La presente política tiene como finalidad establecer los procedimientos y reglamentos que Cobra Colombia y sus empresas controladas deben seguir para procesar y tratar de forma adecuada los Datos Personales que de tiempo en tiempo pudiera llegar a tener la sociedades operativas en Colombia.
Se encuentra dirigida tanto a colaboradores como a terceras partes a las que se encuentre aplicable un tratamiento de Datos personales en virtud de la legislación aplicable de protección de datos.
Esta Política contiene los elementos requeridos por la normativa vigente, en desarrollo de los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad. De esta manera, la Compañía pretende garantizar y proteger los derechos fundamentales a la intimidad personal y familiar y al buen nombre, el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre las personas de la comunidad en bancos de datos y en archivos y el derecho a la información de todos los miembros de la comunidad.
Fungen como Responsables individualmente consideradas, cada una de las compañías que en adelante se identifican. Individualmente serán consideradas cada una como la Compañía.
En LA COMPAÑÍA respetamos el derecho que les asiste a todas las personas de las cuales tratamos su información personal a conocer, rectificar y actualizar sus datos. Igualmente a tratar su información personal con las medidas necesarias de seguridad para que no vaya a tener acceso o uso no autorizado o fraudulento, ni se vaya a utilizar para una finalidad diferente a la autorizada por los titulares o para su uso legal o contractual.
Para todas las bases de datos señaladas en el alcance de este documento, los empleados, contratistas y clientes y general terceros con quien la Compañía tenga relación comercial, deben cumplir con las siguientes disposiciones:
Para todas las bases de datos señaladas en el alcance de este documento, los empleados, contratistas/proveedores y clientes deben cumplir con las siguientes disposiciones:
Los datos de información personal que trata LA COMPAÑÍA, deben conservarse en las bases de datos físicas y digitales pertinentes durante el tiempo que sea necesario hacerlo y que sea definido por LA COMPAÑÍA, atendiendo las finalidades debidamente autorizadas y que justificaron su tratamiento. El tiempo de conservación de la información en las bases de datos personales debe atender los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información y en línea con lo definido en LA COMPAÑÍA.
Es muy importante resaltar que no obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
El tratamiento para los datos personales de todas las personas jurídicas y/o naturales que giran en torno de Cobra Colombia y sus empresas, incluyendo clientes, proveedores, usuarios y trabajadores, estará enmarcado en el orden legal y de acuerdo con la siguiente finalidad:
A. Manejo interno y gestión de relación comercial de sus clientes, representantes y proveedores de los distintos segmentos de negocios.
B. Obtener un adecuado y suficiente conocimiento de los clientes, representantes y proveedores, para determinar el grado de integridad de los mismos y de que sus actividades son licitas, transparentes, así como su capacidad económica.
C. El envío de comunicaciones, correspondencia, correos electrónicos o contacto telefónico con sus clientes, representantes y proveedores en relación con sus actividades comerciales, publicitarias, de mercadeo, promocionales, ventas y demás actividades relacionadas.
D. Procesos de selección de personal, gestión de relaciones contractuales, laborales y garantizar el cumplimiento de las obligaciones derivadas de la misma, otorgamiento de beneficios a sus empleados por sí mismo o a través de terceros.
E. Análisis de potencial con fin esencialmente comercial, ya sea de proveedores, representantes y/o clientes.
F. Gestionar trámites (solicitudes, quejas, reclamos) realizar análisis de riesgo, efectuar encuestas de satisfacción respecto de los bienes de la empresa.
G. Crear bases de datos para los fines descritos en la presente autorización. Para el caso de datos personales sensibles, se podrá hacer uso y tratamiento de ellos cuando: a) El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; b) El tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización; c) El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; d) El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos: a) que respondan y respeten el interés superior de los niños, niñas y adolescentes; y b) que se asegure el respeto de sus derechos fundamentales. Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. Cobra Colombia y sus empresas velará por el uso adecuado del tratamiento de los datos personales de los niños, niñas o adolescentes.
