La Política y los procedimientos previstos en este Manual buscan desarrollar de manera suficiente el derecho constitucional al Hábeas Data que tienen todas las personas respecto de las cuales LA EMPRESA haya recogido, administre o conserve información de carácter personal.
Igualmente, los datos personales de contacto de usuarios cuando vayan a ser utilizados para fines de mercadeo o publicitarios en virtud de alianzas o convenios serán tratados siguiendo las previsiones de la nueva Ley.
La Política será aplicable a las bases de datos que se encuentren bajo la administración de LA EMPRESA o sean susceptibles de ser conocidas. En el primer caso LA EMPRESA actuará como responsable, en los demás casos podría tener la calidad de Encargado o de responsable, dependiendo de si los recibe de un tercero o ella misma los recaba.
Esta política también será aplicable cuando el Tratamiento de los datos se efectúe en territorio colombiano y, cuando el responsable o el Encargado del Tratamiento no resida en Colombia, pero en virtud de normas internacionales o tratados le sea aplicable la legislación colombiana.
Todos los funcionarios de LA EMPRESA quedan cubiertos bajo esta política. LA EMPRESA adelantará las campañas pedagógicas y de capacitación requeridas, para que las áreas que tienen un mayor nivel de interacción con la administración de datos personales conozcan la nueva Ley y las disposiciones adoptadas por LA EMPRESA para asegurar su cumplimiento.
Así mismo, a los encargados, Aliados Comerciales, Proveedores y Contratistas de LA EMPRESA que tengan acceso a datos personales de Titulares que los hayan suministrado a LA EMPRESA, se les exigirá el cumplimiento de la Ley y de esta política.
Con el fin que los destinatarios de esta política tengan claridad sobre los términos utilizados a lo largo de la misma, a continuación, se incluyen las definiciones que trae la Ley General, así como las referidas a la clasificación de los datos de acuerdo con la Ley 1266 de 2008.
Autorización: Consentimiento, previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento, tanto por entidades públicas como privadas. Incluye aquellos depósitos de datos que constan en documentos y que tienen la calidad de archivos.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Clasificación de los datos bajo la Ley 1266 de 2008: privados, semiprivados y públicos.
El dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular.
El dato semiprivado: Es aquel que no tienen naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere la Ley Especial.
El dato público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados de conformidad con la Ley Especial. La Ley Especial incluyó como ejemplo de este tipo de datos los relativos al estado civil de las personas, los que consten en documentos públicos y en sentencias ejecutoriadas.
El Decreto 1377 de 2013, reglamentario de la Ley 1581 de 2012, incluyó en adición a los anteriores los referidos a la profesión u oficio, a la calidad de servidor público o comerciante Clasificación de los datos bajo la Ley General: Sensibles y Públicos.
Los datos sensibles: Son aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
El dato público en ambas leyes ha sido definido de manera residual, como aquel que no es semiprivado, privado o sensible. Por su parte, el decreto 1377 reglamentario de la ley 1581, adicionó a los ejemplos ya mencionados por la Ley Especial, los referidos a la profesión u oficio, a la calidad de comerciante o de servidor público, y aquellos que puedan obtenerse sin reserva alguna. Así mismo, señaló que estos datos por su naturaleza pueden estar contenidos en registros públicos, gacetas y boletines oficiales, entre otros.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso o circulación.
Es un compromiso de LA EMPRESA el entender y desarrollar de manera armónica los principios establecidos en la Ley General.
A continuación, se relacionan los principios contenidos en la Ley General:
2.1. Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
2.2. Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
2.3. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
2.4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. 2.5. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
2.6. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley.
2.7. Principio de seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá
manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
2.8. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de esta. 2.9. Necesidad y proporcionalidad: Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de las finalidades del Tratamiento, informadas al titular. En tal sentido, deben ser adecuados, pertinentes y acordes con las finalidades para los cuales fueron recolectados.
2.10. Temporalidad o caducidad: El período de conservación de los datos personales será el necesario para alcanzar la finalidad para la cual se han recolectado.
2.11. Interpretación integral de derechos constitucionales: La Ley 1581 de 2012 se interpretará en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables.
LA EMPRESA en desarrollo del principio de legalidad velará porque los datos sean adquiridos, tratados y manejados de manera lícita.
Así mismo, cuando actúen como responsable del Tratamiento, es decir cuando estén frente a un Titular que va a adquirir la calidad de Cliente o Usuario o ya la tiene, le informarán a éste de manera clara, suficiente y previa acerca de la o las finalidades de la información a ser suministrada. En el evento en que la finalidad cambie o se modifique de tal manera que el Titular de manera razonable no lo espere, le informarán a éste de manera previa, con el fin de obtener de nuevo su consentimiento.
En desarrollo del principio de razonabilidad y proporcionalidad, recaudarán los datos que sean estrictamente necesarios para llevar a cabo las finalidades perseguidas y los conservarán por el tiempo necesario para cumplir con la finalidad con que se han registrado, observando en todo momento los términos especiales establecidos por la ley en aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
Igualmente, respetarán la libertad que tiene el Titular para autorizar o no el uso de sus datos personales, y, en consecuencia, los mecanismos que utilicen para obtener el consentimiento le permitirán al Titular manifestar de manera inequívoca que otorga tal autorización.
