El Banco recopilará toda la información necesaria para la correcta identificación del cliente y su actividad comercial, la cual se considera Datos Personales, de acuerdo con la definición, que para tales efectos establece el Acuerdo 001-2022 emitido por la Superintendencia de Bancos de Panamá, así como las normas complementarias y supletorias que se encuentren en vigencia en la República de Panamá.

El Banco, en su calidad de responsable de los datos personales que gestiona, expresa su compromiso con el cumplimiento normativo y en particular, en la protección de los datos personales utilizados durante su actividad comercial y en general, de toda la información, sea o no clasificada como confidencial y/o sensible, que pueda comprometer la integridad personal y/o privacidad de sus clientes.

La información personal que gestionamos en El Banco es solicitada a nuestros clientes con el único interés de cumplir con obligaciones regulatorias y contractuales, así como para la correcta prestación de los servicios y productos financieros que ofrece nuestra organización y será sometida única y exclusivamente a los tratamientos autorizados por la legislación, nacidos de la relación contractual existente entre El Banco y la persona natural titular de los datos o por las autorizaciones previas, informadas y expresas de los titulares de los datos recibidos.

Los datos personales recibidos en los términos y para los fines mencionados en este Aviso de Privacidad, no serán compartidos sin autorización previa y expresa de sus titulares con terceros, no relacionados directamente con los productos o servicios financieros, originados por la relación contractual existente entre la persona natural titular de los datos personales y El Banco.

De forma excepcional, los datos personales podrán ser compartidos cuando medie una orden y/o mandato judicial o en los supuestos establecidos en legislación y regulación vigente, en base a los cuales una autoridad judicial o regulatoria pueda y deba tener acceso a los datos personales gestionados por El Banco. Sin embargo, aún en estos casos, sólo se permitirá el acceso a la información personal específicamente descrita y señalada en base a la situación o tema tratado y no a toda la información personal custodiada por nuestra organización.

• Recolección. Solicitamos y recogemos información de identificación personal necesaria para la correcta prestación de los servicios que ofrecemos y que se amparan en la relación contractual existente entre El Banco y la persona natural titular de los datos personales. Para tal fin, podemos recopilar información de formularios completados por la persona natural titular de los datos personales al momento de solicitar información sobre un servicio y/o producto; del contrato de servicios, de correspondencia electrónica y datos recopilados de las visitas a nuestra página web, a través de cookies.
• Procesamiento. Los datos personales son procesados con la finalidad de prestar los servicios contratados o realizar las operaciones y/o transacciones que la persona natural titular de dichos datos precisa. También pueden ser utilizados para mejorar nuestro sitio web y otras aplicaciones digitales disponibles para nuestros clientes y para mantenerles informados sobre cambios en nuestros horarios y otros servicios bancarios que deben ser informados de forma oportuna para su beneficio. Algunos de los servicios prestados por El Banco, implican la realización de análisis de segmentos de mercados y otros análisis automatizados, con la finalidad de mejorar y/o ampliar los productos y/o servicios ofrecidos a nuestros clientes. En todo caso, cuando estos análisis requieran el uso de identificadores directos de nuestros clientes, la autorización para la realización de dichos datos será solicitada al momento de formalizar la contratación de los servicios de El Banco. En todo caso, nuestra política limita el acceso a los datos personales gestionados y sólo se permite acceso a dichos datos a los colaboradores y terceros que, con fines legítimos, necesiten acceder a esa información personal.
• Decisiones automatizadas. El Banco no utiliza sus datos personales para la toma de decisiones automatizadas.
• Transferencia. Nuestra política de gestión de datos prohíbe la transferencia de datos personales salvo aquellos casos en que sea necesario para el cumplimiento de la relación entre El Banco y la persona natural titular de los datos o por obligación legal y/o regulatoria o por requerimiento judicial. Cualquier otra transferencia de datos personales a terceros, deberá ser autorizada de manera previa y expresa por la persona natural titular de los datos personales. Sus datos personales sólo serán transferidos a terceros (autoridades, auditores, contadores, etc.) cuando se cumpla alguna de las condiciones estipuladas en el artículo 33 de la Ley 81 de 2019.
  Cuando sea requerida la contratación de servicios de alojamiento externos o de cualquier servicio externo, dentro o fuera del territorio de la República de Panamá, que requiera transferencia y/o tratamiento de datos personales, El Banco requerirá a sus proveedores que cumplan con iguales o superiores niveles de protección de datos personales y no alojará información en servidores ubicados en países que no tengan una legislación de protección de datos personales similar o superior a la establecida en la República de Panamá. En todo caso, la comunicación entre nuestros sistemas y los servidores externos, se encuentren dentro o fuera del territorio de la República de Panamá, se realizará utilizando los mayores estándares de seguridad de la Información de la industria.
• Conservación y Descarte. Los datos personales serán conservados basados en la relación contractual existente y en los plazos de conservación legales y/o regulatorios establecidos para tal fin. Vencidos estos plazos y dentro del plazo establecido por la legislación vigente, los datos personales podrán ser eliminados de forma segura de nuestros archivos físicos y digitales y/o devueltos a sus titulares a requerimiento expreso. Salvo autorización expresa de los titulares de los Datos Personales, el artículo 16 del Acuerdo 001-2022, establece que en ningún caso las entidades bancarias podrán transferir o comunicar los datos que se relacionen con una persona identificada o identificable, después de transcurridos siete (7) años desde que se extinguió la obligación legal de conservarla. Vencido este plazo el banco podrá eliminar dichos datos personales sin responsabilidad legal.

