Política de tratamiento de datos personales
GENERCOL S.A.S E.S.P ZOMAC reconociendo la importancia de la seguridad, privacidad y confidencialidad de la información personal, dando cumplimiento a la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales” y al Decreto Reglamentario No. 1377 de 2013 “Por el cual reglamenta parcialmente la Ley 1581 de 2012, y en concordancia con el derecho fundamental autónomo “Habeas Data” consagrado en el artículo 15 de la Constitución Política de Colombia de 1991, se adopta la presente Política de Privacidad y Tratamiento de Datos Personales, la cual está dirigida a todos los titulares de los datos personales recopilados por la empresa y obliga a todos sus empleados directos y a los empleados directos de los contratistas y subcontratistas en lo que les sea aplicable.
Objetivo: Establecer los parámetros y lineamientos internos que regulen el uso adecuado de datos de carácter personal por parte de los responsables de su manejo y de las bases de datos que contengan tal información, con el propósito de garantizar los derechos de la privacidad, la intimidad y el buen nombre en la recolección, tratamiento y/o almacenamiento de los datos personales por parte de la empresa.
Alcance: Esta Política de Privacidad y Tratamiento de Datos Personales aplica a todos los procesos organizacionales y funcionarios en todos los niveles de la empresa, los socios comerciales y/o proveedores de servicios con los que la empresa colabore o establezca relaciones comerciales. Y tiene aplicación sobre todas las bases de datos y/o archivos que contengan datos personales que sean objeto de tratamiento por parte de la empresa.
Para los efectos de la presente política interna de la empresa, esta se interpreta con las definiciones textuales previstas en el artículo 3 de la Ley 1581 de 2012, y en el Decreto Reglamentario No. 1377 de 2013 salvo las que no figuran en ellas:
- Autorización: El consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
- Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
- Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
- Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen la pertenencia étnica, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
- Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
- Habeas data: Derecho fundamental que habilita al titular de información personal a exigir, de la administradora de sus datos personales, sobre estos conocer, actualizar, rectificar, autorizar, incluir, certificar y suprimir; esta última sólo cuando el administrador de las bases de datos ha quebrantado uno de los principios de la administración de datos.
- Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
- Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
- Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
- Transmisión: Tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
- Tratamiento: Constituye cualquier operación o cualquier conjunto de operaciones que se realice sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión, entre otros semejantes.
Principios rectores
La protección y el tratamiento de datos personales estarán sometidos a los siguientes principios, los cuales determinan las reglas fundamentales en los procesos internos relacionados con los datos personales, y se interpretarán de manera integral y armónica con lo dictaminado por la legislación colombiana:
- Consentimiento informado o principio de libertad: Los datos personales que utilice la empresa, se adquieren y/o manejan con el consentimiento previo, expreso e informado del titular, salvo mandato legal o judicial que supla el consentimiento del titular.
- Legalidad: Se desarrolla el tratamiento de datos personales de conformidad con la Ley
1581 de 2012 y demás disposiciones que lo reglamenten o limiten, en procura del respeto de los derechos de sus titulares. - Finalidad del dato personal: El uso, obtención y/o manejo de datos personales debe obedecer una finalidad legítima, acorde con la Constitución Política y la ley; la misma debe informarse de manera concreta, precisa y previa al titular para que éste expresa su consentimiento.
- Veracidad o calidad del dato personal: Los datos personales que recolecte, use y/o maneje la empresa deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados.
- Transparencia: Se garantiza el derecho del titular del dato personal a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento, sin restricciones, información acerca de la existencia datos que le conciernen.
- Pertinencia del dato personal: Aquellos datos personales recaudados por la empresa, deben ser adecuados, pertinentes y no excesivos, a tono con la finalidad de este. Se prohíbe la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen.
- Acceso y circulación restringida: La empresa usa los datos personales que recolecte o trate, en el ámbito de la finalidad y autorización concedida por el titular del dato personal, por tanto, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros. Los datos personales bajo custodia de la empresa, no pueden estar disponibles en Internet o en cualquiera otro medio de divulgación masiva, salvo que el acceso sea técnicamente controlable y seguro, y para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a lo dispuesto en la Ley y los principios que gobiernan la materia.
