MANUAL PARA EL TRATAMIENTO DE DATOS PERSONALES OCHURUS SAS
TEMARIO
1. Objeto
2. Ámbito de Aplicación
3. Antecedentes
4. Responsable del Tratamiento de Datos Personales
5. Principios.
6. Tratamientos.
7. Finalidades
▪ Contratistas
▪ Empleados
▪ Clientes
8. Derechos de los Titulares de Datos Personales
9. Deberes del responsable del Tratamiento de los Datos Personales
10.Procedimiento PQRS para que los Titulares de la información
pueden ejercer los derechos a conocer, rectificar y suprimir
información y revocar la autorización.
11.Autorización del titular para el tratamiento de datos personales
12.Autorización para el tratamiento de datos personales sensibles
13.Revocatoria de la autorización y/o supresión del dato
14.Modificación de las políticas de tratamiento de datos personales
15.Vigencia y actualizaciones.
En desarrollo de la Política de Tratamiento de Datos Personales de la empresa
OCHURUS! SAS, hemos desarrollado este manual en el cual se encontrarán los
lineamientos corporativos y de ley bajo los cuales la compañía realiza el
tratamiento de sus datos, la finalidad, los derechos de los titulares de la
información, así como los procedimientos internos y externos que existen para
el ejercicio de tales derechos ante la compañía, entre otros.
OCHURUS! SAS reconoce la protección de los datos personales como un factor
fundamental y de gran importancia que entendemos como todas aquellas
medidas que tomamos, tanto a nivel físico, técnico como jurídico para
garantizar que la información de los usuarios registrada y almacenada en bases
de datos esté segura de cualquier ataque o intento de acceder a ella por parte
de personas no autorizadas.
Este manual tiene como objetivo también dar cumplimiento a la legislación
vigente en materia de protección de datos, en especial la Ley 1581 de 2012 y
el Decreto 1074 de 2015 (y demás normas que las sustituyan, modifiquen,
complementen, deroguen o reglamenten), en él, lo ponemos al tanto de los
aspectos relevantes en relación con el tratamiento de datos personales que la
compañía realiza de sus datos personales, en virtud de la autorización que ha
sido otorgada por los titulares, para adelantar dicho tratamiento.
1. OBJETO
Garantizar el derecho constitucional que tienen todas las personas a conocer,
actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
las bases de datos o archivos que la compañía haya recopilado para las
finalidades previstas en la autorización respectiva. Para efectos del presente
Manual, la compañía se considerará como la responsable de la información
recaudada.
2. ÁMBITO DE APLICACIÓN
Las disposiciones de este manual son aplicables en todos los niveles de la
compañía y a todas las bases de datos personales que se encuentren en su
poder, así como al Encargado del Tratamiento de Datos Personales.
El presente manual de Tratamiento de Datos Personales está dirigido a todas
las personas naturales que tengan o hayan tenido alguna relación con la
compañía: accionistas, exaccionistas, empleados, exempleados, proveedores,
contratistas, clientes en general, cuyos Datos Personales se encuentran
incluidos en las Bases de Datos la compañía.
3. ANTECEDENTES
Mediante la Ley 1581 del 17 de octubre de 2012, el Congreso Nacional dicta
Disposiciones Generales para la Protección de Datos Personales, incluyendo el
régimen de derechos de los titulares de la información y las obligaciones de los
responsables y encargados de su tratamiento, constituyendo así el marco
general de la Protección de Datos Personales en Colombia. Igualmente, el 27
de junio de 2013 el Gobierno Nacional expidió el Decreto 1377 de 2013,
mediante el cual se reglamenta la Ley antes mencionada, con el fin de facilitar
su implementación en aspectos relacionados con la autorización del Titular de
la información, las Políticas de Tratamiento de los Responsables y Encargados,
el ejercicio de los derechos de los titulares de la información, las Transferencias
de Datos Personales y la Responsabilidad Demostrada frente al Tratamiento
de Datos Personales.
4. RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
Nombre: OCHURUS! SAS
Domicilio: Carrera 86A N° 13A-09 Oficina 408
Correo: claudiaguerra@ochurus.com
Teléfono: 6533103
5. PRINCIPIOS
La Ley 1581 de 2012 establece los siguientes principios rectores del
Tratamiento de los Datos Personales, que rigen las actuaciones de la compañía
sobre el particular:
• Principio de Legalidad en materia de tratamiento de datos: El
tratamiento de datos es una actividad regulada que debe sujetarse a
lo establecido en la ley y en las demás disposiciones que la
desarrollen.
• Principio de Finalidad: El tratamiento de datos debe obedecer a
una finalidad legítima de acuerdo con la Constitución Política y la ley,
la cual debe ser informada al Titular.
• Principio de Libertad: El tratamiento sólo puede ejercerse con el
consentimiento, previo, expreso e informado del Titular. Los datos
personales no podrán ser obtenidos o divulgados sin previa
autorización, o en ausencia de mandato legal o judicial que releve
el consentimiento.
• Principio de Veracidad o Calidad: La información sujeta a
tratamiento debe ser veraz, completa, exacta, actualizada,
comprobable y comprensible. Se prohíbe el tratamiento de datos
parciales, incompletos, fraccionados o que induzcan a error.
• Principio de Transparencia: En el tratamiento de datos debe
garantizarse el derecho del Titular a obtener del Responsable de
dicho tratamiento o del Encargado, en cualquier momento y sin
restricciones, información acerca de la existencia de datos que le
conciernan.
• Principio de Acceso y Circulación Restringida: El tratamiento se
sujeta a los límites que se derivan de la naturaleza de los datos
personales y de las disposiciones constitucionales y legales. En este
sentido, el tratamiento sólo podrá hacerse por personas autorizadas
por el Titular y/o por las personas previstas en la Ley. Los datos
personales, salvo la información pública, no podrán estar disponibles
en Internet u otros medios de divulgación o comunicación masiva,
salvo que el acceso sea técnicamente controlable para brindar un
conocimiento restringido sólo a los Titulares o terceros autorizados
conforme a la citada ley.
• Principio de Seguridad: La información sujeta a tratamiento por el
responsable del Tratamiento o Encargado del tratamiento a que se
refiere la ley, se deberá manejar con las medidas técnicas, humanas
y administrativas que sean necesarias para otorgar seguridad a los
registros, y evitar su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
• Principio de Confidencialidad: Todas las personas que intervengan
en el tratamiento de datos personales que no tengan la naturaleza de
públicos están obligadas a garantizar la reserva de la información,
inclusive después de finalizada su relación con alguna de las labores
que comprende el tratamiento, pudiendo sólo realizar suministro o
comunicación de datos personales cuando ello corresponda al
desarrollo de las actividades autorizadas en la Ley y en los términos
de la misma.
6. TRATAMIENTO
De acuerdo con lo establecido en la Ley 1581 de 2012 y de conformidad con
las autorizaciones impartidas por los titulares de la información, la compañía
realizará operaciones o conjunto de operaciones que incluyen recolección de
datos, su almacenamiento, transferencia, uso circulación y/o supresión.
Este Tratamiento de datos se realizará exclusivamente para las finalidades
autorizadas y previstas en el presente Manual de Políticas. De la misma forma
se realizará Tratamiento de Datos Personales cuando exista una obligación
legal o contractual para ello.
7. FINALIDADES
En desarrollo de la política de Tratamiento de Datos de la compañía, el
recaudo, tratamiento y transferencia de los Datos Personales tendrá las
siguientes finalidades:
CON LOS CONTRATISTAS Y PROVEEDORES DE SERVICIO
• Pago de obligaciones contractuales.
• Soporte en procesos de auditoría externa/interna.
• Registro de la información de los proveedores y/o consultores en la
base de datos de las Compañía.
• Remitir información y atender solicitudes y/o requerimientos de los
diferentes entes externos de control y regulación, autoridades
administrativas, fiscales y entes judiciales.
• Ejecutar el control, seguimiento, monitoreo, vigilancia y, en general,
garantizar la seguridad de sus instalaciones y para documentar las
actividades comerciales de la compañía.
