(Ley 1581 de 2012)
COOPERATIVA MULTIACTIVA DE BIENES Y SERVICIOS ALMARENSA
Nit. 804.014.201-1
1. DISPOSICIONES GENERALES
COOPERATIVA MULTIACTIVA DE BIENES Y SERVICIOS ALMARENSA (en adelante
COOALMARENSA), sociedad de carácter privado, identificada con NIT 804.014.201-1, domiciliada en la ciudad de Bucaramanga, con dirección Carrera 22 N. 39 – 67, c o n l í n e a F i j a ( 5 7 ) ( 7 ) 6 3 5 0 0 9 9 , en cumplimiento de la Ley 1581 de 2012 y de los Decretos 1377 de 2013 y 886 de2014 y Decreto 1074 del 26 de Mayo del 2015, adopta las políticas de tratamiento de datos personales de obligatoria aplicación para todos los datos personales recolectados, procesados, almacenados, usados, actualizados y suprimidos por la organización y es el RESPONSABLE de dicho manejo y tratamiento de los datos personales.
Estas políticas son de obligatorio y estricto cumplimiento por parte de todos los funcionarios que trabajen en la Organización. Todos los empleados deben observar y respetar estas políticas en el cumplimiento de sus labores y en el caso de los contratistas, donde no existe vínculo laboral alguno, se deberá regular contractualmente, para que quienes obren en nombre de COOALMARENSA, queden obligados a cumplirlas.
El incumplimiento de estas políticas originará sanciones de tipo laboral y civil, sin perjuicio de las sanciones establecidas en los artículos 23 y 24 de la Ley 1581 de 2012, como las sanciones penales correspondientes a fugas de información y violación de datos personales tipificadas por la Ley 1273 de 2009, como delito en el Código Penal Colombiano Ley 599 de 2000.
2. OBJETO
Las políticas de protección de datos personales de COOALMARENSA, tienen como objetivo principal dar cumplimiento a la Ley 1581 de 2012 y a los Decretos 1377 de 2013 y 886 de 2014, como a las demás normas que las modifiquen, adicionen o reglamenten
El presente documento plantea las pautas y procedimientos a llevar a cabo para una adecuada protección de datos personales en los distintos procesos y en general en desarrollo del modelo de negocio de la organización.
3. COBERTURA
Las políticas de protección de d a t o s personales de COOALMARENSA cubren todos los aspectos administrativos, comerciales y de control que deben ser cumplidos por la gerencia, empleados, contratistas, proveedores y terceros que laboren o tengan relación directa con la Organización.
Las políticas de protección de datos deberán ser integradas en los procesos internos de COOALMARENSA en los cuales se recopilen datos personales, alineándolas con los requisitos establecidos por cada área, para adoptar el procedimiento de manera que no genere traumatismos en la operatividad de la compañía, disposiciones tributarias dadas por la Dian y disposiciones laborales impartidas por El ministerio del Trabajo, pero que a su vez garantice el cumplimiento integral de la normatividad vigente.
4. EXCLUSIONES
De la regulación de esta política, escapan las bases de datos que se encuentren bajo custodia y tratamiento de COOALMARENSA, cuya información no sea de carácter personal, es decir, bases de datos con información corporativa como:
- Diseños.
- F o r m a t o s .
- O r g a n i g r a m a s .
Así mismo, en atención a lo dispuesto en la Ley 1581 de 2012, de estas políticas se excluyen también las bases de datos de uso personal o doméstico, salvo cuando estas vayan a ser suministradas a un tercero, caso en el cual se deberá contar con la autorización de los titulares de la información que estén dentro de la base de datos, como las demás exclusiones que sean establecidas en la Ley.
5. MARCO LEGAL
Las políticas de protección de datos personales de la compañía se rigen por las siguientes normas de manera interna y externa:
CONSTITUCIÓN POLÍTICA DE COLOMBIA
A través de su artículo 15, establece el derecho fundamental a la intimidad de todos los ciudadanos, así como el derecho de Habeas Data, el cual consiste en conocer, actualizar y rectificar sus datos personales, que se encuentren en bases de datos bajo custodia de personas naturales o jurídicas, de naturaleza pública o privada.
