POLITICAS DE TRATAMIENTO DE LA INFORMACION PERSONAL

MARCO NORMATIVO

1. Constitución Política de Colombia, artículo 15.
2. Circular 02 de 2015 Superintendencia de Industria y Comercio
3. Decreto Único Reglamentario 1074 de 2015 Ministerio de Comercio, Industria y Turismo Decreto 1377 de 2013 Ministerio de Comercio, Industria y Turismo
4. Ley 1581 de 2012 Congreso de la República
5. Ley 1266 de 2008 Congreso de la República
6. ISO 16175-1 Establece principios fundamentales y requisitos funcionales para el software utilizado para crear y gestionar información digital en entornos de oficina.

DEFINICIONES

• Copia de seguridad o backup de información en ambientes electrónicos: Es un respaldo, imagen o duplicidad idéntica de los datos originales, que se realiza con el fin de disponer de un medio para recuperarlos en caso de su pérdida.
• Dato personal: Es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, como el nombre, la edad, el sexo, el estado civil, el domicilio, entre otros.

Estos datos pueden almacenarse en cualquier soporte físico o electrónico y ser tratados de forma manual o automatizada.

• Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular.
• Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.
• Dato público: Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas.
• Datos sensibles: Son aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

La Ley 1581 de 2012 prohíbe el tratamiento de datos sensibles con excepción de los siguientes casos: Cuando el Titular otorga su consentimiento, el Tratamiento es necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado,  el tratamiento es efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad, el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, o finalmente el Tratamiento tenga una finalidad histórica, estadística o científica, en este último caso deben adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

• Datos personales de los niños, niñas y adolescentes: Se debe tener en cuenta que aunque la Ley 1581 de 2012 prohíbe el tratamiento de los datos personales de los niños, niñas y adolescentes, salvo aquellos que por su naturaleza son públicos, la Corte Constitucional precisó que independientemente de la naturaleza del dato, se puede realizar el tratamiento de éstos “siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, niñas y adolescentes y se asegure sin excepción alguna el respeto a sus derechos prevalentes.
• Preservación a largo plazo: Conjunto de acciones y estándares aplicados a los documentos durante su gestión para garantizar su preservación independientemente de su medio y forma de registro o almacenamiento.
• Tratamiento de datos: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. De igual manera se incluyen operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
• Valoración: Proceso permanente y continuo, que inicia desde la planificación de los documentos y por medio del cual se determinan sus valores primarios y secundarios, con la finalidad de determinar su permanencia en las diferentes fases de archivo y definir su destino final, a saber; eliminación, conservación temporal, conservación definitiva o traslado.

DEFINICIÓN DE ROLES:

Responsable de Tratamiento:

Teniendo en cuenta que el Responsable de Tratamiento es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos; LA ENTIDAD es la Responsable del Tratamiento de datos personales contenidos en sus propias bases de datos, descritas en este documento.

Encargado del Tratamiento:

Teniendo en cuenta que el Encargado del Tratamiento es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento; LA ENTIDAD es la Encargada del Tratamiento de datos personales contenidos en las bases de datos que reciba de terceros, descritas en este documento.

Oficial de Protección de Datos Personales:

Teniendo en cuenta que el Oficial de Protección de Datos es la persona designada por una empresa para monitorizar el cumplimiento de las normativas de protección de datos, LA ENTIDAD ha designado a uno de los empleados como Oficial de protección de datos personales. Éste a su vez va a cumplir el rol de Gestor de bases de datos personales, desde el punto de vista de la Ley 1581 de 2012; llevando el control de la protección de los datos personales y el registro de las bases de datos con información personal cuando aplique.

Garante:

Este rol estará también en manos del Oficial de protección de datos personales, quién se encargará de coordinar y tramitar la atención, gestión y respuesta de las peticiones, quejas, reclamos, sugerencias, solicitudes, denuncias, consultas y demás; relacionados con la ley de protección de datos personales, que los titulares realicen a LA ENTIDAD.

