AM CONSULTING S.A. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE PROTECCIÓN DE DATOS PERSONALES BOGOTA D.C., NOVIEMBRE DE 2016

Transcripción

1 AM CONSULTING S.A. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE PROTECCIÓN DE DATOS PERSONALES BOGOTA D.C., NOVIEMBRE DE

2 POLÍTICA Y PROCEDIMIENTO DE PROTECCIÓN DE DATOS PERSONALES AM CONSULTING S.A. Responsable del documento: Responsable del control y cumplimiento: Controlado por: Aprobado por: Gerente General Dirección Administrativa Director Administrativo Gerente General La Ley Estatutaria 1581 de 2012, mediante la cual se establecen las disposiciones generales para la protección de datos personales, tiene por objeto desarrollar el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el Artículo 15 de la Constitución Política; así como, el derecho a la información consagrado en el Artículo 20 de la misma. Los principios y disposiciones contenidos en la mencionada ley son aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por parte de AM CONSULTING S.A., siendo estos de naturaleza pública o privada. Por lo tanto, el tratamiento de datos realizado por la AM CONSULTING S.A., se debe ajustar al régimen de protección de datos personales establecido por esta ley, sus decretos reglamentarios y demás normatividad que la complemente, modifique o derogue. De acuerdo a lo establecido en el Artículo 18, Literal f) de la referida ley, AM CONSULTING S.A. adopta esta política para garantizar el adecuado cumplimiento de la Ley 1581 de 2012 y, en especial, para la atención de consultas y reclamos por parte de los titulares de los datos personales que maneje la compañía. 2

3 CONTENIDO I. DEFINICIONES... 4 II. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES... 6 III. ÁMBITO DE APLICACIÓN Y FINALIDAD... 7 IV. TRATAMIENTO... 7 V. CLASIFICACIÓN DE LAS BASES DE DATOS... 9 VI. MEDIDAS DE SEGURIDAD PARA EL TRATAMIENTO DE LA INFORMACIÓN... 9 VII. DEBERES DE LA COMPAÑÍA COMO RESPONSABLES EN EL TRATAMIENTO DE DATOS PERSONALES VIII. AUTORIZACIONES Y CONSENTIMIENTO IX. MEDIOS PARA CONSULTAS, RECLAMOS ACTUALIZACIÓN Y RECTIFICACIÓN11 X. PROCEDIMIENTOS PARA CONSULTAS, RECLAMOS, ACTUALIZACIÓN Y RECTIFICACIÓN XI. MODIFICACIONES

4 I. DEFINICIONES Las siguientes definiciones permiten una apropiada y correcta interpretación de la Ley 1581 de 2012 y sus decretos reglamentarios, indispensables para la protección del habeas data, lo que contribuye a determinar las responsabilidades de los involucrados en el tratamiento de datos personales. Aviso de Privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales. Autorización: Consentimiento previo, expreso e informado del titular de los datos personales para llevar a cabo el tratamiento de sus datos. Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento. Titular: Personal Natural cuyos datos sean objeto de tratamiento. Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Debe entonces entenderse el dato personal como una información relacionada con una persona natural (Persona individualmente considerada). Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. Dato Personal Público: Toda información personal que es de conocimiento libre y abierto para el público en general. Dato Personal Privado: Toda información personal que tiene un conocimiento restringido, y en principio privado para el público en general. Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza intima, reservada, ni pública y cuyo conocimiento y divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general. 4

5 Dato Sensible: Aquel dato que afecta la intimada del titular o cuyo uso indebido pueda generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de los datos personales por cuenta del responsable del tratamiento. Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país. Transmisión: Tratamiento de los datos personales que implica la comunicación de los mismos dentro o fuera del territorio colombiano cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales como la recolección, almacenamiento, uso, circulación o supresión. 5

6 II. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES AM CONSULTING S.A. aplicará los principios rectores para el manejo y tratamiento de los datos personales de proveedores, clientes, colaboradores o cualquier otra persona cuya información personal sea objeto de tratamiento por parte de la compañía: Principio de legalidad en materia de tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen. Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley. Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 6

7 Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma. III. ÁMBITO DE APLICACIÓN Y FINALIDAD Las políticas y procedimientos consagrados en este manual las aplicará AM CONSULTING S.A., donde se realicen transacciones comerciales resultado del desarrollo de su objeto social. Los presentes términos aplican para cualquier registro de datos personales realizado en forma presencial, no presencial y/o virtual para la vinculación comercial o servicio de AM CONSULTING S.A. AM CONSULTING S.A. se encarga directamente del tratamiento de los datos personales ejerciendo estricta confidencialidad sobre estos. El Titular de los Datos Personales debe mantener actualizada su información y garantizar, en todo momento, la veracidad de la misma. AM CONSULTING S.A. no se hará responsable, en ningún caso, por cualquier tipo de responsabilidad derivada por la inexactitud de la información suministrada por el Titular. IV. TRATAMIENTO Datos sensibles Está prohibido el tratamiento de datos sensibles, excepto cuando: a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización. b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización. 7

