Política de tratamiento de datos

1. NOMBRE E IDENTIFICACI√ďN DE LA EMPRESA

CEBARTE SAS,

NIT                   900746884-0,

DIRECCION     CL 94A #11A-32 OF 505, Bogotá, Cundinamarca

Teléfono           (1) 7033815

Email                contabilidad@cebarte.com

 

2. NORMATIVIDAD APLICABLE

El presente documento da cumplimiento a la Ley 1581 de 2012 (‚ÄúPor la cual se dictan disposiciones generales para la protecci√≥n de datos personales‚ÄĚ) y el Decreto 1377 de 2013 (‚ÄúPor el cual se reglamenta parcialmente la Ley 1581 de 2012‚ÄĚ).

3. DEFINICIONES

  • Titular: Persona f√≠sica cuyos datos sean objeto de Tratamiento. Respecto de las personas jur√≠dicas se predica el nombre como derecho fundamental protegido constitucionalmente.
  • Usuario: Es la persona natural o jur√≠dica que tiene inter√©s en el uso de la informaci√≥n de car√°cter personal.
  • Dato personal: Es cualquier Dato y/o informaci√≥n que identifique a una persona f√≠sica o la haga identificable. Pueden ser Datos num√©ricos, alfab√©ticos, gr√°ficos, visuales, biom√©tricos, auditivos, perfiles o de cualquier otro tipo.
  • Datos Personales Sensibles: Categor√≠a de car√°cter personal especialmente protegida, por tratarse de datos relacionados con la intimidad del Titular o cuyo uso indebido puede generar discriminaci√≥n. Son, entre otros, aquellos concernientes a la salud, sexo, orientaci√≥n pol√≠tica, raza pertenencia a sindicatos, huellas biom√©tricas o/y origen √©tnico, etc.
  • Dato p√ļblico: todos aquellos datos que no sean semiprivados, privados o sensibles de conformidad con la Ley 1581 de 2012. Son considerados datos p√ļblicos, entre otros, los datos relativos al estado civil de las personas, a su profesi√≥n u oficio y a su calidad de comerciante o de servidor p√ļblico. Por su naturaleza, los datos p√ļblicos pueden estar contenidos, entre otros, en registros p√ļblicos, documentos p√ļblicos, boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no est√©n sometidas a reserva.
  • Tratamiento de Datos Personales: Cualquier operaci√≥n o conjunto de operaciones y procedimientos t√©cnicos de car√°cter automatizado o no que se realizan sobre Datos Personales, tales como la recolecci√≥n, grabaci√≥n, almacenamiento, conservaci√≥n, uso, circulaci√≥n, modificaci√≥n, bloqueo, cancelaci√≥n, entre otros.
  • Base de Datos Personales: Es todo conjunto organizado de Datos de car√°cter personal, cualquiera que fuere la forma o modalidad de su creaci√≥n, almacenamiento, organizaci√≥n y acceso.
  • Cesi√≥n de base de Datos: Tratamiento de Datos que supone su revelaci√≥n a una persona diferente al titular del Dato o distinta de quien estaba habilitado como cesionario.
  • Autorizaci√≥n: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
  • Aviso de Privacidad: Comunicaci√≥n verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las pol√≠ticas de tratamiento de informaci√≥n que le ser√°n aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
  • Responsable del Tratamiento: Es la persona natural o jur√≠dica, de naturaleza p√ļblica o privada, que recolecta los Datos Personales y decide sobre la finalidad, contenido y uso de la base de Datos para su Tratamiento.
  • Encargado del Tratamiento: Es la persona natural o jur√≠dica, p√ļblica o privada, que por s√≠ misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
  • Custodio de la Base de Datos: Es la persona f√≠sica que tiene bajo su custodia la base de Datos Personales al interior de la empresa.
  • Habeas Data: Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la informaci√≥n y Datos Personales que de ella se hayan recolectado y/o se traten en bases de Datos p√ļblicas o privadas, conforme lo dispuesto en la Ley y dem√°s normatividad aplicable.
  • Violaci√≥n de Datos Personales: Es el delito creado por la ley 1273 de 2009, contenido en el art√≠culo 269 F del C√≥digo Penal Colombiano. La conducta prohibida es la siguiente: ‚ÄúEl que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, env√≠e, compre, intercepte, divulgue, modifique o emplee c√≥digos personales, Datos Personales contenidos en base de Datos, archivos, bases de Datos o medios semejantes, incurrir√° en pena de prisi√≥n de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios m√≠nimos legales mensuales vigentes‚ÄĚ.
  • Violaciones de las Medidas de Seguridad de los Datos Personales: Ser√° considerado incidente de seguridad aquella situaci√≥n que implique una violaci√≥n de las medidas de seguridad adoptadas por la empresa para proteger los Datos Personales entregados para su custodia, sea como Responsable y/o Encargado del Tratamiento, as√≠ como cualquier otra conducta que constituya un Tratamiento inadecuado de Datos Personales en contrav√≠a de lo aqu√≠ dispuesto o de lo se√Īalado en la Ley. Todo incidente de seguridad que comprometa los Datos Personales en poder la empresa deber√° ser informado a la autoridad de control en la materia.

