MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE PROTECCIÓN DE DATOS PERSONALES
Cartagena, Bolívar – Colombia
El presente documento está sujeto a la protección de derechos de autor y de propiedad intelectual. Toda reproducción total o parcial sin la autorización de La Organización, está prohibida.
PREÁMBULO
La Organización, en cumplimiento con lo dispuesto en el Artículo 15 de la Constitución Política de Colombia, la Ley Estatutaria 1581 de 2012, y en el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, Decreto 1574 de 2015, así como sus normas reglamentarias y complementarias, declara que el objeto del presente Manual, es proteger el “derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales, así como el derecho a la información consagrado en el artículo 20 de la Constitución Política”. [1]
Así las cosas, LA ORGANIZACIÓN a través del presente documento, “tomará todas las medidas de seguridad razonables para garantizar que la información personal contenida en las bases de datos que administra, sea suministrada, únicamente, a los titulares, a las personas debidamente autorizadas por estos o a sus causahabientes”[2]asimismo, garantizará en todo momento los derechos fundamentales a la intimidad, el buen nombre y la privacidad de las personas naturales, razón por la cual adopta y aplica el presente Manual de Políticas y Procedimientos de Protección de Datos Personales.
Para LA ORGANIZACIÓN, la eficacia en la administración de la información y el acceso a canales de comunicación veraces, se encuentran dentro de sus prioridades en la regulación no sólo frente a su equipo de colaboradores, sino también frente a sus proveedores, contratistas, clientes y usuarios en general. Por lo tanto, este Manual le permite conocer a cada uno de los miembros internos y externos o colectivos que hacen parte de LA ORGANIZACIÓN o tienen alguna relación con nosotros, los derechos y obligaciones que la Ley 1581 de 2012 y las normas complementarias han desarrollado, garantizado y establecido para los Titulares de la información de carácter personal, del cual es responsable de su tratamiento.
INTRODUCCIÓN
DESARROLLOS SERENA DEL MAR SUCURSAL COLOMBIA, en adelante, LA ORGANIZACIÓN ha decidido adoptar el presente Manual, el cual establece las condiciones de organización, obligaciones de los implicados e intervinientes en el Tratamiento y uso de la información de carácter personal, régimen de funcionamiento, y procedimientos aplicables al Tratamiento de datos personales que en el desarrollo de las actividades propias de su objeto social tenga que solicitar, utilizar, almacenar, corregir, ceder, suprimir o tratar información de carácter personal.[3]
Lo anterior ha sido resuelto, con el fin de dar pleno cumplimiento a lo dispuesto por el artículo 15 de la Constitución Política de Colombia y la Ley 1581 de 2012, así como las demás normas que reglamentan y complementan el Tratamiento para la Protección de Datos Personales [4] en Colombia como ya se había indicado más arriba.
LA ORGANIZACIÓN es la responsable del Tratamiento de Datos Personales y en cumplimiento a lo establecido en el Decreto Reglamentario 1377 de 2013, adopta y hace público a todos los interesados el presente Manual que contiene todos los elementos esenciales, sencillos y seguros para el cumplimiento con la legislación correspondiente a la Protección de Datos Personales en Colombia. Asimismo, el presente Manual servirá como material pedagógico para todos los sectores o colectivos de interés que sostengan algún tipo de relación con LA ORGANIZACIÓN de manera directa o indirecta, contribuyendo al correcto conocimiento del derecho fundamental a la Protección de Datos Personales.
Así las cosas, y en cumplimiento de lo dispuesto en el artículo 135 del Decreto Reglamentario 1377 de 2013, se realizan las siguientes notas:
LA ORGANIZACIÓN SE DECLARA RESPONSABLE DE LA PRESENTE POLÍTICA Y DEL TRATAMIENTO DE PROTECCIÓN DE DATOS QUE EN EL EJERCICIO DE SUS FUNCIONES COMO PERSONA JURIDICA DESARROLLE FRENTE A LAS PERSONAS NATURALES TITULARES DE DATOS DE CARÁCTER PERSONAL, POR LO ANTERIOR, SE IDENTIFICA LO SIGUIENTE:
DOMICILIO: CARTAGENA
DIRECCIÓN: Serena del Mar, Vía al Mar-Km8, Cartagena.
ÁREA ENCARGADA O RESPONSABLE: NOVUS CIVITAS SUCURSAL COLOMBIA
CORREO ELECTRÓNICO: protecciondedatospersonales@novuscivitas.com.co
DIRECCIÓN: Serena del Mar, Vía al Mar-Km8, Cartagena.
El área mencionada, tendrá a cargo la responsabilidad en el tratamiento de datos, así como de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización. Esta información será desarrollada a profundidad en un posterior aparte de este Manual.
CONTENIDO
1. DEFINICIONES.
1.1. Aviso de Privacidad.
1.2. Autorización.
1.3. Base de Datos.
1.4. Dato Personal.
1.5. Dato Público.
1.6. Dato Semiprivado.
1.7. Dato Privado.
1.8. Dato Sensible.
1.9. Encargado del Tratamiento.
1.10. Responsable del Tratamiento.
1.11. Titular. 1.12. Transferencia.
1.13. Transmisión.
1.14. Tratamiento.
1.15. Tratamiento de Imágenes.
1.16. Oficial de Protección de Datos
2. PRINCIPIOS LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES.
2.1. Acceso y Circulación Restringida.
2.2. Confidencialidad.
2.3. Finalidad.
2.4. Legalidad en materia de tratamiento de datos.
2.5. Libertad.
2.6. Seguridad.
2.7. Transparencia.
2.8. Veracidad o calidad.
3. TRATAMIENTO DE DATOS PERSONALES
3.1. Tratamiento de datos públicos.
3.2. Tratamiento de datos sensibles .
3.3. Tratamiento de datos de menores.
3.4. Clasificación de las bases de datos.
3.4.1. Contratistas y proveedores.
3.4.2. Clientes o Interesados.
4. PRERROGATIVAS Y DERECHOS DE LOS TITULARES .
5. DEBERES DE LA ORGANIZACIÓN EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES.
5.1. Deber de secreto y confidencialidad. Versión 1.1. Página 7 de 32
6. POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN.
6.1. Generalidades sobre la autorización.
6.1.1. Capacidad para aceptar la política.
6.2. Del derecho de acceso.
6.3. Del derecho de consulta.
6.4. Del derecho a reclamar.
6.5. Del derecho a la rectificación y actualización de datos.
6.6. Del derecho a la supresión de datos.
6.7. Del derecho a revocar la autorización.
6.8. Protección de datos en los contratos.
6.9. Transferencia de datos personales a terceros países.
6.10. Generalidades aplicables para el Tratamiento de Imágenes del Sistema de Vigilancia.
6.11. Datos obtenidos de todos los Usuarios a través de Medios Digitales
6.12. Datos obtenidos de Usuarios de los Medios de Recolección Voluntarios, Terceros Contratistas y Empleados
6.13. Usos Autorizados
6.13.1. Transferencia a Terceros
6.14. Reglas generales aplicables.
7. PROCEDIMIENTO PARA QUE LOS TITULARES DE LA INFORMACIÓN PUEDAN EJERCER LOS DERECHOS A CONOCER, ACTUALIZAR, RECTIFICAR Y SUPRIMIR INFORMACIÓN Y REVOCAR LA AUTORIZACIÓN.
8. FUNCIÓN DE LA PROTECCIÓN DE DATOS PERSONALES AL INTERIOR DE LA ORGANIZACIÓN.
8.1. Los Responsables.
8.2. Los Encargados .
8.2.1. Deberes de los Encargados.
8.2.1.1. El Encargado Interno.
8.2.1.2. Los Encargados Externos.
9. EL REGISTRO NACIONAL DE BASES DE DATOS -RNBD-.
10. VIGENCIA.
11. INFORMACIÓN DE CONTACTO.
12. REFERENCIA A OTROS DOCUMENTOS.
1. DEFINICIONES LEGAL
1.1. Aviso de privacidad: “comunicación verbal o escrita generada por el Responsable (LA ORGANIZACIÓN), dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales”. [6]
1.2. Autorización: “consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de los datos personales ” [7].
1.3. Base de datos: “conjunto organizado de datos personales que sean objeto de Tratamiento”.[8]
1.4. Dato personal: “cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables”.[9] Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).
1.5. Dato público: “es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva”.[10] También se entenderá que todos los datos que estén contenidos en los registros públicos tendrán esta misma naturaleza.