- Temporalidad del dato personal: La empresa recolecta, almacena, usa o circula los datos personales durante el término razonable y necesario. Por lo tanto, debe cesar en el uso del dato personal cuando haya agotado la finalidad para la cual fue recolectado y/o tratado.
- Seguridad del dato personal: La empresa debe adoptar las medidas de seguridad físicas, técnicas, humanas, tecnológicas y/o administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento garantizar los atributos de integridad, autenticidad y confiabilidad de los datos personales.
- Confidencialidad: Todas las personas que intervengan en el tratamiento de datos de carácter personal tienen la obligación profesional de guardar y mantener la reserva de tales datos, obligación que subsiste aún finalizada la relación contractual, pudiendo sólo realizar suministro o comunicación de datos personales cuando a ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012 y en los términos de esta. La empresa implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido.
- Deber de información: La empresa debe informar a los titulares de los datos personales, responsables y encargados del tratamiento, la política de protección de datos adoptada por la empresa, así como la finalidad y demás principios que regulan el tratamiento de estos datos. Informará además sobre la existencia de las bases de datos de carácter personal que custodie, los derechos y el ejercicio del Habeas Data por parte de los titulares, procediendo al registro que exige la ley.
- Protección especial de datos sensibles: La empresa sólo puede recolectar datos personales de carácter sensible cuando ello sea necesario y pertinente para su actividad empresarial. En cada caso, debe obtener autorización expresa del titular, o bien verificar que su tratamiento se origine y legitime en el marco de una relación contractual y/o comercial, o bien provenga de autorización legal.
El tratamiento que hace la empresa de datos personales en la prestación de sus actividades comerciales, así como para el fortalecimiento de sus relaciones con terceros y, en general, en el desarrollo de su objeto social, consiste en recolectar, almacenar, procesar, usar, circular, suprimir y transmitir o transferir, según corresponda, aquellos que pertenecen a las personas naturales con quienes tiene o ha tenido relación, atendiendo estrictamente los deberes de seguridad y confidencialidad ordenados por la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, para las siguientes finalidades o propósitos:
- El desarrollo de su objeto social y de la relación contractual y/o laboral que lo vincula con el titular.
- Actividades de carácter comercial y técnica relacionadas con la empresa.
- Evaluar la calidad de los servicios que ofrece.
- Informar a una población específica los nuevos servicios y/o proyectos.
- Realizar tratamientos estadísticos de los datos que posee.
- Atender adecuadamente las peticiones, quejas y reclamos que reciba.
- Verificar la información laboral.
- Verificar la información contable.
- Consultar en las centrales de antecedentes judiciales o de seguridad legítimamente constituida.
- Consultar en las listas para la prevención y el control de lavado de activos y financiación del terrorismo.
- Ejecutar los contratos que se tienen suscritos con la empresa.
- Realizar el pago de las obligaciones contractuales contraídas.
- Enviar información a entidades judiciales o gubernamentales por solicitud expresa de las mismas.
- Por requerimientos de entes de vigilancia y control conforme a las exigencias particulares.
- Soportar procesos de auditoría interna y externa.
- Registrar la información de socios y copartícipes, clientes, proveedores, empleados, contratistas, y visitantes en la base de datos de la empresa.
- Recolectar datos para el cumplimiento de los deberes que como responsable de la información y de los datos personales, le corresponden a la empresa.
- Las demás finalidades que determine la empresa en desarrollo de su objeto social, las cuales en todo caso serán conforme con la ley y en especial el cumplimiento específico en materia de protección de datos.