En LA COMPAÑÍA se registran las distintas bases de datos que existen y se actualizan conforme sea necesario en cumplimiento de las obligaciones de ley.
A continuación se detallan las políticas específicas para cada una de las bases de datos señaladas, no sin antes resaltar que no está permitida la adquisición de bases de datos personales de fuentes externas a LA COMPAÑÍA si no se cuenta con la garantía de que todos y cada uno de los titulares de las bases de datos en cuestión, han autorizado previamente su tratamiento para las finalidades para las cuales pretenden ser adquiridas y que luego de que estas bases de datos queden en custodia de LA COMPAÑÍA, cuenten con los controles de seguridad de la información mínimos para evitar su uso o acceso no autorizado o fraudulento.
Esta base de datos está conformada por la información que se tiene de las personas que han manifestado su interés por disfrutar de nuestros productos y/o servicios por cualquiera de nuestros canales de atención. Dicha base de datos está conformada por clientes actuales, es decir aquellos que adquirieron nuestros productos y servicios.
3.1.1. Finalidades del tratamiento de datos personales de clientes
Las finalidades para la cual tratamos los datos personales de los clientes actuales, siempre y cuando hayamos obtenido su autorización, son:
• Gestión de clientes
• Capacitación y formación
• Gestión de estadísticas internas
• Prestación de servicios a favor de clientes de la Compañía
• Procedimientos administrativos
• Registro de entrada y salida de documentos
• Publicaciones
• Remisión de información a los titulares, relacionada con el objeto de la organización
• Campañas de actualización de datos e información de cambios en el tratamiento de datos personales
• Gestión jurídica y Financiera
• Envío de comunicaciones
• Realización de consultorías, auditoría, asesorías y servicios relacionados
• Control de inventarios
• Gestión administrativa
• Gestión contable, fiscal y administrativa, de cobros y pagos, facturación, gestión fiscal, histórico de relaciones comerciales, económica,
• Requerimiento por organismo de control, autoridad judicial o administrativa
• Entregar referencias comerciales y confirmación de certificados emitidos
• Verificación de datos y referencias
• Verificación de requisitos jurídicos, técnicos y/o financieros
• Gestión de relaciones comerciales con el exterior
• Verificación de antecedentes disciplinarios, judiciales, policivos
• Prospección comercial, ofrecimiento de productos y servicios de la Compañía, aliados o terceros
• Control de cumplimiento de obligaciones a cargo del Cliente
• Medidas de control de hurto, otros delitos, conductas no permitidas por la Compañía
• Cumplimiento o incumplimiento de obligaciones financieras
• Verificar y reportar la información financiera, bancaria o crediticia a bases de datos de riesgo crediticio o de cualquier otra naturaleza
• Captar, almacenar y verificar referencias comerciales y laborales, información de ubicación y contacto, historial crediticio, bienes y activos propios.
• Actualizar, eliminar, desactivar, suspender o terminar el tratamiento de datos personales en la medida en que los medios tecnológicos y obligaciones contractuales entre las partes lo permitan.
• Permitir a la Compañía configurar una base de datos que pueda ser objeto de transferencia o trasmisión nacional o internacionalmente a terceros a cualquier título u objeto de otro negocio jurídico licito.
• Comunicar eficientemente información propia de LA COMPAÑÍA, así como de nuestras Afiliadas y/o aliados comerciales, sobre productos, servicios, ofertas.
• Informar sobre nuevos productos o servicios que estén relacionados con el o los servicios adquiridos.
• Evaluar la calidad del o los servicios.
• Informar sobre cambios de nuestros productos o servicios.
• Participar en programas de lealtad con beneficios.
• Realizar estudios de mercadeo sobre hábitos de consumo.
• Las demás finalidades estrechamente asociadas y necesarias para cumplir los fines de mercadeo.
