Política de Protección de Datos Personales

1. Objeto y alcance

Esta Política establece los principios, procedimientos y controles para el tratamiento lícito, leal, transparente y seguro de los datos personales gestionados por CITRUS, en cumplimiento de la Ley 172-13 sobre Protección de Datos Personales en la República Dominicana y demás normativa aplicable.

Esta política aplica al personal de CITRUS, incluyendo empleados, pasantes y contratistas internos; a proveedores y terceros que actúen como encargados o subencargados del tratamiento; y al ecosistema SaaS de CITRUS, incluyendo ERP, CRM, PT, e-CF y demás soluciones tecnológicas.

2. Marco normativo dominicano

• Ley 172-13 sobre Protección de Datos de Carácter Personal.
• Ley 126-02 sobre Comercio Electrónico, Documentos y Firmas Digitales.
• Leyes sectoriales aplicables en materia tributaria, laboral, seguridad social y telecomunicaciones.
• Buenas prácticas y estándares internacionales ISO/IEC 27001 e ISO/IEC 27701, usados como referencia y no como obligaciones legales.

3. Definiciones esenciales

• Dato personal: cualquier información que identifica o pueda identificar a una persona física.
• Dato sensible: información que revela origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, salud, vida sexual u otros datos que, por su naturaleza, afecten la intimidad del titular.
• Titular: persona física a la que se refieren los datos personales.
• Responsable del tratamiento: persona física o jurídica que decide sobre la finalidad y el tratamiento de los datos.
• Encargado del tratamiento: persona física o jurídica que realiza el tratamiento por cuenta del responsable.
• Consentimiento: manifestación libre, específica, informada e inequívoca por la que el titular acepta el tratamiento de sus datos.
• Incidente de seguridad: evento que afecta o puede afectar la confidencialidad, integridad o disponibilidad de los datos personales.

4. Principios de tratamiento y privacidad

CITRUS adopta el principio de privacidad como eje central en el tratamiento de datos personales, asegurando que todas las operaciones se realicen bajo criterios de licitud, transparencia y responsabilidad proactiva. Este compromiso busca proteger los derechos de los titulares y minimizar riesgos legales, reputacionales y operativos.

• Licitud y lealtad: todo tratamiento debe tener una base legal válida y respetar la confianza del titular.
• Finalidad específica: los datos se usarán únicamente para fines declarados y legítimos, como provisión de servicios SaaS, facturación y soporte.
• Minimización y proporcionalidad: se recolectará solo la información estrictamente necesaria para el propósito definido.
• Transparencia: el titular será informado de forma clara sobre finalidades, bases legales, derechos y canales de contacto.
• Integridad y confidencialidad: se aplican medidas técnicas y organizativas para evitar accesos no autorizados, pérdida o alteración de los datos.
• Limitación de conservación: los datos se eliminarán o anonimizarán una vez cumplida la finalidad, salvo obligaciones legales de conservación.
• Responsabilidad proactiva: CITRUS mantiene evidencia documental, auditorías periódicas y mejora continua.

5. Privacidad desde el diseño y por defecto

CITRUS incorpora la privacidad desde la concepción de procesos, productos y servicios, y establece por defecto las opciones más protectoras para los titulares.

• Medidas físicas: control de acceso a instalaciones, resguardo seguro de documentos y dispositivos, registro de visitantes y control de dispositivos externos en zonas sensibles.
• Medidas técnicas: cifrado AES-256 en reposo, TLS 1.2+/1.3 en tránsito, copias de seguridad cifradas, pruebas de restauración, pruebas de penetración y análisis de vulnerabilidades al menos una vez al año.
• Medidas organizativas: roles y perfiles de acceso basados en necesidad de conocer, Registro de Actividades de Tratamiento, Evaluaciones de Impacto en Protección de Datos y cláusulas contractuales de privacidad para encargados y subencargados.

6. Bases legales válidas

El tratamiento de datos personales por parte de CITRUS se sustenta en una o varias de las siguientes bases legales:

• Consentimiento expreso del titular.
• Ejecución de contratos en los que el titular es parte.
• Cumplimiento de obligaciones legales fiscales, laborales, de seguridad social o regulatorias.
• Interés legítimo ponderado, cuando no prevalezcan los derechos y libertades fundamentales del titular.

7. Condiciones y medidas para el tratamiento

CITRUS asegura que todo tratamiento de datos personales se realice bajo principios de licitud, transparencia y proporcionalidad, limitando el uso de los datos a los fines legítimos para los cuales fueron recolectados.

