Política de tratamiento de datos
1. NOMBRE E IDENTIFICACIÓN DE LA EMPRESA
CEBARTE SAS,
NIT 900746884-0,
DIRECCION CL 94A #11A-32 OF 505, Bogotá, Cundinamarca
Teléfono (1) 7033815
Email contabilidad@cebarte.com
2. NORMATIVIDAD APLICABLE
El presente documento da cumplimiento a la Ley 1581 de 2012 (“Por la cual se dictan disposiciones generales para la protección de datos personales”) y el Decreto 1377 de 2013 (“Por el cual se reglamenta parcialmente la Ley 1581 de 2012”).
3. DEFINICIONES
- Titular: Persona física cuyos datos sean objeto de Tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente.
- Usuario: Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal.
- Dato personal: Es cualquier Dato y/o información que identifique a una persona física o la haga identificable. Pueden ser Datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de cualquier otro tipo.
- Datos Personales Sensibles: Categoría de carácter personal especialmente protegida, por tratarse de datos relacionados con la intimidad del Titular o cuyo uso indebido puede generar discriminación. Son, entre otros, aquellos concernientes a la salud, sexo, orientación política, raza pertenencia a sindicatos, huellas biométricas o/y origen étnico, etc.
- Dato público: todos aquellos datos que no sean semiprivados, privados o sensibles de conformidad con la Ley 1581 de 2012. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Tratamiento de Datos Personales: Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre Datos Personales, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.
- Base de Datos Personales: Es todo conjunto organizado de Datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
- Cesión de base de Datos: Tratamiento de Datos que supone su revelación a una persona diferente al titular del Dato o distinta de quien estaba habilitado como cesionario.
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
- Responsable del Tratamiento: Es la persona natural o jurídica, de naturaleza pública o privada, que recolecta los Datos Personales y decide sobre la finalidad, contenido y uso de la base de Datos para su Tratamiento.
- Encargado del Tratamiento: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
- Custodio de la Base de Datos: Es la persona física que tiene bajo su custodia la base de Datos Personales al interior de la empresa.
- Habeas Data: Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y Datos Personales que de ella se hayan recolectado y/o se traten en bases de Datos públicas o privadas, conforme lo dispuesto en la Ley y demás normatividad aplicable.
- Violación de Datos Personales: Es el delito creado por la ley 1273 de 2009, contenido en el artículo 269 F del Código Penal Colombiano. La conducta prohibida es la siguiente: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, Datos Personales contenidos en base de Datos, archivos, bases de Datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.
- Violaciones de las Medidas de Seguridad de los Datos Personales: Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por la empresa para proteger los Datos Personales entregados para su custodia, sea como Responsable y/o Encargado del Tratamiento, así como cualquier otra conducta que constituya un Tratamiento inadecuado de Datos Personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los Datos Personales en poder la empresa deberá ser informado a la autoridad de control en la materia.
4. DERECHOS DEL TITULAR DE LOS DATOS
- A Conocer, actualizar y rectificar sus datos personales ante los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer entre otros, referente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
- A Solicitar prueba de la autorización otorgada al Responsable del Tratamiento.
Nota: Hay casos en que expresamente se exceptúa la autorización requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
- A Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que les haya dado a sus datos personales.
- A Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
- A Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
- A Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
- A ser informado sobre el procedimiento y el contacto de la persona o área responsable de la atención de peticiones, consultas y reclamos, ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir datos; y a revocar la autorización.
5. DEBERES DE LA EMPRESA COMO RESPONSABLES DE LA INFORMACIÓN
- Garantizar al titular, el derecho que le asiste en el cumplimiento de Hábeas Data.
- Solicitar y conservar, la copia de la autorización otorgada por el Titular.
- Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Rectificar la información en caso necesario y comunicar lo pertinente a cada encargado del Tratamiento de información.
- Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012.
6. PROCEDIMIENTO Y CANALES PARA LA ATENCION DE SOLICITUDES CONSULTAS Y RECLAMOS
El titular o la persona autorizada podrá formular solicitudes o consultas a través de:
- Línea de atención al cliente: (1)7033815
- Requerimiento escrito: Calle 94A #11A-32 OF 505, Bogotá, Cundinamarca
- email: contabilidad@cebarte.com
La consulta será atendida en un término máximo de 10 días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuera posible atender la consulta dentro del término antes indicado la empresa lo expresará así al interesado, señalando la fecha en que se atenderá su consulta.