Entiéndase por Afiliados cualquier Persona, compañía, asociado o entidad bajo el control del mismo grupo económico, siendo que la COMPAÑÍA o la Holding de estos, detenten directa o indirectamente el poder decisión.
3.1.2. Canales de atención a los clientes como titulares de la información
Los clientes actuales y potenciales, tienen derecho a conocer qué información personal tiene LA COMPAÑÍA de ellos y si lo consideran necesario, tienen derecho a actualizarla o rectificarla. Además, tienen derecho a requerir que se les suprima datos y a revocar la autorización que nos otorgaron para tratar su información personal, sólo en el caso de que la finalidad para la cual se están tratando sus datos sea la gestión de acciones necesarias para cumplir los fines de mercadeo. También tienen derecho a efectuar algún reclamo si consideran que LA COMPAÑÍA está incumpliendo con el régimen de protección de datos personales. El área de LA COMPAÑÍA encargada de atender los derechos que tienen los clientes actuales y potenciales en materia de tratamiento de datos personales, es la Oficina Jurídica al Cliente o quien haga sus veces.
LA COMPAÑÍA ha dispuesto el siguiente correo electrónico como canal de atención con el fin de garantizar que los clientes actuales ejercer estos derechos.
Correo electrónico de tratamiento de datos personales.
datospersonales@cobra.com.co
A continuación, se describen los procedimientos mediante los cuales los titulares pueden ejercer sus derechos, los cuales se han dividido en consultas, reclamos y peticiones.
3.1.3. Consultas
Las consultas que buscan identificar con qué información personal cuenta LA COMPAÑÍA de sus clientes actuales y potenciales podrán ser realizadas tanto en los canales de atención personalizada como en los de atención telefónica.
LA COMPAÑÍA dispondrá de diez (10) días hábiles a partir de la fecha en que se realiza la consulta para responder. En caso de tener dificultad con la consecución de la información, se informará la fecha en la cual se enviará la respuesta, la cual no será superior a cinco (5) días hábiles más, expresando los motivos de la demora.
3.1.4. Reclamos
En caso de que la necesidad sea la de actualizar, rectificar, suprimir parcialmente datos personales o efectuar algún reclamo por considerar que LA COMPAÑÍA está incumpliendo con el régimen de protección de datos personales, el titular dispone tanto de los canales de atención personalizada como los de atención telefónica, para lo cual deberá formular la solicitud con la siguiente información:
a. Identificación del Titular
b. Descripción de los hechos que dan lugar al reclamo
c. Dirección,
d. Identificación de la COMPAÑÍA, delegación o unidad de negocio a la que pertenece o sostenía negocios.
e. Acompañando los documentos que se quiera hacer valer.
Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco
(5) días hábiles siguientes a la recepción del reclamo para que complete la información de manera adecuada. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En caso de que LA COMPAÑÍA no sea competente para resolver el reclamo, se dará traslado a quien corresponda en un término máximo de cinco (5) días hábiles e informará de la situación al titular.
Una vez recibido el reclamo completo, LA COMPAÑÍA incluirá en la base de datos una leyenda que dice “reclamo en trámite” la cual se mantendrá hasta que el reclamo sea decidido.
LA COMPAÑÍA contará con quince (15) días hábiles a partir de la fecha en que se realiza el reclamo para informar por escrito sobre su resolución a los datos de contacto suministrados, o en caso de tener dificultad al resolverlo, se informará la fecha en la cual se enviará la respuesta la cual no será superior a ocho (8) días hábiles más, expresando los motivos de la demora.
En caso de que el titular no haya quedado satisfecho con la respuesta, podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante LA COMPAÑÍA.
3.1.5. Peticiones
Si es de interés del cliente actual suprimir la información personal que reposa en nuestra base de datos o si desea revocar la autorización que nos había hecho para tratar sus datos personales, cuya finalidad es la gestión de acciones necesarias para cumplir los fines de mercadeo, podrá solicitarlo al siguiente correo electrónico:
datospersonales@cobra.com.co
La eliminación de la informará estará sujeta a que los medios tecnológicos que administren las bases de datos lo permitan. En todo caso, se desplegarán las acciones a disposición de LA COMPAÑÍA para atender la solicitud del cliente y para suspender el tratamiento que haya solicitado.