1.6. Dato semiprivado: “es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV”[11] de la Ley 1266 de 2008.
1.7. Dato privado: “es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular”[12]
1.8. Dato sensible: “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos”, [13] entre otros de la misma naturaleza.
1.9. Encargado del Tratamiento: “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento”.[14] En este caso, LA ORGANIZACIÓN actúa como Encargado del Tratamiento de datos personales en los casos, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta de un Responsable.
1.10. Responsable del Tratamiento: “persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”.[15] En este caso, LA ORGANIZACIÓN actúa como Responsable del Tratamiento de datos personales frente a todos los datos personales sobre los cuales decida directamente, en cumplimiento de las funciones propias.
1.11. Titular: “persona natural cuyos datos personales sean objeto de Tratamiento”[16], los cuales podrán ser: • Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el Responsable. • Causahabientes, quienes deberán acreditar tal calidad. • Representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento. • Por estipulación a favor de otro o para otro.
1.12. Transferencia: “la transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país”.[17]
1.13. Transmisión: “tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable”.[18]
1.14. Tratamiento: “cualquier operación o conjunto de operaciones sobre datos personales tales como la recolección, almacenamiento, uso, circulación o supresión” [19]. Lo anterior solo aplicará exclusivamente frente a personas naturales.
1.15. Tratamiento de Imágenes: “El Tratamiento de datos personales ha sido definido como “Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”. En el caso de las imágenes de personas determinadas o determinables, operaciones como la captación, grabación, transmisión, almacenamiento, conservación, o reproducción en tiempo real o posterior, entre otras, son consideradas como Tratamiento de datos personales y en consecuencia, se encuentran sujetas al Régimen General de Protección de Datos Personales”.[20]
1.16. Oficial de protección de datos: es la persona dentro de LA ORGANIZACIÓN, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales, bajo la orientación y lineamientos del Comité de Seguridad de la Información. El Comité de Seguridad de la Información designará al Oficial de Protección de Datos. La anterior definición hace referencia a un rol o función que debe desempeñar algún funcionario designado por LA ORGANIZACIÓN.
2. PRINCIPIOS LEGALES PARA EL TRATAMIENTO DE DATOS PERSONALES
Para dar cumplimiento a la Política de Protección de Datos Personales, como a las obligaciones impartidas por la Ley 1581 de 2012 y sus decretos reglamentarios, se debe tener en cuenta los principios que regulan el tratamiento de Datos Personales, así:
2.1. Acceso y Circulación Restringida: “El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley”.[21]
Los datos operados por LA ORGANIZACIÓN contarán con las medidas jurídicas, organizativas y técnicas posibles y necesarias que permitan el acceso y circulación restringida acorde con la naturaleza del dato (público, semiprivado, privado, sensible o de menores de edad) y con las autorizaciones dadas por el Titular o demás personas previstas en la Ley.
2.2. Confidencialidad: “Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma”.[22] Atendiendo a la anterior definición, se garantiza la confidencialidad de los datos dependiendo de la naturaleza de los mismos. Por lo tanto, LA ORGANIZACIÓN guardará reserva de la información durante y después de terminadas las actividades que justifican el Tratamiento de los datos personales.
2.3. Finalidad: “El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.”[23] En todos los casos la finalidad será legítima, informada, temporal y material. La finalidad corresponde a las funciones o actividades propias de LA ORGANIZACIÓN que permitan el pleno desarrollo del objeto social para lo cual solicitará la autorización previa, expresa e informada por parte del Titular para su Tratamiento de datos de carácter personal exclusivamente cuando se traten de datos diferentes a los de naturaleza pública.
2.4. Legalidad en materia de Tratamiento de datos: “El Tratamiento a que se refiere la Ley 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.”[24] Los datos que LA ORGANIZACIÓN trata o tratará cumplirán con los fines legítimos y sujetos a la Ley 1581 de 2012.
2.5. Libertad: “El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.”[25] LA ORGANIZACIÓN garantiza el derecho a la autodeterminación informativa de los Titulares que suministren datos de carácter personal y tendrá siempre en cuenta su consentimiento ante cualquier tratamiento.
2.6. Seguridad: “La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.”[26] LA ORGANIZACIÓN garantiza la definición e implementación de medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de las bases de datos que se encuentren bajo su control.
2.7. Transparencia: “En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.”[27] LA ORGANIZACIÓN garantiza a los Titulares de datos personales, el derecho de acceso y conocimiento de la información de carácter personal que este siendo tratada conforme a lo establecido por el Decreto Reglamentario 1377 de 2013.
2.8. Veracidad o Calidad: “La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error”.[28] LA ORGANIZACIÓN garantiza que la información almacenada en sus bases de datos será veraz, completa, exacta, actualizada, comprobable y comprensible. Para el cumplimiento de este principio, LA ORGANIZACIÓN adoptará las medidas pertinentes para obtener por parte del Titular la información necesaria que permita el cumplimiento de este principio
LA ORGANIZACIÓN garantiza que la información almacenada en sus bases de datos será veraz, completa, exacta, actualizada, comprobable y comprensible. Para el cumplimiento de este principio, LA ORGANIZACIÓN adoptará las medidas pertinentes para obtener por parte del Titular la información necesaria que permita el cumplimiento de este principio.
3. TRATAMIENTO DE DATOS PERSONALES
3.1. Tratamiento de datos públicos De acuerdo a lo dispuesto en el Artículo 10 de la Ley 1581 de 2012, la autorización del titular no será necesaria cuando se trate de datos de naturaleza pública, por lo anterior, LA ORGANIZACIÓN advierte que, trata sin previa autorización del Titular, los datos personales de naturaleza pública, no obstante, esta situación no implica que no se adopten las medidas necesarias que garanticen el cumplimiento del resto de principios y obligaciones contempladas en la ley.
3.2. Tratamiento de datos sensibles LA ORGANIZACIÓN, en ejercicio de lo dispuesto en el Artículo 6 de la Ley 1581 de 2012, realizará el tratamiento de datos sensibles en los siguientes casos: “a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización; c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular; d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares”. Finalmente, en los casos en los que el dato este disociado, es decir, el dato sensible sea separado de la identidad del Titular y no sea identificable o no se logre identificar a la persona Titular del dato o datos sensibles. En adición a lo anterior, LA ORGANIZACIÓN cumplirá con las siguientes obligaciones: a. Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento. b. Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles datos objeto de Versión 1.1. Página 13 de 32 Tratamiento son de carácter sensible y la finalidad del Tratamiento, y obtener el consentimiento expreso. c. No condicionar ninguna actividad a que el Titular suministre datos personales sensibles (salvo que exista una causa legal o contractual para hacerlo).
3.3. Tratamiento de datos de menores LA ORGANIZACIÓN solo trata datos personales de menores de edad cuando estos sean de naturaleza pública o provengan de la información suministrada por sus padres, tutores, representantes legales, empleados o contratistas, al momento de su vinculación, laboral o de prestación de servicios con LA ORGANIZACIÓN. Lo anterior, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y, cuando el Tratamiento cumpla con los siguientes parámetros y requisitos: i. Que responda y respete el interés superior de los niños, niñas y adolescentes. ii. Que se asegure el respeto de sus derechos fundamentales. Cumplidos los anteriores requisitos, LA ORGANIZACIÓN exigirá al representante legal o tutor del niño, niña o adolescente, la autorización de estos, previo a que el menor de su opinión frente al Tratamiento que se le dará a sus datos, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, tal como lo indica la Ley. LA ORGANIZACIÓN y cualquier persona involucrada en el Tratamiento de los datos personales de niños, niñas y adolescentes, velaran por el uso adecuado de los mismos. En cumplimiento de lo anterior, se aplican y desarrollan los principios y obligaciones establecidas en la Ley 1581 de 2012 y el Decreto 1377 de 2013 y las demás normas que regulen esta materia y la Constitución Política de Colombia.
3.4. Clasificación de las bases de datos LA ORGANIZACIÓN ha clasificado sus Bases de Datos de la siguiente manera:
3.4. 1 Contratistas y Proveedores: son las bases de datos manuales y automatizadas que contienen datos recogidos en el proceso de cotización y contratación de proveedores de LA ORGANIZACIÓN. De igual forma, son aquellos recogidos en los procesos contables y financieros con fines de reportar información tributaria, contacto, pagos, envío de correspondencia, notificaciones y afiliación seguridad social frente a los proveedores, contratistas, clientes y empleados de LA ORGANIZACIÓN.
3.4. 2 Clientes o Interesados: Son las bases de datos manuales y automatizadas que contienen datos recogidos en el proceso de promoción y venta de los servicios o productos de LA ORGANIZACIÓN. Contienen los datos de identificación o contacto generales de clientes o de interesados en serlo.
