Volver al inicio

Documento legal

Política Interna de Tratamiento de Datos Personales

Documento Interno — BRANDIA PERU S.A.C.Versión 1.0 — Vigente desde el 22 de abril de 2026

La presente Política establece las normas internas, roles, responsabilidades, y medidas técnicas y organizativas que BRANDIA PERU S.A.C. (RUC 20615778088), con domicilio en Av. Comandante Espinar N° 844, Urb. Chacarilla Santa Cruz – El Rosario, Miraflores, Lima, implementa para garantizar la seguridad, confidencialidad, integridad y disponibilidad de los datos personales tratados en su actividad, conforme a la Ley N° 29733 (LPDP), su Reglamento (D.S. N° 003-2013-JUS), la Ley N° 31814 sobre uso responsable de inteligencia artificial, la Ley N° 30096 de delitos informáticos y las mejores prácticas internacionales (ISO 27001 e ISO 27701).

Aplicable a todos los directores, trabajadores, socios, contratistas, encargados del tratamiento y terceros con acceso a datos personales o información confidencial de Brandia. Abarca:

(a) Infraestructura: base de datos Supabase (PostgreSQL), hosting Vercel, servicios de correo Resend, procesamiento de IA Anthropic y pasarela Culqi.

(b) Sistemas internos: correo corporativo, almacenamiento en la nube, CRM y herramientas de gestión documental.

(c) Archivos físicos y digitales: expedientes de clientes, contratos, poderes, copias de documentos de identidad.

(d) Equipos: dispositivos corporativos y equipos personales bajo política BYOD.

2.1 BDD 1 — Usuarios de la Plataforma (Clientes y Leads)

Finalidad: gestión de cuentas, autenticación, prestación del servicio.

Datos: nombre, DNI/RUC, correo, teléfono, dirección, credenciales hasheadas, historial de trámites.

Conservación: vigencia de la cuenta más cinco (5) años.

Inscripción APDP: RNPDP-PJP N° [●]

2.2 BDD 2 — Expedientes Marcarios

Finalidad: seguimiento de solicitudes de registro ante INDECOPI.

Datos: titular del signo, denominación, clase Niza, productos/servicios, poderdante, apoderado, estado del trámite.

Conservación: vigencia del registro y sus renovaciones más cinco (5) años desde la extinción.

Inscripción APDP: RNPDP-PJP N° [●]

2.3 BDD 3 — Facturación y Pagos

Finalidad: emisión de comprobantes electrónicos y control contable-tributario.

Datos: nombre/razón social, RUC/DNI, dirección fiscal, importe, token de pago (sin datos de tarjeta).

Conservación: cinco (5) años desde la emisión del comprobante (normativa SUNAT).

Inscripción APDP: RNPDP-PJP N° [●]

2.4 BDD 4 — Recursos Humanos (si aplica)

Finalidad: gestión laboral, planilla, evaluación de desempeño, seguridad y salud en el trabajo.

Datos: datos de identificación, laborales, contacto de emergencia, datos bancarios para pago.

Conservación: durante el vínculo laboral más diez (10) años.

Inscripción APDP: RNPDP-PJP N° [●]

3.1 Responsable del tratamiento: BRANDIA PERU S.A.C., representada por su Gerencia General.

3.2 Oficial de Protección de Datos (DPO): designado por acuerdo de Directorio, con autonomía funcional, contacto hola@brandia.pe. Funciones: supervisar el cumplimiento de la LPDP, atender solicitudes ARCO, actuar como interlocutor ante la APDP, reportar al Directorio.

3.3 Encargados del tratamiento (con DPA suscrito):

(a) Supabase Inc. (EE.UU.) — base de datos y autenticación. Infraestructura sobre AWS us-east-1.

(b) Vercel Inc. (EE.UU.) — hosting y despliegue web.

(c) Resend Inc. (EE.UU.) — correos transaccionales.

(d) Anthropic PBC (EE.UU.) — procesamiento de IA para naming y scoring.

(e) Culqi S.A.C. (Perú) — pasarela de pagos (PCI-DSS Nivel 1).

3.4 Niveles de acceso interno (principio de mínimo privilegio):

(a) Administrador (directores y DPO): acceso completo con autenticación multifactor obligatoria.

(b) Operaciones: acceso a expedientes activos asignados, sin acceso a datos de pago ni a RRHH.

(c) Soporte: acceso limitado a datos de contacto del usuario en consulta, registrado en logs.

(d) Marketing: acceso únicamente a data anonimizada y segmentos agregados.

3.5 Revisión trimestral de permisos y accesos por el DPO.

4.1 Cifrado. TLS 1.3 en tránsito; cifrado simétrico de grado militar (AES-256) en reposo; contraseñas almacenadas con función de hash y sal criptográfica (bcrypt o argon2).

