GESTIÓN DE RIESGOS
MANUAL DE TRATAMIENTO DE DATOS
Código:
Versión: V01
Vigencia: 2023-08-31
MANUAL INTERNO DE TRATAMIENTO DE DATOS PERSONALES ABURRAMOTOS
CAPÍTULO I
1. ASPECTOS GENERALES
Por medio del presente manual, Aburramotos da cumplimiento a lo establecido en el literal k del artículo 17 de la Ley 1581 de 2012, que regula los deberes a los que están sometidos los responsables del tratamiento de los datos personales, dentro de los cuales se ordena adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de mencionada ley y en especial para la atención de consultas y reclamos.
2. MARCO JURÍDICO
El presente documento ha sido redactado e inspirado en el respeto de lo establecido en la Ley 1581 de 2012, el Decreto 1377 de 2013 y la Sentencia C-748 de 2011, su interpretación ha de ser basada en los referidos elementos normativos y en criterios de autonomía y buena fe.
3. APLICACIÓN POLÍTICA PROTECCIÓN DE DATOS PERSONALES
Aburramotos, en calidad de responsable de la información recolectada de sus aspirantes, empleados, proveedores, contratistas, socios, clientes y demás, en todo lo dispuesto en materia de protección de datos personales, dará cumplimiento a la Ley 1581 de 2012, Decreto 1377 de 2013 y en general a lo establecido en la Política de Protección de Datos Personales de Aburramotos, la cual podrá consultarse en el archivo físico de la compañía ubicado en la dirección Calle X, Nº Y, Ciudad, País.
4. OBJETIVO
El presente documento tiene como objetivo establecer las políticas por parte de Aburramotos para el tratamiento de los datos personales de todos sus clientes activos y potenciales, usuarios, empleados, candidatos a empleados y proveedores, en el desarrollo de su objeto social y conforme a la ley y la Constitución Nacional que de una u otra forma tengan acceso a la información personal consignada en las distintas bases de datos de la compañía.
5. IDENTIFICACIÓN DEL RESPONSABLE DE TRATAMIENTO DE DATOS PERSONALES
Dirección domicilio principal: Cl. 52 # 49 – 27, Los Naranjos, Itagüi, Antioquia
Teléfono: 311 2234349
6. DEFINICIONES
- Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Base de Datos: conjunto organizado de datos personales que sea objeto de Tratamiento.
- Dato Personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Encargado del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento.
- Responsable Del Tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
- Titular: persona natural cuyos datos personales sean objeto de Tratamiento.
- Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
- Dato Personal Público: aquellos datos personales que las normas y la Constitución han determinado expresamente como públicos y, para cuya recolección y tratamiento, no es necesaria la autorización del titular de la información.
- Dato Personal Semiprivado: datos que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de personas o a la sociedad en general. Para su tratamiento se requiere la autorización expresa del titular de la información.
- Dato Personal Privado: dato personal que por su naturaleza íntima o reservada solo interesa a su titular y para su tratamiento requiere de su autorización expresa.
- Dato Personal Sensible: dato personal de especial protección, por cuanto afecta la intimidad del titular y su tratamiento puede generar discriminación. No puede ser objeto de tratamiento a menos que sea requerido para salvaguardar un interés vital del titular o este se encuentre incapacitado y su obtención haya sido autorizada expresamente.
- Transferencia: operación que realiza el responsable del Tratamiento, cuando envía la información a otro receptor, que, a su vez, se convierte en responsable del tratamiento de esos datos.
7. VIGENCIA
La presente Política para el Tratamiento de Datos Personales rige a partir del 30 de julio de 2024. Las bases de datos en las que se registran los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta política. Una vez se cumpla(n) esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar su información, se suspenderá el uso de los datos.
CAPÍTULO II
1. DISPOSICIONES ESPECIALES
1.1. DEBERES DE ABURRAMOTOS COMO RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
De acuerdo con las definiciones legales y propias de esta política empresarial interna de tratamiento de datos, Aburramotos actuará como responsable del tratamiento de datos personales y cumplirá con los deberes establecidos en el artículo 17 de la Ley 1581 de 2012.