4. PRERROGATIVAS Y DERECHOS DE LOS TITULARES
LA ORGANIZACIÓN reconoce y garantiza a los Titulares de los datos personales los siguientes derechos fundamentales:
Acceder, conocer, actualizar y rectificar sus datos personales frente a LA ORGANIZACIÓN en su condición de Responsable del Tratamiento de datos
Solicitar prueba de la existencia de la autorización otorgada a LA ORGANIZACIÓN, salvo los casos en los que la Ley exceptúa la autorización.
Recibir información por parte de LA ORGANIZACIÓN, previa solicitud, respecto del uso que le ha dado a sus datos
Presentar quejas por infracciones a lo dispuesto en la normatividad vigente ante la Superintendencia de Industria y Comercio (SIC).
Modificar y revocar la autorización y/o solicitar la supresión de los datos personales, cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales vigentes.[29] El Titular también podrá revocar la autorización y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la referida base de datos.[30]Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido objeto de
El presente Manual, en las siguientes secciones, define los procedimientos implementados para garantizar estos derechos.
5. DEBERES DE LA ORGANIZACIÓN EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES
LA ORGANIZACIÓN es consciente que los datos personales son de propiedad de las personas a las que se refieren y solamente ellas pueden decidir sobre los mismos. Asimismo, LA ORGANIZACIÓN hará uso de dichos datos, solamente en cumplimiento de las finalidades para las que se encuentra debidamente facultada y autorizada previamente por el Titular, o por la Ley y, en todo momento respeta la normativa vigente sobre Protección de Datos Personales.
“En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno”.[31]
LA ORGANIZACIÓN como Responsable del Tratamiento de datos personales, cumple los deberes y obligaciones previstas en el artículo 17 de la Ley 1581 de 2012, y normas que la reglamenten o modifiquen, a saber
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Solicitar y conservar, en las condiciones previstas en la ley 1581 de 2012, copia de la respectiva autorización otorgada por el Titular;
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
e) Garantizar que la información que suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;
k) Adoptar un Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo; m) Informar a solicitud del Titular sobre el uso dado a sus datos;
n) Informar a la autoridad de protección de datos (Superintendencia de Industria y Comercio – Delegatura de Protección de Datos -) cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
LA ORGANIZACIÓN como Encargado del Tratamiento de datos personales, cumple con los deberes y obligaciones previstas en el artículo 18 de la Ley 1581 de 2012, y normas que la reglamenten o modifiquen, a saber:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley;
d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley;
f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;
g) Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la presente ley;
h) Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; Versión 1.1. Página 16 de 32 k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
5.1. Deber de secreto y confidencialidad
LA ORGANIZACIÓN garantiza y exige a toda persona que intervenga en cualquier fase del Tratamiento de los datos de carácter personal privado, sensible o de menores que se realice o llegue a realizar, el secreto profesional, respecto de los mismos y al deber de guardarlos; obligaciones que subsistirán aún después de finalizar sus relaciones contractuales con LA ORGANIZACIÓN.
6. POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN
6.1 Generalidades sobre la autorización
Cuando se trate de datos diferentes a los de naturaleza pública, o los definidos en el numeral 2 del artículo 3 del Decreto Reglamentario 1377 de 2013, LA ORGANIZACIÓN solicitará de manera previa, expresa e informada la autorización para el Tratamiento de datos personales por cualquier medio que permita posteriormente ser utilizado como prueba. Según el caso, dicha autorización puede ser parte de un documento más amplio como por ejemplo, de un contrato, o de un documento específico (formato, formulario, otrosí, etc.)
En caso de tratarse de datos de carácter personal correspondientes a personas naturales, la descripción de la finalidad del Tratamiento de los datos se informará mediante el mismo documento específico o adjunto
LA ORGANIZACIÓN informará al Titular de los datos lo siguiente:
El Tratamiento al que serán sometidos sus datos personales y la finalidad específica del mismo.
El tiempo por el cual serán tratados sus datos personales.
Los derechos que le asisten como Titular.
Quién es el Responsable del Tratamiento.
La página web, correo electrónico, dirección física y demás canales de comunicación por los cuales podrá formular consultas y/o reclamos ante el Responsable o Encargado del Tratamiento.
6.1.1. Capacidad para aceptar la Política.
Sólo será admisible la recolección de Datos Personales de personas mayores de 18 años, que de acuerdo con la ley, se consideren capaces. De no ser mayor de edad o ser legalmente incapaz, el Usuario deberá abstenerse de otorgar información personal.
6.2. Del derecho de acceso
LA ORGANIZACIÓN garantiza el derecho de acceso conforme a la Ley 1581 de 2012 y sus demás normas complementarias, solamente a los Titulares de datos personales que correspondan a personas naturales reconocidas por la legislación vigente, previa acreditación de su identidad como Titular, poniendo a disposición de éste, sin costo o erogación alguna, de manera pormenorizada y detallada, los respectivos datos personales tratados, a través de cualquier medio de comunicación, incluyendo los electrónicos que permitan el acceso directo del Titular. Dicho acceso, se sujeta a los límites establecidos en el artículo 21 del Decreto Reglamentario 1377 de 2013.
6.3. Del derecho de consulta
El Titular de datos personales podrá consultar la información de carácter personal que repose en cualquier base de datos de LA ORGANIZACIÓN. En consecuencia, LA ORGANIZACIÓN garantiza el derecho de consulta conforme a lo dispuesto en la Ley 1581 de 2012 y demás normas complementarias exclusivamente sobre los datos personales, sensibles y de menores correspondientes a personas naturales, suministrando a los Titulares de estos datos personales la información contenida en cada una de nuestras bases de datos.
LA ORGANIZACIÓN establecerá las medidas de autenticación que permiten identificar de manera segura al Titular de los datos personales que realiza la consulta o petición.
Con respecto a la atención de solicitudes de consulta de datos personales, LA ORGANIZACIÓN garantiza:
Habilitar medios de comunicación electrónica u otros que considere pertinentes y seguros;
Establecer formularios, sistemas y otros métodos que se informarán en el Aviso de Privacidad;
Utilizar los servicios de atención al cliente o de reclamaciones que se encuentren en operación.
Independientemente del mecanismo implementado para la atención de solicitudes de consulta, éstas serán tramitadas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. En el evento en el que una solicitud de consulta no pueda ser atendida dentro del término antes señalado, se informará al interesado antes del vencimiento del plazo las razones por las cuales no se ha dado respuesta a su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término
6.4. Del derecho a reclamar
El Titular de datos personales o sus causahabientes, que correspondan a una persona natural y considere que la información contenida o almacenada en alguna de nuestras bases de datos, puede ser objeto de corrección, actualización o supresión, o cuando advierta un presunto incumplimiento de cualquiera de los deberes y principios contenidos en la normativa sobre Protección de Datos Personales, podrá presentar reclamación ante el Responsable o Encargado del Tratamiento de LA ORGANIZACIÓN.
LA ORGANIZACIÓN cuenta con las medidas de autenticación necesarias que permiten identificar de manera segura al Titular de los datos personales que realiza el reclamo.
El reclamo lo podrá presentar el Titular, teniendo en cuenta la información señalada en el artículo 15 de la Ley 1581 de 2012.
Si el reclamo estuviese incompleto, el Oficial de Protección de Datos Personales de LA ORGANIZACIÓN, deberá realizar el trámite respectivo, requerirá al Titular antes del vencimiento del primer término (15 días) para que éste lo complete dentro de los cinco (5) días hábiles siguientes a la recepción del requerimiento, subsanando las fallas o errores. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información solicitada, se entenderá que ha desistido del reclamo, procediendo al archivo mediante un acta u oficio el cual deberá ser notificado al Titular reclamante. Sin perjuicio de que el Titular pueda volver a hacer uso de su derecho de reclamación.
En caso de recibido el reclamo y que este no sea de competencia de LA ORGANIZACIÓN para resolverlo, de ser posible se dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
Una vez LA ORGANIZACIÓN haya recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda se mantendrá hasta que el reclamo sea decidido. El término máximo para resolver la reclamación es de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, LA ORGANIZACIÓN informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
6.5. Del derecho a la rectificación y actualización de datos
LA ORGANIZACIÓN se obliga a rectificar y actualizar a solicitud del Titular, la información de carácter personal que corresponda a personas naturales, que resulte incompleta o inexacta, de conformidad con el procedimiento y lo términos antes señalados. Al respecto, LA ORGANIZACIÓN tendrá en cuenta lo siguiente:
En las solicitudes de rectificación y actualización de datos personales, el Titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.
LA ORGANIZACIÓN, tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando beneficien al Titular de los datos En consecuencia, se podrán habilitar medios electrónicos u otros que LA ORGANIZACIÓN considere pertinentes y seguros.
