Con ocasión de la expedición de la ley 1581 de 2012 y sus decretos reglamentarios. Colombia se ha acogido a los planteamientos de la Organización para la Cooperación y el Desarrollo Económico (OCDE), en lo relativo al programa integral de Gestión de datos personales. Para tal efecto y con el fin de dar cumplimiento a la norma y a la exigencia de la Superintendencia de Industria y Comercio como órgano vigilante; el empresario OSSIER MAURICIO acoge para su empresa Recargas y Suministros, el siguiente manual de políticas y procedimientos para la protección de datos personales, en las bases de datos de: clientes, proveedores y distribuidores, acreedores, empleados y exempleados. Datos que deben protegerse bajo los principios normativos de la mencionada ley y sus decretos reglamentarios, o posteriores normas que puedan modificar su aplicación. Contenido 1. Disposiciones generales 1.1. Objetivo 1.2. Marco jurídico 1.3. Definiciones 1.4. Principios para el tratamiento de datos personales 2. Derechos de los titulares de datos personales 3. Deberes y obligaciones de Recargas y suministros 3.1. Deberes como responsable 3.2. Deberes como encargado 4. Tratamiento de la información 4.1. Canales de captura 4.1.1. Escrito 4.1.2. Telefónico 4.1.3. Electrónico 1
4.2. Campos de captura de la información 4.3. Autorización de captura OSSIER MAURICIO 4.3.1. Autorización para datos recolectados antes de la vigencia de este manual 4.4. Utilización de los datos 4.4.1. Consumidores: 4.4.2. Socios comerciales 4.4.3. Empleados o exempleados 4.4.4. Proveedores 4.4.5. Otros públicos 5. Medidas de seguridad 5.1. Procedimientos 6. Procedimiento de atención de peticiones, consultas y reclamos 7. Modificaciones del manual 8. Vigencia 9. Anexos 9.1. (Anexo 1) Formato aviso de privacidad 9.2. (Anexo 2) Formato de autorización datos personales de empleados 9.3. (Anexo 3) Formato de autorización de datos personales a pie de factura 9.4. (Anexo 4) Términos y condiciones de utilización de medios virtuales 9.5. (Anexo 5) Listado de campos de captura autorizados 9.6. (Anexo 6) Autorización para datos recolectados antes de la vigencia de este manual 2
1. Disposiciones generales 1.1. Objetivo y alcance del manual El objetivo de este manual es establecer e informar los fundamentos básicos y legales sobre los cuales se sustenta la información de datos personales en la empresa Recargas y Suministros; las definiciones, los principios, el tratamiento, el uso y la finalidad, los deberes del responsable de la información y los derechos de los titulares de la misma. Así como también los procedimientos necesarios para su seguridad dirigida a: Clientes. Para eventualmente contactar, vía correo electrónico o por cualquier otro medio a personas naturales con las cuales se tengan relaciones comerciales en ventas de nuestros productos. Distribuidores y proveedores. Para eventualmente contactar, vía correo electrónico o por cualquier otro medio a personas naturales con las cuales se tengan relaciones comerciales por compras de nuestros productos. Empleados o Exempleados. Para eventualmente contactar, vía correo electrónico o por cualquier otro medio a personas naturales con las cuales se tengan relaciones de orden laboral incluyendo a sus familiares. Acreedores y deudores. Para eventualmente contactar, vía correo electrónico o por cualquier otro medio a personas naturales con las cuales se tengan obligaciones de orden económico. y Autoridades gubernamentales. Para transferir la información recolectada en cumplimiento de la normatividad Colombiana. 1.2. Marco jurídico Este manual de políticas es determinado en aplicación de la ley 1581 de 2012 Por la cual se dictan disposiciones generales para la protección de datos personales, en especial lo previsto en el literal K) del Artículo 17, así mismo el Decreto Reglamentario 1074 del 26 de mayo de 2015, en lo concerniente a dicha especificación. 1.3. Definiciones a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. b) Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales. c) Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. 3
d) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. e) Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. f) Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. g) Dato semiprivado: Es la información que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere la Ley 1266 de 2008. h) Dato sensible: Cualquier información que afecte la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos. i) Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. j) Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. k) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento. l) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. m) Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. n) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. Para el entendimiento de los términos que no se encuentren enlistados anteriormente, deberá remitirse a la legislación vigente, en especial a la Ley 1581 de 2012 y las demás normas complementarias. 4
1.4. Principios para el tratamiento de datos personales OSSIER MAURICIO a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen. b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular. c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente Ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley. g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo 5
realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma 2. Derechos de los titulares de datos personales Con respecto a lo enunciado en el artículo 8º de la ley 1581 de 2012 y sus decretos reglamentarios. Los siguientes son los derechos de los titulares: Artículo 8. Derechos de los Titulares. El Titular de los datos personales tendrá los siguientes derechos: a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado. b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley. c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales. d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen. e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución. f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento. 3. Deberes y obligaciones de la empresa Recargas y suministros 3.1. Deberes como responsable Atendiendo lo enunciado en el artículo 17 de la ley 1581 de 2012, los responsables de la información tendrán los siguientes deberes: 6
Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad: a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular. c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada. g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento. h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley. i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley. k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos. 1) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. m) Informar a solicitud del Titular sobre el uso dado a sus datos. 7
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. 3.2. Deberes como encargado De conformidad con lo expuesto en el artículo 18 de la ley 1581 de 2012 los encargados del tratamiento de la información de datos personales deben cumplir con los siguientes deberes: a) Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas data. b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley. d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo. e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley. f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares. g) Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que se regula en la presente ley. h) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal. i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. k) Informar a la Superintendencia de Industria y Comercio cuando se l presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. L) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. 8
4. Tratamiento de la información 4.1. Canales de captura De conformidad con el artículo 7º del decreto 1377 de 2013, la información de datos personales que la empresa Recargas y Suministros será obtenida mediante los siguientes canales. 4.1.1. Escrito La empresa Recargas y suministros a través de su objeto social y para llevar a cabo sus operaciones comerciales recolectara de manera física la autorización de sus clientes, mediante un formato en la sección inserto en la factura de venta. Y en lo referente a empleados, asesores y proveedores se tendrá un formato físico de autorización, independiente a las facturas. 4.1.2. Telefónico Los datos personales que se obtengan de manera audible por parte de la empresa Recargas y Suministros, con ocasión de pedidos, cotizaciones o remisiones deberán ser autorizados por sus titulares con la misma remisión o cotización mediante un formato en la sección inserto en el documento de remisión. 4.1.3. Electrónico La empresa Recargas y Suministros cuenta con una página Web para capturas de la información de datos personales especialmente para solicitud de servicios de mantenimiento, las cuales deben ser autorizados por sus titulares una vez se dejen los datos almacenados, mediante autorización con clave interna de privacidad. 4.2. Campos de captura de la información Los datos recolectados serán aquellos de orden pertinente con relación al objeto social de la empresa Recargas y Suministros, Respecto de su condición como Cliente, distribuidores o proveedores, deudores, acreedores y empleados o exempleados. Para ello se relaciona los campos de nombres y apellidos del titular, su número de documento de Cedula de Ciudadanía, su dirección comercial o de residencia de ser el caso. 4.3. Autorización de captura La empresa Recargas y suministros solicitará autorización previa, expresa e informada a los Titulares de los Datos Personales sobre los que requiera realizar el Tratamiento. De acuerdo con los formatos diseñados por la empresa. 4.3.1. Autorización para datos recolectados antes de la vigencia de este manual 9
Para los datos personales recolectados antes de la vigencia de este manual, Recargas y suministros solicitará la autorización de los titulares para continuar con el tratamiento de sus datos personales a través de sus canales de captura habilitados, así como para poner en conocimiento de estos las políticas de tratamiento de la información y el modo de ejercer sus derechos. Si en el término de treinta (30) días hábiles, contados a partir de la solicitud de autorización para continuar con el tratamiento del dato personal ya recolectado, el titular no ha contactado a Recargas y Suministros para solicitar la supresión de sus datos personales, la compañía podrá continuar realizando el tratamiento de los datos contenidos en sus bases de datos para las finalidades indicadas en este manual. 