1.2. DEBERES DE LOS FUNCIONARIOS DESIGNADOS PARA EL TRATAMIENTO DE LA INFORMACIÓN
Los empleados o funcionarios encargados para el tratamiento de datos asumirán su responsabilidad como tales y tendrán como obligaciones principales:
- Garantizar al titular, de manera permanente, el pleno y efectivo ejercicio del derecho de Hábeas Data; entendiendo por este el derecho a conocer, actualizar y rectificar la información que sobre él reposa en las bases de datos personales que son administradas por el encargado de tratamiento,
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento,
- Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley,
- Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo,
- Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la ley,
- Registrar en la base de datos las leyendas «reclamo en trámite» en la forma en que se regula en la ley,
- Insertar en la base de datos las leyendas «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal,
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio,
- Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella,
- Antes de que el equipo de cómputo sea cedido o desechado, además de realizar borrador seguro, también será necesario eliminar las carpetas temporales, los datos guardados en las cookies, los backups de los datos, configuración de cuentas de usuario y de correo.
2. TITULARES DE DATOS PERSONALES
2.1. AUTORIZACIONES Y CONSENTIMIENTO
El procedimiento para conseguir o fijar en medios de prueba, la manifestación de voluntad o autorización del titular de los datos personales será el siguiente:
- Se pondrá en conocimiento del titular, las consideraciones respecto de la importancia de manifestar su autorización para el uso de sus datos personales, atendiendo a los aspectos más importantes de la presente política de manejo de datos,
- Una vez explicadas las consideraciones en relación con la autorización requerida, le será entregado un formato de autorización que deberá ser suscrito por el titular,
- En los casos en los que se requiera de una autorización masiva de tratamiento de datos, el encargado del evento en el que se desarrolle la recolección de datos, explicará al público las implicaciones de la aceptación o autorización de tratamiento de datos personales. A continuación, hará entrega de las respectivas planillas en las que las personas consignarán sus datos; dichas planillas y el acta o formato de autorización se entenderán como un solo documento,
- En cualquier caso, la suscripción de cualquier tipo de autorización para el manejo de datos hará indispensable una explicación de parte del funcionario sobre las implicaciones relativas a la presente política,
- Las autorizaciones deberán constar en medios físicos o digitales; sus modelos o formatos de aceptación estarán disponibles en Cl. 52 # 49 – 27, Los Naranjos, Itagüi, Antioquia
2.2. PRUEBA DE LA AUTORIZACIÓN
Podrá ser física o electrónica. Los repositorios o archivos en los que se dé cuenta de las actividades que se realicen se mantendrán en la sede de la empresa y serán custodiados por la persona encargada para tal fin. La suscripción de la autorización para el manejo de datos personales o aviso de privacidad será prueba de la voluntad del titular y otorgará la facultad de manejar sus datos de acuerdo con la finalidad establecida en el documento para tal fin.
2.3. DERECHOS DE LOS TITULARES DE DATOS
Los titulares podrán presentar solicitudes ante Aburramotos, atendiendo a los siguientes derechos:
- Acceder, conocer, rectificar y actualizar sus datos personales; este derecho será conocido con el nombre de Hábeas Data,
- Solicitar prueba de la autorización otorgada para el tratamiento de sus datos,
- Recibir información respecto al uso que se le ha dado a sus datos personales,
- Acudir ante las autoridades, en especial ante la Superintendencia de Industria y Comercio, y presentar quejas por infracciones a lo dispuesto en la normatividad vigente y en el presente documento,
- Modificar y revocar la autorización y/o solicitar la supresión del dato personal,
- Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
El ejercicio de los derechos por parte de los titulares de datos personales, se realizará de manera personal acreditando su identidad a través de la exhibición de su documento de identidad o el de sus dependientes; así mismo podrán hacerlo sus herederos, su apoderado y demás personas que sean facultadas por este de manera suficiente.
