POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
- ALCANCE
En cumplimiento a lo dispuesto en la Ley estatutaria 1581 de 2012 y a su Decreto Reglamentario 1377 de 2013, así como sus normas modificatorias y/o complementarias, el Grupo Colombia Excelente SAS, en adelante EL GRUPO, informa la política aplicable, para el tratamiento protección de datos personales.
Esta Política de Protección de Bases Datos Personales (en adelante BDP), se aplicará a todas las Bases de Datos y/o Archivos que contengan datos personales de personas naturales que sean objeto de Tratamiento por parte de EL GRUPO.
- IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
- Razón Social: GRUPO COLOMBIA EXCELENTE S.A.S.
- Dirección: Carrera 6 N° 115 – 65 oficina F304 de la ciudad de Bogotá D.C, Colombia
- Número de Identificación Tributaria NIT N° 900.591.316-1
- Correo electrónico: [email protected].
- Sitio Web: http://colombiaexcelente.org/
- ORGANIZACIÓN INTERNA.
El Tratamiento de BDP contará con:
- Un responsable que será EL GRUPO, persona jurídica de nacionalidad colombiana, identificada con los datos establecidos en la identificación del presente documento.
- Uno o más empleados, en calidad de usuarios de EL GRUPO quienes serán los únicos autorizados para actualizar y modificar las BDP, además de responder las consultas y/o solicitudes de los titulares de la información.
- Un Oficial de Bases de Datos que será designado por EL GRUPO.
- DEFINICIONES
Salvo lo establecido en el presente documento, se adoptarán para la aplicación e interpretación de las BDP, los términos y definiciones establecidos en materia de protección de BDP en la Ley 1581 de 2012, así como en el Decreto 1074 de 2015, además de sus normas complementarias y/o modificatorias.
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales
- Aviso de Privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales
- Base de Datos: Conjunto organizado de Datos Personales que sean objeto de Tratamiento.
- Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables
- Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el Tratamiento de Datos Personales por cuenta del responsable del tratamiento.
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.
- Términos y Condiciones: Marco general en el cual se establecen las condiciones de acceso y uso del Sitio Web de EL GRUPO
- Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
- Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país
- Ley de Protección de Datos: Es la Ley 1581 de 2012 y sus Decretos reglamentarios o las normas que los modifiquen, complementen o sustituyan.
- Habeas Data: Derecho de cualquier persona a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en el banco de datos y en archivos de entidades públicas y privadas.
5. Principios
La protección de las BDP y sus contenidos, se regirán por los siguientes principios:
- Legalidad: el Tratamiento de las BDP, debe desarrollarse dentro de los límites establecidos por la normatividad vigente.
- Finalidad: el Tratamiento de las BDP, debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley.
- Autodeterminación informática: posibilidad de la cual dispone una persona para permitir que sus datos se almacenen, circulen y sean usados de conformidad con las regulaciones legales.
- Libertad: el Tratamiento de las BDP sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
- Seguridad: se realizará el tratamiento con medidas técnica, humanas y administrativas destinadas a disminuir el riesgo de adulteración, pérdida, consulta o acceso no autorizado fraudulento.
- Transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable, en cualquier momento y siempre que sea posible, información acerca de la existencia de datos que le conciernen.
- TRATAMIENTO
El GRUPO, actuando en calidad de responsable del tratamiento de las BDP, de acuerdo con la finalidad y necesidad de cada una de ellas, contará con las siguientes políticas generales de tratamiento:
- En la recolección y tratamiento de datos se respetará el principio de libertad y demás garantías consagradas en la Constitución y en la Ley.
- Se solicitará previa autorización expresa y voluntaria a toda persona para disponer de su información personal, siempre que la misma no sea pública.
- El tratamiento de datos personales se realizará a través de recepción de correos y/o formularios físicos o electrónicos, así como la suscripción de contratos laborales, de prestación de servicios y con proveedores.
- Todo uso y/o tratamiento de las BDP deberá ser previamente autorizado por el Gerente General.
- Sólo aquellos empleados con funciones específicas podrán actualizar, corregir y suprimir la información de las BDP por solicitud del titular y/o inexactitud de los datos. Así mismo son los únicos autorizados para responder las quejas, denuncias y/o reclamos de los titulares de la información, quienes informarán de tales eventos al Oficial de bases de datos.
- Se establecerán como canales mínimos de información y comunicación mínima a favor de los titulares de los datos personales: (i) dirección física y (ii) correo electrónico, indicados en el alcance del presente documento, para que aquellos puedan consultar, rectificar y/o revocar la autorización respecto del uso de sus datos personales.
- La información sujeta a tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Todas las personas que intervengan en el tratamiento de datos personales están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación.
