CEDEPRO- POLITICA DE PROTECCIÓN DE DATOS PERSONALES

Transcripción

1 SEGURIDAD DE LA INFORMACIÓN POLITICA DE PROTECCIÓN DE DATOS PERSONALES Este documento fue elaborado por:

2 CENTRO DE ENTRENAMIENTO Y DESARROLLO PRODUCTIVO- CEDEPRO Revisa: Laura Camila Moreno Coordinadora Académica Aprueba: Edgar Eduardo Rojas Director General

3 TABLA DE CONTENIDO 1 CONSIDERANDO DEFINICIONES OBJETIVO AMBITO DE APLICACIÓN PRINCIPIOS APLICABLES Consentimiento informado o principio de Libertad LEGALIDAD finalidad del dato transparencia PRINCIPIO DE SEGURIDAD PRINCIPIO DE VERACIDAD O CALIDAD: PRINCIPIO DE CONFIDENCIALIDAD principio de acceso y circulacion restringida DERECHOS derechos de los titulares derechos de los niños, niñas y adolescentes DEBERES DE LA UNIVERSIDAD REGISTRO NACIONAL DE BASES DE DATOS AUTORIZACIONES Y CONSENTIMIENTO DEL TITULAR MEDIOS PROCEDIMIENTO PARA LA ATENCION DE CONSULTAS, RECLAMOS Y PETICIONES Consultas: peticion de actualización, rectificación, y supresion de datos REVOCATORIA DE LA AUTORIZACION Y/O SUPRESION DEL DATO SEPTIEMBRE,

4 1 CONSIDERANDO CEDEPRO en cumplimiento de lo dispuesto por la Ley 1581 de 2012 que regula la recolección y tratamiento de los datos de carácter personal, y establece las garantías legales que deben cumplir todas las personas en Colombia para el debido tratamiento de dicho información, expide la siguiente norma que desarrolla la política de seguridad de la información para el tratamiento de datos personales dentro de la Institución, previos los siguientes: Que la Ley 1581 de 2012 tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma. Que de conformidad con lo establecido en el artículo 3 de la citada ley, El Centro de Entrenamiento y Desarrollo Productivo CEDEPRO actúa como encargada y responsable del tratamiento de la información. Que el literal k) del artículo 17 de la Ley 1581 de 2012 establece como deber de los responsables y encargados del tratamiento de la información adoptar un manual interno de políticas y procedimientos que garantice el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos. Que mediante Decreto 1377 de 2013 se reglamentan aspectos relacionados con la autorización del titular de información para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares de información, entre otros. Que el artículo 13 Decreto 1377 de 2013 expresa que los responsables del tratamiento deberán desarrollar sus políticas para el tratamiento de los datos personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas. Con base en las anteriores consideraciones que fundamentan la protección de datos personales en CEDEPRO, se formulan las siguientes disposiciones para su tratamiento y que son de obligatorio cumplimiento para los destinatarios de esta norma. SEPTIEMBRE,

5 2 DEFINICIONES Base de datos personales. Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Base de datos automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software. Centro Educativo: Centro de Entrenamiento y Desarrollo Productivo CEDEPRO Cesión de datos. Tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario. Custodio de la base de datos. Es la persona física que tiene bajo su custodia la base de datos personales al interior de CEDEPRO. Dato personal. Es cualquier dato y/o información que identifique a una persona física o la haga identificable. Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de cualquier otro tipo. Datos personal sensible. Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse de aquellos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que hacen parte del haber íntimo de la persona y pueden ser recolectados únicamente con el consentimiento expreso e informado de su titular y en los casos previstos en la ley. Encargado del Tratamiento. Es la persona física o jurídica, autoridad pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable. Fuentes Accesibles al Público. Se refiere a aquellas bases contentivas de datos personales cuya consulta puede ser realizada, por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación. Habeas Data. Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable. SEPTIEMBRE,

6 Procedimiento de análisis y creación de Información. Es la creación de información respecto de una persona, a partir del análisis y tratamiento de los datos personales recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de comportamiento, que generan un valor agregado sobre la información obtenida del titular de cada dato personal. Procedimiento de Disociación. Hace referencia a todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Base de datos no automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software. Principios para el tratamiento de datos. Son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho a la información. Propietario de la base de datos. Dentro de los procesos de matrícula de CEDERO, es propietaria de la base de datos el área que tiene bajo su responsabilidad el tratamiento de los mismos y su gestión. Responsable del Tratamiento. Es la persona física o jurídica, de naturaleza pública o privada, que recolecta los datos personales y decide sobre la finalidad, contenido y uso de la base de datos para su tratamiento. Titular del dato personal. Es la persona física cuyos datos sean objeto de tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente. Tratamiento de Datos. Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre datos personales, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros. Usuario. Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal. Violación de datos personales. Es el delito creado por la ley 1273 de 2009, contenido en el artículo 269 F del Código Penal Colombiano. La conducta prohibida es la siguiente: El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en base de datos, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. SEPTIEMBRE,