LA ORGANIZACIÓN, podrá establecer formularios, formatos, sistemas y otros métodos, que serán informados en el Aviso de Privacidad y que se pondrán a disposición de los interesados en la página web, instalaciones o sedes de LA ORGANIZACIÓN.
6.6. Del derecho a la supresión de datos.
El Titular de datos personales, tiene el derecho a solicitar a LA ORGANIZACIÓN, la supresión (eliminación) de sus datos personales. Para esto, se tendrá en cuenta los siguientes supuestos
Que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente sobre Protección de Datos Personales.
Que hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
Que se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recogidos.
Esta supresión implica la eliminación o borrado seguro, total o parcial, de la información personal de acuerdo con lo solicitado por el Titular en los registros, archivos, bases de datos o Tratamientos realizados por LA ORGANIZACIÓN.
El derecho de supresión no es un derecho absoluto, y LA ORGANIZACIÓN como Responsable del Tratamiento de datos personales, puede negar o limitar el ejercicio del mismo cuando:
El Titular de los datos tenga el deber legal o contractual de permanecer en la base de datos.
La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
Los datos sean datos de naturaleza pública y correspondan a los registros públicos, los cuales tienen como finalidad su publicidad.
6.7. Del derecho a revocar la autorización
Todo Titular de datos personales que correspondan a personas naturales, puede revocar en cualquier momento, el consentimiento al Tratamiento de éstos, siempre y cuando no lo impida una disposición legal o contractual. Para ello, LA ORGANIZACIÓN ha establecido mecanismos sencillos y gratuitos que le permiten al Titular revocar su consentimiento.
En los casos que sea posible la revocatoria de la autorización, se atenderá bajo las siguientes dos modalidades:
Revocación Total: sobre la totalidad de finalidades consentidas, esto es, que LA ORGANIZACIÓN debe dejar de tratar por completo los datos del Titular de datos personales.
Revocación Parcial: sobre ciertas finalidades consentidas como por ejemplo para fines publicitarios o de estudios de mercado u otros. En este caso, LA ORGANIZACIÓN deberá suspender parcialmente el Tratamiento de los datos del Titular. Se mantienen entonces otros fines del Versión 1.1. Página 20 de 32 Tratamiento que el Responsable, de conformidad con la autorización otorgada, puede llevar a cabo y con los que el Titular está de acuerdo.
Tratamiento que el Responsable, de conformidad con la autorización otorgada, puede llevar a cabo y con los que el Titular está de acuerdo.
El derecho de revocatoria no es un derecho absoluto y LA ORGANIZACIÓN como Responsable del Tratamiento de datos personales, puede negar o limitar el ejercicio del mismo cuando
El Titular de los datos tenga el deber legal o contractual de permanecer en la base de datos.
La revocatoria de la autorización del Tratamiento obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
Los datos sean datos de naturaleza pública y correspondan a los registros públicos, los cuales tienen como finalidad su publicidad.
6.8. Protección de datos en los contratos.
En los contratos laborales o por prestación de servicios, LA ORGANIZACIÓN ha incluido cláusulas con el fin de autorizar de manera previa y general el Tratamiento de datos personales relacionados con la ejecución del contrato, lo que incluye la autorización de recolectar, modificar o corregir, en momentos futuros, datos personales del Titular correspondientes a personas naturales. También ha incluido la autorización para que algunos de los datos personales, en caso dado, puedan ser entregados o cedidos a terceros con los cuales LA ORGANIZACIÓN tenga contratos de prestación de servicios, para la realización de tareas tercerizadas. En estas cláusulas, se hace mención del presente Manual y de su ubicación en el sitio web de LA ORGANIZACIÓN, para su debida consulta.
En los contratos de prestación de servicios externos, cuando el contratista requiera de datos personales, LA ORGANIZACIÓN le suministrará dicha información, siempre y cuando exista una autorización previa y expresa del Titular de los datos personales para esta transferencia, quedando excluida de esta autorización, los datos personales de naturaleza pública definido en el numeral 2° del artículo 3° del Decreto Reglamentario 1377 de 2013. Dado que en estos casos, los terceros son Encargados del Tratamiento de datos y sus contratos incluirán cláusulas que precisan los fines y los Tratamientos autorizados por LA ORGANIZACIÓN y delimitan de manera precisa el uso que estos terceros le pueden dar a aquellos datos, así como las obligaciones y deberes establecidos en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, incluyendo las medidas de seguridad necesarias que garanticen en todo momento la confidencialidad, integridad y disponibilidad de la información de carácter personal encargado para su Tratamiento. Por su parte, LA ORGANIZACIÓN al momento de recibir datos de terceros y actuar como Encargado del Tratamiento de datos de carácter personal, deberá verificar que la finalidad, o finalidades, de los Tratamientos autorizados por el Titular o permitidos por causas legales, contractuales o jurisprudenciales se encuentran vigentes y que el contenido de la finalidad esté relacionada con la causa por la cual se va a recibir dicha información personal de parte del tercero, pues solo de este modo estará facultado para recibir y tratar dichos datos personales. LA ORGANIZACIÓN se exonera de cualquier Tratamiento de datos personales ilegal que realice el Responsable del Tratamiento.
6.9. Transferencia de datos personales a terceros países
En los casos en que LA ORGANIZACIÓN en desarrollo de alguna de alguna de sus funciones o actividades propias del desarrollo de su objeto social que implique la transferencia de datos de carácter personal a terceros países, se regirá por las siguientes condiciones:
La transferencia de datos personales a terceros países solamente se realizará cuando exista autorización del Titular y, previa autorización de la Delegatura de Datos Personales de la Superintendencia de Industria y Comercio (SIC). Estas mismas condiciones se trasladaran y aplicaran a los Responsables del Tratamiento. Se considera una transferencia internacional cualquier Tratamiento que suponga una transmisión de datos fuera del territorio colombiano, tanto si se realiza una cesión de datos, como si tuviera por objeto la prestación de un servicio al Responsable fuera de Colombia.
Asimismo, se debe obtener la autorización previa del Delegado de Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC), cuando se tenga previsto realizar transferencias internacionales de datos a países que no proporcionan un cierto nivel de protección. Esta autorización sólo podrá ser otorgada si se obtienen garantías adecuadas, como los contratos basados en las cláusulas tipo aprobadas por la Superintendencia de Industria y Comercio (SIC), o las Reglas Corporativas Vinculantes.
La transferencia internacional de datos se podrá realizar mediante solicitud de LA ORGANIZACIÓN, estableciendo la finalidad, los colectivos de interesados o Titulares de la información de carácter personal, los datos objeto de transferencia y la documentación que incorpore las garantías exigibles para la obtención de la autorización; en la que conste una descripción de las medidas de seguridad concretas que van a ser adoptadas, tanto por LA ORGANIZACIÓN como por el Responsable o Encargado de los datos en su lugar de destino. LA ORGANIZACIÓN no solicitará la autorización cuando la transferencia internacional de datos se encuentre amparada en alguna de las excepciones previstas en la Ley y sus Decretos Reglamentarios. Un ejemplo de ello es el consentimiento del afectado a la transferencia, la transferencia es necesaria para establecer la relación contractual entre el afectado y el Responsable de la Base de Datos y la transferencia se refiere a una transacción dineraria.
6.10. Generalidades aplicables para el Tratamiento de Imágenes del Sistema de Vigilancia.
Los Sistemas de Videovigilancia (SV) o cámaras de seguridad implementadas con la finalidad de garantizar la seguridad de bienes o personas en un lugar determinado han venido incrementando su presencia al ser considerados como un medio idóneo para realizar el monitoreo y la observación de actividades en escenarios domésticos, empresariales, laborales y públicos.
Estas tareas de monitoreo y observación realizadas a través de los SV, implican la recopilación de imágenes de personas, es decir, de datos personales de acuerdo con la definición contenida en el literal
c) del artículo 3 de la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”, entendido como “cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o En consecuencia, en el manejo o Tratamiento de esos datos se deben observar los principios establecidos en dicha norma, esto es, legalidad, finalidad, libertad, calidad o veracidad, seguridad, confidencialidad, acceso y circulación restringida y transparencia, así como las demás disposiciones contenidas en el Régimen General de Protección de Datos Personales”.[32]Así las cosas, no le será aplicable las regulaciones previstas en la ley y/o en el presente Manual, para los casos en donde las grabaciones que se realicen sean: Dentro del ámbito exclusivamente personal o doméstico, con fines periodísticos o que tengan como finalidad la seguridad nacional del estado.