Informarán al Titular acerca del Tratamiento que les dará a sus datos, de tal manera que para éste sea claro que si su voluntad es contratar el servicio ofrecido debe aportar información veraz y actualizada.
Dirigirse a LA EMPRESA, a través de los canales establecidos por éstas, los cuales se indican en el Aviso de Privacidad, que se adjunta como anexo del presente Manual, con el fin de conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
Solicitar prueba de la autorización otorgada a LA EMPRESA salvo cuando, de acuerdo con la Ley, el Tratamiento que se está realizando no lo requiera. Ser informado por LA EMPRESA, previa solicitud efectuada a través de los canales dispuestos por ésta, respecto del uso que se les ha dado a sus datos personales. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley General y sus decretos reglamentarios.
Revocar, en aquellos casos que no se enmarcan bajo la Ley Especial de Hábeas Data Financiero y en los que no se refiere a datos esenciales o propios del contrato suscrito la autorización; y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. Acceder en forma gratuita, a través de los canales dispuestos por LA EMPRESA, a sus datos personales que hayan sido objeto de Tratamiento.
Sin perjuicio de las excepciones previstas en la Ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
La autorización del Titular no será necesaria cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial - Datos de naturaleza pública - Casos de urgencia médica o sanitaria
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos - Datos relacionados con el Registro Civil de las Personas - LA EMPRESA cuando se encuentre frente a alguna de estas situaciones lo dejará claramente revelado y en todo caso cumplirá con las demás disposiciones contenidas en la Ley.
Los textos de las autorizaciones a ser puestas a disposición de los Titulares de los datos serán claros, e indicarán tanto los requisitos establecidos por la Ley 1266 de 2008, cuando corresponda, como por la Ley 1581 de 2012 y el Decreto 1377 de 2013. Por lo anterior, se procurará reseñar de manera separada lo pertinente a ambas regulaciones, de tal manera que no haya lugar a confusión por parte del Titular sobre los derechos que le asisten bajo cada una de ellas.
En el aparte de la Autorización correspondiente a la inclusión de los aspectos señalados por la Ley General se indicará, la finalidad o finalidades perseguidas con el Tratamiento, el tipo de Tratamiento a ser efectuado, la identificación, dirección física o electrónica a la que podrá dirigirse el Titular de los datos, y se señalará la existencia de la política que desarrolla los derechos que le asisten al Titular. De tal manera que, en tratándose del uso de datos personales que no correspondan de manera específica al desarrollo de la relación legal o contractual establecida entre LA EMPRESA y el Titular, sino que estén referidos al envío de información comercial o de carácter publicitario existirá el mecanismo, a través del Call center y de la página web, que permita al Titular de los datos, de manera sencilla y expedita manifestar su voluntad de no ser contactado para dichos fines.
LA EMPRESA ha identificado las siguientes bases de datos:
POTENCIAL CLIENTE
PROVEEDORES
Y CONTRATISTAS ARCHIVO
La base de datos de POTENCIAL CLIENTE, buscan tener un contacto con el Titular con el fin que LA EMPRESA se presente ante ellos y, les informe acerca de los productos y servicios que ofrece.
La base de datos de PROVEEDORES Y CONTRATISTAS persigue tener información actualizada, sólida y suficiente acerca de las personas que tienen o aspiran tener la
calidad de Proveedores y/o Contratistas de LA EMPRESA y, con ello, si es del caso, se consoliden y/o gestionen vínculos comerciales.
La base de datos de ARCHIVO tiene como finalidad servir de soporte de las bases de datos de LA COMPAÑÍA, llevar un registro documental para el desarrollo de su objeto social, expedir las certificaciones, constancias o copias solicitadas por el Titular, un tercero debidamente autorizado, o por orden administrativa o judicial, así como tramitar consultas, reclamos, quejas, y demandas judiciales.
PARAGRAFO PRIMERO: LA EMPRESA podrá compartir datos personales contenidos en las bases de datos sujetándose a las autorizaciones que hayan otorgado los titulares, en consonancia con las finalidades previstas en esta política de privacidad y legislación aplicable.
Los datos se conservan de acuerdo con los principios de necesidad y razonabilidad, de caducidad y temporalidad y con lo dispuesto en las normas especiales que regulan la conservación de documentos.
LA EMPRESA cuenta con reglamentaciones internas sobre Seguridad de la información, las cuales garantizan el cumplimiento de los requisitos exigidos en materia de seguridad de la información.
El Manual de Seguridad cuenta con altos estándares de seguridad, manejo de herramientas técnicas que garantizan la adecuada conservación, el acceso autorizado, la recuperación de documentos, entre otros. Se ha establecido que en los contratos celebrados con los Encargados se incluyan cláusulas que establezcan de manera clara el deber de éstos de garantizar la seguridad y privacidad de la información del Titular.