4. DERECHOS DEL TITULAR DE LOS DATOS

  1. A Conocer, actualizar y rectificar sus datos personales ante los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer entre otros, referente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
  2. A Solicitar prueba de la autorización otorgada al Responsable del Tratamiento.

Nota: Hay casos en que expresamente se except√ļa la autorizaci√≥n requisito para el Tratamiento, de conformidad con lo previsto en el art√≠culo 10 de la Ley 1581 de 2012.

  1. A Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que les haya dado a sus datos personales.
  2. A Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las dem√°s normas que la modifiquen, adicionen o complementen.
  3. A Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
  4. A Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
  5. A ser informado sobre el procedimiento y el contacto de la persona o área responsable de la atención de peticiones, consultas y reclamos, ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir datos; y a revocar la autorización.

5. DEBERES DE LA EMPRESA COMO RESPONSABLES DE LA INFORMACI√ďN

  1. Garantizar al titular, el derecho que le asiste en el cumplimiento de H√°beas Data.
  2. Solicitar y conservar, la copia de la autorización otorgada por el Titular.
  3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
  4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  5. Rectificar la información en caso necesario y comunicar lo pertinente a cada encargado del Tratamiento de información.
  6. Tramitar las consultas y reclamos formulados en los t√©rminos se√Īalados en la Ley 1581 de 2012.

6. PROCEDIMIENTO Y CANALES PARA LA ATENCION DE SOLICITUDES CONSULTAS Y RECLAMOS

El titular o la persona autorizada podrá formular solicitudes o consultas a través de:

  1. Línea de atención al cliente: (1)7033815
  2. Requerimiento escrito: Calle 94A #11A-32 OF 505, Bogot√°, Cundinamarca
  3. email: contabilidad@cebarte.com

La consulta ser√° atendida en un t√©rmino m√°ximo de 10 d√≠as h√°biles contados a partir de la fecha de recibo de la misma. Cuando no fuera posible atender la consulta dentro del t√©rmino antes indicado la empresa lo expresar√° as√≠ al interesado, se√Īalando la fecha en que se atender√° su consulta.

7. MEDIDAS DE SEGURIDAD

La empresa se encarga de tomar las medidas necesarias para garantizar la seguridad de la base de datos personales evitando así uso no autorizado, adulteración o pérdida.

8. VIGENCIA

El presente manual rige a partir del veinte (20) de junio de 2017

9. PROGRAMA A NIVEL DIRECTIVO, MANUAL INTERNO

Con el fin de dar un debido cuidado al tratamiento de la información, la gerencía hace un seguimiento semestral a las normativas implementadas.