2.4. PROCEDIMIENTOS PARA HACER EFECTIVOS DERECHOS DE LOS TITULARES
Los titulares, o sus causahabientes, podrán consultar la información personal del titular que repose en cualquier base de datos. En consecuencia, Aburramotos garantizará que los titulares puedan hacer efectivos sus derechos a través de los siguientes mecanismos:
2.5. CONSULTAS
La consulta es el derecho que poseen los titulares de conocer la información personal que reposa en cualquier base de datos de Aburramotos, la cual será atendida en un máximo de diez (10) días hábiles contados desde la fecha de recibo. Con el fin de atender las consultas que se presenten en relación con los datos personales que posea la sociedad comercial, se procederá de la siguiente manera:
- Previo a la presentación de solicitudes, la empresa habilitará canales de comunicación física o electrónica lo suficientemente sencillos como para garantizar el acceso a los datos personales por parte de los titulares de los datos. Estos canales de acceso y comunicación deberán facilitar en todo caso los derechos de los titulares y se harán mediante formularios preestablecidos sean físicos o virtuales,
- Una vez recibida la consulta, esta se dirigirá al área encargada de la administración de los datos personales, la cual la identificará, radicará y procederá a estudiarla,
- En un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo, deberá remitirse la respuesta a la consulta de acuerdo con el canal de comunicación establecido por el solicitante al momento de su solicitud, sea física o electrónica,
- Si por algún motivo ajeno a la voluntad del responsable de datos, no fuere posible atender la consulta dentro del término mencionado en el numeral anterior, se informará al interesado con dos (2) días hábiles previos al vencimiento, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
2.6. RECLAMOS
De acuerdo con lo establecido en las leyes que regulan la materia, el titular, sus herederos o representantes, pueden presentar reclamos cuando consideren que la información contenida en la base de datos deba ser corregida, actualizada o suprimida; así mismo podrán hacerlo cuando consideren que el responsable del tratamiento no ha cumplido con las disposiciones normativas vigentes. Los reclamos se tramitarán de la siguiente manera:
- Establecidos los canales de consulta y reclamo que deben darse a conocer al público en general, los interesados presentarán sus reclamos mediante comunicación dirigida a Aburramotos estableciendo su identificación, los hechos que lo llevan a presentar su reclamación, su información para notificación y aquellos documentos que pretenda hacer valer,
- De ser necesario, Aburramotos, como responsable de datos personales, podrá requerir al reclamante para que en un término de cinco (5) días adicione su solicitud con el fin de darle respuesta. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo,
- En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado,
- Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido,
- El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término,
- Las reclamaciones podrán versar sobre rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad.
2.7. RECTIFICACIÓN, ACTUALIZACIÓN Y SUPRESIÓN DE DATOS
Se procederá de conformidad a las solicitudes de los titulares de los datos, siempre que presenten sus solicitudes de acuerdo con las normas mínimas sobre el tema. La supresión no requerirá esgrimir argumentos más allá de la simple voluntad del dato y por ello no habrá lugar a la réplica de parte del responsable de datos.
La solicitud de rectificación, actualización o supresión deberá ser presentada a través de los medios anteriormente descritos y contendrá:
- El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta,
- Los documentos que acrediten la identidad o la personalidad de su representante,
- La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos,
- En caso dado, otros elementos o documentos que faciliten la localización de los datos personales.
3. SISTEMA DE GESTIÓN DE DATOS PERSONALES
3.1. Socialización de la Política de Tratamiento de Datos Personales: La política deberá ser comunicada y publicada tanto en medio físico como electrónico, esto es, a través de correo electrónico institucional enviado desde el órgano directivo de la compañía y su publicación en la página web de la sociedad.
3.2. Definición del Oficial de Protección de Datos Personales: A través de una reunión interna de la dirección de la empresa, se definirá la persona que asumirá el cargo de Oficial de Protección de Datos Personales y se sentará un acta de la reunión aludida como constancia y prueba de la ocurrencia de esta.
El Oficial de Protección de Datos Personales es la persona designada al interior de la compañía como el responsable de vigilar el cumplimiento del Sistema de Gestión de Datos Personales. Sus principales responsabilidades son la medición y evaluación permanente, y el trámite de las solicitudes que realicen los titulares de la información. Las funciones principales del Oficial de Protección de Datos Personales son:
- Actualizar la Política de Tratamiento de Datos Personales una vez por año,
- Socializar periódicamente la Política de Tratamiento de Datos Personales,
- Coordinar la definición e implementación de los controles del Sistema de Gestión de Datos Personales,
- Servir de coordinador con las demás áreas de la compañía para asegurar una correcta implementación transversal del Sistema de Gestión de Datos Personales,
- Impulsar una cultura de protección de datos dentro de la organización,
- Actualizar periódicamente el registro realizado en el Registro Nacional de Base de Datos establecido por la Superintendencia de Industria y Comercio,
- Realizar capacitaciones periódicas a los empleados en relación con la protección de datos personales,
- Capacitar a los empleados nuevos que tengan acceso debido a las condiciones de su cargo a datos personales dentro de la organización,
- Velar por la implementación de auditorías internas con el fin de verificar el cumplimiento de sus políticas de tratamiento de datos personales.