4.2 Control de acceso. Autenticación multifactor obligatoria para accesos administrativos; tokens JWT con caducidad configurada; Row Level Security habilitado en todas las tablas; segregación estricta de credenciales por ambiente (dev/staging/prod); prohibición de exposición de claves de servicio en frontend.

4.3 Seguridad de pagos. Datos de tarjeta no almacenados en sistemas de Brandia; delegación total a Culqi (PCI-DSS Nivel 1); tokens de un solo uso.

4.4 Logs y auditoría. Registro de eventos de acceso, modificación y exportación de datos sensibles; retención mínima de doce (12) meses; revisión mensual por el DPO.

4.5 Pruebas de penetración (pentesting). Semestrales, ejecutadas por proveedor externo acreditado; informe de hallazgos y plan de remediación con plazos obligatorios.

4.6 Copias de seguridad. Backups diarios con retención mínima de treinta (30) días, almacenados cifrados y en región distinta a la primaria.

5.1 Cláusulas de confidencialidad obligatorias en contratos laborales, de locación de servicios y con proveedores.

5.2 Capacitación anual obligatoria en protección de datos, ciberseguridad y uso responsable de IA para todo el personal con acceso a datos.

5.3 Plan de respuesta a incidentes (IRP) documentado, actualizado anualmente, con simulacros semestrales.

5.4 Política de escritorio y pantalla limpia; prohibición de impresión no autorizada de datos personales.

5.5 Política de dispositivos BYOD con cifrado obligatorio y revocación remota.

5.6 Revisión anual de la presente Política y actualización ante cambios normativos o tecnológicos.

6.1 Contención inmediata. Aislar el sistema comprometido; preservar evidencia forense.

6.2 Evaluación de impacto. Alcance, categorías de datos afectados, número de titulares, nivel de riesgo.

6.3 Escalamiento interno. Notificación al DPO en las primeras dos (2) horas; al Directorio en cuatro (4) horas.

6.4 Notificación APDP. Dentro de las cuarenta y ocho (48) horas siguientes al conocimiento de la brecha, cuando suponga riesgo para derechos de los titulares.

6.5 Notificación a titulares afectados. Dentro de las setenta y dos (72) horas cuando el riesgo sea alto, indicando naturaleza del incidente, categorías de datos, consecuencias probables y medidas de mitigación.

6.6 Registro. Mantenimiento de un Registro Interno de Incidentes con trazabilidad completa, conforme al Art. 39 del Reglamento LPDP.

6.7 Lecciones aprendidas. Postmortem formal y actualización de controles.

7.1 Canal. Los titulares envían su solicitud a hola@brandia.pe, identificándose con copia de DNI y señalando el derecho a ejercer.

7.2 Acuse. Brandia acusa recibo dentro de los dos (2) días hábiles.

7.3 Plazos diferenciados de respuesta.

(a) Acceso: veinte (20) días hábiles.

(b) Rectificación, Cancelación y Oposición: diez (10) días hábiles.

(c) Revocación del consentimiento: efecto inmediato.

7.4 Registro. Las solicitudes y resoluciones quedan archivadas en el Registro de Solicitudes ARCO bajo custodia del DPO por un mínimo de cinco (5) años.

Las transferencias a encargados ubicados en Estados Unidos (Supabase, Vercel, Resend, Anthropic) se amparan en las garantías del Art. 15 LPDP, mediante: (i) cláusulas contractuales tipo incorporadas a los DPA suscritos con cada encargado; (ii) consentimiento expreso e informado recabado al titular al momento de aceptar los Términos y Condiciones; (iii) documentación de controles técnicos y organizativos de seguridad equivalente.

9. USO RESPONSABLE DE INTELIGENCIA ARTIFICIAL (LEY N° 31814)

9.1 La evaluación estimativa de riesgo marcario y el naming asistido por IA se rigen por principios de transparencia, explicabilidad, revisión humana y no discriminación.

9.2 Se mantiene documentación de los modelos utilizados, sus datasets de entrenamiento (anonimizados), métricas de desempeño y margen de error declarado.

9.3 Los usuarios tienen derecho a solicitar revisión humana de decisiones automatizadas que les afecten significativamente.

La presente Política entra en vigor a su aprobación y será revisada al menos una vez al año por el DPO, con aprobación del Directorio. Versiones históricas conservadas en repositorio interno por cinco (5) años.

Aprobado por: Directorio de BRANDIA PERU S.A.C.

Fecha de aprobación: 22 de abril de 2026

Oficial de Protección de Datos (DPO): [Nombre] — hola@brandia.pe