• �Categoría o Clasificación: Según la Directiva de Seguridad emitida por la Autoridad

Nacional de Protección de Datos Personales, existen cinco (5) categorías para clasificar
los bancos de datos personales: básico, simple, intermedio, complejo y crítico. La
identificación se encuentra en el Inventario de Bancos de Datos Personales de El Grupo.

• �Flujo Transfronterizo: Transferencia internacional de datos personales a un destinatario

situado en un país distinto al país de origen de los datos personales, sin importar el
soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia
ni el tratamiento que reciban.

• �Responsable del Tratamiento: Es la persona jurídica de derecho privado o entidad

pública que decide sobre el tratamiento de datos personales.

• �Titular del Banco de Datos Personales: Es la persona jurídica de derecho privado o

entidad pública que determina la finalidad y contenido del banco de datos personales,
el tratamiento de estos y las medidas de seguridad asociadas a la protección de estos
bancos de datos personales.
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 5 de 10
Versión 02

• �Encargado de Tratamiento de Datos Personales: Toda persona natural, persona jurídica

de derecho privado o entidad pública que sola o actuando conjuntamente con otra realiza
el tratamiento de los datos personales por encargo del Responsable del Tratamiento /
Titular del Banco de Datos Personales en virtud de una relación jurídica que le vincula
con el mismo y delimita el ámbito de su actuación. Incluye a quien realice el tratamiento
sin la existencia de un banco de datos personales.

• �Encargo de tratamiento: Entrega por parte del Titular del Banco de Datos Personales
a un Encargado de Tratamiento de Datos Personales en virtud de una relación jurídica
que los vincula. Dicha relación jurídica delimita el ámbito de actuación del Encargado de
Tratamiento de los Datos Personales.

• �Comité LPDP: Órgano de gobierno de protección de datos personales que se encarga

de velar por el cumplimiento de la normativa de protección de datos personales en la
empresa. Este comité está conformado por la Alta Dirección de la empresa.

• �Responsable de Seguridad LPDP: Persona o grupo de personas que tienen a su cargo

velar por la implementación y sostenibilidad de las medidas de seguridad asociadas a
la protección de los datos personales en la empresa. Las medidas de seguridad son de
tres tipos: organizativas (por ejemplo, gobierno, políticas, procesos, auditorías), técnicas
(por ejemplo, controles de seguridad de la información y seguridad física) y legales
(por ejemplo, aspectos jurídicos relacionadas a la normativa de protección de datos
personales).

• �Responsable ARCO: Persona que tiene a su cargo la atención de las solicitudes de

derechos ARCO (derecho de información, derecho de acceso, derecho de rectificación,
derecho de cancelación, y derecho de oposición) recibidas por la empresa. Asimismo,
está a cargo de asegurar que exista un proceso / protocolo y herramientas suficientes
para poder recibir y responder las solicitudes ARCO adecuadamente y en el plazo que
establece la normativa de protección de datos personales vigente.

• �Responsable de los bancos de datos personales: Persona que tiene a su cargo un

banco de datos personal o un grupo de bancos de datos personales en términos de
determinar la finalidad del tratamiento sobre dicho banco de dato personal; asegurar
que los tratamientos se mantengan alineados, de forma sostenible, a dichas finalidades;
así como garantizar que su banco o bancos de datos personales cuenten con las medidas
de seguridad (organizativas, técnicas y legales) suficientes para proteger los datos
personales contenidos en dicho o dichos bancos de datos.

• �Responsable de Cumplimiento: Persona que tiene a su cargo el monitoreo periódico

enfocado al cumplimiento de la norma de protección de datos personales en la empresa.
Este monitoreo incluye pruebas y/o revisiones de las medidas y controles de seguridad
organizativas, técnicas y legales. Asimismo, esta persona tiene a su cargo la coordinación
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 6 de 10
Versión 02

de las auditorías externas e internas sobre el cumplimiento de la normativa de protección

de datos personales. Cabe resaltar que estas actividades se encuentran en el programa
de cumplimiento de la empresa.

• �Responsable Legal: Persona que tiene a su cargo la asesoría jurídica de la administración

de la LPDP en la empresa. En ese sentido, debe definir cláusulas contractuales de
consentimiento y disclaimers informativos LPDP, así como los procedimientos necesarios
asociados que aseguren que dichas cláusulas se mantendrán actualizadas en el tiempo.
Por otro lado, debe asesorar al Responsable ARCO en cada una de las respuestas a las
solicitudes ARCO recepcionadas por la empresa.