Esta base de datos personales está conformada por la información que LA COMPAÑÍA tiene de los trabajadores activos, extrabajadores ya sean retirados o pensionados y beneficiarios de los trabajadores y pensionados.
3.2.1. Finalidades del tratamiento de datos personales de trabajadores
En el caso de los trabajadores las finalidades para la cual LA COMPAÑÍA trata sus datos personales son las siguientes:
• Proteger la información personal de los trabajadores activos e inactivos, pensionados y beneficiarios y garantizar la confidencialidad de la información que se suministre a las empresas públicas y privadas para la ejecución de las obligaciones derivadas de la relación laboral.
• Programas de bienestar de la Compañía,
• Administración de los beneficios convencionales de trabajadores y pensionados
• Registro, control y seguimiento a la gestión de las investigaciones disciplinarias
• Gestión de nómina y cumplimiento de obligaciones asociadas con la seguridad social y salud ocupacional
• Administración de los beneficios convencionales de trabajadores y pensionados
• Gestión administrativa, suministro de información para la afiliación a la EPS, ARL, Caja de Compensación y eventos
• Captar y tratar datos personales de menores de edad representados por el Trabajador respondiendo al cumplimiento de un interés superior que asegure el respeto de los derechos fundamentales del (los) menor (s) de edad.
• Captar y tratar datos personales de terceros suministrados por el Trabajador para tramitar afiliaciones, contacto en caso de urgencia o intercambio o trasmisión de información.
• Entregar referencias laborales, confirmar o certificar vinculaciones laborales con la Compañía
• Registro, control y seguimiento a la gestión de las investigaciones disciplinarias
• Programas de bienestar
• Realizar estudios de seguridad y salud
• Realizar evaluaciones de desempeño y aplicar procedimientos disciplinarios y sancionatorio
• Verificar autenticidad de los datos y salvaguardar la seguridad de la Compañía Verificar y reportar la información financiera, bancaria o crediticia a bases de datos de riesgo crediticio o de cualquier otra naturaleza
• Gestión de permisos, licencias y autorizaciones, gestión de sanciones, amonestaciones, llamados de atención, exclusiones, procedimientos administrativos, reservas y emisión de tiquetes de transporte, gestión de personal, prestaciones sociales, prevención de riesgos laborales, promoción y gestión de empleo
• Realizar procesos de auditorías internas y externas
• Conocer el estado de salud de la persona que incluyen: resultados de pruebas de laboratorios, estudios médicos, diagnósticos médicos, generales o especializados, psicológicos o psiquiátricos
• Capturar y tratar fotografías y videos para que puedan ser publicadas en medios impresos (carnets), medios audiovisuales, redes sociales institucionales y para que las huellas sirvan para el control de horario.
• Recolectar información sobre el candidato mediante el contacto con sus referencias laborales y personales y el estudio de sus publicaciones en Internet y otros medios (periódicos, revistas, boletines, televisión, etc.).
• Suministrar, compartir, enviar, entregar datos personales a matriz y/o Afiliadas de la Compañía ubicadas en Colombia o cualquier otro país en el que dichas Compañías requieran la información para los fines descritos.
• Promoción y selección de personal
• Formación de personal
• Suprimir o desactivar datos de la base de datos
• Para la gestión de beneficios empresariales
• Fines históricos, científicos y estadísticos
• Cumplimiento de obligaciones contractuales frente a la Compañía y de la Compañía frente a clientes y proveedores
• Permitirle adquirir y/o acceder a los productos de la Compañía, de sus aliados comerciales o terceros
• Verificar autenticidad de los datos y salvaguardar la seguridad de la Compañía
• Permitir a la Compañía mantener una base de datos que pueda ser objeto de trasmisión y transferencia nacional o internacionalmente a terceros a cualquier título y sin discriminación entre países.