LEY 527 DE 1999
Define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones
Así mismo, introduce el concepto de equivalente funcional, firma electrónica como mecanismos de autenticidad, disponibilidad y confidencialidad de la información.
LEY 1266 DE 2008
Ley estatutaria por la cual, se define y reglamenta el Habeas Data financiero, así como los reportes a centrales de riesgo.
LEY 1273 DE 2009
Ley por medio de la cual se crea y se protege el bien jurídico de la información y los datos personales. Así mismo, se tipifican conductas penales como daño informático, violación de datos personales, acceso abusivo a sistema informático, interceptación de datos informáticos, hurto por medios informáticos, entre otras.
LEY 1581 DE OCTUBRE 17 DEL 2012
Por la cual se dictan disposiciones generales para la protección de datos personales.
DECRETO 1377 DE 2013
Con el cual se reglamenta la Ley 1581 de 2012, sobre aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos Personales.
DECRETO 886 DE 2012
Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos Personales, el cual se encuentra a cargo de la Superintendencia de Industria y Comercio, y donde quienes actúen como Responsables del tratamiento de datos personales, deberán registrar sus Bases de Datos siguiendo las instrucciones de este decreto.
GUIAS DE RESPONSABILIDAD DEMOSTRADA
Mediante estas guías, la Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales establecen las directrices a seguir para una adecuada implementación de la protección de datos personales en las organizaciones vigiladas por esta autoridad, a través de la implementación de un Programa Integral de Gestión de Datos Personales.
DECRETO 1074 DEL 26 MAYO DEL 2015.
En la sección 3 “Artículo 2.2.2.25.3.1. Políticas de Tratamiento de la información. Los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.
Las políticas de tratamiento de la información deberán constar en medio físicas o electrónicas, en un lenguaje claro y sencillo y ser puestas en conocimiento de los Titulares.
CIRCULAR EXTERNA NO. 02 DEL 3 DE NOVIEMBRE DE 2015
Mediante esta circular, la Superintendencia de Industria y Comercio, impartió instrucciones a los Responsables del Tratamiento de datos personales, personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, para efectos de realizar la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos.
DECRETO 1759 DEL 08 NOVIEMBRE DEL 2016.
Artículo 1. Modifíquese el artículo 2.2.2.26.3.1. del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, el cual quedará así: “Por el cual se modifica el artículo 2.2.2.26.3.1 «Plazo de inscripción» sección 3 «términos y condiciones de inscripción en el registro nacional de bases de datos» del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo'»
Artículo 2.2.2.26.3.1. Plazo de inscripción. La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se ¡llevará a cabo en los siguientes plazos:
- Los Responsables del Tratamiento, personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país, deberán realizar la referida inscripción a más tardar el treinta (30) de junio de 2017, de acuerdo con las instrucciones que para el efecto imparta la Superintendencia de Industria y
- Los Responsables del Tratamiento, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos a más tardar el treinta (30) de junio de 2018, conforme con las instrucciones impartidas para tales efectos por la Superintendencia de Industria y
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales
- a) y b) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.
DECRETO 1115 DEL 29 JUNIO DEL 2017.
Artículo 1. Modifíquese el artículo 2.2.2.26.3.1. Del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, el cual quedará así: “Por el cual se modifica el artículo 2.2.2.26.3.1 «Plazo de inscripción» sección 3 «términos y condiciones de inscripción en el registro nacional de bases de datos» del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo'»
Artículo 2.2.2.26.3.1. Plazo de inscripción. La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se ¡llevará a cabo en los siguientes plazos:
- Los Responsables del Tratamiento, personas jurídicas de naturaleza privada y sociedades de economía mixta inscritas en las cámaras de comercio del país, deberán realizar la referida inscripción a más tardar el treinta (31) de Enero del 2018, de acuerdo con las instrucciones que para el efecto imparta la Superintendencia de Industria y
- Los Responsables del Tratamiento, personas naturales, entidades de naturaleza pública distintas de las sociedades de economía mixta y personas jurídicas de naturaleza privada que no están inscritas en las cámaras de comercio, deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos a más tardar el treinta (31) de Enero del 2019, conforme con las instrucciones impartidas para tales efectos por la Superintendencia de Industria y
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales
- a) y b) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.