9.1  POLITICA DE SEGURIDAD DE ALMACENAMIENTO ELECTRONICO

La empresa realiza actualizaciones de los programas de sistemas operativos y de contabilidad, cada vez que es necesario asi de esta manera el antivirus se va actualizando para evitar fugas de informacion o viruses que pongan la información en riesgo.
Con el fin de proteger la información, la empresa se encarga de bloquear las pantalla de los computadores asi la información solo esta disponible cuando se este trabajando en ellos.
La empresa se encarga de cambiar la contrase√Īa de los sistemas cada 3 meses, y en algunas ocasiones el sistema puede ser programado para exigir a los usuarios sustituir la clave, de lo contrario no les permitir√° el acceso.
Complejidad de la clave: contener un m√≠nimo de 8 caracteres, que contenga al menos: un car√°cter especial, un n√ļmero, una may√ļscula y una min√ļscula.
Copia de seguridad: además de la copia generada automáticamente por el servidor. La empresa se encarga de hacer copias en un disco externo, el cual reposa en la empresa bajo llave en un archivador, en un lugar lejano al servidor. 
En caso de ser necesario el env√≠o electr√≥nico de archivos que contengan datos sensibles y confidenciales, seran encriptados con un programa de encriptaci√≥n recomendado por los¬† asesores de seguridad tal como ‚ÄúVeraCrypt‚ÄĚ.

9.2  POLITICA DE DESTRUCCION DE INFORMACION

La administración de la empresa es consciente de la prudencia y responsabilidad en el momento de deshacerse de los datos. Por lo tanto, para la data física se hace una destrucción manual y para la electrónica un borrado seguro electrónico (aconsejado por su administrador de sistemas).
Eliminación permanente: Se trata de reemplazar o sobrescribir automáticamente, la información sensible, en lugar de simplemente borrarla. Un software de borrado confiable además de borrar el contenido, reescribe sobre cada palabra, automáticamente.

9.3  POLITICA DE AUDITORIA

La empresa llevara a cabo controles y verificaciónes del cumplimiento de las políticas establecidas; cada 6 meses. De dicha auditoría se emitirá un informe del cumplimiento de los lineamientos internos con  objetivo de hacer los reajustes en caso de ser necesarios. Igualmente se capacita al personal que sensibilicen a los empleados sobre los riesgos inherentes al entorno digital.

9.4  POLITICA PARA TERCEROS

En el evento de ceder las bases de datos en su totalidad o parcialmente a un tercero, la empresa tiene como compromiso revisar las pol√≠ticas de protecci√≥n de datos que maneja la compa√Ī√≠a a quien se le comparte la informaci√≥n de los titulares. Se deja constancia con los respectivos documentos que soporten que la responsabilidad hacia los titulares y el tratamiento que se les da a los datos, recae sobre la compa√Ī√≠a tercerizadora.

9.5¬† ¬†POLITICA DE PROTECCI√ďN DE LA INFORMACI√ďN A TRAV√ČS DEL USO DE EQUIPOS MULTIFUNCIONALES (IMPRESORA, FOTOCOPIADORA, ESC√ĀNER Y FAX).

El personal de Cebarte S.A.S tiene en cuenta las siguientes consideraciones cuando impriman documentos a través de los equipos multifuncionales e impresoras que se encuentran dentro de las instalaciones de la empresa o que son propiedad de este:
  1. Se prohíbe el uso de copias de documentos que contengan información personal o datos confidenciales y se destinen con fines de reciclaje.
  2. Recoger inmediatamente todos los faxes, impresiones y/o fotocopias que contengan información confidencial para evitar su revelación.
  3. Se debe imprimir solo lo que es estrictamente necesario.
  4. Verificar el equipo multifuncional o impresora y las √°reas adyacentes para asegurarse de que no queden copias adicionales. Si encuentra copias adicionales se deben destruir. (El uso de trituradores de papel es recomendado)
  5. Los empleados deben asegurarse que tienen el documento original antes de retirarse del equipo multifuncional o de la impresora.
  6. Si el equipo multifuncional o la impresora no están funcionando, borre el archivo de impresión.
  7. Verificar el n√ļmero al que se enviar√° el fax antes de hacerlo, para evitar √©l envi√≥ de documentos a n√ļmeros equivocados.