4.4. Utilización de los datos Los datos recolectados por la empresa Recargas y Suministros serán utilizados con motivo de su objeto social con respecto a: Clientes. Para cumplir con las especificaciones técnicas de entrega comercial en la venta de nuestros productos. Enviar información sobre cambios en las condiciones de los productos ofrecidos. Para la determinación de obligaciones pendientes. Distribuidores y proveedores. Para hacer el registro en los sistemas de la empresa. Para la evaluación del cumplimiento de sus obligaciones. Para procesar sus pagos y verificar saldos pendientes. Empleados o Exempleados. Para administrar y operar la vinculación del personal, incluyendo la evaluación y selección de los participantes junto a la verificación de referencias laborales y personales. Realizar el proceso de nómina, afiliaciones al sistema de seguridad social, actividades de bienestar y de orden disciplinario de ser el caso, entre otras. Acreedores. Para hacer el registro en los sistemas de la empresa que Incluye los datos personales de los contratistas y asesores externos que pueda contratar la empresa Recargas y Suministros, diferentes a la nómina de la empresa con los cuales se tengan vínculos por prestación de servicios y programar sus pagos. 5. Medidas de seguridad Aplicando el principio de seguridad para el tratamiento de datos personales, la empresa Recargas y Suministros proporciona las medidas técnicas, humanas y administrativas que sea necesarias para controlar el mantenimiento de la información evitando adulteración, pérdida, consulta, uso acceso no autorizado o fraudulento. En la custodia de la información de datos personales. 10
5.1. Procedimientos La empresa Recargas y suministros cuenta con un software licenciado para cumplir con las medidas de seguridad en la protección de la información de datos personales, el software tiene acceso restringido por parte del administrador del programa, mediante permiso a usuarios de la información mediante autorización expresa. 6. Procedimiento de atención de peticiones, consultas y reclamos 6.1 Consultas Los Titulares o terceros autorizados por la ley para actuar en su nombre sobre la protección de Datos Personales tratados por la empresa Recargas y Suministros, tienen derecho a acceder a sus Datos Personales y a los detalles de dicho Tratamiento, así como a rectificarlos y actualizarlos en caso de ser inexactos o a solicitar su eliminación cuando consideren que resulten ser excesivos o innecesarios para las finalidades que justificaron su obtención u oponerse al Tratamiento de los mismos para fines específicos. Las vías que se han implementado para garantizar el ejercicio de dichos derechos a través de la presentación de la solicitud respectiva son: Comunicación dirigida a OSSIER MAURICIO LÓPEZ ARIAS, empresa Recargas y suministros en la Calle 10 No 5-45 de la ciudad de Cartago, Valle Mediante Solicitud presentada mediante escrito al correo electrónico: ossiermauricio@hotmail.com La consulta será atendida en un término máximo de diez (10) días hábiles, contados a partir de la fecha de recibo de la misma en su domicilio principal o del registro de su solicitud en los canales de atención previamente señalados. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término. 6.2 Reclamos El titular o sus causahabientes que se consideren con derecho a reclamación de acuerdo con el artículo 14 de la ley 1581 de 2012, en cuanto a la información contenida en las bases de datos actuara de acuerdo con el siguiente procedimiento: I. El Titular o sus causahabientes deberán acreditar su identidad, la de su representante, la representación o estipulación a favor de otro o para otro. Cuando la solicitud sea formulada por persona distinta del Titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada. 11
II. La solicitud de rectificación, actualización, supresión o revocatoria debe ser presentada a través de los medios habilitados por la empresa Recargas y Suministros, indicados en el presente documento y contener, como mínimo, la siguiente información: El nombre y dirección de domicilio del Titular o cualquier otro medio para recibir la respuesta. Los documentos que acrediten la identidad del solicitante y en caso dado, la de su representante con la respectiva autorización. La descripción clara y precisa de los datos personales respecto de los cuales el Titular busca ejercer alguno de los derechos y la solicitud concreta. III. Si la solicitud se presenta incompleta, La empresa Recargas y Suministros deberá requerir al interesado dentro de los cinco (5) días siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de su solicitud. IV. Una vez recibida la solicitud, se incluirá en la Base de Datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que ésta sea decidida. V. El término máximo para atender esta solicitud será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado sobre los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. 7. Modificaciones del manual El propietario de la empresa como máximo representante legal, conformara un equipo de trabajo con los responsables de la custodia de la información de datos personales, los cuales estudiaran y evaluaran a consideración del equipo de trabajo, los cambios significativos que pudieran darse para el mejoramiento del presente manual, o atendiendo los cambios sustentados en aplicación de una ley posterior, observando la versión inicial de este manual y las siguientes, lo mismo que su vigencia. 8. Vigencia El presente manual de políticas y procedimientos para el tratamiento de la información de datos personales entrará en vigencia a partir del 1 de junio del 2017 y las bases de datos serán de tiempo indeterminado según la existencia de la empresa Recargas y Suministros conforme a las normas legales o por decisión de su propietario. 12
9. Anexos 9.1. (Anexo 1) Formato aviso de privacidad 9.2. (Anexo 2) Formato de autorización datos personales de empleados 9.3. (Anexo 3) Formato de autorización de datos personales a pie de factura 9.4. (Anexo 4) Términos y condiciones de utilización de medios virtuales 9.5. (Anexo 5) Listado de campos de captura autorizados 9.6. (Anexo 6) Autorización para datos recolectados antes de la vigencia de este manual 13