- FINALIDAD
Las BDP objeto de tratamiento por parte del GRUPO, podrán contar con las siguientes finalidades:
- Participación en distintos tipos de encuestas mediante registros o formularios físicos u online.
- Llenado de solicitudes de suscripción de formatos para capacitación, servicios online o bien para facilitar información relacionada con los servicios que ofrece el GRUPO.
- Hacer más sencillo el uso del Sitio Web.
- Adaptar el contenido más relevante de acuerdo con las preferencias de los usuarios.
- Informar las noticias importantes concernientes al GRUPO.
- Informar sobre los productos o servicios, actualizaciones de productos, eventos y eventos especiales.
- Promocionar productos y servicios.
- Velar por la seguridad e integridad.
- Como parte de un proceso continuo de venta.
- Facilitar el soporte técnico o consultoría respecto de algún producto.
- Formar parte del proceso de mantenimiento y modernización de nuestros productos.
- Formar parte de medios automatizados como protocolos de comunicación.
- En general para todo tipo de actividad relacionada con el desarrollo del objeto social de la organización.
- DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES
Las personas naturales cuyos datos personales sean objeto de tratamiento por parte del GRUPO, tienen los siguientes derechos, los cuales pueden ejercer en cualquier momento:
- Conocer sus datos personales sobre los cuales el GRUPO está realizando el tratamiento. De igual manera, el titular puede solicitar en cualquier momento que sus datos sean actualizados o rectificados, o suprimidos, por ejemplo, si encuentra que sus datos son parciales, inexactos, incompletos, fraccionados, induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
- Ser informado por el GRUPO, previa solicitud, respecto del uso que éste les ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley de Protección de Datos Personales.
- Solicitar al GRUPO la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de estos, mediante la presentación de un reclamo, de acuerdo con los procedimientos establecidos en esta Política. No obstante, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular de la información tenga un deber legal o contractual de permanecer en la base de datos y/o archivos y mientras se encuentre vigente la relación entre el titular y el Grupo, en virtud de la cual fueron recolectados sus datos.
- Conocer de forma gratuita a sus datos personales objeto de tratamiento.
- Garantizar al titular en todo momento, siempre que sea posible, el ejercicio del derecho de Habeas Data
- ÁREA RESPONSABLE DE LA IMPLEMENTACIÓN Y OBSERVANCIA DE ESTA POLÍTICA
La Dirección General del GRUPO tiene a su cargo la labor de desarrollo, implementación, capacitación y observancia de esta Política. Para el efecto, todos los funcionarios que realizan el tratamiento de datos personales en las diferentes áreas del GRUPO están obligados a reportar estas bases de datos a la Dirección General y a la coordinación de comunicaciones y a dar traslado a éstas de manera inmediata, de todas las peticiones, quejas o reclamos que reciban por parte de los Titulares de Datos Personales.
El GRUPO contará con empleados designados por la Dirección General, quienes en calidad de usuarios se encargarán de actualizar, acceder y gestión de peticiones, consultas, quejas y reclamos relacionadas con bases de datos, quienes contarán específicamente con las siguientes funciones:
- Establecer por sí o por terceros mecanismos para obtener la autorización previa de los titulares de los datos personales.
- Capacitar por sí o por terceros a todo el personal del GRUPO en las políticas de Protección de datos personales.
- Informar al Titular por sí o por terceros al momento de solicitar la autorización y ante cualquier cambio en la política de privacidad, sobre el tratamiento de los datos personales:
- i) El Tratamiento al cual serán sometidos sus datos personales y la finalidad de este.
- ii) El carácter facultativo u obligatorio de la respuesta a las preguntas que le sean hechas.
- iii) Los derechos que le asisten como Titular.
- iv) La identificación, dirección física y electrónica del responsable del tratamiento.
- Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Exigir al encargado del tratamiento en todo momento, en caso de existir, el respeto a las condiciones de seguridad y privacidad de la información del titular.
- Informar a solicitud del titular sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten vulneraciones a las bases de datos por parte de terceros no autorizados.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio
- Guardar confidencialidad respecto del tratamiento y contenido de las BDP.
- Inscribir y actualizar las BDP ante la Delegatura de Datos Personales de la Superintendencia de Industria y Comercio.
- Tramitar las consultas y reclamos formulados por los titulares de la información.
- Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
- Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de ley.
- Actualizar la información reportada por los titulares de la información dentro de los cinco (5) días hábiles contados a partir de su recibo.
- Aceptar, aplicar y cumplir lo establecido en el presente manual para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos por parte de los Titulares.
- Registrar en la base de datos la leyenda “reclamo en trámite”.
- Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- 10. OFICIAL DE BASES DE DATOS.
Será designado por La Dirección General, aunque de libre remoción, sus funciones serán las siguientes:
- Conseguir asesoría con la finalidad de conocer las obligaciones y actividades requeridas para la protección de bases de datos personales.
- Promover con las distintas áreas del GRUPO, la implementación de acciones destinadas a la implementación de la protección de BDP.
- Supervisar los procedimientos para la atención de los titulares y documentar su gestión.
- Verificar la implementación de medidas de formación, recolección, uso y tratamiento de datos personales.
- Coordinar y ejecutar la inscripción ante el Registro Nacional de Bases de Datos.
- Atender visitas de la autoridad de datos personales, siempre y cuando sea posible.
- Coordinar la protección de datos personales entre las distintas áreas del GRUPO.
- Acompañar el proceso de registro y actualización de BDP ante la SIC, con apoyo de asesores externos.
- Revisar y aprobar en conjunto con el Director General todo contrato de transmisión y/o transferencia de datos.
- Revisar el cumplimiento de funciones de bases de datos respecto de los funcionarios autorizados.
- Solicitar autorización al área encargada del presupuesto necesario para el desarrollo de sus funciones.
- Rendir informes semestrales a la Dirección General
- AUTORIZACIÓN
El GRUPO debe solicitar autorización previa, expresa e informada a los titulares de los datos personales sobre los que requiera realizar el tratamiento. Se respetarán los principios para el tratamiento de bases de datos que contengan datos personales.
- Autorización previa significa, que el consentimiento debe ser otorgado por el titular, a más tardar en el momento de la recolección de los datos personales
- Esta manifestación de voluntad del titular puede darse a través de diferentes mecanismos puestos a disposición por el GRUPO a saber: por escrito de forma física o digital, por ejemplo, diligenciando un formato de autorización como el indicado en el anexo, enviando correos al Grupo, diligenciando formularios y/o suscribiendo contratos.
- Autorización Informada significa que, al momento de solicitar el consentimiento al titular, debe informársele claramente:
- i) Los Datos Personales que serán recolectados
- ii) La identificación y datos de contacto del responsable del tratamiento.
- iii) Las finalidades específicas del tratamiento que se pretende realizar, es decir: cómo y para qué se va a hacer la recolección, el uso, la circulación de los datos personales.
- iv) Cuáles son los derechos que tiene como titular de los datos personales.
- 12. DEBERES MÍNIMOS DEL ENCARGADO, EN CASO DE EXISTIR
En caso de existir uno o más encargados del tratamiento de bases de datos, se establecerán contractualmente los siguientes deberes.
- Dar tratamiento a nombre del responsable a las BDP conforme a los principios que las tutelan.
- Salvaguardar la seguridad de las BDP con el propósito de evitar su acceso, adulteración, destrucción no autorizados o fraudulentos, así como para evitar la fuga de información.
- Guardar confidencialidad respecto del tratamiento y contenido de las BDP.
- Inscribir y actualizar las BDP ante la Delegatura de Datos Personales de la Superintendencia de Industria y Comercio.
- Contar con políticas de protección de datos personales.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Tramitar las consultas y reclamos formulados por los titulares de la información, siempre que le sea posible.
- Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
- Informar al responsable para que éste procesada con la actualización, rectificación o supresión de los datos en los términos de la presente ley.
- Aceptar, aplicar y cumplir lo establecido en las presentes políticas para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos por parte de los Titulares
- informar al responsable y a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
- PROCEDIMIENTO PARA ATENCIÓN Y RESPUESTA A PETICIONES, CONSULTAS, QUEJAS Y RECLAMOS DE LOS TITULARES DE DATOS PERSONALES
Los titulares de los datos personales que estén siendo recolectados, almacenados, utilizados por EL GRUPO, podrán ejercer en cualquier momento sus derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
Para el efecto, se seguirá el siguiente procedimiento, de conformidad con la Ley de Protección de Datos Personales:
13.1. ATENCIÓN Y RESPUESTA A PETICIONES Y CONSULTAS:
¿En qué consiste el trámite?
El titular o sus causahabientes, podrán solicitar al GRUPO a través de los medios indicados más adelante:
- Información sobre los datos personales del titular que son objeto de tratamiento.
- Solicitar prueba de la autorización otorgada a EL GRUPO para el tratamiento de sus datos personales.
- Información respecto del uso que se le ha dado por EL GRUPO a sus datos personales.
Medios habilitados para la presentación de peticiones y consultas:
EL GRUPO ha dispuesto los siguientes medios para la recepción y atención de peticiones y consultas, todos los cuales permiten conservar prueba de estas:
- Comunicación dirigida al Grupo, a la Dirección General o a la Coordinación de Comunicaciones en la Carrera 6 N° 115 – 65 oficina F04 en la ciudad de Bogotá D.C.