En cumplimiento de los estándares de seguridad reconocidos por la industria, los datos personales deben ser eliminados, así como los documentos que incluyan datos personales, tan pronto desaparece el interés legítimo para su tratamiento y/o conservación. Durante el proceso de eliminación, los Datos Personales serán extraídos de las Bases de Datos y de los repositorios utilizados por las plataformas y aplicaciones operativas de Popular Bank y almacenados en repositorios protegidos mientras se ejecuta el protocolo de eliminación segura que garantiza la confidencialidad de esa información hasta el momento de su destrucción, así como la imposibilidad de recuperación una vez eliminados.

La información personal acopiada en formato físico siempre es almacenada de forma segura y nuestros colaboradores han sido instruidos para que no la dejen sin supervisión, ni amontonarse en lugares de paso, ni en lugares abiertos dentro de las instalaciones. Para la información en formato físico existe un protocolo de descarte con medidas de seguridad adecuadas que garantizan su protección hasta el momento de su eliminación definitiva.

Proteger los datos personales es una prioridad para El Banco, por esta razón se han implementado medidas de seguridad técnicas y físicas para proteger la integridad y la confidencialidad de los datos personales que gestionamos. Toda nuestra infraestructura tecnológica y operativa cuenta con controles de seguridad y protección para disminuir el riesgo de accesos no autorizados, internos o externos, así como los protocolos que garantizan la pronta reacción cuando un evento o incidente de seguridad sea identificado.

Para los efectos de este Aviso de Privacidad, los titulares de los Datos Personales son las personas naturales cuyos Datos Personales son objeto de algún tratamiento por parte de El Banco.

Derechos. La normativa vigente en la República de Panamá reconoce a cada titular los derechos de Acceso, Rectificación, Cancelación, Oposición y Portabilidad, que por sus siglas, en lo sucesivo denominaremos Derechos ARCOP. El Banco garantiza al titular de los datos personales el ejercicio de los Derechos ARCOP, a fin de que, con previa acreditación de su identidad, legitimidad y sin costo alguno, tenga completo acceso a sus Datos Personales, en base al procedimiento descrito a continuación.

Ejercicio y Acciones. Con base a los derechos antes mencionados, El Banco declara que el propietario de los Datos Personales tiene derecho a:

1. Acceder, de forma gratuita, a los Datos Personales sobre los cuales El Banco esté haciendo algún tipo de tratamiento. Cuando el titular solicite que la información le sea suministrada en un dispositivo de almacenamiento tecnológico (usb, disco compacto, etc.) deberá suministrar el soporte al cual será transferida la información o asumir el costo de esta solicitud. El soporte proporcionado por el titular de los datos debe ser suministrado sin formato, ni información. En base a la regulación vigente, si el Responsable obtuvo los datos personales de otra fuente que no sea la persona natural titular de los datos, sea esta pública o privada, con o sin interés legítimo, la persona natural titular podrá ejercer los derechos de Oposición y/o cancelación, pero no el de portabilidad.
2. Solicitar, en cualquier momento, que sus datos sean rectificados, cuando los datos se encuentran incompletos, incorrectos, inexactos, fragmentados o sean irrelevantes, incompletos, desfasados, falsos o impertinentes
3. Ser informado por El Banco del uso que le ha dado a sus Datos Personales.
4. Oponerse a algún tratamiento que no haya sido autorizado o haya sido expresamente prohibido.
5. Revocar, sin necesidad de justificación, la autorización de tratamiento y/o solicitar la supresión del dato cuando no se respeten los parámetros de autorización de tratamiento expresamente indicados, los derechos ARCOP, ni las regulaciones sobre la materia.
6. Solicitar y verificar en cualquier momento el formulario de autorización expresa entregado a El Banco para el tratamiento de los Datos Personales.