• Contacto para realizar operaciones comerciales con los proveedores.
• El control y la prevención del fraude.
• Cumplimiento de manera efectiva con las obligaciones derivadas de
la compra de bienes y servicios.
• Llevar a cabo evaluaciones y selecciones de Proveedores.
• Proceso de control y registro contable de las obligaciones contraídas
con los proveedores.
• Cualquier otra finalidad que resulte en el desarrollo del contrato o la
relación entre los proveedores, consultores y la compañía.
CON LOS EMPLEADOS
• Dar cumplimiento a las obligaciones contraídas por la compañía,
con relación a pago de salarios, prestaciones sociales y demás
consagradas en el contrato de trabajo, reglamento interno de
trabajo y la legislación laboral.
• Para la elaboración de sistemas de identificación para ejecutar el
control, seguimiento, monitoreo, vigilancia y, en general,
garantizar la seguridad de las instalaciones de la compañía.
• Para mantener una eficiente comunicación de la información que
sea de utilidad en el vínculo laboral.
• Para evaluar la calidad de los servicios ofrecidos por el empleado,
titular de la información.
• Para realizar estudios internos sobre los hábitos de los empleados
y sus núcleos familiares para programas de bienestar, clima
organizacional, riesgo psicosocial y salud y seguridad en el trabajo.
• Para el proceso de archivo, de actualización de los sistemas, de
protección y custodia de información y bases de datos de la
compañía, procesos con fines de desarrollo operativo y/o de
administración los sistemas e información.
• Por solicitud de cualquier autoridad competente que así lo requiera.
CON LOS CLIENTES:
• Analizar y medir la calidad de los productos y servicios ofrecidos
por la compañía.
• Adelantar todas las gestiones de mercadeo y promoción
relacionadas con los bienes y servicios ofrecidos por la compañía,
para lo cual, entre otras actividades, se debe: enviar información
relacionada con actividades, programas, productos y servicios;
compartir y cruzar información con otras entidades como: cámaras
de comercio, gremios y los aliados comerciales de la compañía;
identificar la actividad comercial de los clientes, identificar clientes
potenciales, evaluar hábitos de mercadeo y consumo.
• Remitir información y atender solicitudes y/o requerimientos de
los diferentes entes externos de control y regulación, autoridades
y entes judiciales.
• Lograr las finalidades relativas a ejecutar el control, seguimiento,
monitoreo, vigilancia y, en general, garantizar la seguridad de sus
instalaciones y para documentar las actividades comerciales de la
compañía.
En consecuencia y para el manejo interno de sus datos en la compañía, éstos
podrán ser divulgados con los fines dispuestos anteriormente, al personal de
la compañía, así como a las entidades públicas o privadas que se relacionan,
deben participar o son indispensables para el cumplimiento de los fines
previstos para el tratamiento de los datos según cada caso. La compañía podrá
subcontratar a terceros para el procesamiento de determinadas funciones o
información. Cuando efectivamente subcontratamos con terceros el
procesamiento de la información personal o proporcionamos la información
personal a terceros prestadores de servicios, advertimos a dichos terceros
sobre la necesidad de proteger dicha información personal con medidas de
seguridad apropiadas, les prohibimos el uso de su información personal para
fines propios y les impedimos que divulguen su información personal a otros.
Igualmente, la compañía podrá transferir o transmitir (según corresponda),
guardando las debidas medidas de seguridad, sus datos personales a otras
entidades para la prestación de un mejor servicio, de conformidad con las
autorizaciones que hayan sido otorgadas por los Titulares de los datos
personales. En el caso de transmisión de datos personales, la compañía
suscribirá el contrato de transmisión a que haya lugar en los términos del
Decreto 1074 de 2015.
Cualquier cambio sustancial en las políticas de tratamiento de datos
personales debe ser comunicado oportunamente a los titulares de una manera
eficiente, antes de implementar las nuevas políticas. La política de tratamiento
de información personal debe ser puesta en conocimiento de los titulares. Para
ello, la organización o responsable de los datos, podrá utilizar documentos,
formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y
cuando garantice y cumpla con el deber de informar al titular.