“Garantizar la seguridad en entornos públicos es tarea que corresponde de forma exclusiva al Estado y en razón de la cual se encuentra legitimado para operar SV en la vía pública, excluyendo de este ejercicio a los particulares. La operación de SV privados puede implicar, en algunos casos, la toma de imágenes en la vía pública por ser necesaria para alcanzar la finalidad establecida, por ejemplo, garantizar la seguridad de bienes y personales en entornos privados. De ser así, dicha recolección debe limitarse a aquella que no pueda evitarse para alcanzar el fin legítimo perseguido. El caso más común de la toma de imágenes en puntos de acceso, como porterías y entradas a propiedades privadas, la cual se debe restringir a las áreas más próximas al espacio objeto de vigilancia”.[33]
Para dar cumplimiento con lo anterior, se atenderán a criterios de proporcionalidad y razonabilidad, respecto de la captura y almacenamiento de imágenes, que, si bien son dispuestas para la seguridad de las instalaciones de la Organización, ciertos puntos o encuadres del Sistema de Vigilancia, podrán tener tomas de la vía pública, sin que se entienda que su ubicación atiende exclusivamente a ello.
6.11. Datos obtenidos de todos los Usuarios a través de Medios Digitales
Cuando se accede a alguno los medios de recolección de datos (en adelante los “Medios de Recolección)”, digitales tales como páginas webs, plataformas, aplicaciones móviles entre otras, sin necesidad de proveer datos personales, para efectos de ofrecer una experiencia más personalizada en el uso de los sistemas y de los servicios y/u ofertas, La Organización obtiene y conserva la siguiente información acerca de los Usuarios de los Medios de Recolección (en adelante los “Visitantes”) la cual será utilizada conforme a la presente Política (en adelante “Cookies”) lo cual los Visitantes expresamente autorizan:
a) La fecha y hora de acceso al Medio de Recolección;
b) La dirección IP desde la que se accedió los Medio de Recolección;
c) El número de visitante que accede; y
d) Actividades que se realicen dentro de los Medios de Recolección a través del uso de Cookies tales como información de su URL, a qué URL accede seguidamente, qué navegador están usando, qué páginas visita, las búsquedas realizadas entre otros con el fin de conocer los intereses, el comportamiento y la demografía de los Visitantes.
6.12. Datos obtenidos de Usuarios de los Medios de Recolección Voluntarios, Terceros Contratistas y Empleados.
La Organización directamente o través de terceros aliados, podrá recolectar datos de Usuario a través de distintos Medios de Recolección digitales o físicos o podrá obtenerlos por parte de sus contratistas o empleados u otros terceros tales como clientes o adquirentes o participantes de promociones, actividades, eventos, entre otros, todo en virtud del cumplimiento del objeto social de La Organización, o de cualquier actividad lícita relacionada con este y de actividades que éste o terceros aliados realicen con fines publicitarios y otros, dentro de la cual se podrá recolectar la siguiente información, la cual se entiende autorizada por los Titulares en las condiciones de la presente Política:
Nombres y apellidos del Usuario/Titular;
Documento de identidad;
Edad;
Fecha de nacimiento;
Sexo;
Región, país, ciudad de domicilio;
Número de teléfono celular;
Dirección de correo electrónico;
Preferencias de consumo de servicios educativos, financieros y de cualquier tipo de servicio y/o producto;
Información Crediticia y Financiera;
Información Profesional;
Información Tributaria;
Información Laboral;
Información Socio-Económica;
Estrato y número de personas que habitan en su hogar,
Preferencias de acuerdo a la información proporcionada/solicitada;
Actividades que el Titular realice e información que este proporcione referente a sus intereses, el comportamiento y demografía del Titular y su familia;
Información de referencias bancarias y/o comerciales;
Información respecto de los estudios del Titular y las entidades en las cuales los ha cursado, así como en general, información académica;
Cualquier otra otorgada voluntariamente por el Titular.
La Organización informa a todos los titulares de los Datos Personales que le sean suministrados, ya sea electrónica o manualmente, que el Tratamiento de los mismos se sujetará a la presente Política. En consecuencia, si un Titular no se encuentra de acuerdo con la presente Política, no podrá suministrar información alguna que deba registrarse en una de las Bases de Datos de La Organización;
La Organización se encuentra comprometido con la seguridad y buen uso de los datos personales que le son suministrados y, en consecuencia, se obliga a darles los usos adecuados, así como a mantener la confidencialidad requerida frente a los mismos de acuerdo a lo establecido en esta Política y en la legislación existente frente a la materia;
La Organización se compromete al cumplimiento de la obligación de secreto de los datos de carácter personal y de su deber de tratarlos con confidencialidad, y asume, a estos efectos, las medidas de índole técnica, organizativa y de seguridad necesarias para evitar su alteración, pérdida, tratamiento o acceso no autorizado, de acuerdo con lo establecido en la ley y en los tratados internacionales suscritos por Colombia que rigen la materia;
La Organización ha emprendido y emprenderá todas las acciones necesarias para garantizar que tanto los proveedores de servicios como los procesadores que trabajan en nombre de la organización, así como las vinculadas, subordinadas, aliados comerciales y demás terceros autorizados conforme a la presente Política, protejan, en todos los eventos, la confidencialidad de la Información Personal a su cargo; y El Usuario responderá, en cualquier caso, de la veracidad de los datos facilitados, reservándose La Organización el derecho a excluir de los servicios registrados a todo Usuario que haya facilitado datos falsos. La Organización podrá recolectar información que se encuentre en el dominio público para complementar las bases de datos. A dicha información se le dará el mismo tratamiento señalado en la presente Política.
6.13. Usos Autorizados
El tratamiento que realiza La Organización de los datos personales de sus Usuarios, consiste en recolectar, almacenar, depurar, usar, analizar, circular, actualizar, cruzar con información propia y/o de terceros autorizados, explotar, retener, procesar transferir, transmitir, traspasar, ceder, entregar, suprimir y/o comercializar los datos de contacto, la información sobre preferencias de consumo en cualquier mercado y el comportamiento en los canales de contacto, con las siguientes finalidades:
a) Facilitar la correcta ejecución de la recolección de Datos a través de los Medios de Recolección en;
b) Realizar estudios estadísticos que permitan diseñar mejoras en los servicios prestados por parte de La Organización o clientes, aliados y vinculados de ésta en caso de ser aplicable así como realizar estudios de mercadeo y consumo. Se podrá realizar el análisis de la Información Personal por parte de La Organización, sus vinculadas y/o terceros subcontratados para tales efectos, con ocasión y para el desarrollo y ejecución de sus campañas;
c) Gestionar tareas básicas de administración y gestión, así como contactos para cumplir con el objeto social de La Organización. Se podrá dar Tratamiento a la información adquirida en virtud de la relación existente entre los Titulares y La Organización o sus clientes, vinculadas o aliadas, cualquiera que sea su naturaleza jurídica (laboral, civil, comercial, entre otras);
d) Dar cumplimiento a las obligaciones contractuales y/o legales que La Organización tenga con sus clientes, empleados, proveedores, autorizadas, cesionarias, licenciatarias, vinculadas, subordinadas y aliados comerciales, así como con las autoridades judiciales o administrativas.
e) Informar por cualquier medio, las promociones, productos y servicios actuales y futuros propios de La Organización así como de sus clientes, aliados o vinculados; los eventos, actividades de promoción y otras actividades comerciales directa o indirectamente relacionadas con la actividad propia de La Organización; y/o las promociones, productos y servicios promovidos directamente por los aliados comerciales estratégicos de La Organización, que les generen valores agregados a los Usuarios o a terceros.
f) Envío de material publicitario relacionado con los productos y servicios de La Organización, sus autorizadas, clientes, cesionarias, licenciatarias, vinculadas y/o subordinadas y aliados comerciales estratégicos. Versión 1.1. Página 25 de 32
g) Utilizar la información para la preparación, participación y desarrollo de concursos, juegos o actividades promocionales.
h) Utilizar la información para la preparación y desarrollo de avisos publicitarios.
i) Analizar y medir la calidad de los productos y servicios ofrecidos por La Organización, sus autorizadas, cesionarias, licenciatarias, vinculadas y/o subordinadas.
j) Traspasar, transferir, transmitir, ceder, entregar y/o comercializar la información proporcionada a sus vinculadas y subordinadas, así como a sus aliados comerciales, terceros y a autoridades judiciales o administrativas, sean personas naturales o jurídicas, colombianas o extranjeras, con el fin de que éstas recolecten, almacenen, utilicen, transmitan, transfieran, traspasen, cedan, entreguen, retengan, procesen, depuren, analicen, circulen, actualicen, crucen con otra información, exploten, comercialicen y/o supriman la información para actividades estadísticas, de mercadeo, administrativas y legales que resulten necesarias en el normal desarrollo de su objeto social o cualquier actividad lícita relacionada con este.