7 Violaciones de las Medidas de Seguridad de los Datos Personales. Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por CEDEPRO para proteger los datos personales entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los datos personales en poder de CEDEPRO deberá ser informado a la autoridad de control en la materia. SEPTIEMBRE,

8 3 OBJETIVO Adoptar y establecer las reglas aplicables al tratamiento de datos de carácter personal recolectados, tratados y/o almacenados por CEDEPRO en desarrollo de su objeto social, bien sea en calidad de responsable y/o encargado del tratamiento. Las reglas contenidas en esta norma dan cumplimiento a lo dispuesto en la Ley 1581 de 2012, en el artículo 15 de la Constitución Política de Colombia, en cuanto a la garantía de la intimidad de las personas, ejercicio del habeas data y protección de datos personales, en concordancia con el derecho a la información, de manera que se regulen proporcionalmente estos derechos en El CENTRO DE ENTRENAMIENTO y se pueda prevenir la vulneración de los mismos. 3.1 AMBITO DE APLICACIÓN La Institución educativa recolecta, almacena, trata y procesa información que ha sido suministrada por sus titulares a través de sus distintos canales y documentos, la cual es incorporada en las bases de datos con los que cuenta la Institución de manera directa o a través de terceros, con el fin de utilizarla en el desarrollo de su objeto fundacional como institución de educación, y principalmente para: a) Dar cumplimiento a las funciones y obligaciones que le atañen como institución de educación superior, las cuales se encuentran definidas por la Constitución Política, la Ley 30 de 1992, Ley 115 de 1994 y demás normas complementarias. b) Contribuir a la formación académica permitiendo la adquisición de conocimientos y habilidades en los diversos tema de la ciencia, las matemáticas, la técnica y la tecnología, las humanidades, el arte, los idiomas, la recreación y el deporte, que articulen las funciones de docencia, investigación y proyección social. c) Establecer comunicación con la comunidad en general en aras de dar a conocer y brindar una correcta prestación de nuestros servicios, y demás actividades relacionadas con la actividad académica; d) Dar cumplimiento a obligaciones derivadas del contrato educativo, laboral o de prestación de servicios, suscritos con nuestros estudiantes, ex alumnos, egresados, docentes, empleados, ex empleados, contratistas, clientes o proveedores. SEPTIEMBRE,

9 4 PRINCIPIOS APLICABLES La protección de datos de carácter personal en CEDEPRO estará sometida a los siguientes principios o reglas fundamentales, con base en las cuales se determinarán los procesos internos relacionados con el tratamiento de datos personales y se interpretarán de manera armónica, integral y sistemática para resolver los conflictos que se susciten en esta materia, principios consagrados en normas internacionales, en las leyes colombianas y en la jurisprudencia de la Corte Constitucional que ha desarrollado los derechos fundamentales vinculados a los datos de carácter personal CONSENTIMIENTO INFORMADO O PRINCIPIO DE LIBERTAD. El tratamiento de datos personales al interior de CEDEPRO, sólo puede hacerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos, tratados o divulgados si autorización del titular salvo mandato legal o judicial que supla el consentimiento del titular LEGALIDAD El tratamiento de datos personales en Colombia es una actividad regulada y por ende los procesos de negocios y destinatarios de esta norma deben sujetarse a lo dispuesto en ella FINALIDAD DEL DATO El tratamiento de datos personales debe obedecer a una finalidad legítima, acorde con la Constitución y la ley, la cual debe ser informada de manera concreta, precisa y previa al titular para que éste exprese su consentimiento informado TRANSPARENCIA En el tratamiento de datos personales se garantizará el derecho del titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen PRINCIPIO DE SEGURIDAD La información sujeta a tratamiento por la Institución Educativa, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. SEPTIEMBRE,

10 4.1.6 PRINCIPIO DE VERACIDAD O CALIDAD: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error PRINCIPIO DE CONFIDENCIALIDAD La Institución Educativa está obligada a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley PRINCIPIO DE ACCESO Y CIRCULACION RESTRINGIDA El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley SEPTIEMBRE,

11 5 DERECHOS 5.1 DERECHOS DE LOS TITULARES Los titulares de los datos personales podrán ejercer, entre otros, los siguientes derechos frente a la Institución como encargada y responsable del tratamiento de la información: a) Conocer, actualizar y rectificar sus datos personales; b) Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012; c) Ser informado respecto de la finalidad y tratamiento de sus datos personales; d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen; e) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento. 5.2 DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES La Institución respetuosa de los derechos de los niños, niñas y adolescentes no dará tratamiento a la información personal, con excepción de los datos catalogados como de naturaleza pública, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012, Ley 30 de 1992, Ley 115 de 1994 y demás normas complementarias con los siguientes requisitos: Que responda y respete el interés superior de los niños, niñas y adolescentes. Que se asegure el respeto de sus derechos fundamentales. Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previa consulta con el menor de otorgar o no su autorización respecto de los datos necesarios e indispensables para los asuntos de carácter educativo, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. Todo responsable y encargado por parte de la Institución en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá dar el uso adecuado de los mismos y salvaguardar su información. Para este fin deberán atender y aplicar siempre los principios y obligaciones establecidos en la Ley 1581 de 2012, en sus decretos reglamentarios, en especial, el Decreto 1377 de 2013 y la presente resolución. SEPTIEMBRE,