8. DERECHOS DE LOS TITULARES
En el Tratamiento de Datos Personales por parte de la compañía se respetará
en todo momento los derechos de los titulares de Datos Personales que son:
• Conocer, actualizar y rectificar sus datos frente a los responsables
o encargados del tratamiento. Este derecho será ejercido entre
otros frente a datos parciales, inexactos, incompletos,
fraccionados, que induzcan a error, o aquellos cuyo Tratamiento
esté expresamente prohibido o no haya sido autorizado.
• Solicitar prueba de la autorización otorgada a la compañía, salvo
cuando expresamente se exceptúe como requisito para el
Tratamiento de datos de conformidad con lo previsto en el artículo
10 de la Ley 1581, como lo son:
a) Información requerida por una entidad pública o
administrativa en ejercicio de sus funciones legales o por orden
judicial.
b) Datos de naturaleza pública.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines
históricos, estadísticos o científicos.
e) Datos relacionados con el Registro Civil de las Personas.
• Recibir información por parte de la compañía, previa solicitud,
respecto del uso que ha dado a sus datos personales.
• Presentar ante la Superintendencia de Industria y Comercio, o
quien haga sus veces, quejas por infracciones a las normas que
establecen y regulan la protección de datos personales.
• Revocar la autorización y/o solicitar la supresión del dato cuando
en el Tratamiento no se respeten los principios, derechos y
garantías constitucionales y legales. La revocatoria y/o supresión
procederá cuando la Superintendencia de Industria y Comercio o
quien haga sus veces, determinado que, en el Tratamiento, la
compañía ha incurrido en conductas contrarias a la ley y a la
Constitución.
• Acceder en forma gratuita a los Datos Personales que hayan sido
objeto de Tratamiento.
Los derechos de los Titulares podrán ser ejercidos ante la compañía por las
siguientes personas:
• Por el Titular de los datos personales, quien deberá acreditar su
identidad en forma suficiente por los distintos medios o
mecanismos que tenemos a su disposición.
• Por los causahabientes del Titular de los datos personales, quienes
deberán acreditar tal calidad.
• Por el representante y/o apoderado del Titular de los datos
personales, previa acreditación de la representación o
apoderamiento.
• Por estipulación a favor de otro o para otro.
9. DEBERES DEL RESPONSABLE DEL TRATAMIENTO
Los deberes de la compañía, como responsable del Tratamiento de datos
personales son:
• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio
del derecho de hábeas data.
• Solicitar y conservar, en las condiciones previstas en la ley, copia
de la respectiva autorización otorgada por el Titular.
• Informar debidamente al Titular sobre la finalidad de la recolección
y los derechos que le asisten por virtud de la autorización
otorgada.
• Conservar la información bajo las condiciones de seguridad
necesarias para impedir su adulteración, pérdida, consulta, uso o
acceso no autorizado o fraudulento.
• Garantizar que la información que se suministre al Encargado del
Tratamiento sea veraz, completa, exacta, actualizada,
comprobable y comprensible.
• Actualizar la información, comunicando de forma oportuna al
Encargado del Tratamiento, todas las novedades respecto de los
datos que previamente le haya suministrado y adoptar las demás
medidas necesarias para que la información suministrada a este se
mantenga actualizada.
• Rectificar la información cuando sea incorrecta y comunicar lo
pertinente al Encargado del Tratamiento.
• Suministrar al Encargado del Tratamiento, según el caso,
únicamente datos cuyo Tratamiento esté previamente autorizado
de conformidad con lo previsto en la ley.
• Exigir al Encargado del Tratamiento en todo momento, el respeto
a las condiciones de seguridad y privacidad de la información del
Titular.
• Tramitar las consultas y reclamos formulados en los términos
señalados en la ley.
• Adoptar un manual interno de políticas y procedimientos para
garantizar el adecuado cumplimiento de la ley y en especial, para
la atención de consultas y reclamos.
• Informar al Encargado del Tratamiento cuando determinada
información se encuentra en discusión por parte del Titular, una
vez se haya presentado la reclamación y no haya finalizado el
trámite respectivo.