3.2.2. Canales de atención a los trabajadores como titulares de la información
Los trabajadores activos e inactivos, pensionados y beneficiarios tienen derecho a conocer la información personal que tiene LA COMPAÑÍA de ellos y si lo consideran necesario, a actualizarla o rectificarla. Además de requerir que se les suprima datos de las bases de datos de LA COMPAÑÍA, siempre y cuando el dato no sea necesario para adelantar las obligaciones legales y/o contractuales que rigen la relación con LA COMPAÑÍA. También tienen derecho a efectuar algún reclamo si consideran que LA COMPAÑÍA está incumpliendo con el régimen de protección de datos personales. El área de LA COMPAÑÍA encargada de atender los requerimientos de los trabajadores activos e inactivos, pensionados y beneficiarios en materia de tratamiento de datos personales, es la Gerencia de Gestión Humana o quien haga sus veces.
El interesado podrá acceder al siguiente canal de atención: datospersonales@cobra.com.co
El titular de la información que considere que una base de datos deba ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en las normas que regulan la Protección de los Datos Personales, podrá presentar un reclamo, que será tramitado bajo las siguientes reglas:
Para el caso de una consulta, ésta se formulará mediante solicitud escrita, por el mecanismo dispuesto en el presente documento, con la identificación del titular y la dirección a la cual le debe ser dirigida correspondencia. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atenderla dentro de dicho término, se informará al consultante, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Para el caso de un reclamo, éste se formulará mediante solicitud escrita, por los mecanismos dispuestos en el presente documento, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo y la dirección a la que le debe ser dirigida la correspondencia, acompañando los documentos que quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al reclamante dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el reclamante presente la información requerida, se entenderá que ha desistido del reclamo.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
En caso de que LA COMPAÑÍA no sea competente para resolver el reclamo, se dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al titular.
En caso de que el titular no haya quedado satisfecho con la respuesta, podrá elevar queja ante la Superintendencia de Industria y Comercio, una vez haya agotado el trámite de consulta o reclamo ante LA COMPAÑÍA.
LA COMPAÑÍA reitera que los trabajadores activos, extrabajadores ya sean retirados o pensionados y beneficiarios de los trabajadores y pensionados tienen obligación contractual de permanecer en la base de datos y por ello su derecho a revocar la autorización o solicitar la supresión de sus datos personales puede estar limitado entro otros aspectos por barreras tecnológicas de la COMPAÑÍA. No obstante, desplegará las acciones a su disposición para atender la solicitud del trabajador.
Esta base de datos está conformada por la información que se tiene de los proveedores actuales y potenciales registrados como personas naturales. Adicionalmente contiene la información de las personas naturales que tienen alguna acreencia con LA COMPAÑÍA exceptuando aquellas que son clientes y trabajadores, pues estos casos hacen parte de las bases de datos referidas en los numerales 2.1 y 2.3 de esta política.
3.3.1. Finalidades del tratamiento de datos personales de proveedores
Las finalidades para las cuales LA COMPAÑÍA trata los datos personales de proveedores, son las siguientes:
• Gestión de acciones necesarias para cumplir los fines de administración de proveedores y terceros que ya han suscrito un contrato con LA COMPAÑÍA
• Gestión de acciones necesarias para la identificación de posibles proveedores para las labores de abastecimiento de compañía, al tiempo que facilita la gestión de datos y administración de los documentos requeridos internamente para registrarse como proveedor de LA COMPAÑÍA
• Gestión de acciones necesarias para cumplir los fines de administración, derivados en el pago de una obligación o que por cualquier otro concepto, LA COMPAÑÍA le adeuda alguna acreencia.