12 6 DEBERES DE LA UNIVERSIDAD En virtud de la presente política de tratamiento y protección de datos personales son deberes de El CENTRO DE ENTRENAMIENTO los siguientes, sin perjuicio de las disposiciones previstas en la ley. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. Solicitar y conservar, copia de la respectiva autorización otorgada por el titular. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible. Actualizar la información, atendiendo de esta forma todas las novedades respecto de los datos del titular. Adicionalmente, se deberán implementar todas las medidas necesarias para que la información se mantenga actualizada. Rectificar la información cuando sea incorrecta y comunicar lo pertinente. Respetar las condiciones de seguridad y privacidad de la información del titular. Tramitar las consultas y reclamos formulados en los términos señalados por la ley. Identificar cuando determinada información se encuentra en discusión por parte del titular. Informar a solicitud del titular sobre el uso dado a sus datos. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular. Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de SEPTIEMBRE,

13 El CENTRO DE ENTRENAMIENTO hará uso de los datos personales del titular solo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales. 6.1 REGISTRO NACIONAL DE BASES DE DATOS El Registro Nacional de Bases de Datos (RNBD), es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país y será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos. Una vez el Gobierno Nacional reglamente la información mínima que debe contener el Registro, y los términos y condiciones bajo los cuales se deben inscribir en éste, El CENTRO DE ENTRENAMIENTO aportará a la Superintendencia de Industria y Comercio las bases de datos sujetas a tratamiento en el tiempo indicado. 6.2 AUTORIZACIONES Y CONSENTIMIENTO DEL TITULAR El titular de la información, con el fin de que sean tratados sus datos, autorizará de manera libre, previa, expresa, voluntaria e inequívoca al CENTRO ENTRENAMIENTO Y DESARROLLO (CEDEPRO) conforme a lo establecido en la presente resolución y en los avisos de privacidad, los cuales podrán constar en documento físico, electrónico, página web, o cualquier otro medio que garantice su verificación y que permita concluir de manera inequívoca dicha autorización. 6.3 MEDIOS Para que los titulares de la información o sus causahabientes ejerzan sus derechos a conocer, actualizar, rectificar, suprimir información y revocar la autorización deberán: a) Atender los lineamientos y políticas que se fijen al interior de cada área encargada de la información mediante los formatos definidos para tal fin. b) El Titular o sus causahabientes que consideren que la información contenida en una de las bases de datos del CENTRO DE ENTRENAMIENTO deba ser objeto de corrección, actualización o supresión, o cuando adviertan el incumplimiento de cualquiera de los deberes contenidos en la ley 1581 de 2013, podrán presentar su reclamo a través del correo habeasdata@cedepro.edu.co, en el cual deberán indicar: Identificación del Titular Descripción de los hechos que dan lugar al reclamo Dirección de notificación o comunicación; Correo electrónico en donde se le pueda remitir información La información adicional que complemente y soporte la solicitud. SEPTIEMBRE,

14 7 PROCEDIMIENTO PARA LA ATENCION DE CONSULTAS, RECLAMOS Y PETICIONES 7.1 CONSULTAS: Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en el CENTRO DE ENTRENAMIENTO quien suministrará toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. La consulta se formulará a través del correo habeasdata@cedepro.edu.co. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. b) Reclamos: El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante el CENTRO DE ENTRENAMIENTO el cual será tramitado bajo las siguientes reglas: El reclamo del Titular se formulará mediante solicitud dirigida del CENTRO DE ENTRENAMIENTO por el correo electrónico habeasdata@cedepro.edu.co con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. Una vez recibido el correo habeasdata@cedepro.edu.co con el reclamo completo, éste se catalogará con la etiqueta "reclamo en trámite" y el motivo del mismo en un término no mayor a dos (2) días hábiles. Dicha etiqueta se mantendrá hasta que el reclamo sea decidido. SEPTIEMBRE,

15 El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. 7.2 PETICION DE ACTUALIZACIÓN, RECTIFICACIÓN, Y SUPRESION DE DATOS El CENTRO DE ENTRENAMIENTO rectificará y actualizará, a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos antes señalados, para lo cual el titular allegará la solicitud al correo electrónico habeasdata@cedepro.edu.co. indicando la actualización, rectificación y supresión del dato y aportará la documentación que soporte su petición. 7.3 REVOCATORIA DE LA AUTORIZACION Y/O SUPRESION DEL DATO Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual, para ello El CENTRO DE ENTRENAMIENTO pondrá a disposición del Titular el correo electrónico crphabeasdata@unal.edu.co. Si vencido el término legal respectivo, El CENTRO EDUCATIVO, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de Vigencia. La presente resolución rige a partir de su expedición. COMUNÍQUESE Y CÚMPLASE. Dada en Bogotá, D.C., a los veintiún (XX) días del mes de XXXXX de dos mil XXXX (20XX). SEPTIEMBRE,

16