10. BASES DE DATOS

10.1  CLIENTES
Datos de clientes: De manera regular para todos los clientes, Nombre, documento de identidad, teléfono, dirección y correo electrónico. Y eventualmente para algunos clientes se podrá solicitar Cámara de Comercio y RUT.
La información se almacena electrónicamente en el servidor y en físico con carpetas debidamente marcadas, las cuales reposan en un archivador bajo llave.
10.2  NOMINA
Hojas de vida e información personal (físico): información usada para afiliaciones de empleados a seguridad social usando la página de los proveedores y demás asuntos pertinentes para contratación, almacenada en carpetas identificadas en un archivador bajo llave. Estas carpetas son solo manejadas por la encargada de nómina y/o el Representante Legal. Terminada la relación laboral se almacenan los archivos en el mismo lugar rotulado como Empleados retirados.
La información también se almacena electrónicamente en el servidor
10.3  PROVEEDORES
Datos que reposan en la base: Nombre, documento de identidad, RUT, Certificado de Cámara de Comercio, teléfono, dirección, cuenta bancaria
La información se almacena electrónicamente en el servidor y en físico con carpetas debidamente marcadas, las cuales reposan en un archivador bajo llave.
 

11. GESTION DE RIESGOS

La Empresa tiene conocimiento de la existencia de los riesgos de seguridad cibern√©tica e inform√°tica, los cuales pueden presentarse en cualquier momento. No existe un plan de riesgo establecido sin embargo se siguen lineamientos tales como el reporte al grupo de respuesta a emergencias cibern√©ticas de Colombia colCERT, en su sitio web www.colcert.gov.com, lo anterior en caso de que la compa√Ī√≠a sea blanco de un ataque cibern√©tico.

En caso de observar que la información personal haya sido manipulada en forma incorrecta la empresa contactara a la SIC http://sic.gov.co para dar aviso de esta conducta.

Manejo de riesgos también implica el establecimiento de un plan de contingencia para incidentes en una eventualidad como puede ser fuego, la pérdida de un computador, descargue no intencional de un malware entre otros, para los cuales existen algunas medidas de prevención como son:

  • Encriptaci√≥n de disco duro
  • Respaldos de seguridad
  • Servidor externo a la organizaci√≥n
  • Extintores de incendio

 

12. DATOS RECOLECTADOS ANTES DE JUNIO DE 2013 art. 9

Decreto 1377 de 2013 Artículo 2.2.2.25.2.7. Para estos los datos se tendrá en cuenta lo siguiente:

  1. Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 2.2.2.25.2.4., a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.
  2. Para efectos de lo dispuesto en el numeral 1, se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de datos.
  3. Si los mecanismos citados en el numeral 1 imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las pol√≠ticas de Tratamiento de la informaci√≥n y el modo de ejercer sus derechos, el Responsable podr√° implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulaci√≥n nacional, diarios locales o revistas, p√°ginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) d√≠as siguientes a su implementaci√≥n. Con el fin de establecer cu√°ndo existe una carga desproporcionada para el responsable se tendr√° en cuenta su capacidad econ√≥mica, el n√ļmero de titulares, la antig√ľedad de los datos, el √°mbito territorial y sectorial de operaci√≥n responsable y el mecanismo alterno de comunicaci√≥n a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ellos comprometa la estabilidad financiera del responsable, la realizaci√≥n de actividades propias de su negocio o la viabilidad de su presupuesto programado. A su vez se considerar√° que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las pol√≠ticas de Tratamiento de la informaci√≥n y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.
    1. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3 el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente capítulo, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.
    2. En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581 de 2012 y el presente capítulo. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.

    Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizase a más tardar dentro del mes siguiente de la publicación del Decreto 1377 de 2013.

     

    13. PLAZO PARA IMPLEMENTAR LA PROTECCION DE DATOS

    La Ley 1581 del 17 de Octubre de 2012, en su artículo 28 estableció un plazo de 6 meses para aplicar y adaptar de políticas por parte de las empresas que hagan las veces de encargados y/o responsables del tratamiento de datos.

     

    14. RESPONSABILIDAD

    Por todo lo anterior, CEBARTE SAS se declara responsable de las presentes políticas y del tratamiento de protección de datos que en sus funciones desarrolle frente a las personas naturales, titulares de datos de carácter personal.