• Gestión de proveedores y contratistas
• Capacitación y formación
• Gestión de estadísticas internas
• Prestación de servicios a favor de clientes de la Compañía
• Procedimientos administrativos
• Registro de entrada y salida de documentos
• Publicaciones
• Remisión de información a los titulares, relacionada con el objeto de la organización
• Campañas de actualización de datos e información de cambios en el tratamiento de datos personales
• Gestión jurídica y Financiera
• Administración de sistemas de información, gestión de claves, administración de usuarios,
• Desarrollo operativo
• Envío de comunicaciones
• Realización de consultorías, auditoría, asesorías y servicios relacionados
• Control de inventarios
• Gestión administrativa
• Gestión contable, fiscal y administrativa, de cobros y pagos, facturación, gestión fiscal, histórico de relaciones comerciales, económica,
• Requerimiento por organismo de control, autoridad judicial o administrativa
• Entregar referencias comerciales y confirmación de certificados emitidos
• Verificación de datos y referencias
• Verificación de requisitos jurídicos, técnicos y/o financieros
• Verificación de riesgos de salud
• Gestión de relaciones comerciales con el exterior
• Información de empleados del proveedor o contratista y pago de prestaciones sociales
• Verificación de antecedentes disciplinarios, judiciales, policivos
• Prospección comercial, ofrecimiento de productos y servicios de la Compañía, aliados o terceros
• Control de cumplimiento de obligaciones a cargo de proveedor o contratista
• Medidas de control de hurto, otros delitos, conductas no permitidas por la Compañía
• Programas de promoción y prevención
• Cumplimiento o incumplimiento de obligaciones financieras
• Inspección y control de seguridad y protección social
• Verificar y reportar la información financiera, bancaria o crediticia a bases de datos de riesgo crediticio o de cualquier otra naturaleza
• Captar, almacenar y verificar referencias comerciales y laborales, información de ubicación y contacto, historial crediticio, bienes y activos propios.
• Actualizar, eliminar, desactivar, suspender o terminar el tratamiento de datos personales en la medida en que los medios tecnológicos y obligaciones contractuales entre las partes lo permitan.
• Permitir a la Compañía configurar una base de datos que pueda ser objeto de transferencia o trasmisión nacional o internacionalmente a terceros a cualquier título u objeto de otro negocio jurídico.
3.3.2. Canales de atención a los proveedores como titulares de la información
Los proveedores tienen derecho a conocer qué información personal tiene LA COMPAÑÍA de ellos y si lo consideran necesario, tienen derecho a actualizarla o rectificarla. Además, tienen derecho a requerir que se les suprima datos de las bases de datos de LA COMPAÑÍA, siempre y cuando el dato no sea necesario para adelantar las obligaciones legales y/o contractuales que rigen la relación con LA COMPAÑÍA. También tienen derecho a efectuar algún reclamo si consideran que LA COMPAÑÍA está incumpliendo con el régimen de protección de datos personales. El área de LA COMPAÑÍA encargada de atender los derechos será la Oficina Jurídica o quien haga sus veces.
El titular de la información podrá ejercer los derechos descritos a través del siguiente canal:
datospersonales@cobra.com.co
El titular de la información que considere que la información contenida en nuestras base de datos debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en las normas que regulan la Protección de los Datos Personales, podrá presentar un reclamo, que será tramitado bajo las siguientes reglas:
Para el caso de una consulta, ésta se formulará mediante solicitud preferiblemente escrita, por los mecanismos dispuestos en el presente documento, con la identificación del titular y la dirección a la cual le debe ser dirigida correspondencia. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atenderla dentro de dicho término, se informará al consultante, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Para el caso de un reclamo, éste se formulará mediante solicitud preferiblemente escrita, por los mecanismos dispuestos en el presente documento, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo y la dirección a la que le debe ser dirigida la correspondencia, acompañando los documentos que quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al reclamante dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el reclamante presente la información requerida, se entenderá que ha desistido del reclamo.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
En caso de que LA COMPAÑÍA no sea competente para resolver el reclamo, se dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al titular.