• Informar a solicitud del Titular sobre el uso dado a sus datos.
• Informar a la autoridad de protección de datos cuando se
presenten violaciones a los códigos de seguridad y existan riesgos
en la administración de la información de los Titulares.
• Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.
10. PROCEDIMIENTO PQRS PARA QUE LOS TITULARES DE LA INFORMACIÓN
PUEDAN EJERCER LOS DERECHOS A CONOCER, ACTUALIZAR, RECTIFICAR Y
SUPRIMIR INFORMACIÓN Y REVOCAR LA AUTORIZACIÓN.
La compañía garantizará el derecho de acceso, consulta y reclamos, previa
acreditación de la identidad del titular o causahabiente, legitimidad, o
personalidad de su representante, poniendo a disposición de este, sin costo o
erogación alguna, de manera pormenorizada y detallada, los respectivos datos
personales, utilizando medios de comunicación electrónica u otros que
considere pertinentes.
Para el efecto, la compañía pone a disposición de los titulares de la
información, el correo electrónico info@ochurus.com
Igualmente podrán ser presentadas todas las solicitudes sobre el particular en
la siguiente dirección: Carrera 86a N° 13A -09 Oficina 408
Correo: info@ochurus.com
Teléfono: 6533103, dirigidas al Coordinador de Gestión al Cliente.
Los Titulares, sus herederos o representantes, podrán verificar la existencia de
información personal que se encuentre registrada en sus bases de datos,
consultar el Tratamiento que se le ha dado a dicha información, conocer las
finalidades que justifican este Tratamiento y solicitar la actualización,
rectificación o supresión de estos datos personales. La información deberá ser
proporcionada por la compañía en su integridad y se debe conservar prueba
de la atención efectiva a la consulta o reclamo.
Las solicitudes de consulta serán atendidas en un término máximo de diez (10)
días hábiles contados a partir de la fecha de su recibo. En el evento en el que
una solicitud de consulta no pueda ser atendida dentro del término antes
señalado, se informará al interesado antes del vencimiento del plazo las razones
por las cuales no se ha dado respuesta a su consulta, la cual, en ningún caso
podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer
término.
Las personas a las que se les podrá suministrar la información son:
▪ Los Titulares, sus causahabientes o sus representantes
legales.
▪ Las entidades públicas o administrativas en ejercicio de
sus funciones legales o por orden judicial.
▪ A los terceros autorizados por el Titular o por la Ley.
Todos los reclamos deberán ser atendidos en un término máximo de quince
(15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Si
no fuera posible atender el reclamo en el término indicado, se informarán los
motivos al interesado y se indicará la fecha en que se dará respuesta. En todo
caso, la nueva fecha no puede ser superior a ocho (8) días hábiles siguientes al
vencimiento del término de quince (15) días.
Previo a dar trámite a cualquier reclamo, se debe verificar la identidad del
reclamante, quien debe ser el Titular, su causahabiente o su representante. Si
el reclamante no es ninguna de las personas indicadas anteriormente, no se
tramitará el reclamo. Un reclamo completo debe contener, por lo menos:
▪ Identificación del Titular y del reclamante (en caso de que no sea
el mismo Titular).
▪ Descripción de los hechos que dan lugar al reclamo.
▪ Dirección física o electrónica de notificación.
▪ Documentos y anexos que se pretendan hacer valer en el curso del
reclamo.
▪ Petición u objeto del reclamo.
Si se presenta una reclamación, pero la misma está incompleta, es decir, si le
hacen falta elementos esenciales para darle el debido trámite, dentro de los
cinco (5) días hábiles siguientes a la recepción del reclamo se deberá solicitar
al interesado para que subsane la reclamación.
Si transcurren dos (2) meses sin que el reclamante subsane la reclamación, se
entenderá que ha desistido de la misma.
Si se recibe un reclamo, pero no se tiene la competencia para resolverlo, se
deberá enviar el mismo a quien corresponda en un término no mayor a dos
(2) días hábiles y se informará al interesado de dicha situación. Cuando se
solicite la supresión de datos, la misma no podrá realizarse cuando:
▪ Sea una obligación legal o contractual conservar dichos datos.