• �Responsable de Auditoría Interna: Persona que tiene a su cargo ejecutar revisiones

sobre la adecuación de la empresa a la normativa de protección de datos personales.
Esta revisión debe tener un enfoque de auditoría (interna y externa), realizarse como
mínimo de forma anual y contemplar en el alcance de la auditoría las pruebas de control
de las medidas de seguridad organizativas, técnicas y legales; tanto a la empresa como
a los terceros que tratan datos personales. Asimismo, esta persona tiene a su cargo
realizar el seguimiento a la implementación de las acciones correctivas identificadas en
las auditorías, así como incentivar la mejora continua. Cabe resaltar que para los bancos
de datos clasificados como críticos y complejos se deberán realizar auditorías externas,
y en el caso de los bancos de datos personales clasificados como intermedio, simple y
básico son suficientes las auditorías internas.

• �Responsable de Capacitación y Concientización: Persona que tiene a su cargo el diseño

e implementación del programa de capacitación y concientización de la normativa de
protección de datos personales en la empresa, en coordinación con el Responsable de
Seguridad LPDP.

• �Responsable de Sistemas: Persona que tiene a su cargo la implementación y/o

remediación oportuna y priorizada de las brechas tecnológicas que permitan a la
empresa adecuarse a la normativa de protección de datos personales, en coordinación
con el Responsable de Seguridad LPDP.

• �Oficial LPDP: Persona que ha recibido la delegación (total o parcial) de responsabilidades

por parte de los principales roles de administración de la protección de datos personales
en la empresa. Los roles que cuentan con la posibilidad de delegar sus funciones son:
Responsable de Seguridad LPDP, Responsable ARCO, Responsable de los bancos de datos
personales, y otros responsables (Cumplimiento, Auditoría, Capacitación, Sistemas).

• �Gestores LPDP: Persona que ha sido designada como coordinador / gestor de protección
de datos personales en alguna empresa del grupo. En ese sentido, tiene como misión ser
el único punto de contacto con la empresa del grupo para realizar las implementaciones
necesarias en su empresa en el marco de la normativa de protección de datos personales.
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 7 de 10
Versión 02

5.Roles y responsabilidades
Con el objetivo de dar cumplimiento a lo establecido en la Ley N° 29733 de Protección
de Datos Personales (LPDP), El Grupo ha definido los siguientes roles para establecer
una estructura organizativa que permita mantener el cumplimiento de LPDP de manera
sostenible:

• �Titular del Banco de Datos Personales

• �Encargado(s) de Tratamiento
• �Comité LPDP
• �Responsable de Seguridad LPDP
• �Responsable ARCO
• �Responsable de los bancos de datos personales
• �Responsable de Cumplimiento
• �Responsable Legal
• �Responsable de Auditoría Interna
• �Responsable de Capacitación y Concientización.
• �Responsable de Sistemas.
• �Oficiales LPDP.
• �Gestores LPDP.
• �Entre otros.

Todos los roles y las responsabilidades se encuentran detalladas en el Documento Maestro

de Seguridad LPDP de cada una de las empresas de El Grupo.

6.Descripción de la política
La presente política se divide en principios y en lineamientos:

6.1.Principios

El Grupo respeta la legislación vigente en materia de protección de datos personales,

de conformidad con lo establecido en la Ley Nº 29733 - Ley de Protección de Datos
Personales y su reglamento, adoptando para ello las medidas técnicas, legales y
organizativas necesarias para evitar de manera razonable algún incumplimiento de la
ley o reglamento mencionados.

El Grupo protege los datos personales y respeta cada uno de los principios de
protección de datos personales señalados en la legislación vigente, tales como:

∙ Principio de Legalidad
El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se
prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o
ilícitos.
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 8 de 10
Versión 02

∙ Principio de Consentimiento
El tratamiento de los datos personales es lícito cuando el titular del dato personal
hubiere prestado su consentimiento libre, previo, expreso, informado e inequívoco.

∙ Principio de Finalidad
Los datos personales deben ser recopilados para una finalidad determinada, explícita y
lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no
haya sido la establecida de manera inequívoca como tal al momento de su recopilación,
excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se
utilice un procedimiento de disociación o anonimización. Se considera que una finalidad
está determinada cuando haya sido expresada con claridad, sin lugar a confusión y cuando
de manera objetiva se especifica el propósito que tendrá el tratamiento de los datos
personales. Los profesionales que realicen el tratamiento de algún dato personal, además
de estar limitados por la finalidad de sus servicios, se encuentran obligados a guardar
secreto profesional.

∙ Principio de Proporcionalidad
Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la
finalidad para la que estos hubiesen sido recopilados.