1. DEFINICIONES
Las siguientes definiciones se tendrán en cuenta para las presentes políticas como para el tratamiento de datos personales en la institución.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Datos sensibles. Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o Cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos, aunque en nuestra empresa tratamos de no manejar datos sensibles.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. El tratamiento es cualquier operación o conjunto de operaciones sobre los datos personales, como recolección, almacenamiento, uso, circulación o supresión entre otros en nuestro caso es la empresa la responsable.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento que por disposiciones de Industria y comercio debe ser un tercero ajeno a la empresa, en nuestra empresa no hay encargado sino un comisionado de tratamiento de datos personales para cumplir dichas funciones.
Implementación: Proceso para la implementación y ejecución de las políticas de privacidad y protección de datos.
Inventario de Bases de datos: Clasificación de las Bases de datos personales, de acuerdo a su nivel de riesgo, atendiendo a los criterios legales, de cara al Registro Nacional de Bases de Datos.
Manual de Procedimientos en Protección de Datos Personales: Manual de Uso, gestión, Administración de datos personales en la organización, una vez construido y documentado el proceso de Protección de Datos Personales dentro de la organización (Manual de Normas y Políticas de Seguridad Informática) que está en el desarrollo del Programa Integral de Gestión de Datos Personales.
Medidas Técnicas: Son las medidas técnicas y tecnológicas, como firmas digitales, firmas electrónicas, cifrado de datos entre otras, para garantizar la protección de la información y los datos en COOALMARENSA.
Comisionado de Seguridad y de protección de datos: Es la persona o dependencia dentro de COOALMARENSA, la cual tendrá como función la vigilancia y control de la presente Políticas de Tratamiento de Datos Personales y del Manual de Normas y Políticas de Seguridad Informática, bajo el control y supervisión de la Gerencia incluido en el desarrollo del Programa Integral de Gestión de Datos Personales.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación, corrección y eliminación.
Archivo Muerto: Son los documentos que no están vigentes pero que aún puede ser de utilidad para cobrar vigencia, sirven de Respaldo o para búsqueda de Historial de algún caso, cliente, facturas de compra, pagos, evidencias, auditorias de calidad, ambientales, tributarias, legales y más.
7. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES
El manejo y tratamiento de datos personales y sensibles, dentro de COOALMARENSA , deberá estar enmarcado bajo los siguientes principios:
Legalidad en materia de tratamientos de datos personales: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
Finalidad: El tratamiento de datos personales debe obedecer a una finalidad legítima de acuerdo a la ley, la cual debe ser informada previamente al titular.
Libertad: Se requiere consentimiento previo y expreso del usuario, trabajador, contratista, para el manejo de datos personales.
Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Veracidad o Calidad: La Información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
Transparencia: Garantía del Titular para conocer información acerca de la existencia de sus datos en cualquier momento y sin restricciones.
Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley.
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley (Ley Estatutaria 1581 del 2012).
Seguridad: S o n las Medidas t é c n i c a s , h u m a n a s y a d m i n i s t r a t i v a s n e c e s a r i a s p a r a e v i t a r adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento en la práctica se denominan Manual de Normas y Políticas de Seguridad Informática.
Confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive
después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma (Ley Estatutaria 1581 del 2012).
8. DIRECTRIZ GENERAL DE PROTECCIÓN DE DATOS
Para dar cumplimiento a las políticas de protección de datos y a las obligaciones de la Ley 1581 de 2012, sus Decretos Reglamentarios y las demás normas que la complementen, adicionen o modifiquen, se debe tener en cuenta lo siguiente para el manejo de información y datos personales en COOALMARENSA.
Para COOALMARENSA la información personal es uno de los activos más importantes, por ende el tratamiento de esta información se realiza con un máximo nivel de diligencia y atendiendo en todo caso, lo establecido por la ley, para garantizar a las personas el pleno ejercicio y respeto por su derecho de Habeas Data.
La información que se encuentra en las bases de datos de COOALMARENSA ha sido obtenida en desarrollo de la actividad de la compañía directamente de los titulares, en todo caso su recopilación se ha hecho y se hará siempre atendiendo a los criterios y normatividad legal vigente.
9. PAUTAS PARA LA PROTECCIÓN DE LOS DATOS PERSONALES EN LA COMPAÑÍA
Además de la implementación y búsqueda del cumplimiento de las políticas de protección de datos personales, dentro de COOALMARENSA se observarán las siguientes reglas generales.