En caso de que el titular no haya quedado satisfecho con la respuesta, podrá elevar queja ante la Superintendencia de Industria y Comercio, una vez haya agotado el trámite de consulta o reclamo ante LA COMPAÑÍA.
La eliminación de la informará estará sujeta a que los medios tecnológicos que administren las bases de datos lo permitan. En todo caso, se desplegarán las acciones a disposición de LA COMPAÑÍA para atenderá la solicitud del cliente y para suspender el tratamiento que haya solicitado.
3.3.3. Otras bases de datos
No obstante, la lista de bases de datos aquí enunciada, LA COMPAÑÍA podrá tener otras bases de datos que serán registradas oportunamente ante la Superintendencia de Industria y Comercio.
A las demás bases de datos que existan, como es la base de datos de visitantes, se aplicará lo dispuesto en el numeral 2.3 de esta Política de Tratamiento de Datos Personales.
En LA COMPAÑÍA protegemos los datos personales consignados en las bases de datos que se han descrito en la presente política, razón por la cual se debe implementar un programa integral de gestión de datos personales.
4.1. Controles del programa integral de gestión de datos personales
4.1.1. Inventario bases de datos personales
Las bases de datos personales referidas en la presente política deben ser caracterizadas identificando en ellas los siguientes aspectos:
a. Quienes son los encargados del tratamiento de los datos personales en ellas contenidas
b. Cuáles son los canales definidos para que los titulares ejerzan sus derechos frente al régimen de protección de datos personales
c. Identificar si las bases de datos son digitales o físicas
d. Identificar las categorías de datos almacenadas en las bases de datos
e. Identificar los controles de seguridad de la información implementados en las bases de datos
f. Identificar si se cuenta con la autorización del tratamiento de los datos personales
g. Identificar si se hace transferencia y/o transmisión internacional de los datos personales
h. Identificar si se hace cesión o transferencia nacional de las bases de datos.
Tal caracterización, así como la presente política, debe ser registrada en el Registro Nacional de Datos Personales (RNBD) de la Superintendencia de Industria y Comercio (SIC). Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la presente política y la transferencia y transmisión internacional de datos personales.
Así mismo la COMPAÑÍA debe velar porque se registren ante el RNBD, los incidentes identificados que guarden relación con la protección de datos personales, en un término de quince (15) días hábiles
siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos. También será responsabilidad de LA COMPAÑÍA, el registro consolidado de los reclamos realizados por los titulares frente a la información contenida en las señaladas bases de datos.
4.2. Política de tratamiento de datos personales
La presente política será revisada mínimo una vez al año o cuando algún cambio importante que se presente en el contexto interno o externo de LA COMPAÑÍA y que impacte el tratamiento de datos personales, así lo amerite.
4.3. Gestión de riesgos asociados al tratamiento de datos personales
La gestión de riesgos asociados al tratamiento de datos personales se realizará con base en la metodología corporativa de gestión de riesgos aplicada a procesos, de esta manera los dueños de los procesos quedan como responsables de su gestión, en su calidad de dueños de estos riesgos.
4.4. Controles de seguridad de la Información
Debe garantizarse la continua actualización y seguimiento a los controles de seguridad de la información requeridos para la protección de datos personales que trata LA COMPAÑÍA. Estos controles son implementados en el marco de lineamientos definidos por LA COMPAÑÍA . Tales lineamientos son:
a. Políticas: Además de la presente política de tratamiento de datos personales, se tiene documentada, divulgada y socializada la política general de seguridad de la información cuyo objetivo es definir las intenciones globales y orientación de LA COMPAÑÍA relativas a la seguridad de la información tal y como se expresan formalmente por la alta dirección.
Igualmente se tienen documentadas, divulgadas y socializadas las políticas específicas de Seguridad de la Información que respaldan la política de seguridad de nivel superior y que estipulan la implementación de controles de seguridad de la información en atención a lo que se ha declarado aplicable a la organización. Están dirigidas a trabajadores, terceros (proveedores y contratistas) clientes y asociados involucrados en la generación, almacenamiento, procesamiento, uso, transmisión y eventual eliminación de la información de LA COMPAÑÍA. Los lineamientos abarcan todos los temas de la seguridad de la información como lo son el recurso humano, la tecnología, la documentación física y el entorno físico, la relación con los proveedores y los requisitos legales y contractuales.