DISPOSICIONES GENERALES ESTABLECIDAS EN LA LEY 1581 DE 2012 PARA LA PROTECCIÓN DE DATOS PERSONALES

La Ley 1581 de 2012 desarrolla el derecho constitucional a conocer, actualizar y rectificar la información recogida en bases de datos y los demás derechos, libertades y garantías a que se refieren los artículos 15 y 20 de la Constitución (derecho a la intimidad y derecho a la información, respectivamente).

La citada ley se aplica a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de Entidades públicas o privadas.

Considerando el modo de conservación de una base de datos, se puede distinguir entre bases de datos automatizadas y bases de datos manuales o archivos.

1. Las bases de datos automatizadas son aquellas que se almacenan y administran con la ayuda de herramientas informáticas.
2. Las bases de datos manuales o archivos son aquellas cuya información se encuentra organizada y almacenada de manera física, como las fichas de pedidos a proveedores que contengan información personal relativa al proveedor, como nombre, identificación, números de teléfono, correo electrónico, entre otros.

La ley exceptúa del régimen de protección:

1. Los archivos y las bases de datos pertenecientes al ámbito personal o doméstico
2. Los que tienen por finalidad la seguridad y la defensa nacionales, la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo
3. Los que tengan como fin y contengan información de inteligencia y contrainteligencia
4. Los de información periodística y otros contenidos editoriales
5. Los regulados por la Ley 1266 de 2008 (información financiera y crediticia, comercial, de servicios y proveniente de terceros países)
6. Los regulados por la Ley 79 de 1993 (sobre censos de población y vivienda).

DEBERES DE LA ENTIDAD COMO RESPONSABLE DEL TRATAMIENTO

El Responsable del Tratamiento ha sido definido por la Ley 1581 de 2012 como la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los datos.

Así las cosas, son deberes de LA ENTIDAD los establecidos en el artículo 17 de la Ley 1581 de 2012:

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar, en las condiciones previstas en la citada ley, copia de la respectiva autorización otorgada por el Titular.
3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la citada ley.
9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
10. Tramitar las consultas y reclamos formulados en los términos señalados en la citada ley.
11. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la citada ley y en especial, para la atención de consultas y reclamos.
12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
13. Informar a solicitud del Titular sobre el uso dado a sus datos.
14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Cualquier cambio sustancial en cuanto a la Autorización del Titular (Artículo 5 decreto 1377 de 2013), deberá ser comunicado oportunamente a los Titulares de los datos personales, de una manera eficiente, antes de implementar las nuevas políticas.

DERECHOS DE LOS TITULARES

La Ley 1581 de 2012 establece que los Titulares de los datos personales tendrán los siguientes derechos:

1. Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la citada ley.
3. Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
4. Presentar ante LA ENTIDAD quejas por infracciones a lo dispuesto en la citada ley y las demás normas que la modifiquen, adicionen o complementen.
5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando LA ENTIDAD haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución.
6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
7. Adicionalmente, el Decreto reglamentario 1377 de 2013 define que los Responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.

DEBERES DE LA ENTIDAD EN CASO DE SER ENCARGADO DEL TRATAMIENTO

1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
4. Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
5. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
6. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
7. Registrar en la base de datos las leyendas “reclamo en trámite” en la forma en que se regula en la presente ley.
8. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
9. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

DIRECTRICES GENERALES DE LAS POLÍTICAS

1. Cumplir con toda la normatividad legal vigente colombiana que dicte disposiciones para la protección de datos personales.
2. Cumplir con la ley de protección de datos personales de acuerdo con lo contemplado en el Código de Ética y Buen Gobierno de la Entidad.
3. Los Servidores deben acogerse a las inhabilidades, impedimentos, incompatibilidades y conflicto de intereses contemplados en la Ley 734 de 2002 (Código Disciplinario Único, capitulo cuarto) para el tratamiento de Datos Personales.
4. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.

POLÍTICA EN LA GESTIÓN DE INCIDENTES DE SEGURIDAD EN LA INFORMACIÓN PERSONAL

LA ENTIDAD aplicará el Procedimiento de Gestión de Incidentes de Seguridad de la Información Personal, de tal manera que se permita detectar la comisión del incidente en los datos personales, tanto a nivel preventivo como correctivo; teniendo en cuenta la determinación de tiempos, roles y responsabilidades.