- COOALMARENSA tomará todas las medidas técnicas y jurídicas para asegurarse de la implementación de la presente política.
- COOALMARENSA tomará todas las medidas técnicas y jurídicas necesarias para garantizar la protección de la bases de datos
- Se realizarán auditorías y controles de manera periódica para garantizar la correcta implementación de la Ley 1581 de 2012 y sus decretos
- Es responsabilidad de los funcionarios de COOALMARENSA reportar cualquier incidente de fuga de información, daño informático, violación de datos personales, comercialización de datos, suplantación de identidad, o conductas que puedan vulnerar la intimidad de una persona.
- Las presentes políticas se complementarán con los documentos y ANEXOS específicos para cada materia, entre ellos Manual de Normas y Políticas de Seguridad Informática.
La formación y capacitación de los funcionarios, proveedores, será un complemento fundamental de esta política.
- COOALMARENSA deberá estar atento a las distintas instrucciones en protección de datos como los mecanismos que se creen por parte de la Delegatura de Protección de datos personales de la Superintendencia de Industria y
10. RECOLECCIÓN DE INFORMACIÓN PERSONAL, Y AUTORIZACIÓN DEL TITULAR
COOALMARENSA hará saber al titular del dato de manera previa, expresa e informada a la autorización del tratamiento de sus datos personales, sobre la existencia y aceptación de las condiciones particulares del tratamiento de sus datos en cada caso, informándole los mecanismos y procedimiento que tiene para actualizarlos, rectificarlos o eliminarlos de las bases de datos con información personal o sensible.
Las personas que dentro de COOALMARENSA, en desarrollo de alguno de sus productos o servicios, recojan datos personales deben informar de manera clara y expresa al usuario, con el fin de obtener la autorización para el tratamiento de sus datos personales, la finalidad del mismo y el carácter voluntario de la autorización, conservando y haciendo gestión documental ya sea en soporte electrónico, o físico de la prueba de dicha autorización.
11. REVOCATORIA DE LA AUTORIZACIÓN
Los titulares de los datos personales podrán en cualquier momento solicitar a COOALMARENSA, la eliminación de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos.
La solicitud de supresión de la información no es procedente cuando el Titular tenga un deber legal o contractual con la institución.
El Titular tiene dos opciones para revocar su consentimiento:
- Solicitar la revocatoria sobre la totalidad de las finalidades consentidas; COOALMARENSA a partir de esa solicitud y hacia el futuro no podrá volver a tratar los datos personales del titular, a menos que el titular en un futuro autorice nuevamente el tratamiento de los
- Solicitar la revocatoria parcial del consentimiento; COOALMARENSA a partir de esa solicitud, y hacia el futuro podrá seguir tratando los datos para la finalidad o finalidades que no fueron revocadas por el
Teniendo en cuenta lo anterior, es necesario que el titular al momento de solicitar la revocatoria indique de manera clara y expresa si la revocación que requiere es total o parcial.
En todo caso, COOALMARENSA no podrá exceder los plazos establecidos en el artículo 15 de la Ley 1581 de 2012 para reclamaciones.
12. TRATAMIENTO AL QUE SERÁN SUJETOS LOS DATOS PERSONALES EN PODER DE COOALMARENSA
A los datos personales que reposen en archivadores, ya sean físicos o electrónicos, se les realizará un tratamiento, el cual consiste en las siguientes actividades:
i. Recolección de información.
COOALMARENSA recolecta la información de los Titulares, a partir de la implementación y diligenciamiento a través de los siguientes mecanismos:
Para personas que hacen parte de la compañía:
- Almacenamiento en físico de Hoja de Vida. (Estudios, antecedentes Disciplinarios y judiciales (Decreto-Ley 19 de 2012))
- Formularios de afiliación a seguridad
- Formato de actualización de hoja de
Para personas externas a la compañía (clientes y proveedores)
- Procesos de Facturación (Estatuto tributario Art 617 marzo 30 1989).
- Página de la Dian Verificando Rut
- Verificando por
ii. Almacenamiento de la información de los Titulares interesados.