Cuando sea el caso de datos personales sensibles, el tratamiento de estos por parte de la empresa será en debido cumplimiento a lo establecido en la Ley 1581 de 2012, sus decretos reglamentarios y demás normas que regulen en dicha materia. Por ende, de conformidad con lo establecido en el artículo 6 de la mencionada ley y normas reglamentarias, procederá la autorización para tratamiento de datos sensibles sólo cuando se cumpla con los siguientes requisitos:
I) Que haya autorización explícita del titular de los datos sensibles;
II) Que el titular conozca que no está obligado a autorizar el tratamiento de dicha información;
III) Que se informe al titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.
De igual manera, podrá hacerse uso y tratamiento de datos personales sensibles cuando:
I) El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
II) El tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del titular;
III) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial y cuando;
IV) El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad del titular.
V) Adicionalmente los datos sensibles referentes al estado de salud empleados y contratistas, serán suministradas a las entidades de vigilancia y control publicas o privadas, con el objetivo de garantizar el cumplimiento de los requisitos normativos en materia de SEGURIDAD Y SALUD EN EL TRABAJO – SST, y requerimientos contractuales directamente relacionados con la prestación del servicio y el desarrollo del objeto social de la empresa.
Para el caso de tratamiento de datos personales de niños, niñas y adolescentes el tratamiento de datos personales está prohibido, excepto cuando se trate de datos de naturaleza pública, o cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos:
I) Que respondan y respeten el interés superior de los niños, niñas y adolescentes;
II) Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes podrá otorgar la autorización para el tratamiento de datos personales, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
AUTORIZACIÓN
A efectos de llevar a cabo los fines anteriormente mencionados, la empresa requiere del consentimiento libre, previo, expreso e informado del titular de los datos personales, para lo cual ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares por escrito, de forma oral o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio del titular podrá asimilarse a una conducta inequívoca. Se tendrá como conductas inequívocas el envío de datos personales adjuntos a los correos electrónicos corporativos de la empresa o el ingreso o cargue de los mismos a través de las plataformas o aplicativos establecidos para tal efecto de haberlos, o cualquier otro medio que no admita duda sobre la voluntad de autorizar el tratamiento, garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización. La misma podrá constar en cualquier medio, bien sea un documento físico, electrónico, mensaje de datos, internet, sitios web, o en cualquier formato que garantice su posterior consulta a través de herramientas técnicas, tecnológicas y desarrollos de seguridad informática. La autorización será generada por la empresa y será puesta a disposición del titular con antelación y de manera previa al tratamiento de sus datos personales.
La empresa utilizará los mecanismos con que cuenta actualmente, e implementará y adoptará las acciones tendientes y necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo autorización por parte de los titulares de datos personales para el tratamiento de los mismos.
Para dar cumplimiento a lo anterior, se podrán establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin.
No será necesaria la autorización del titular cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
- Datos de naturaleza pública;
- Casos de urgencia médica o sanitaria;
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
- Datos relacionados con el registro civil de las personas.
La autorización será una declaración luego de que se haya informado, al titular de los datos, la siguiente información:
- Quien es el responsable o encargado de recopilar la información
- Datos recopilados
- Finalidades del tratamiento
- Procedimiento para el ejercicio de los derechos de acceso, corrección, actualización o supresión de datos
- Información sobre recolección de datos sensibles
DEBERES EN EL TRATAMIENTO DE DATOS PERSONALES
En los eventos donde la empresa actúe como responsable y/o encargado del tratamiento de datos, sea por sí mismo o en asocio con otros, cumplirá con los siguientes deberes:
- Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de
Habeas Data y la protección de los datos personales. - Solicitar y conservar, copia de la respectiva autorización otorgada por el titular.
- Como responsable, informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Como responsable, garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible. Como encargado, realizar oportunamente la actualización, rectificación o supresión de los datos.
- Actualizar la información; como responsable, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado. Como encargado, cuando los responsables le hayan reportado, dentro de los cinco (5) días hábiles a partir de su recibo, y en ambos casos adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
- Como responsable, rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
- Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado.
- Como responsable, exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular. Como encargado, permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- Tramitar las consultas y reclamos formulados. Además, como encargado, debe registrar en la base de datos las leyendas “reclamo en trámite” e “información en discusión judicial”.