7. MEDIDAS DE SEGURIDAD
La empresa se encarga de tomar las medidas necesarias para garantizar la seguridad de la base de datos personales evitando así uso no autorizado, adulteración o pérdida.
8. VIGENCIA
El presente manual rige a partir del veinte (20) de junio de 2017
9. PROGRAMA A NIVEL DIRECTIVO, MANUAL INTERNO
Con el fin de dar un debido cuidado al tratamiento de la información, la gerencía hace un seguimiento semestral a las normativas implementadas.
9.1 POLITICA DE SEGURIDAD DE ALMACENAMIENTO ELECTRONICO
9.2 POLITICA DE DESTRUCCION DE INFORMACION
9.3 POLITICA DE AUDITORIA
9.4 POLITICA PARA TERCEROS
En el evento de ceder las bases de datos en su totalidad o parcialmente a un tercero, la empresa tiene como compromiso revisar las políticas de protección de datos que maneja la compañía a quien se le comparte la información de los titulares. Se deja constancia con los respectivos documentos que soporten que la responsabilidad hacia los titulares y el tratamiento que se les da a los datos, recae sobre la compañía tercerizadora.
9.5 POLITICA DE PROTECCIÓN DE LA INFORMACIÓN A TRAVÉS DEL USO DE EQUIPOS MULTIFUNCIONALES (IMPRESORA, FOTOCOPIADORA, ESCÁNER Y FAX).
-
Se prohíbe el uso de copias de documentos que contengan información personal o datos confidenciales y se destinen con fines de reciclaje.
-
Recoger inmediatamente todos los faxes, impresiones y/o fotocopias que contengan información confidencial para evitar su revelación.
-
Se debe imprimir solo lo que es estrictamente necesario.
-
Verificar el equipo multifuncional o impresora y las áreas adyacentes para asegurarse de que no queden copias adicionales. Si encuentra copias adicionales se deben destruir. (El uso de trituradores de papel es recomendado)
-
Los empleados deben asegurarse que tienen el documento original antes de retirarse del equipo multifuncional o de la impresora.
-
Si el equipo multifuncional o la impresora no están funcionando, borre el archivo de impresión.
-
Verificar el número al que se enviará el fax antes de hacerlo, para evitar él envió de documentos a números equivocados.
10. BASES DE DATOS
10.1 CLIENTES
10.2 NOMINA
10.3 PROVEEDORES
11. GESTION DE RIESGOS
La Empresa tiene conocimiento de la existencia de los riesgos de seguridad cibernética e informática, los cuales pueden presentarse en cualquier momento. No existe un plan de riesgo establecido sin embargo se siguen lineamientos tales como el reporte al grupo de respuesta a emergencias cibernéticas de Colombia colCERT, en su sitio web www.colcert.gov.com, lo anterior en caso de que la compañía sea blanco de un ataque cibernético.
En caso de observar que la información personal haya sido manipulada en forma incorrecta la empresa contactara a la SIC http://sic.gov.co para dar aviso de esta conducta.
Manejo de riesgos también implica el establecimiento de un plan de contingencia para incidentes en una eventualidad como puede ser fuego, la pérdida de un computador, descargue no intencional de un malware entre otros, para los cuales existen algunas medidas de prevención como son:
- Encriptación de disco duro
- Respaldos de seguridad
- Servidor externo a la organización
- Extintores de incendio
12. DATOS RECOLECTADOS ANTES DE JUNIO DE 2013 art. 9
Decreto 1377 de 2013 Artículo 2.2.2.25.2.7. Para estos los datos se tendrá en cuenta lo siguiente:
- Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 2.2.2.25.2.4., a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.
- Para efectos de lo dispuesto en el numeral 1, se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de datos.
- Si los mecanismos citados en el numeral 1 imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación. Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación responsable y el mecanismo alterno de comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ellos comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado. A su vez se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.
- Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3 el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente capítulo, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.
- En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581 de 2012 y el presente capítulo. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.
Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizase a más tardar dentro del mes siguiente de la publicación del Decreto 1377 de 2013.
13. PLAZO PARA IMPLEMENTAR LA PROTECCION DE DATOS
La Ley 1581 del 17 de Octubre de 2012, en su artículo 28 estableció un plazo de 6 meses para aplicar y adaptar de políticas por parte de las empresas que hagan las veces de encargados y/o responsables del tratamiento de datos.
14. RESPONSABILIDAD
Por todo lo anterior, CEBARTE SAS se declara responsable de las presentes políticas y del tratamiento de protección de datos que en sus funciones desarrolle frente a las personas naturales, titulares de datos de carácter personal.