Los datos obtenidos del Titular, previa autorización expresa e informada, serán dispuestos en una base de datos o en un sistema informático creado para tal fin ya sea en forma física o automatizada, de forma que se garantizará su seguridad frente al acceso, confidencialidad y uso.
iii. Envió de Información al Titular de los datos personales.
A partir de la información disponible en COOALMARENSA, que contiene datos básicos de nombres, apellidos, teléfono, dirección de contacto (física o electrónica), registrados en la base de datos creada para tal fin, esta dará a conocer los eventos y/o publicaciones que son de interés para el grupo de Titulares registrados en la base de datos y seguirá estrictamente las finalidades para las cuales se le autorizó realizar el tratamiento.
iv. Datos Sensibles.
En la prestación de los servicios de COOALMARENSA , posee un Manual de Normas y Políticas de Seguridad Informática para procedimientos en protección y manejo de este tipo de datos, son datos sensibles del Titular o cuyo uso indebido generar su discriminación, tales como aquellos que revelen el
origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a vida sexual, y datos biométricos, aunque en nuestra empresa tratamos de no manejar datos sensibles.
13. FINALIDADES CON LA QUE SE EFECTÚA LA RECOLECCIÓN DE DATOS PERSONALES Y TRATAMIENTO DE LOS MISMOS
La recolección y tratamiento de datos personales por parte de COOALMARENSA, relativa a sus clientes, empleados y proveedores obedece a las finalidades descritas a continuación:
I. NOMINA
Gestión de la relación laboral: esta finalidad incluye específicamente los pagos de salarios y prestaciones sociales, el control de novedades laborales como incapacidades, permisos, el control de acceso y horario de trabajo del empleado, el control del personal activo de la compañía, las afiliaciones y aportes a seguridad social y cajas de compensación tanto de los empleados como de su familiares, cuando a ello hubiere lugar.
II. PROVEEDORES
Contacto para cotizaciones, publicaciones de ofertas, como para la gestión de las relaciones comerciales que surjan, con el objeto de adquirir sus productos como insumos para el funcionamiento de la organización.
III. ASOCIADOS
Contacto para comunicaciones legales, para reuniones de las juntas directivas de la empresa.
IV. SISTEMA DE VIDEO VIGILANCIA (SV).
Gestión de seguridad para el manejo de imágenes su única finalidad es reducir en altos porcentajes los incidentes de seguridad y control de acceso a edificios.
Las imágenes del sistema de seguridad de la empresa (SV) que automáticamente se borran cada 20 días, dichas grabaciones son para el desarrollo de las políticas de seguridad de la empresa, no posemos sistemas biométricos de identificación.
V. LIBRO DE VISITANTES SEGÚN NORMA DE SEGURIDAD SOCIAL.
Se solicita a los funcionarios y visitantes su autorización para conformar una base de datos mediante el libro de visitantes, donde se incorpora datos personales, con el fin de identificar plenamente a quienes ingresan a las instalaciones.
La anterior información solo será divulgada a las autoridades médicas o policiales en caso de siniestro y en ningún caso serán usadas o compartidas con otro propósito.
En razón que estas instalaciones son de carácter privado, se reserva el derecho de admisión a quien no esté de acuerdo con la autorización.
14. NECESIDAD Y TEMPORALIDAD DEL TRATAMIENTO DE LOS DATOS PERSONALES.
COOALMARENSA solo podrá recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea necesario para efectos de facturación, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, seguridad, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento, y sin perjuicio de las normas legales que dispongan lo contrario, procederá a la eliminación de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal, información a la Dian, Ministerio del trabajo o contractual dicha información retirada en medios físicos o digitales y serán guardados según norma de seguridad de datos implementada en un Bodegaje llamado Archivo Muerto.
15. RELACIONES CONTRACTUALES QUE INVOLUCREN ACCESO A DATOS PERSONALES
- Vinculación por contrato laboral: Para el ingreso de funcionarios nuevos con contrato laboral, es necesario que cada funcionario que empiece a realizar algún tipo de labor, manifieste conocer, aceptar y aplicar las políticas de protección de datos personales así como lo planteado en la cláusula respectiva del contrato laboral titulada “PROTECCIÓN DE DATOS PERSONALES”; de igual forma, se requiere la firma de la autorización correspondiente para el manejo de datos y contrato de confidencialidad, necesarios para el proceso de selección y los que se utilicen para desarrollo de la relación
El gerente deberá velar para que, en cada incorporación de un nuevo funcionario, contratista, se exija la firma y aceptación de la presente política como de los documentos que la complementen.