Los bancos deberán poner a disposición del cliente, los medios y formas simplificadas de comunicación que considere pertinente para facilitar el ejercicio de sus derechos y atender o suministrar la información solicitada.
El/la titular de los Datos Personales debe acceder al formulario de solicitud para cada derecho que se encuentra disponible de forma impresa en las oficinas de El Banco, a fin de que le sea indicado qué Datos Personales se tienen almacenados y/o para que sus Datos Personales sean actualizados, corregidos, rectificados y/o suprimidos.

Cada solicitud de ejercicio de derechos ARCOP tendrá un número interno que será utilizado por el titular de los Datos Personales al requerir información sobre el estatus de su solicitud.  El Banco tendrá un plazo de dos (2) días hábiles para acusar recibo de la solicitud presentada a través del sitio web y/o correo electrónico, ingresarla al registro de solicitudes e indicar el número de la solicitud al titular de los Datos Personales. Cuando la solicitud sea hecha en formulario impreso, al momento de la presentación se le asignará el número interno.

En el mismo correo electrónico en que se indica el número asignado a la solicitud por medio electrónico, o en correo electrónico enviado dentro de los dos (2) días hábiles siguientes a la presentación personal del formulario de solicitud, se indicará al solicitante si es necesario corregir la solicitud y/o aclarar algún punto de la misma y/o adjuntar algún documento.  La persona natural titular de los Datos Personales tendrá un plazo de diez (10) días hábiles, contados a partir del día siguiente del envío del correo electrónico, para cumplir con lo solicitado. Al vencimiento del término antes indicado, si El Banco no ha recibido respuesta alguna o si se insiste en el incumplimiento de los requisitos, se levantará un informe de situación y se anotará en el Registro de Solicitudes que la persona natural titular de los datos no ha corregido su solicitud y se indicará por escrito a la persona natural titular que la solicitud no fue tratada por falta de información.

El Banco responderá toda solicitud de Acceso dentro de los diez (10) días hábiles siguientes a su presentación. Cuando la solicitud recaiga sobre cualquier otro de los derechos (Rectificación, Cancelación, Oposición y Portabilidad) y la solicitud resulte procedente, El Banco ejecutará la acción en un plazo máximo de cinco (5) días hábiles, contados a partir del día siguiente a la recepción de la solicitud o en el mismo plazo, indicará al titular las razones por la que su solicitud es improcedente.

En cumplimiento del artículo 11 y 27 del Acuerdo 001-2022, El Banco informará a cada titular de datos personales que considere vulnerado el ejercicio de los derechos ARCOP que podrá presentar ante EL BANCO toda solicitud, reclamación, queja y controversia vinculada con la protección de datos, las cuales serán atendidas a través del Oficial de Protección de Datos o el ejecutivo designado por el banco para tales fines.

En caso de que EL BANCO no cumpla con atender la solicitud concerniente al ejercicio de los derechos ARCOP o el cliente se encuentre disconforme con la decisión adoptada por EL BANCO, el mismo podrá interponer un reclamo ante la Superintendencia de Bancos de Panamá. Para tales fines, el cliente tendrá un plazo de 30 días calendarios, los cuales empezarán a contar a partir de la fecha en que obtuvo respuesta formal por parte de EL BANCO o cuando EL BANCO no haya cumplido con resolver la solicitud o reclamo en el plazo correspondiente.

Los reclamos presentados a la Superintendencia de Bancos de Panamá estarán sujetos a los procedimientos y recursos establecidos en la Ley Bancaria y en los Acuerdos bancarios relacionados con la materia. Una vez comunicada y ejecutoriada la Resolución que resuelve el proceso interpuesto ante la Superintendencia de Bancos de Panamá, se entenderá agotada la vía gubernativa, sin perjuicio de los recursos que correspondan en la vía contencioso-administrativa.