k) Transferir a terceros países la información proporcionada. El Usuario acepta que los datos personales aportados a través de cualquiera de los Medios de Recolección, sean tratados por La Organización, en las formas y con las finalidades antes mencionadas.
l) Contactar al Titular en el evento que se genere algún tipo de problema o inconveniente con la Información Personal;
m) Contactar al Titular para que participe (bien sea como asistente o como contratistas o proveedor) en nuevos productos y/o campañas promovidos por La Organización y/o sus clientes, aliados o vinculados;
n) Enviar a los Titulares correos electrónicos como parte de una noticia, boletín o Newsletter. En cada mensaje de correo electrónico enviado existe la posibilidad de solicitar no estar inscrito en esta lista de correos electrónicos para dejar de recibirlos para lo cual deberá seguir las instrucciones indicadas;
o) Enviar al Titular información sobre productos y/o servicios basados en la información que se obtenga de sus hábitos de consumo; y
p) Prevenir y detectar el fraude, así como otras actividades ilegales. Se entenderá que el Usuario al momento de registrarse y/o otorgar sus datos a través de los Medios de Recolección, presta su consentimiento expreso para transferir, transmitir, traspasar, ceder, entregar y/o comercializar los datos en la forma como está establecido en la presente Política y en especial con los usos detallados anteriormente.
Para todos los efectos, se entiende que la autorización expresa e informada otorgada por parte de los Titulares a favor de La Organización para el Tratamiento de sus Datos Personales, cualquiera que haya sido su Medio de Recolección (telefónico, escrito, digital, electrónico, oral o por medio de conductas inequívocas), implica el entendimiento y la aceptación plena de todo el contenido de la presente Política y por tanto expresamente reconoce que autoriza el uso de sus datos para los fines aquí indicados y de la manera aquí indicada incluido transmitir, explotar y comercializar dicha información. Si un Titular le suministra Información Personal a La Organización a través de las comunicaciones telefónicas, su sitio web o por medio de cualquier canal adicional, físico o electrónico, bajo el entendido que dicho suministro de Información Personal es realizado de forma totalmente voluntaria, el Titular le concede a La Organización su autorización para que utilice dicha Información Personal conforme a las estipulaciones de la presente Política.
En el evento de una venta, fusión, consolidación, cambio en el control societario, transferencia de activos, reestructuración, insolvencia, liquidación obligatoria o cualquier tipo de proceso concursal de La Organización, esta última podrá transferir la Información Personal a las partes involucradas, para lo cual se entiende autorizada en virtud de la presente Política.
6.13.1. Transferencia a Terceros
La Organización podrá transferir, transmitir, traspasar, ceder, entregar y/o comercializar los Datos Personales de los Titulares como parte de los activos de La Organización a terceros aliados comerciales, clientes o vinculados para efectos de que éstos terceros realicen el tratamiento de los mismos en los mismos términos y condiciones establecidos en la presente Política de Privacidad. De manera específica, pero sin limitarse a ello, La Organización podrá utilizar proveedores de servicios y procesadores de datos que trabajen en nombre de la misma. Dichos servicios podrán incluir servicios de alojamiento de sistemas y de mantenimiento, encriptación, servicios de análisis, servicios de mensajería por email, servicios de call-centers, servicios de entrega, gestión de transacciones de pago, y controles de solvencia y de dirección, entre otros. En consecuencia, los Titulares deben entender que al suministrarle información a La Organización, automáticamente le estarán concediendo a estos terceros autorización para acceder a su Información Personal.
La Información Personal podrá ser transferida, transmitida, traspasada, cedida, entregada y/o comercializada a sus vinculadas, subordinadas, terceros y aliados comerciales y a autoridades judiciales o administrativas, sean personas naturales o jurídicas, colombianas o extranjeras, en aquellos eventos en los cuales la transferencia o transmisión de los datos sea necesaria para llevar a cabo los usos y actividades autorizadas por los Titulares conforme al objeto social de La Organización, o cualquier actividad lícita relacionada con este. En todos los eventos, dicha información se conservará bajo estricta confidencialidad y será sometida a un Tratamiento riguroso, respetando los derechos y las garantías de sus Titulares.
6.14. Reglas generales aplicables
LA ORGANIZACIÓN ha establecido las siguientes reglas generales para la protección de datos personales, sensibles y de menores, como es el cuidado de bases de datos, archivos electrónicos e información personal:
LA ORGANIZACIÓN garantiza la autenticidad, confidencialidad e integridad de la información de datos personales que tenga bajo su responsabilidad.
LA ORGANIZACIÓN es quién ejecuta y diseña la estrategia para el cumplimiento del presente Manual. LA ORGANIZACIÓN adoptó todas las medidas técnicas necesarias y posibles para garantizar la protección y control de las bases de datos existentes y bajo su control.
En los casos en que la infraestructura dependa de un tercero, LA ORGANIZACIÓN se cerciorará que tanto la disponibilidad de la información como el cuidado de los datos personales, sensibles y de menores sea un objetivo fundamental. Así las cosas, se hará uso de correos electrónicos a los que Versión 1.1. Página 27 de 32 se enviarán comunicaciones requiriendo a los terceros, tomar las medidas de cuidado necesarias para la protección de los datos personales y si es de niños, los sensibles.
LA ORGANIZACIÓN realizará auditorías y controles de manera periódica para garantizar la correcta implementación de la Ley 1581 de 2012 y sus decretos reglamentarios. Lo anterior se podrá materializar con la suscripción de actas, informes o comunicaciones electrónicas en las que se relacionen las revisiones periódicas correspondientes. Las revisiones serán periódicas, cada 4 meses)
Es responsabilidad de los funcionarios de LA ORGANIZACIÓN reportar inmediatamente ante la Superintendencia de Industria y Comercio – Delegatura de Datos Personales – cualquier incidente de fuga de información, daño informático, violación de datos personales, comercialización de datos, uso de datos personales de niños, niñas o adolescentes, suplantación de identidad, incidentes de seguridad, violación de códigos de seguridad o cualquier tipo de conductas que puedan vulnerar la intimidad de una persona o llegue a generar cualquier tipo de discriminación.
La formación y capacitación de los funcionarios, proveedores, contratistas, será un deber y complemento fundamental de este Manual.
LA ORGANIZACIÓN debe identificar e impulsar avisos de privacidad, avisos en el web site, campañas de sensibilización, leyendas de reclamo y demás procedimientos para dar cumplimiento a la Ley 1581 de 2012 y demás normas que la complementen.
En los apartes de este documento en donde se haga mención a una ley o regulación legal particular, se entenderá que sin perjuicio de modificación o supresión a la que ésta sea sometida, no será necesario modificar el presente documento, a menos que la nueva regulación o modificaciones sobre la materia, dispongan preceptos contrarios a lo aquí desarrollado.
Respecto del procedimiento para el Tratamiento de Imágenes, le aplicarán las reglas generales aquí descritas, en especial, respecto de los derechos de los titulares al respecto.
7. PROCEDIMIENTO PARA QUE LOS TITULARES DE LA INFORMACIÓN PUEDAN EJERCER LOS DERECHOS A CONOCER, ACTUALIZAR, RECTIFICAR Y SUPRIMIR INFORMACIÓN Y REVOCAR LA AUTORIZACIÓN.
Cualquier consulta o reclamo frente a derechos inherentes de los Titulares sobre datos de carácter personal se debe realizar mediante un escrito dirigido al correo protecciondedatospersonales@novuscivitas.com.co de LA ORGANIZACIÓN adjuntando fotocopia del documento de identidad del Titular interesado o cualquier otro documento equivalente que acredite su identidad y Titularidad conforme a Derecho. Las solicitudes recibidas y los datos personales contenidas en ellas, junto con los soportes de su documento de identificación, constituirá la base de datos denominada REQUERIMIENTOS REGISTRO DE BASE DE DATOS.
Los derechos de acceso, actualización, rectificación, supresión y revocación de la autorización de datos personales son personalísimos y podrán ser ejercidos únicamente por el Titular. No obstante, el Titular podrá actuar a través de representante legal o apoderado cuando aquel se encuentre en situación de incapacidad o minoría de edad hechos que le imposibiliten el ejercicio personal de los mismos, en cuyo caso será necesario que el representante legal o apoderado acredite tal condición.