- Como responsable, informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo. Como encargado, abstenerse de circular información que esté siendo controvertida por el titular.
- Informar a solicitud del titular sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Como responsable, usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012. Como encargado, Verificar la existencia de la autorización y su alcance.
DERECHOS DE LOS TITULARES Y LEGITIMACIÓN
Quienes poseen legitimación para el ejercicio de los derechos del titular son: el respectivo titular, acreditando su identidad de forma suficiente; sus causahabientes, debidamente acreditados; el representante y/o apoderado del titular, acreditando debidamente su calidad; por estipulación a favor de otro. En el caso de menores de edad, el ejercicio de los derechos únicamente podrá ser ejercido por las personas debidamente facultadas por la ley. Todos los anteriores podrán ejercer los siguientes derechos:
- Conocer, actualizar y rectificar sus datos personales frente a la empresa, y los encargados del tratamiento de los mismos. Este derecho se podrá ejercer, entre otros, frente a datos personales parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- Solicitar prueba de la autorización otorgada a la empresa, salvo que la ley indique que dicha autorización no es necesaria.
- Presentar solicitudes ante la empresa o el encargado del tratamiento respecto del uso que se le ha dado a sus datos personales y a recibir la respectiva respuesta a su solicitud.
- Revocar su autorización y/o solicitar la supresión de sus datos personales de las bases de datos de la empresa, en cualquier momento.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
ACCESO, CONSULTA, ACTUALIZACIÓN Y RECLAMACIÓN
La empresa reconoce el derecho a toda persona de acceder y conocer si su información personal está siendo objeto de tratamiento por parte de ella, así como el alcance, condiciones y generalidades de dicho tratamiento. Los titulares o sus causahabientes pueden consultar la información personal del Titular que repose en cualquier base de datos, actualizarla y/o presentar reclamos con relación a sus datos.
Para CONSULTA, RECTIFICACIÓN Y/O ACTUALIZACIÓN: Podrá consultar, rectificar y/o actualizar sus datos a través del correo electrónico info@genercol.com.co . Las mismas serán atendidas en un término no superior a cinco (5) días hábiles desde notificada la empresa.
Para RECLAMACIÓN: a través de los canales utilizados para consultas, rectificaciones y/o actualizaciones, el titular podrá manifestar reclamaciones con sentido de que se suprima o corrija sus datos personales, o se revoque la autorización dada a la empresa, acompañada de lo siguiente: número de documento de identificación del titular, descripción de los hechos que dan lugar a la corrección o supresión reclamada de los datos personales o a la revocación de la autorización dada a la empresa, dirección para responder, documentos que se requieran para hacer valer la reclamación. De hallarse incompleto el reclamo, en la reunión de tales requisitos, se le solicitará al interesado dentro de los 5 días siguientes a la recepción del reclamo, que subsane, en un plazo de dos (2) meses, término después del cual se entenderá que ha desistido del reclamo.
Como una forma de reclamación, cuando se presenten las siguientes situaciones, el titular de los datos tendrá derecho a solicitar a la empresa la supresión de sus datos personales:
a) Cuando considere que sus datos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley 1581 de 2012 y los de esta política.
b) Cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados o se haya superado el periodo necesario para el cumplimiento de esta.
c) Al titular que tenga un deber legal o contractual de permanecer en la base de datos de la empresa, esta podrá negarle la solicitud de supresión del dato que sea necesario en atención al deber legal que le asiste al titular.
ÁREAS ENCARGADAS DE LA PROTECCIÓN DE DATOS Y CONTROL
La función de protección de datos personales es GENERCOL S.A.S E.S.P ZOMAC, quien designa a los líderes de las siguientes áreas de acuerdo con las siguientes bases de datos:
El Sistema Integrado de Gestión, mediante su coordinador y/o demás integrantes, hará el respectivo control verificando el correcto tratamiento y cumplimiento de las solicitudes interpuestas por los Titulares de los datos personales objeto de reclamo y dará las recomendaciones necesarias mediante informe de seguimiento.