▪ Conservar los datos sea imprescindible para salvaguardar los
intereses del Titular o el interés público.
▪ La supresión dificulte o entorpezca el ejercicio de las funciones de
las autoridades administrativas o judiciales.
Cuando se solicite la revocatoria de la autorización, es preciso que el
interesado informe con precisión si la revocatoria es total o parcial. La
revocatoria de la autorización es parcial cuando el interesado manifiesta que
desea revocar el Tratamiento de datos personales para ciertas finalidades
específicas como aquellas publicitarias, de concursos, de estudios de consumo,
etc. La revocatoria de la autorización es total cuando se solicita que se detenga
el Tratamiento de datos personales para todas las finalidades autorizadas.
El Titular de datos personales tiene el derecho, en todo momento, a solicitar a
la compañía la supresión (eliminación) de sus datos personales cuando:
▪ Considere que los mismos no están siendo tratados conforme a los
principios, deberes y obligaciones previstas en la normativa
vigente.
▪ Hayan dejado de ser necesarios o pertinentes para la finalidad para
la cual fueron recabados.
▪ Se haya superado el periodo necesario para el cumplimiento de los
fines para los que fueron recabados.
▪ La supresión implica la eliminación total o parcial de la información
personal de acuerdo con lo solicitado por el Titular en los registros,
archivos, bases de datos o tratamientos realizados por la
compañía.
El derecho de supresión no es un derecho absoluto y el responsable del
tratamiento de datos personales puede negar el ejercicio del mismo cuando:
▪ El Titular de los datos tenga un deber legal o contractual de
permanecer en la base de datos.
▪ La eliminación de datos obstaculice actuaciones judiciales o
administrativas vinculadas a obligaciones fiscales, la investigación
y persecución de delitos o la actualización de sanciones
administrativas.
▪ Los datos sean necesarios para proteger los intereses
jurídicamente tutelados del Titular para realizar una acción en
función del interés público o para cumplir con una obligación
legalmente adquirida por el Titular.
11. AUTORIZACIÓN DEL TITULAR PARA EL TRATAMIENTO DE DATOS
PERSONALES
La compañía como Responsable del Tratamiento de Datos Personales, ha
elaborado diversos formatos de “Autorización para el Tratamiento de Datos
Personales” incorporados en los distintos contratos que se suscriben con los
Titulares y ha adoptado procedimientos para solicitar la autorización para el
Tratamiento de los mismos e informar al titular cuáles son los datos personales
que serán recolectados, así como todas las finalidades específicas del
Tratamiento para las cuales se obtiene su consentimiento.
Los datos personales que se encuentren en fuentes de acceso público, con
independencia del medio por el cual se tenga acceso, entendiéndose por tales
aquellos datos o bases de datos que se encuentren a disposición del público,
se tiene que éstos pueden ser tratados por la compañía, siempre y cuando, por
su naturaleza, sean datos públicos. Igualmente, ella, como Responsable del
Tratamiento de datos personales ha establecido mecanismos para obtener la
autorización de los Titulares o de quien se encuentre legitimado para tal
efecto.
Se entenderá que la autorización otorgada por el Titular a la compañía cumple
con los requisitos exigidos en la legislación vigente aplicable, cuando ésta se
manifieste:
▪ Por escrito.
▪ De forma oral.
▪ Mediante conductas inequívocas del Titular que permitan concluir
de forma razonable que éste otorgó a la compañía la autorización
respectiva. En ningún caso su silencio será asimilado como una
conducta inequívoca.
Finalmente, se han establecido canales para que el Titular de los datos, pueda
en todo momento solicitar la supresión de sus datos personales y/o revocar la
autorización que nos ha otorgado para el Tratamiento de los mismos, siempre
y cuando no tenga un deber legal o contractual de permanecer en la base de
datos.
12. AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES
SENSIBLES
De acuerdo con el artículo 5° de la Ley 1581 de 2012 se entiende por datos
sensibles, aquellos que afectan la intimidad del Titular o cuyo uso indebido
puede generar su discriminación. Por tanto, el Tratamiento de los datos
sensibles a los cuales se refieren los Artículo 6° de la Ley 1581 de 2012 está
prohibido, a excepción de los siguientes casos:
▪ Cuando el Titular haya dado su autorización explícita a dicho
Tratamiento, salvo en los casos que por ley no sea requerido el
otorgamiento de dicha autorización.
▪ Cuando el Tratamiento sea necesario para salvaguardar el interés
vital del Titular y este se encuentre física o jurídicamente
incapacitado. En estos eventos, los representantes legales
deberán otorgar su autorización.
▪ Cuando el Tratamiento sea efectuado en el curso de las actividades
legítimas y con las debidas garantías por parte de una fundación,
ONG, asociación o cualquier otro organismo sin ánimo de lucro,
cuya finalidad sea política, filosófica, religiosa o sindical, siempre
que se refieran exclusivamente a sus miembros o a las personas
que mantengan contactos regulares por razón de su finalidad. En
estos eventos, los datos no se podrán suministrar a terceros sin
la autorización del Titular.
▪ Cuando el Tratamiento se refiera a datos que sean necesarios para
el reconocimiento, ejercicio o defensa de un derecho en un
proceso judicial.
▪ Cuando el Tratamiento tenga una finalidad histórica, estadística o
científica. En este evento deberán adoptarse las medidas
conducentes a la supresión de identidad de los Titulares.
En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento
sea posible conforme a lo establecido en el Artículo 6 de la Ley 1581 de 2012,
la compañía cumplirá con las siguientes obligaciones:
▪ Informar al Titular que, por tratarse de datos sensibles, no está
obligado a autorizar su Tratamiento.
▪ Informar al Titular de forma explícita y previa, además de los
requisitos generales de la autorización para la recolección de
cualquier tipo de dato personal, cuáles de los datos que serán
objeto de Tratamiento, son sensibles y la finalidad de su
Tratamiento, y además obtener su consentimiento expreso.
13. REVOCATORIA DE LA AUTORIZACIÓN Y/O SUPRESIÓN DEL DATO
El Titular de los datos, puede en todo momento solicitar a la compañía, la
supresión de sus datos personales y/o revocar la autorización que nos ha
otorgado para el Tratamiento de los mismos, mediante la presentación de un
reclamo.
Sin embargo, no procede la solicitud de supresión de la información y la
revocatoria de la autorización cuando como Titular de los datos, tenga un
deber legal o contractual en virtud del cual deba permanecer en la base de
datos de la compañía.
Si vencido el término legal respectivo, la compañía como Responsable no
elimina los datos personales de sus bases de datos, el Titular tendrá derecho a
solicitar a la Superintendencia de Industria y Comercio que ordene la
revocatoria de la autorización y/o la supresión de los datos personales. Para
estos efectos, se aplicará el procedimiento descrito en el artículo 22 de la Ley
1581 de 2012.
14. MODIFICACIÓN DE LA POLÍTICA DE TRATAMIENTO DE DATOS
PERSONALES
En caso de presentarse cambios sustanciales en el contenido de este Manual
de políticas de Tratamiento de Datos Personales, referidos a la identificación
del responsable y a la finalidad del Tratamiento de sus datos personales, los
cuales puedan afectar el contenido de la autorización que el Titular ha
otorgado a la compañía, la compañía como Responsable del Tratamiento le
comunicará estos cambios a más tardar al momento de la implementación de
las nuevas políticas.
Además, cuando el cambio se refiera a la finalidad del Tratamiento de sus
datos personales, la compañía obtendrá una nueva autorización de su parte.
15. VIGENCIA Y ACTUALIZACIÓN
Este manual entra en vigencia a partir de su aprobación por parte del Comité
de Gerencia, realizada el 25 de Noviembre de 2019 y su actualización
dependerá de las instrucciones de dicho Comité, el cual realizará revisiones
periódicas de la correcta ejecución de la Política, de manera conjunta con el
Oficial de Protección de Datos de la Compañía.