- Vinculación por prestación de servicios: Para las personas que se vinculan a COOALMARENSA mediante prestación de servicios o proveedores de servicios deberán aceptar la cláusula respectiva del contrato de prestación de servicios titulada “PROTECCIÓN DE DATOS PERSONALES”.
- Vinculación comercial: En los casos de proveedores y terceros con los que se desarrollen relaciones comerciales que involucren acceso, tratamiento, transmisión o transferencia de datos personales, se establecerá en los respectivos procesos por parte de las distintas áreas Encargadas, las cláusulas, anexos, contratos, y protocolos para asegurar la protección de la información y los datos personales en dichas relaciones, ya sea cláusula de protección de datos personales, de confidencialidad, contratos de transferencia y transmisión de información, entre otras.
16. GENERACIÓN DE CULTURA
De acuerdo a lo establecido en las Guías de Responsabilidad Demostrada, de la Superintendencia de Industria y Comercio, COOALMARENSA se encargará de emprender campañas de generación de cultura, dirigidas a sus empleados, contratistas y demás representantes, con el fin de concientizarlos frente a Los riesgos en materia de seguridad de la información personal, así como frente a las directrices establecidas en la presente política.
17. PROCEDIMIENTO PARA EL EJERCICIO DEL DERECHO DE HABEAS DATA
Los titulares cuya información se encuentre en bases de datos de propiedad de COOALMARENSA, o los terceros legitimados por ley o autorizados expresamente y por escrito por parte del titular, para el ejercicio de sus derechos de Actualización, Rectificación, Conocimiento o Supresión de su información personal podrán utilizar los siguientes mecanismos para el envío de su petición y la persona que reciban dichas comunicaciones es el Comisionado de Seguridad y de protección de datos:
- Envío de petición escrita en medio físico a la dirección Carrera 22 N. 39 –
- Enviar un correo manifestando de manera expresa su solicitud (conocer, actualizar, rectificar o suprimir sus datos personales) al correo almabucara@hotmail.com
- Contacto telefónico a la línea Fija (57) (7)
Independientemente del medio utilizado para enviar la petición en ejercicio de los derechos aquí contemplados, la petición será atendida dentro de los diez (10) días hábiles siguientes a la recepción de la petición por parte del Área Competente en los casos que se trate de una consulta, mientras que en los casos que se trate de reclamo se atenderá dentro de los quince (15) días hábiles siguientes a la recepción. El área competente informará al titular sobre la recepción de la petición. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Si el reclamo o consulta del titular resulta incompleto, se requerirá al interesado dentro de los cinco
(5) días hábiles siguientes a la recepción de la petición para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
18. ÁREA RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES Y DE SEGURIDAD DE LA EMPRESA, PERSONA DESIGNADA COMO COMISIONADO PARA LA PROTECCIÓN DE DATOS PERSONALES
POLÍTICA DE TRATAMIENTO | Identificador OID | 1.1.1.4 | ||
Fecha: | 02/11/2017 | |||
DE DATOS PERSONALES | ||||
Versión: | 17.0 | |||
COOPERATIVA MULTIACTIVA | ||||
Clasificación | Documento Público | |||
DE BIENES Y SERVICIOS | ||||
Elaboró: | Asesor Legal y Jurídico | |||
ALMARENSA | ||||
Revisó: | Comisionado del Tratamiento | |||
(COOALMARENSA) | Aprobó: | Gerente General |
La responsabilidad de velar por la adecuada protección de datos personales, como del cumplimiento normativo frente al tema en COOALMARENSA estará en cabeza del GERENTE, vinculado al proceso de Gestión de Riesgo.
El Comisionado de Seguridad y de protección de datos tendrá las siguientes funciones
- Informar a la Gerencia de la empresa.
- Realizar auditorías con las distintas áreas para revisar la aplicación de la política de protección de
- Informar si alguna conducta se relaciona con los delitos de la Ley 1273 de
- Verificar la integración de las políticas de protección de datos con el manual o políticas de seguridad de la información.