8 c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. d) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas para suprimir la identidad de los Titulares. Derechos de los niños, niñas y adolescentes El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública. De conformidad con lo establecido en el Artículo 7 de la Ley 1581 de 2012, y cuando dicho tratamiento cumpla con los siguientes parámetros y requisitos: En adición a lo anterior, AM CONSULTING S.A., cumple con las siguientes obligaciones: a) Que responda y respete el interés superior de los niños, niñas y adolescentes. b) Que se asegure el respeto de sus derechos fundamentales. Cumplidos los anteriores requisitos, el representante legal o el tutor del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. Todo responsable y encargado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de Conforme con lo señalado en la Sentencia C-7488/11 de la Corte Constitucional, las opiniones de los menores deben ser tenidas en cuenta al momento de realizar algún tratamiento de sus datos. 8

9 V. CLASIFICACIÓN DE LAS BASES DE DATOS Bases de Datos Clientes Son las bases de datos manuales o automatizadas, que se encuentran estructuradas y que contienen datos de naturaleza pública y privada de personas jurídicas o naturales en calidad clientes de AM CONSULTING S.A. que se han vinculado a la compañía mediante servicios profesionales de Auditoría, Revisoría Fiscal, Outsourcing Contable y Asesoría Contable o Legal. Bases de Datos Empleados Son las bases de datos manuales o automatizadas que contienen datos de las personas naturales que se vinculan laboralmente con AM CONSULTING S.A., cuyo tratamiento tiene como finalidad cumplir con las disposiciones legales y reglamentarias en materia laboral. En esta base de datos, se incorpora tanto información privada, pública, datos sensibles y de menores. El tratamiento de datos para los fines diferentes a las obligaciones derivadas de la relación laboral requerirá de autorización previa del titular o su representante legal, según sea el caso. En ningún caso AM CONSULTING S.A. dará tratamiento a los datos sensibles o de menores sin autorización previa. Bases de Datos Contratistas y Proveedores Son las bases de datos manuales o automatizadas que contienen datos de las personas naturales o jurídicas que mantienen un vínculo contractual o comercial con AM CONSULTING S.A. como resultado de la adquisición de servicios y bienes demandados para el normal funcionamiento de la compañía. Esta base de datos contiene bases personales públicas, privadas y sensibles, los cuales tienen como finalidad el desarrollo de las relaciones contractuales. El tratamiento de estos datos para fines diferentes al mantenimiento de la relación contractual o el cumplimiento de deberes de carácter legal, requiere de autorización previa del titular. VI. MEDIDAS DE SEGURIDAD PARA EL TRATAMIENTO DE LA INFORMACIÓN AM CONSULTING S.A. adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Dichas medidas responderán a los requerimientos mínimos hechos por la legislación vigente y periódicamente se evaluará su efectividad. 9

10 VII. DEBERES DE LA COMPAÑÍA COMO RESPONSABLES EN EL TRATAMIENTO DE DATOS PERSONALES AM CONSULTING S.A., sus directivos y empleados, en su condición de responsables y encargados del tratamiento de datos personales, cumplirán con los siguientes deberes: a) Garantizar al Titular el pleno y efectivo ejercicio del derecho de hábeas data. b) Solicitar y conservar copia de la respectiva autorización otorgada por el titular. c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. e) Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. f) Actualizar la información, comunicando de forma oportuna al encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada se mantenga actualizada. g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento. h) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado. i) Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. j) Tramitar las consultas y reclamos formulados sobre el tema. k) Informar al encargado del tratamiento cuando determinada información se encuentre en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. l) Informar a solicitud del Titular sobre el uso dado a sus datos personales. m) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. 10

11 VIII. AUTORIZACIONES Y CONSENTIMIENTO El titular de la información, con el fin de que sean tratados sus datos, autorizará de manera libre, previa, expresa, voluntaria e inequívoca a AM CONSULTING S.A., conforme a lo establecido en la presente resolución y en los avisos de privacidad, los cuales podrán constar en documento físico, electrónico, página web, o cualquier otro medio que garantice su verificación y que permita concluir de manera inequívoca dicha autorización. IX. MEDIOS PARA CONSULTAS, RECLAMOS ACTUALIZACIÓN Y RECTIFICACIÓN Para que los titulares de la información o sus causahabientes ejerzan sus derechos a conocer, actualizar, rectificar, suprimir información y revocar la autorización deberán: El Titular o sus causahabientes que consideren que la información contenida en una de las bases de datos de AM CONSULTING S.A. deba ser objeto de corrección, actualización o supresión, o cuando adviertan el incumplimiento de cualquiera de los deberes contenidos en la ley 1581 de 2013, podrán presentar su reclamo a través del correo am@amconsulting.com.co o de forma escrita mediante comunicación que deberá radicarse en la Calle 85A No , en el cual deberán indicar: i. Identificación del Titular; ii. Descripción de los hechos que dan lugar al reclamo; iii. Dirección de notificación o comunicación; iv. Correo electrónico en donde se le pueda remitir información; y v. La información adicional que complemente y soporte la solicitud. X. PROCEDIMIENTOS PARA CONSULTAS, RECLAMOS, ACTUALIZACIÓN Y RECTIFICACIÓN Las consultas serán atendidas en un término máximo de diez (10) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, el responsable o encargado del tratamiento informará al interesado, los motivos de la demora, y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. 11

12 XI. MODIFICACIONES AM CONSULTING S.A. se reserva el derecho de modificar estas Políticas de Tratamiento de la Información, en su totalidad o parcialmente. En caso de cambios sustanciales en las Políticas del Tratamiento referidos a la identificación de AM CONSULTING S.A. y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido la autorización, AM CONSULTING S.A. comunicará estos cambios al titular a más tardar al momento de implementar las nuevas políticas. 12