POLÍTICA DE CONFIDENCIALIDAD

VERIHALAL

OBJETO Y FINALIDAD
VERIHALAL adopta la presente Política de Confidencialidad con el propósito de:
Garantizar la protección, reserva, integridad y adecuada gestión de toda la información obtenida, generada o tratada en el marco de las actividades de evaluación y certificación Halal, así como de las actividades conexas que desarrolle VERIHALAL;
Preservar los derechos e intereses legítimos de los clientes y demás partes interesadas, la integridad del proceso de certificación y la confianza en los certificados emitidos; y
Asegurar el cumplimiento de los requisitos normativos, legales, contractuales, de acreditación y de los principios islámicos aplicables, en particular los previstos en la norma ISO/IEC 17065:2012, numeral 4.5, y en los lineamientos Halal internacionales.
Esta política es de obligatorio cumplimiento para todas las personas y entidades vinculadas al VERIHALAL y forma parte integrante de su sistema de gestión.
ÁMBITO DE APLICACIÓN
La presente política aplica a toda la información, en cualquier formato (físico, digital, electrónico, audiovisual o similar), que sea:
Obtenida o generada por VERIHALAL durante la evaluación, certificación, vigilancia, renovación, suspensión o retiro de certificaciones Halal;
Tratada en el marco de servicios asociados o complementarios a la certificación; y
Recibida de terceros (clientes, autoridades, organismos de acreditación, denunciantes, proveedores u otros) en relación con dichas actividades.
Son sujetos obligados por esta política:
El personal directivo, técnico, administrativo y de apoyo de VERIHALAL, cualquiera sea su forma de vinculación;
Auditores, evaluadores, expertos técnicos, inspectores, revisores, decisores y miembros de comités;
Proveedores, contratistas, consultores externos y cualquier tercero que, por razón de su vínculo con VERIHALAL, tenga acceso a información dw VERIHALAL o de sus clientes.
PRINCIPIOS RECTORES
La interpretación y aplicación de esta política se regirá, entre otros, por los siguientes principios:
Confidencialidad: protección frente al acceso, uso o divulgación no autorizados de la información.
Integridad: preservación de la exactitud, completitud y fiabilidad de la información, evitando su alteración indebida.
Disponibilidad controlada: garantía de que la información esté disponible para las personas autorizadas cuando sea necesaria para el cumplimiento de las funciones de VERIHALAL.
Necesidad y proporcionalidad: el tratamiento de la información se limitará a lo estrictamente necesario para el cumplimiento de las finalidades legítimas de VERIHALAL.
Legalidad y cumplimiento normativo: toda gestión de la información se realizará conforme a la normativa aplicable, a los requisitos de acreditación y a los principios islámicos de ética, justicia, honestidad y transparencia.
Responsabilidad y trazabilidad: cada actuación sobre la información tendrá responsables identificables y dejará evidencia documentada suficiente para su verificación.
CLASIFICACIÓN DE LA INFORMACIÓN
Información confidencial por defecto
Por regla general, toda información relativa a los clientes, sus productos, procesos, sistemas, documentación, datos de empleados, proveedores y demás elementos vinculados a los procesos de certificación será considerada privada y confidencial, salvo que:
Sea pública por decisión expresa del cliente;
El cliente autorice explícitamente su divulgación a terceros; o
Una norma, reglamentación Halal, exigencia de acreditación o requisito legal ordene o requiera que sea pública (por ejemplo, la lista de productos o servicios certificados Halal, cuando así lo disponga el correspondiente esquema de certificación).
Información pública de VERIHALAL
VERIHALAL pondrá a disposición del público, por los medios que considere idóneos (página web, comunicaciones oficiales, listados u otros), exclusivamente la información que:
Esté prevista como pública por las normas, esquemas Halal o requisitos de acreditación; o
Haya sido expresamente autorizada por el cliente.
En particular, y a título ejemplificativo, podrán hacerse públicos:
Listados de productos o servicios certificados Halal,
Estados de vigencia o suspensión de certificados,
Alcances de la certificación, según lo exigido por las normas o por las entidades de acreditación.