La persona natural titular de los Datos Personales podrá, en cualquier momento, revocar su autorización para cualquier tratamiento de sus Datos Personales por parte de El Banco. Para tal fin, deberá completar el formulario de Revocación de Autorización de Tratamiento que se encuentra disponible de forma impresa en las oficinas de El Banco, entregarlo personalmente y debidamente firmado.

Popular Bank, en su calidad de Responsable de los Datos Personales en cumplimiento de lo establecido en el Acuerdo 001-2022 de la Superintendencia de Bancos de Panamá, ha designado a un Oficial de Protección de Datos Personales, el cual puede ser contactado mediante correo electrónico dirigido a oficialpdp@popularbank.com.pa o al número telefónico de Popular Bank (+507 297-4100).

Funciones del Oficial de PDP. El Acuerdo 001-2022 establece las siguientes funciones para el oficial de PDP:

1. Llevar un registro de cualquier suceso que afecte la protección de los datos personales tratados por el Banco
2. Reportar toda deficiencia detectada en las medidas de protección de datos personales a la Gerencia Superior o Alta Dirección, así como a la Unidad de Administración de Riesgo y la Unidad de Auditoría Interna
3. Coordinar con el área de seguridad de la información los sucesos de seguridad que impacten la protección de los datos personales
4. Proporcionar sugerencias respecto a las medidas correctivas que pueden implementarse para subsanar las deficiencias detectadas en el tratamiento de los datos personales
5. Mantener una comunicación con las áreas de riesgo, auditoría interna y cumplimiento con la finalidad de identificar las mejoras necesarias en los controles de protección de datos personales
6. Coadyuvar en conjunto con el responsable del área de seguridad de la información en la atención de los incidentes de seguridad que impacten el tratamiento de los datos personales
7. Ser la unidad de enlace con la Superintendencia de Bancos en los temas relativos al tratamiento de los datos personales
8. Coordinar el plan anual de capacitación en materia de protección de datos personales
9. Ser la unidad de enlace con el titular de los datos, sin perjuicio que administrativamente, cuando aplique, se pueda apoyar en el responsable del Sistema de Atención de Reclamos.

Las redes sociales y las aplicaciones de mensajería instantánea constituyen plataformas complementarias de divulgación de información e intercambio de comunicación a través de medios digitales con clientes y público en general, pero no se encuentran bajo la responsabilidad de El Banco. En consecuencia, cualquier información que los usuarios proporcionan a través de estas plataformas no constituye, ni forma parte de los Datos Personales sujetos a la protección de El Banco, siendo de total responsabilidad de la persona que proporciona la información y de las empresas que gestionan estas plataformas.

Uso de Redes Sociales 

El Banco puede utilizar estas plataformas de comunicación como medio complementario de promoción de productos y servicios. Estas comunicaciones publicadas a través de redes sociales son dirigidas al público en general. Los perfiles que Popular Bank utiliza en redes sociales son abiertos y se utilizan los canales ofrecidos por las empresas que gestionan estas redes, las cuales hacen que las publicaciones aparezcan más frecuentemente para ciertos tipos de clientes en base a las autorizaciones de tratamiento de datos personales hechas por los usuarios al momento de suscribirse a dichas redes.

Uso de Aplicaciones de Mensajería Instantánea

El Banco podrá utilizar estas plataformas de mensajería instantánea como herramienta para dinamizar las comunicaciones entre los colaboradores y entre los colaboradores y los clientes. Sin embargo, debido a que Popular Bank no tiene control sobre el acceso y uso a la información por parte de la empresa propietaria de la aplicación, Popular Bank desaconseja a sus colaboradores y clientes el intercambio de información sensitiva y de documentos que contengan datos personales a través de dichas redes. Esta información deberá ser compartida a través de correo electrónico seguro o de cualquier otro canal de comunicación segura que en su momento implemente El Banco.

La información compartida en este Aviso de Privacidad permanecerá vigente hasta que se publique una nueva versión de este documento. La revisión y actualización de este Aviso de Privacidad se realizará cada dos (2) años y en base a los procedimientos internos para revisión de manuales y políticas, salvo que un cambio normativo o algún cambio en los procesos internos de El Banco que puedan afectar el contenido de las declaraciones establecidas en este documento, hagan necesarias su revisión y actualización previas al plazo establecido. Para la actualización o modificación de este Aviso de Privacidad se requiere previa autorización del Comité Interno de Tecnología de El Banco.