No se exigirá ningún valor o tasa alguna por el ejercicio de los derechos de acceso, actualización, rectificación, supresión o revocación de la autorización cuando se trate de datos personales de personas naturales. (Se tendrá en cuenta lo establecido en el artículo 21 del Decreto Reglamentario 1377 de 2013)
Con el objeto de facilitar el ejercicio de estos derechos, LA ORGANIZACIÓN pone a disposición de los interesados, los formatos físicos o electrónicos adecuados a esta finalidad.
A toda consulta, requerimiento o solicitud, LA ORGANIZACIÓN le dará una respuesta de fondo y fundamentada, en los términos y condiciones aquí desarrollados o de acuerdo a las disposiciones legales sobre la materia y/o la figura del derecho de petición, según el caso.
En caso de reclamos, se seguirá el procedimiento establecido en el artículo 15 de la Ley 1581 de 2012.
Como requisito previo para darle trámite a cualquier reclamo o solicitud, se verificará la identidad del reclamante, quien deberá ser el titular de la información, su representante o uno de sus causahabientes.
Una solicitud o un reclamo debe contener, por lo menos:
a) Identificación del Titular y del reclamante (en caso de que no sea el mismo Titular).
b) Descripción de los hechos que dan lugar al reclamo o solicitud.
c) Dirección física o electrónica de notificación; y
d) Petición u objeto del reclamo.
Las solicitudes o reclamos serán atendidas en el máximo legal contados a partir de la fecha de recibo de las mismas, siempre y cuando cumplan los requisitos mínimos mencionados arriba. Si no fuere posible dar una respuesta dentro de dicho término, se informará al respectivo titular de la información, explicando las razones de la demora y señalando la fecha en que se responderá su consulta, sin que en ningún caso se supere el máximo legal contemplado en los casos de vencimiento del primer término.
Si se presenta una solicitud o una reclamación en forma incompleta, dentro de los cinco (5) días hábiles siguientes a la recepción de la solicitud o reclamo se comunicará al interesado que debe completar los requisitos arriba mencionados. Si transcurrieren dos (2) meses sin que el reclamante subsane su reclamación o solicitud, se entenderá que ha desistido de la misma. De existir algún reclamo sin solucionar, se acompañarán los datos personales registrados por el Titular con la leyenda: “Reclamo en Trámite”.
Una vez cumplidos y agotados los términos señalados por la Ley 1581 de 2012 y las demás normas que la reglamenten o complementen, el Titular al que se deniegue, total o parcialmente, el ejercicio de los derechos de acceso, actualización, rectificación, supresión y revocación, por parte de LA ORGANIZACIÓN, podrá poner en conocimiento ante la Autoridad Nacional de Protección de Datos Personales (Superintendencia de Industria y Comercio – Delegatura de Protección de Datos Personales) o entidad competente, la negación o inconformidad frente al derecho ejercido.
Solicitud de Supresión de Datos: Cuando se solicite la supresión de datos, esta no podrá realizarse en los siguientes casos: 1) Cuando sea una obligación legal conservarlos; 2) Cuando el Usuario se haya obligado contractualmente a permitir su uso; 3) Cuando conservar los datos sea necesario para salvaguardar los intereses del Usuario o el Interés Público; 4) Cuando la supresión dificulte o entorpezca el ejercicio de las funciones de las autoridades administrativas o judiciales.
Revocatoria de Autorización: Cuando un Usuario quiera revocar la autorización que haya dado para la utilización de sus datos personales, deberá informar al Responsable del Tratamiento de manera clara y motivada, si la revocatoria es total o parcial. La revocatoria de la autorización es parcial cuando el titular de la información manifiesta que desea revocar su autorización para el Tratamiento de sus datos personales para ciertas finalidades específicas, tales como las de envío de información publicitaria, de estudios de consumo, entre otras. La revocatoria de la autorización será total cuando el titular de la información solicite que cese completamente el Tratamiento de datos personales para todas las finalidades autorizadas.
8.FUNCIÓN DE LA PROTECCIÓN DE DATOS PERSONALES AL INTERIOR DE LA ORGANIZACIÓN
8.1 Los Responsables
El Responsable del Tratamiento de datos personales de LA ORGANIZACIÓN, es el Oficial de Protección de Datos. Quien velará por el debido cumplimiento del presente Manual y de las demás normas que regulen el buen uso de los datos personales.
8.2. Los Encargados
Es Encargado del Tratamiento de datos personales cualquier persona natural o jurídica, pública o privada, que realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento de LA ORGANIZACIÓN. Esto supone que para cada Tratamiento de datos se hayan definido sus respectivos Encargados y que éstos actúen por instrucción precisa del Responsable de LA ORGANIZACIÓN, información que será entregada al Titular.
8.2.1. Deberes de los Encargados.
LA ORGANIZACIÓN distingue entre Encargado interno y Encargado externo. Los Encargados internos son empleados de LA ORGANIZACIÓN mientras que los externos son personas naturales o jurídicas que tratan datos que LA ORGANIZACIÓN les suministra para la realización de una tarea asignada (ingenios, proveedores, consultores, empresas de tercerización, etc.)
Los grupos de Encargados que LA ORGANIZACIÓN designa para realizar Tratamientos de datos específicos son:
8.2.1.1. El Encargado interno.
Es el cargo o funcionario que tendrá dentro de LA ORGANIZACIÓN, las funciones aquí descritas.
8.2.1.2 Los Encargados externos
En caso de que la ORGANIZACIÓN así lo disponga o considere oportuno, podrá delegarse a encargados externos, ciertas funciones o responsabilidades en el tratamiento de datos suministrados por la ORGANIZACIÓN, para la realización de una tarea específica.
En este caso, el Encargado del tratamiento de datos será: NOVUS CIVITAS SUCURSAL COLOMBIA.
9.EL REGISTRO NACIONAL DE BASES DE DATOS -RNBD-
De acuerdo con el Art. 25 de la Ley 1581, sus decretos y circulares reglamentarias, el Titular o cualquier interesado podrá encontrar inscritas todas las bases de datos con información de carácter personal tratadas por LA ORGANIZACIÓN y este Manual de Políticas y Procedimientos, en el Registro Nacional de Bases de Datos (RNBD) dispuesto por la SIC en su página web.
La Superintendencia de Industria y Comercio, indica lo siguiente al respecto del Registro[34]:
“El Registro Nacional de Bases de Datos – RNBD – es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos. El Gobierno Nacional, mediante el capítulo 26 del Decreto Único 1074 de 2015, reglamentó la información mínima que debe contener el RNBD y los términos y condiciones bajo los cuales se deben inscribir en éste las bases de datos sujetas a la aplicación de la Ley 1581 de 2012.
La Superintendencia de Industria y Comercio, mediante las Circulares externas No. 02 del 3 de noviembre de 2015 y 001 del 8 de noviembre de 2016 impartió instrucciones a los Responsables del Tratamiento de datos personales, para efectos de realizar la inscripción de sus bases de datos en el RNBD.
(…) De acuerdo con lo indicado en el numeral 2.3 de la Circular Externa No. 002 de 2015, la información contenida en el RNBD deberá actualizarse, como se indica a continuación[35]:
Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.
Anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2018.
Se aclara que los cambios sustanciales están definidos en la misma circular, así: “Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales”.
(…) Antes de registrar las bases de datos es preciso realizar el inventario de las bases de datos con información personal que tenga, bien sea en medio físico (papel) o electrónico (listas o archivos en cualquier formato, bases de datos relacionales, etc.). Al efectuar este inventario se debe obtener la siguiente información:
Cantidad de bases de datos con información personal y de titulares por cada base de datos.
Información detallada de los canales o medios que se tienen previstos para atender las peticiones y reclamos de los titulares.
Tipos de datos personales contenidos en cada base de datos a los que se realiza Tratamiento, como: datos de identificación, ubicación, socioeconómicos, sensibles u otros.
Ubicación de las bases de datos, así como los datos de identificación y ubicación de los Encargados del tratamiento.
Medidas de seguridad y/o controles implementados en la base de datos para minimizar los riesgos de un uso no adecuado de los datos personales tratados.
Conocer si se cuenta con la autorización de los titulares de los datos contenidos en las bases de datos, así como la forma de obtención de los datos (directamente del titular o mediante terceros)
Si se ha realizado transferencia o transmisión internacional de los datos personales contenidos en la base de datos o Si se ha realizado cesión de la base de datos.
10. VIGENCIA
El presente Manual rige a partir del 28 de junio de 2017. Sin perjuicio de lo anterior, la presente Política estará vigente a partir de su publicación. Las bases de datos asociadas a esta Política podrán ser tratadas por el término máximo que autoricen las leyes aplicables o, en caso de silencio de la ley al respecto, estará vigente a término indefinido.