En tales casos, VERIHALAL informará previamente al cliente acerca del tipo de información que será publicada, salvo que dicha publicidad derive directamente de una obligación legal o reglamentaria clara y conocida.
COMPROMISOS INSTITUCIONALES SOBRE LA INFORMACIÓN
Responsabilidad sobre la información
VERIHALAL es responsable de la gestión, protección y confidencialidad de toda la información obtenida o creada durante las actividades de certificación, incluyendo la almacenada en medios físicos y digitales, y se compromete a:
Definir y aplicar controles y procedimientos documentados para el manejo, acceso, archivo, conservación y eliminación de la información;
Garantizar que cualquier tratamiento se efectúe por personal debidamente autorizado y capacitado;
Mantener registros suficientes que permitan evidenciar el cumplimiento de esta política.

Información obtenida de terceros
La información relativa a un cliente o a sus productos que sea recibida de fuentes distintas al propio cliente (por ejemplo, autoridades regulatorias, organismos oficiales, organismos de acreditación, terceros denunciantes, etc.) será tratada con el mismo nivel de confidencialidad que la información aportada directamente por el cliente, salvo que la fuente originaria la haya hecho pública de forma legítima.
EXCEPCIONES A LA CONFIDENCIALIDAD
La obligación de confidencialidad no será absoluta en los siguientes casos:
Exigencia legal o reglamentaria: cuando una autoridad judicial, administrativa, regulatoria o de acreditación requiera la entrega de información, VERIHALAL procederá a su suministro en la medida estrictamente necesaria para atender el requerimiento.
Siempre que la normativa lo permita, VERIHALAL informará previamente al cliente sobre el requerimiento recibido y el alcance de la información que deba ser divulgada. Cuando la ley prohíba poner en conocimiento del cliente dicho requerimiento, VERIHALAL dejará constancia interna del fundamento legal correspondiente.
Requisitos contractuales o de acreditación: cuando la divulgación de cierta información sea requisito indispensable para mantener la acreditación de VERIHALAL o para dar cumplimiento a obligaciones contractuales con organismos de acreditación u otras entidades reguladoras, se observarán las exigencias mínimas necesarias, procurando proteger en la mayor medida posible los datos sensibles del cliente.
En todos los casos, la divulgación será proporcional, limitada y documentada, revelando únicamente la información estrictamente necesaria y dejando constancia del requerimiento recibido, de su fundamento y de la información efectivamente suministrada.
MEDIDAS DE PROTECCIÓN DOCUMENTAL Y TECNOLÓGICA
VERIHALAL implementará y mantendrá controles razonables y proporcionados para garantizar la seguridad, integridad, disponibilidad y confidencialidad de la información, incluyendo, entre otros:
Control de accesos:
Definición de perfiles y niveles de autorización según funciones y responsabilidades.
Restricción del acceso a la información sensible únicamente al personal que lo requiera para el desempeño de sus funciones.
Seguridad digital
Uso de credenciales seguras, sistemas de autenticación y, cuando proceda, cifrado de información.
Implementación de protocolos para el manejo de copias de seguridad, gestión de incidentes de seguridad y prevención de accesos no autorizados.
Manejo de documentos físicos
Archivo seguro de expedientes y registros en espacios controlados.
Acceso restringido a los archivos físicos y registro de préstamos o consultas cuando sea pertinente.
Almacenamiento de registros de certificación
Conservación en condiciones que eviten su pérdida, deterioro, alteración o destrucción no autorizada.
Mecanismos de respaldo que permitan la recuperación de la información en caso de contingencias.
OBLIGACIONES DE CONFIDENCIALIDAD DEL PERSONAL.
Compromisos formales
Todo el personal interno o externo que tenga acceso a información de VERIHALAL o de sus clientes —incluyendo auditores, evaluadores, expertos técnicos, técnicos de laboratorio, miembros de comités, personal administrativo y directivo— deberá:
Firmar, al inicio de su relación y de forma periódica cuando lo determine VERIHALAL, acuerdos o cláusulas de confidencialidad que definan con precisión el alcance de sus obligaciones y las consecuencias de su incumplimiento;
Reconocer por escrito que la información a la que accede es propiedad del cliente o de VERIHALAL, según el caso, y que su uso se limita a las finalidades propias del proceso de certificación y actividades conexas autorizadas;
Mantener la confidencialidad incluso con posterioridad a la terminación de su relación contractual o laboral con VERIHALAL.