El oficial de protección de datos personales, será el responsable de manejar los incidentes o vulneraciones a los sistemas de información y archivos físicos pertinentes.

Se rendirán informes internos y se reportarán los incidentes a los titulares y a la Superintendencia de Industria y Comercio.

POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN PERSONAL EN EL CICLO DE VIDA DEL DATO

Teniendo en cuenta que el ciclo de vida del dato consta de la recolección, circulación y disposición final; se han definido las siguientes políticas:

1. Recolección

LA ENTIDAD aplicará las siguientes actividades:

Solicitud de autorización para el tratamiento de datos personales, de acuerdo a las normas.

Obtención de la autorización preferiblemente por escrito. Si no fuese posible, entonces se haría en forma oral o mediante conductas inequívocas del titular de la información que permitan concluir a los responsables que se otorgó la autorización, como sistemas de vídeo vigilancia, en los que se comunica previamente a las personas que van a ingresar a un establecimiento que sus imágenes van a ser tomadas, conservadas o usadas de cierta manera y, conociendo tal situación, los titulares ingresan al establecimiento. Sin embargo y, sin importar el medio por el cual se obtenga dicha autorización, no puede perderse de vista que es necesario conservar prueba de la misma, pues la Ley 1581 de 2012 es clara en afirmar que se debe “solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular”.

En el caso de los datos personales sensibles, éstos constituyen una categoría especial de datos personales y por ello se le informará al titular que, por tratarse de datos sensibles, no está obligado a autorizar su tratamiento. Se le informará al titular de forma explícita y previa, cuáles datos son sensibles y cuál será la finalidad del tratamiento que se les dará.

Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

La recolección de datos personales tendrá una finalidad legítima y cierta; es decir, una razón de ser de la recolección. Los datos recolectados serán pertinentes y adecuados para alcanzar dicho fin. No se pedirán datos que no sean pertinentes según su finalidad.

Además del consentimiento de los titulares para el tratamiento de su información, se informará de manera clara y expresa al titular lo siguiente:

1. El tratamiento al cual serán sometidos los datos personales recolectados y la finalidad de los mismos.
2. Para el caso de los datos personales sensibles como el origen racial o étnico, orientación sexual, filiación política o religiosa, etc., o de niños y adolescentes; se le explicará el carácter sensible que posee este tipo de información y, además, se le dará la opción al titular de elegir si responde o no dichas preguntas.
3. Los derechos que tiene el titular de la información.
4. Como organización responsable del tratamiento de los datos, se le informará también al titular: la identificación, dirección física o electrónica y el teléfono de la Entidad.

El tratamiento de datos de menores de edad tendrá una protección reforzada que le asegura el respeto de sus derechos fundamentales. Para el tratamiento de sus datos, sus representantes legales podrán dar la autorización previo ejercicio del menor de su derecho a ser escuchado.

2. Circulación

LA ENTIDAD aplicará políticas bajo lo contemplado en la Ley 1266 de 2008 y 1581 de 2012.

Los datos personales, que no sean información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o los usuarios autorizados.

La información personal recolectada o suministrada de conformidad con las políticas dispuestas en este documento, podrá ser entregada de manera verbal, escrita, o puesta a disposición de los siguientes usuarios y en los siguientes términos:

1. A los titulares y a los usuarios o personas debidamente autorizadas por éstos.
2. A los usuarios de la información, dentro de los parámetros legales establecidos.
3. A cualquier autoridad judicial, previa orden judicial.
4. A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.
5. A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.
6. A otras personas autorizadas por la ley.

Se aplicará el principio de circulación restringida, en donde el tratamiento de los datos personales se sujeta a los límites que se deriven de la naturaleza de los datos, de las disposiciones normativas y de los principios de la administración de datos personales especialmente de los principios de temporalidad de la información y su finalidad. El principio de temporalidad de la información hace referencia a que la información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad con la que fue recolectada.