- Crear formatos y distintos procedimientos con el fin de aplicar dentro de la compañía la Ley 1581 de 2012 y el Decreto 1377 de
- Revisar que el desarrollo del modelo de negocio y los distintos productos ofrecidos cumplan con la política de protección de datos
- Informar a los clientes, y proveedores de los deberes para el cumplimiento fundamental del Habeas
- Trabajar junto al departamento d e Tecnología y Mercadeo para una cultura de la protección de datos y privacidad
- Realizar las actividades propias del Registro Nacional de Bases de Datos ante la Superintendencia de Industria y Comercio, así como estar pendiente de su actualización mensual.
- Realizar lo señalado en la ley para el cumplimiento de las obligaciones empresariales en la protección de
19. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN
De acuerdo a lo establecido en la Ley estatutaria 1581 de 2012, sobre protección de datos personales y su decreto reglamentario 1377 de 2013, los derechos que le asisten a los titulares de la información sobre los cuales COOALMARENSA debe velar para su cumplimiento y garantizar su ejercicio, son:
- Conocer, actualizar y rectificar sus datos personales frente a COOALMARENSA (Responsables del Tratamiento). Este derecho podrá ser ejercido igualmente por el Titular frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido
- Solicitar prueba de la autorización otorgada a COOALMARENSA para el tratamiento de los datos personales, salvo en los casos exceptuados por la ley (Artículo 10 de la Ley 1581 de 2012).
- Ser informado por COOALMARENSA (Responsable y/o Comisionado del Tratamiento) previa solicitud, respecto del uso que le ha dado a sus datos
Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo Dispuesto en la normatividad vigente para la protección de datos personales.
- Revocar la autorización y/o solicitar la supresión del dato a COOALMARENSA cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la Ley y a la Constitución.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término..
- Conocer los cambios sustanciales en la política de protección de datos concernientes a la finalidad e identificación del responsable del tratamiento, a más tardar al momento de la entrada en vigencia de las nuevas políticas.
- Para los titulares cuya recolección de datos se realizó con anterioridad a la expedición del Decreto 1377 de 2013, poner en conocimiento las políticas de tratamiento expedidas bajo la regulación de éste.
- Acceso a la información personal, para lo cual los encargados y responsables deberán implementar los mecanismos sencillos y ágiles para que se garantice el acceso
- Ejercer el derecho de acceso para actualizar, rectificar, eliminar datos
20. ROL EN EL TRATAMIENTO Y OBLIGACIONES PARA LA PROTECCIÓN DE DATOS PERSONALES
COOPERATIVA MULTIACTIVA DE BIENES Y SERVICIOS COOALMARENSA (en adelante
COOALMARENSA ), sociedad de carácter privado, identificada con NIT 804.014.201-1, domiciliada en la ciudad de Bucaramanga, expide las presentes políticas de tratamiento de información, en cumplimiento de la Constitución y la Ley 1581 de 2012, así como sus Decretos reglamentarios 1377 de 2013 y 886 de 2014; de igual forma se manifiesta que COOALMARENSA de acuerdo a los diversos procesos que manejan tanto con empleados, proveedores y clientes ostenta una calidad de responsable del tratamiento de los datos personales y como tal debe cumplir los deberes impuestos por la legislación para estos roles dentro del tratamiento de datos personales, contemplados en el artículo 17 de la Ley 1581 de 2012.
Además de las obligaciones establecidas en los artículos citados anteriormente, COOALMARENSA deberá asegurarse de adoptar todas las medidas técnicas, jurídicas y organizacionales para cumplir esta política.
CASOS QUE NOS SEAN NECESARIA LA AUTORIZACIÓN
- Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden
- Datos de naturaleza pública.
- Casos de urgencia médica
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos.
- Datos relacionados con el Registro Civil .
Quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley (LEY ESTATUTARIA. N. 1581 del 17 Octubre del 2016).
21. VIGENCIA Y ACTUALIZACIÓN
La fecha de entrada en vigencia de las presentes políticas es del catorce (14) de Octubre del 2017. Así mismo su actualización dependerá de las instrucciones del comisionado de privacidad de COOALMARENSA en concordancia con los lineamientos de la Gerencia General, así como de las extensiones reglamentarias que haga la Superintendencia de Industria y Comercio como ente de vigilancia y control.