Uso restringido de la información
La información a la que se tenga acceso en el marco de las actividades de VERIHALAL:
Solo podrá utilizarse para los fines legítimos vinculados a la evaluación, certificación, vigilancia, mantenimiento o retiro de certificados Halal, así como para el cumplimiento de obligaciones legales, reglamentarias o de acreditación;
No podrá emplearse, en ningún caso, para beneficio personal, de terceros o de organizaciones competidoras del cliente o del propio VERIHALAL;
No podrá ser compartida en redes sociales, foros, presentaciones, capacitaciones o espacios similares, salvo que haya sido previamente anonimizada o autorizada de forma expresa y documentada.
CONSERVACIÓN Y ELIMINACIÓN DE LA INFORMACIÓN
VERIHALAL conservará los registros de certificación y demás información relacionada por los plazos mínimos que establezcan:
Las normas Halal y los esquemas de certificación aplicables;
La normativa legal y reglamentaria vigente; y
Los requisitos de los organismos de acreditación.
Cumplidos dichos plazos, los registros serán eliminados, anonimizados o archivados de forma tal que se garantice:
Que no puedan ser reconstruidos o utilizados sin autorización;
Que se preserve, cuando corresponda, la evidencia necesaria para el cumplimiento de obligaciones legales y de control.
Los procedimientos de conservación y eliminación deberán estar documentados, ser conocidos por el personal y contemplar medidas específicas para la información sensible o de carácter reservado.
GESTIÓN DE INCIDENTES DE CONFIDENCIALIDAD
Cualquier incidente que pueda afectar la confidencialidad, integridad o disponibilidad de la información (pérdida, robo, acceso no autorizado, divulgación indebida, destrucción o alteración no autorizada, entre otros) deberá:
Ser reportado de inmediato a la Dirección de VERIHALAL o al responsable designado para la gestión de seguridad de la información;
Ser objeto de una investigación interna documentada, que permita:
Identificar la causa del incidente;
Determinar el alcance de la afectación;
Establecer las responsabilidades correspondientes;
Dar lugar a la adopción de acciones correctivas y preventivas, que pueden incluir:
Notificación al cliente y, cuando sea exigible, a autoridades o entidades de acreditación;
Medidas técnicas o procedimentales para evitar la repetición;
Eventuales sanciones disciplinarias o contractuales frente a las personas responsables.
FORMACIÓN, SENSIBILIZACIÓN Y MEJORA CONTINUA
VERIHALAL garantiza que:
Todo el personal sujeto a esta política reciba formación inicial y periódica en materia de confidencialidad, protección de la información y obligaciones derivadas de la presente política;
La Política de Confidencialidad y los procedimientos asociados sean difundidos, accesibles y comprensibles para quienes deban aplicarlos;
Los resultados de auditorías internas y externas, así como los incidentes registrados, se incorporen en un proceso de mejora continua de los controles y medidas de seguridad.
La política será revisada, como mínimo, una vez al año, o antes si se presentan cambios normativos, técnicos, organizacionales o de acreditación que exijan su actualización.
DECLARACIÓN FINAL
VERIHALALreafirma que:
La gestión de la información se ajustará, en todo momento, a los principios de ética, respeto, discreción y responsabilidad profesional, en coherencia con los valores islámicos de justicia, honestidad y transparencia;
El cumplimiento de esta Política de Confidencialidad es condición esencial para la participación en cualquier actividad relacionada con los procesos de certificación;
Cualquier incumplimiento podrá dar lugar a acciones disciplinarias, contractuales o legales, sin perjuicio de las responsabilidades que puedan derivarse frente a clientes, autoridades o terceros.
En constancia, la presente Política de Confidencialidad se aprueba y entra en vigencia a partir de la fecha indicada en su control de versiones.