∙ Principio de Calidad
Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida
de lo posible, actualizados, necesarios, pertinentes y adecuados con respecto a la finalidad
para los que fueron recopilados. Deben conservarse de forma tal que se garantice su
seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento. Se
presume que los datos directamente facilitados por el titular de los mismos son exactos.

∙ Principio de Seguridad
El titular del banco de datos personales (empresa de El Grupo) y el encargado de su
tratamiento deben adoptar las medidas técnicas, organizativas y legales necesarias para
garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser
apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categoría de datos
personales de que se trate.

∙ Principio de Disposición de Recurso

Todo titular de datos personales (toda persona natural) debe contar con las vías
administrativas o jurisdiccionales necesarias para reclamar y hacer valer sus derechos,
cuando estos sean vulnerados por el tratamiento de sus datos personales.

∙ Principio de Nivel de Protección adecuado

Para el flujo transfronterizo de datos personales, se debe garantizar un nivel suficiente
de protección para los datos personales que se vayan a tratar o, por lo menos, equiparable a lo
previsto por esta Ley o por los estándares internacionales en la materia.
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 9 de 10
Versión 02

6.2.Lineamientos
El Grupo ha definido los siguientes lineamientos en el marco de la protección de los datos
personales:
• El Grupo protege los datos personales y respeta cada uno de los principios de
protección de datos personales señalados en la legislación vigente.
• El Grupo establece una estructura organizacional con roles y responsabilidades
que le permite gobernar la protección de datos personales de manera sostenible
en el tiempo.
• El Grupo implementa políticas y procedimientos destinados al aseguramiento y
protección de los bancos de datos personales de su titularidad.
• El Grupo inscribe sus bancos de datos personales y flujos transfronterizos (de ser
aplicables) en el Registro Nacional de Protección de Datos Personales de acuerdo
a lo señalado en la legislación vigente.
• El Grupo implementa los controles de seguridad adecuados para cada uno de
los bancos de datos personales en función a la naturaleza y complejidad de sus
tratamientos.
• Buenaventura incorpora los bancos de datos personales dentro de su Sistema
de Gestión de Seguridad de la Información (SGSI). Esta incorporación asegura el
cumplimiento razonable de las medidas indicadas en la Directiva de Seguridad
(publicada por la Autoridad Nacional de Protección de Datos Personales - APDP).
Asimismo, esta incorporación permitirá que los riesgos asociados al banco de
datos personales sean adecuadamente gestionados.

7.Compromiso dela Alta Dirección y sus colaboradores

Asimismo, El Grupo, tanto la Alta Dirección como todos sus colaboradores, se comprometen
y responsabilizan a cumplir de manera adecuada las políticas, lineamientos y principios
rectores desarrollados en el presente documento, así como asegurar de forma razonable
su mejora continua.

8.Consideraciones complementarias
• La presente política deberá ser revisada de forma anual o ante algún cambio
significativo en Buenaventura que pueda afectar alguna de las empresas del
grupo económico.
• El responsable de la aprobación de este documento será la Gerencia General.
• El presente documento deberá ser difundido a todo el personal del grupo

Buenaventura, así como a los terceros con acceso a datos personales para su
cumplimiento.
• Las razones sociales que deberán seguir los lineamientos de esta política son:
• 1) Compañía de Minas Buenaventura S.A.A.
• 2) Sociedad Minera El Brocal S.A.A.
• 3) Contacto Corredores de Seguros S.A.
• 4) Minera La Zanja S.R.L.
 GERENCIA POLÍTICA CORPORATIVA Fecha de Vigencia:
GENERAL DE PROTECCIÓN 1 de agosto 2018

Código: DE DATOS PERSONALES

BVN-POLPDP-C005 Página 10 de 10
Versión 02

• 5) Consorcio Energético de Huancavelica S.A.

• 6) Empresa de Generación Huanza S.A.
• 7) Compañía Minera Coimolache S.A.
• 8) Procesadora Industrial Río Seco S.A.
• 9) El Molle Verde S.A.C.
• 10) Contacto Risk Consulting S.A.
• 11) Compañía Minera Colquirrumi S.A.
• 12) Inversiones Colquijirca S.A.
• 13) Compañía Minera Condesa S.A.
• 14) Apu Coropuna S.R.L.
• 15) S.M.R.L Chaupiloma Dos de Cajamarca
• 16) Compañía de Minas Buenaventura Chile Ltda.
• 17) Compañía de Minas Cerro Hablador S.A.C.
• 18) Minera Azola S.A.C.
• 19) Compañía Minera Nueva Italia S.A.
• 20) Minera Julcani S.A. de C.V.
• 21) Asociación sin Fines de Lucro Don Eulogio Fernandini
•