Se tienen documentadas, divulgadas y socializadas las políticas operativas de seguridad informática entre las que se destacan: Correo electrónico corporativo, uso de contraseñas, mantenimiento y desarrollo de aplicaciones, red corporativa, estaciones de trabajo, uso de internet, política de contratistas, antivirus, licenciamiento y uso de software, y seguridad de bases de datos. Las políticas informáticas señaladas, se encuentran desarrolladas a través de controles que garantizan su cumplimiento que son gestionados a través de la organización y principalmente por el área de Informática de LA COMPAÑÍA.
El incumplimiento de alguna de las políticas aquí referenciadas acarreará sanciones disciplinarias de acuerdo a la magnitud y característica de la situación ocurrida.
4.5. Manejo de incidentes
Deben encontrarse documentados los pasos a seguir y los responsables, una vez se detecta la violación de los controles de seguridad o la pérdida, robo y/o acceso no autorizado de datos personales tanto a nivel correctivo como preventivo. Esto aplica para los sistemas de información y a los archivos físicos donde se gestionan datos personales.
4.6. Comunicación con los titulares
Este control hace referencia a las actividades de divulgación hacía los titulares, sobre los procedimientos y canales previstos mediante los cuales pueden ejercer sus derechos y, consecuentemente, a las actividades que enmarcan la gestión de las consultas, reclamos y peticiones por ellos realizadas para cada una de las bases de datos personales con que cuenta LA COMPAÑÍA y que han sido descritas en los capítulos previos.
4.7. Formación y educación
Para el cumplimiento del régimen de protección de datos personales, se deben definir divulgaciones a nivel general de empleados y contratistas de acuerdo a lo contenido en los planes de comunicación. Se deben implementar sensibilizaciones a grupos focales identificados de acuerdo a su misión en el tratamiento de datos personales. Igualmente se debe contar con un programa de capacitaciones específicas para la eficaz implementación de los controles que garantizan el debido cumplimiento de las disposiciones de la presente política.
4.8. Auditoria
Además de los ejercicios de auditoría interna y externa que incluyen la evaluación de la eficacia de los controles de seguridad de la información, debe incluirse en los planes de auditoría el ejercicio periódico de auditoría de tratamiento de datos.
4.9. Gestión de encargados del tratamiento de datos personales
Los encargados del tratamiento de datos personales, así como los contratistas y proveedores en general son gestionados en LA COMPAÑÍA a través del proceso de monitoreo y desarrollo de proveedores. A este grupo de interés de la organización le deben ser aplicables todos y cada uno de los controles antes descritos, a través de los cuales se asegure la implementación del régimen de protección de datos personales que les es pertinente.
LA COMPAÑÍA manifiesta que en ocasiones puede obrar como encargado de otro responsable de datos personales cuando así haya sido pactado entre estas partes.
En tales circunstancias, manifiesta la COMPAÑÍA que estará obligada a tratar los datos conforme a las instrucciones impartidas por su responsable.
Al no ser el propietario o responsable de las bases de datos tratadas en estas circunstancias, se sujetará y dará prioridad a la aplicación de la política de tratamiento de datos personales que les establezca su responsable. En caso de que el responsable, carezca de esta política o cuando no sea suficiente para proteger los datos personales, entonces de manera supletiva, aplicará la Política de Tratamiento de Datos Personales de LA COMPAÑÍA.
Esta versión de la política de tratamiento de datos personales entra a regir a partir del 25 de ABRIL de 2023 y tiene vigencia hasta la aprobación y publicación de una nueva versión que sea aprobada por LA COMPAÑÍA.
Si desea descargar el documento oficial por favor presiona AQUI