Actualizaciones del Manual: LA ORGANIZACIÓN podrá modificar los términos y condiciones de la presente política como parte del esfuerzo por cumplir con las obligaciones establecidas por la Ley 1581 de 2012, los decretos reglamentarios y demás normas que complementen modifiquen o deroguen esta Política, con el fin de reflejar cualquier cambio en nuestras operaciones o funciones. Dichas modificaciones, serán sujeto de las correspondientes actualizaciones en el aplicativo que la autoridad competente disponga para el Registro de Base de Datos, en este caso, la Superintendencia de Industria y Comercio. En los casos que esto ocurra se publicará la nueva política en la página web institucional.
La Organización se reserva la facultad de revisar en cualquier momento esta Política. La Organización publicará en su página web cualquier cambio en esta Política. Cuando se realicen modificaciones sustanciales a esta Política, se comunicará este hecho a los titulares de la información mediante el envío de un aviso al correo electrónico que hayan registrado, antes de o a más tardar al momento de implementarlos, informándoles que podrán consultar la nueva Política en la página web de La Organización. En dicho aviso se indicará la fecha a partir de la cual regirá la nueva Política. Cuando el cambio se refiera a las finalidades del Tratamiento, se solicitará de los titulares de los datos personales una nueva autorización para aplicar las mismas
11. INFORMACIÓN DE CONTACTO
Si tiene alguna pregunta sobre esta política, comuníquese con LA ORGANIZACIÓN o envíe su consulta directamente por cualquiera de los siguientes canales de comunicación:
ÁREA ENCARGADA O RESPONSABLE: NOVUS CIVITAS SUCURSAL COLOMBIA
CORREO ELECTRÓNICO: protecciondedatospersonales@novuscivitas.com.co
DIRECCIÓN: Serena del Mar, Vía al Mar-Km8, Cartagena.
12. REFERENCIA A OTROS DOCUMENTOS
El presente Manual de protección de datos personales ha sido elaborado en concordancia con las siguientes normas y documentos:
Constitución Política de Colombia. Ley 1266 de 2008.
Ley 1581 de 2012.
Decreto 1377 de 2013.
Decreto 886 de 2014.
Ley 1273 de 2009.
Circular 002 de 2015 de la SIC. Documento de Seguridad.
Aviso de Privacidad.
Lo anterior, sin perjuicio de jurisprudencia o conceptos que adicionen, modifiquen o permitan ajustar el presente documento.
Pie de página
[1] LEY ESTATUTARIA 1581 DE 2012. (octubre 17). Diario Oficial No. 48.587 de 18 de octubre de 2012. CONGRESO DE LA REPÚBLICA. Por la cual se dictan disposiciones generales para la protección de datos personales. Artículo 1.2 TITULO V PROTECCIÓN DE DATOS PERSONALES, Circular Única Superintendencia de Industria y Comercio, Artículo 1.1. Circulación de la Información. 1.1.1. Entrega de la información a los titulares, a las personas autorizadas por estos y a sus causahabientes. p.[2] TITULO V PROTECCIÓN DE DATOS PERSONALES, Circular Única Superintendencia de Industria y Comercio, Artículo 1.1. Circulación de la Información. 1.1.1. Entrega de la información a los titulares, a las personas autorizadas por estos y a sus causahabientes. p. 1.[3] Decreto Reglamentario 1377 de 2013: “Artículo 5°. Autorización. El responsable del Tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del Titular para el Tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento. Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos (…).”[4] Decreto Reglamentario 1377 de 2013: “Artículo 4°. Recolección de los datos personales. En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular. A solicitud de la Superintendencia de Industria y Comercio, los responsables deberán proveer una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de información, como también la descripción de las finalidades para las cuales la información es recolectada y una explicación sobre la necesidad de recolectar los datos en cada caso (…)”.[5] “Artículo 13. Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas. Las políticas de Tratamiento de la información deberán constar en medio físico o electrónico, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares. Dichas políticas deberán incluir, por lo menos, la siguiente información: 1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del Responsable. 2. Tratamiento al cual serán sometidos los datos y finalidad del mismo cuando esta no se haya informado mediante el aviso de privacidad. 3. Derechos que le asisten como Titular. 4. Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización. 5. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización. 6. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos (…)”.[6] Decreto 1377 de 2013: “Articulo 3 Definiciones (…) 1. Aviso de Privacidad (…)”[7] Ley 1581 de 2012, “Artículo 3 Definiciones (…) a) Autorización (…)” 8Ley 1581 de 2012, “Artículo 3 Definiciones (…) b) Base de Datos (…)” 9 Ley 1581 de 2012, “Artículo 3 Definiciones (…) c) Dato Personal (…)”Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley/2012/ley_1581_2012.html. Última actualización: 30 de diciembre de 2016.
[8]Ley 1581 de 2012, “Artículo 3 Definiciones (…) b) Base de Datos (…)” 9 Ley 1581 de 2012, “Artículo 3 Definiciones (…) c) Dato Personal (…)”[9] Ley 1581 de 2012, “Artículo 3 Definiciones (…) c) Dato Personal (…)”[10] Decreto 1377 de 2013: “Articulo 3 Definiciones (…) 2. Dato Publico (…)”Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=53646 Consultado el 15 de febrero de 2017.
[11] Ley Estatutaria 1266 de 2008 “Artículo 3 Definiciones (…) g) Dato semiprivado (…)”.Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html – Última actualización: 30 de diciembre de 2016.
[12] Ley Estatutaria 1266 de 2008 “Artículo 3 Definiciones (…) h) Dato Privado (…)”.[13] Artículo. 5 Ley 1581/12. Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley/2012/ley_1581_2012.html. Último acceso: agosto 29 de 2013.[14] Ley 1581 de 2012, “Artículo 3 Definiciones (…) d) Encargado del Tratamiento (…)” 15 Ley 1581 de 2012, “Artículo 3 Definiciones (…) e) Responsable del Tratamiento (…)” 16 Ley 1581 de 2012, “Artículo 3 Definiciones (…) f) Titular (…)”[15] Ley 1581 de 2012, “Artículo 3 Definiciones (…) e) Responsable del Tratamiento (…)” 16 Ley 1581 de 2012, “Artículo 3 Definiciones (…) f) Titular (…)”[16] Ley 1581 de 2012, “Artículo 3 Definiciones (…) f) Titular (…)”[17] Decreto 1377 de 2013: “Articulo 3 Definiciones (…) 4. Transferencia (…)”[18] Decreto 1377 de 2013: “Articulo 3 Definiciones (…) 5. Transmisión (…)”[19] Ley 1581 de 2012, “Artículo 3 Definiciones (…) g) Tratamiento (…)”.[20] Protección de Datos Personales en Sistemas de Videovigilancia. p. 5. https://issuu.com/quioscosic/docs/guia_vigilancia_2016[21] Ley 1581 de 2012, “Artículo 4 Principios para el Tratamiento de Datos Personales (…) f) Principio de acceso y circulación restringida (…)”[22] Ley 1581 de 2012, “Artículo 4 Principios para el Tratamiento de Datos Personales (…) h) Principio de confidencialidad (…)”[23] Ley 1581 de 2012, “Artículo 4 Principios para el Tratamiento de Datos Personales (…) b) Principio de finalidad (…)[24] Ley 1581 de 2012, “Artículo 4 Principios para el Tratamiento de Datos Personales (…) a) Principio de legalidad en materia de Tratamiento de datos (…)”[25] Ley 1581 de 2012, “Artículo 4 Principios para el Tratamiento de Datos Personales (…) c) Principio de libertad (…)”[26] Ley 1581 de 2012, “Artículo 4 Principios para el Tratamiento de Datos Personales (…) g) Principio de seguridad (…)”[27] Ley 1581 de 2012, “Artículo 4 Principios para el Tratamiento de Datos Personales (…) e) Principio de transparencia (…)”[28] Ley 1581 de 2012, “Artículo 4 Principios para el Tratamiento de Datos Personales (…) d) Principio de veracidad o calidad (…)”[29] Ley 1581 de 2012, Art 8 Literal e).[30] Sentencia C-748 de 2011 Corte Constitucional. MP. Dr. Jorge Pretelt Chaljub.[31] Ley 1581 de 2012, Art 18 PARAGRAFO[32] Protección de Datos Personales en Sistemas de Videovigilancia. p. 4. https://issuu.com/quioscosic/docs/guia_vigilancia_2016[33] Protección de Datos Personales en Sistemas de Videovigilancia. p. 11-12. https://issuu.com/quioscosic/docs/guia_vigilancia_2016[34] http://www.sic.gov.co/registro-nacional-de-bases-de-datos[35] http://www.sic.gov.co/preguntas-frecuentes-rnbd