- Solicitud presentada al correo electrónico: [email protected],
Atención y respuesta por parte de El Grupo:
Las peticiones y consultas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de estas. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando en que se atenderá su petición o consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
13.2. ATENCIÓN Y RESPUESTA A QUEJAS Y RECLAMOS:
¿En qué consiste el trámite?
El titular o sus causahabientes, podrán solicitar al GRUPO a través de una queja o reclamo presentado mediante los canales antes indicados:
- La corrección o actualización de la información.
- La supresión de sus datos personales o la revocatoria de la autorización otorgada para el tratamiento de estos.
- Que se subsane o corrija el presunto incumplimiento a cualquiera de los deberes contenidos en la Ley de Protección de Datos Personales.
La solicitud deberá contener la descripción de los hechos que dan lugar a la queja o reclamo, la dirección y datos de contacto del solicitante, y deberá acompañarse de los documentos que se quiera hacer valer.
Atención y respuesta por parte de EL GRUPO:
Si la queja o reclamo se presentan incompletos, EL GRUPO deberá requerir al interesado dentro de los cinco (5) días hábiles siguientes a la recepción de la queja o reclamo para que subsane las fallas. Transcurridos dos (2) meses calendario desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la queja o reclamo.
En caso de que quien reciba la queja o reclamo no sea competente para resolverlo, dará traslado a la Dirección General o a la Coordinación de Comunicaciones, en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
Una vez recibida la queja o reclamo completo, se incluirá en la Base de Datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que la queja o reclamo sea decidido.
El término máximo para atender la queja o el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la queja o el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su la queja o reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
13.3 RECOLECCIÓN
Se entenderá que la autorización cumple requisitos cuando se manifieste previamente, por escrito y de forma clara y expresa. Todo titular de información podrá suministrar su información personal al GRUPO, con la finalidad de almacenar, transferir, gestionar, analizar, realizar procesos administrativos y enviarle información relacionada con el GRUPO, por los siguientes medios: (i) formularios de autorización de bases de datos y/o de conocimiento del cliente y/o de proveedores; o (ii) contratos laborales, de prestación de servicios y con proveedores, formularios digitales, encuestas de satisfacción, sitio web, emailing.
En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes, necesarios y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente.
Todo comprobante relacionado con la recolección de información debe ser archivado en medios físicos y/o digitales y estará sujeto a supervisión, por parte del Oficial de Bases de Datos.
13.4. ALMACENAMIENTO.
Las BDP estarán almacenadas en archivos digitales y/o físicos con acceso restringido.
El Oficial de Bases de Datos podrá solicitar en cualquier momento informes del almacenamiento de datos personales y de la seguridad de estos a los empleados autorizados para tal fin.
13.4 PUBLICIDAD DE AVISO DE PRIVACIDAD.
La difusión del Aviso de Privacidad se hará mediante el sitio web del GRUPO.
Toda actividad relacionada con el presente numeral estará sujeta a supervisión por parte del Oficial de Bases de Datos.
13.5 SEGURIDAD DE LOS DATOS PERSONALES
El GRUPO, en estricta aplicación del Principio de Seguridad en el Tratamiento de Datos Personales, proporcionará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, mediante contratos de confidencialidad, acceso restringido a bases de datos, y cambio periódico de contraseñas de acceso. La obligación y responsabilidad de EL GRUPO se limita a disponer de los medios adecuados para este fin. EL GRUPO no garantiza la seguridad total de su información ni se responsabiliza por cualquier consecuencia derivada de fallas técnicas o del ingreso indebido por parte de terceros a la Base de Datos o Archivo en los que reposan los Datos Personales objeto de Tratamiento por parte de EL GRUPO y/o sus Encargados. EL GRUPO exigirá a los proveedores de servicios que contrata, la adopción y cumplimiento de las medidas técnicas, humanas y administrativas adecuadas para la protección de los Datos Personales en relación con los cuales dichos proveedores actúen como Encargados.
- LEGISLACIÓN APLICABLE
Esta Política de Protección de Datos Personales, se rigen por lo dispuesto en la legislación vigente sobre protección de los Datos Personales a los que se refiere el Artículo 15 de a Constitución Política de Colombia, la Ley 1266 de 2008, la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1727 de 2009 y demás normas que las modifiquen, deroguen o sustituyan.
El continuo funcionamiento de los canales de comunicación estará sujetos a supervisión por parte del Oficial de Bases de Datos.
- VIGENCIA
La presente política está actualmente vigente.