• Consentimiento informado: obtención previa, libre, específica e inequívoca, con mecanismos de revocación sencilla y gratuita.
• Finalidad explícita: uso exclusivo para provisión de servicios SaaS, facturación, atención al cliente y soporte técnico.
• Autorización formal: contratos y cláusulas específicas para encargados y subencargados, con obligaciones de confidencialidad, seguridad y cumplimiento normativo.
• Minimización y exactitud: recolección de información necesaria, correcta, pertinente y actualizada.
• Protección reforzada para datos sensibles: tratamiento con controles adicionales y base legal clara.
• Tratamiento de datos de menores: conforme a la Ley 136-03 y demás normas aplicables, con consentimiento de padres o tutores cuando corresponda.
• Transferencias internacionales: permitidas únicamente cuando el país receptor garantice un nivel adecuado de protección y exista contrato vinculante con cláusulas de privacidad.

Para preservar confidencialidad, integridad y seguridad durante todo el ciclo de vida de los datos, CITRUS aplica deber de secreto, cifrado, autenticación multifactor, control de acceso por roles, monitoreo continuo, exactitud y actualización de datos, conservación limitada, eliminación segura y trazabilidad de accesos y operaciones relevantes.

Los datos para fines fiscales y contables podrán conservarse hasta 10 años; los expedientes de Recursos Humanos hasta 5 años luego de terminada la relación; y los datos de marketing hasta 2 años desde la última interacción significativa del titular, salvo revocación previa.

8. Derechos ARCO

CITRUS garantiza a los titulares el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición, conforme a la Ley 172-13.

• Acceso: plazo máximo de respuesta de 10 días hábiles.
• Rectificación: plazo máximo de respuesta de 5 días hábiles.
• Cancelación: plazo máximo de respuesta de 5 días hábiles, salvo conservación por obligación legal.
• Oposición: plazo máximo de respuesta de 10 días hábiles.

Las solicitudes ARCO se tramitan ante el Encargado de Privacidad por los canales indicados en esta política.

9. Gestión de incidentes de seguridad

Ante un incidente de seguridad que afecte datos personales, CITRUS aplicará un procedimiento de reporte inmediato, contención, evaluación, notificación y remediación.

• Reporte interno tan pronto se detecte el incidente, con objetivo menor o igual a 2 horas.
• Contención técnica y organizativa para limitar el impacto, con objetivo menor o igual a 4 horas.
• Evaluación de causa, alcance y categorías de datos afectados, con objetivo menor o igual a 24 horas.
• Comunicación a la Alta Dirección y, cuando corresponda, a INDOTEL/DPDP y a los titulares, sin dilación indebida.
• Remediación, acciones correctivas y revisión posterior del incidente, con objetivo menor o igual a 15 días.

10. Canal de denuncias de privacidad

CITRUS dispone de mecanismos seguros y confidenciales para reportar incumplimientos relacionados con esta política, garantizando la protección del denunciante y la correcta gestión del caso.

• Correo electrónico seguro: info@citrus.com.do.
• Línea telefónica / WhatsApp corporativo: +1 809-548-8274.
• Confidencialidad de la identidad del denunciante y prohibición de represalias para denuncias de buena fe.
• Registro, trazabilidad, investigación imparcial y aplicación de medidas correctivas cuando corresponda.

11. Supervisión y auditoría

• Autoevaluación semestral de cumplimiento de la política.
• Auditoría interna anual de privacidad y seguridad de la información.
• Auditoría externa bienal, cuando corresponda, sobre controles y cumplimiento normativo.
• Revisión de la política al menos una vez al año o ante cambios regulatorios u operativos relevantes.

12. Régimen sancionador

La violación de esta política se considera una falta disciplinaria. Según la gravedad del incumplimiento, podrán aplicarse medidas como amonestación verbal o escrita, capacitación adicional, suspensión temporal de funciones o beneficios, plan de corrección, despido o terminación contractual y, cuando proceda, denuncias o querellas ante autoridades competentes.

Estas sanciones aplican tanto a colaboradores como a terceros que actúen en nombre de CITRUS, garantizando aplicación objetiva, proporcional y con respeto al debido proceso.

13. Gobernanza y contactos

• Alta Dirección: define la estrategia general de protección de datos, asigna recursos y aprueba esta política.
• Encargado de Privacidad: coordina la implementación, seguimiento y revisión de la política, atiende solicitudes ARCO, gestiona incidentes y actúa como punto de contacto con autoridades.
• Áreas de negocio y TI: implementan medidas técnicas y organizativas en sus procesos y sistemas.
• Toda la plantilla: debe cumplir esta política y reportar incumplimientos o incidentes de buena fe.

14. Aprobación de Alta Dirección

Esta Política de Protección de Datos Personales es emitida y aprobada por la Alta Dirección de CITRUS Technology Group, S. R. L. y se publica en los medios internos de comunicación de la empresa, quedando a disposición de todo el personal y de los terceros relevantes.