Se garantizará, que en la recolección, tratamiento y circulación de datos, se respeten los demás derechos consagrados en la normatividad vigente.

3. Disposición Final

La disposición final de la información personal será producto de la valoración de los datos, teniendo en cuenta los tiempos establecidos o recomendados por el Archivo General de la Nación y demás entes legales a quienes corresponda regular, de acuerdo al tipo de información.

• Disposición Final de la Información Personal en Medio Físico

Se organizará la información en 3 tipos de archivos: De Gestión, Central e Histórico.

1. El Archivo de Gestión hace referencia a la oficina productora que reúne su documentación en trámite, sometida a continua utilización y consulta administrativa. Su disposición final será el archivo central.
2. El Archivo Central será el lugar que reúna los documentos transferidos por el archivo de gestión, una vez finalizado su trámite y cuando su consulta no sea constante. Su disposición final, una vez cumplido el tiempo de retención reglamentario, será la conservación, traslado al ente gubernamental correspondiente, entrega al titular o eliminación. Cualquier decisión quedará registrada en acta.
3. El Archivo Histórico recibirá de los demás archivos los documentos que deben de conservarse permanentemente dado su valor histórico y cultural. Su disposición final será la conservación o el traslado al ente gubernamental correspondiente.

• Disposición Final de la Información Personal en Medio Magnético

Una vez cumplido el tiempo de retención reglamentario, se realizará la valoración de los documentos electrónicos para definir su disposición final; la cual será: conservación en sus bases de datos originales o en sus correspondientes carpetas de documentos electrónicos, traslado al ente gubernamental correspondiente, entrega al titular o eliminación. Cualquier decisión quedará registrada en acta.

Se realizará la valoración de los documentos electrónicos, bajo un análisis jurídico, teniendo en cuenta lo establecido por las autoridades.

Se conservará indefinidamente la información personal electrónica, sólo si el análisis jurídico lo permite y se cuenta con los recursos para hacerlo.

Se preservarán a largo plazo los documentos electrónicos que por su valor secundario son de conservación permanente.

La disposición de los documentos electrónicos en cuanto a la selección o totalidad, conservación temporal o permanente; o eliminación, se hará de acuerdo con lo establecido por las autoridades.

Por su parte, la información personal sin valores secundarios y que hayan cumplido su tiempo de retención documental conforme a lo establecido legalmente, se podrán eliminar mediante procedimientos de borrado permanente y seguro.

POLÍTICAS ESPECÍFICAS RELACIONADAS CON EL TRATAMIENTO DE DATOS PERSONALES:

1. Cuando LA ENTIDAD realice el tratamiento de Datos Personales en ejercicio propio de sus funciones legales, para el efecto no requerirá la autorización previa, expresa e informada del Titular. De lo contrario, obtendrá la autorización por medio de un documento físico, electrónico, mensaje de datos, Internet, sitio web, o también de manera verbal o telefónica o en cualquier otro formato que permita su posterior consulta a fin de constatar de forma inequívoca que sin el consentimiento del titular los datos nunca hubieran sido capturados y almacenados en medios electrónicos o físicos. Así mismo se podrá obtener por medio de conductas claras e inequívocas del Titular que permitan concluir de una manera razonable que este otorgó su consentimiento para el manejo de sus Datos Personales.
2. LA ENTIDAD solicitará la autorización a los Titulares de los datos personales y mantendrá las pruebas de ésta, cuando en virtud de las funciones de promoción, divulgación y capacitación, realice invitaciones a charlas, conferencias o eventos que impliquen el Tratamiento de Datos Personales con una finalidad diferente para la cual fueron recolectados inicialmente.
3. En consecuencia, toda labor de tratamiento de Datos Personales realizada en LA ENTIDAD deberá corresponder al ejercicio de sus funciones legales o a las finalidades mencionadas en la autorización otorgada por el Titular, cuando la situación así lo amerite. De manera particular, las principales finalidades para el tratamiento de Datos Personales que corresponde a LA ENTIDAD desarrollar en ejercicio de sus funciones legales se relacionan con los siguientes trámites: