INTRODUCCIÓN
Empresas Varias de Medellín S.A. E.S.P. “EMVARIAS”, en el marco de la
arquitectura empresarial del Grupo Corporativo EPM y en cumplimiento de lo
dispuesto por la Ley 1581 de 2012, reglamentada parcialmente por el Decreto
1377 de 2013 y demás normas vigentes, adopta mediante Reunión de Junta
Directiva, realizada el 22 de febrero de 2017, según consta en el Acta número
70, tema 2, numeral 2,6; las políticas y lineamientos establecidos para
regular la recolección y tratamiento de los datos de carácter personal y
establece las garantías legales que deben cumplir todas las personas en
Colombia para el debido tratamiento de dicha información dentro del marco
normativo y el procedimiento que desarrolla la seguridad de la información
para el tratamiento de datos personales dentro de la organización.
EMVARIAS se encuentra en proceso de homologación del macroproceso de Gestión
Tecnológica de EPM, bajo el marco de la norma ISO 27001, la cual supone el
sometimiento de la organización al cumplimiento de la normatividad vigente en
materia de protección de datos de carácter personal. En cumplimiento de la
obligación que tiene EMVARIAS para mejorar su Sistema de Gestión de Seguridad
de la Información dentro del esquema de Planear-Hacer-Verificar-Actuar, se
requiere expedir las políticas y lineamientos que establezca las reglas
aplicables al tratamiento de datos de carácter personal que estén bajo
custodia de la entidad. En cumplimiento de los derechos contenidos en el
Artículo 15 de la Constitución Política de Colombia, Ley 1581 de 2012 y Ley
1273 de 2009, corresponde tanto a las directivas de EMVARIAS, así como a sus
empleados y terceros contratistas observar, acatar y cumplir las órdenes e
instrucciones que de modo particular imparta la organización respecto de los
datos de carácter personal, cuya divulgación o indebido uso pueda generar un
perjuicio a los titulares de la misma. Teniendo en cuenta que EMVARIAS es la
entidad responsable del tratamiento de datos personales y en cumplimiento de
lo establecido en el artículo 13 del Decreto reglamentario 1377 de 2013 adopta
y hace público a todos los interesados la presente política y lineamientos que
contiene todos los elementos esenciales, sencillos, y seguros para el
cumplimiento de la legislación correspondiente a la protección de datos
personales. 6 1.
CONSIDERACIONES
Que EMVARIAS cuenta una política de protección de datos personales aprobada
desde el 22 de febrero de 2017, la cual se ha actualizado de acuerdo con el
tratamiento de nuevos datos personales. • Que EMVARIAS cuenta con un programa
integral de protección de datos personales aprobado por la alta dirección el
cual tiene como objetivo identificar, prevenir, controlar y mitigar los
riesgos relacionados con los principios de responsabilidad demostrada,
privacidad y protección de datos personales, en los procesos de EMVARIAS. •
Que EMVARIAS en cumplimiento del deber legal consagrado en el artículo 23 del
Decreto 1377 de 2013, cuenta con un Profesional de cumplimiento que efectúa la
gestión de protección de datos personales adscrito al área financiera-GIR
quien es el encargado de velar por la implementación efectiva de las políticas
y procedimientos adoptados al cumplimiento de la política de protección de
datos de EMVARIAS. • Que corresponde tanto a las directivas de EMVARIAS, así
como a sus trabajadores proveedores y contratistas, aliados comerciales,
observar, acatar y cumplir las órdenes e instrucciones que de modo particular
imparta la organización respecto de los datos de carácter personal cuya
divulgación o indebido uso pueda generar un perjuicio a los titulares de la
misma, en cumplimiento de los derechos contenidos en el artículo 15 de la
Constitución Política de Colombia, Ley 1581 de 2012 y Ley 1273 de 2009. • Que
es deber de los trabajadores para con EMVARIAS prestar toda su colaboración en
caso de siniestro o riesgo inminente que afecte o amenacen los activos de
información, especialmente los relacionados con la información de carácter
personal que custodia EMVARIAS, de manera que se preste la debida cooperación
que EMVARIAS requiera para investigar, analizar y capturar evidencia de
incidentes de seguridad que comprometan ésta información, tengan o no vocación
judicial, acatando para ello las instrucciones contenidas en el protocolo de
cadena de custodia de EMVARIAS. Con base en las anteriores consideraciones que
fundamentan la protección de datos personales en EMVARIAS, se formulan las
siguientes disposiciones para su tratamiento y que son de obligatorio
cumplimiento para los destinatarios de esta política. 7 2. RESPONSABLE DEL
TRATAMIENTO DE DATOS PERSONALES Empresas Varias de Medellín S.A E.S.P.
identificado con número de identificación tributaria 890.905.055-9 (En
adelante EMVARIAS) Correo electrónico: [email protected] Página
web: www.emvarias.com.co Atención al cliente: 444 56 36 Dirección: Calle 30
Nro. 55-198 Medellín, Colombia (Sede principal) 3.
AUTORIZACIONES
EMVARIAS solicitará la autorización de manera que el titular de la información
otorgue su consentimiento previo, expreso e informado del tratamiento al cual
son sujetos sus datos personales. • El consentimiento del titular se podrá
obtener por cualquier medio que pueda ser objeto de consulta posterior, tales
como, comunicación escrita, verbal o virtual. • En virtud de su naturaleza y
objeto social, EMVARIAS recibe, recolecta, registra, conserva, almacena,
modifica, reporta, consulta, entrega, transmite, transfiere, comparte y
elimina información personal, para lo cual obtiene la previa autorización del
titular. • La autorización que le otorgan los titulares de la información a
EMVARIAS le permite el desarrollo de su objeto social. EMVARIAS conservará
prueba de dichas autorizaciones de manera adecuada, velando y respetando los
principios de privacidad y confidencialidad de la información. 8 4.
DEFINICIONES
Aviso de privacidad: Comunicación verbal o escrita generada por el
responsable, dirigida al titular para el tratamiento de sus datos personales,
mediante la cual se le informa acerca de la existencia de las políticas de
tratamiento de información que le serán aplicables, la forma de acceder a las
mismas y las finalidades del tratamiento que se pretende dar a los datos
personales. • Base de datos personales. Es todo conjunto organizado de datos
de carácter personal, cualquiera que fuere la forma o modalidad de su
creación, almacenamiento, organización y acceso. • Base de datos automatizada.
Es el conjunto organizado de datos de carácter personal que son creados,
tratados y/o almacenados a través de programas de ordenador o software. • Base
de datos no automatizada. Es el conjunto organizado de datos de carácter
personal que son creados, tratados y/o almacenados de forma manual, con
ausencia de programas de ordenador o software. • Cesión de datos. Tratamiento
de datos que supone su revelación a una persona diferente al titular del dato
o distinta de quien está habilitado como cesionario. • Custodio de la base de
datos. Es la persona natural que tiene bajo su custodia la base de datos
personales al interior de EMVARIAS. • Dato personal. Es cualquier dato y/o
información que identifique a una persona física o la haga identificable.
Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos,
auditivos, perfiles o de cualquier otro tipo. •
Dato personal sensible. Es una categoría especial de datos de carácter
personal especialmente protegido, por tratarse de aquellos concernientes a la
salud, sexo, filiación política, raza u origen étnico, huellas biométricas,
entre otros, que hacen parte del haber íntimo de la persona y pueden ser
recolectados únicamente con el consentimiento expreso e informado de su
titular y en los casos previstos en la ley. • Encargado del tratamiento. Es la
persona física o jurídica, autoridad pública o privada, que por sí misma o en
asocio con otros, realice el tratamiento de datos personales por cuenta del
responsable del tratamiento. • Fuentes accesibles al público. Se refiere a
aquellas bases contentivas de datos personales cuya consulta puede ser
efectuada por cualquier persona, que puede incluir o no el pago de una
contraprestación a cambio del servicio de acceso a tales datos. Tienen esta
condición de fuentes accesibles al público las guías telefónicas, los
directorios de la 9 industria o sectoriales, entre otras, siempre y cuando la
información se limite a datos personales de carácter general o que contenga
generalidades de ley. Tendrán esta condición los medios de comunicación
impresos, diario oficial y demás medios de comunicación. • Habeas Data.
Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o
cancelar la información y datos personales que de ella se hayan recolectado
y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en
la ley y demás normatividad aplicable. • Procedimiento de análisis y creación
de información. Es la creación de información respecto de una persona, a
partir del análisis y tratamiento de los datos personales recolectados y
autorizados, para fines de analizar y extraer perfiles o hábitos de
comportamiento, que generan un valor agregado sobre la información obtenida
del titular de cada dato personal. • Procedimiento de disociación. Hace
referencia a todo tratamiento de datos personales de modo que la información
que se obtenga no pueda asociarse a persona identificada o identificable. •
Principios para el tratamiento de datos. Son las reglas fundamentales, de
orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de
datos personales, a partir de los cuales se determinan acciones y criterios
para dar solución a la posible colisión entre el derecho a la intimidad,
habeas data y protección de los datos personales con el derecho a la
información. • Propietario de la base de datos. En los procesos de EMVARIAS,
es propietaria de la base de datos el área que tiene bajo su responsabilidad
el tratamiento de los mismos los gestiona y los tiene bajo su custodia. •
Responsable del tratamiento. Es la persona física o jurídica, de naturaleza
pública o privada, que recolecta los datos personales y decide sobre la
finalidad, contenido y uso de la base de datos para su tratamiento. • Titular
del dato personal. Es la persona física cuyos datos sean objeto de
tratamiento. Respecto de las personas jurídicas se predica el nombre como
derecho fundamental protegido constitucionalmente. • Tratamiento de datos.
Cualquier operación o conjunto de operaciones y procedimientos técnicos de
carácter automatizado o no que se efectúan sobre datos personales tales como
la recolección, grabación, almacenamiento, conservación, uso, circulación,
modificación, bloqueo, cancelación, entre otros. • Usuario. Es la persona
natural o jurídica que tiene interés en el uso de la información de carácter
personal. • Violación de datos personales. Es el delito creado por la Ley 1273
de 2009, contenido en el Artículo 269 F del Código Penal Colombiano. El tipo
penal 10 es la siguiente: “El que, sin estar facultado para ello, con provecho
propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos
o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes”. 5. OBJETO. Mediante el presente lineamiento se adoptan y
establecen las reglas aplicables al tratamiento de datos de carácter personal
recolectados, tratados y/o almacenados por EMVARIAS en desarrollo de su objeto
social y demás actividades empresariales, bien sea en calidad de responsable
y/o encargado del tratamiento. Las reglas contenidas en esta política dan
cumplimiento a lo dispuesto en el Artículo 15 de la Constitución Política de
Colombia y en la Ley 1581 de 2012, en cuanto a la garantía de la intimidad de
las personas, ejercicio del habeas data y protección de datos personales, en
concordancia con el derecho a lainformación, de manera que se regulen
proporcionalmente estos derechos en EMVARIAS y se pueda prevenir la
vulneración de los mismos. Las reglas adoptadas en esta política por EMVARIAS
se adecúan a los estándares internacionales en materia de protección de datos
personales. 6.
ALCANCE
Esta política aplica para toda la información personal registrada en las bases
de datos de EMVARIAS, quien actúa como responsable del tratamiento de datos
personales. Todos los trabajadores, proveedores, contratista y aliados
comerciales y terceros que tengan relación legal o comercial con EMVARIAS y
que ejerzan tratamiento sobre las bases de datos personales, deben cumplir con
esta política y los procedimientos establecidos para el tratamiento de los
datos personales. 7.
ÁMBITO DE APLICACIÓN
11 Las disposiciones contenidas en esta política se aplicarán al tratamiento
de datos personales efectuado en territorio colombiano, o cuando el
responsable y/o encargado se encuentre ubicado fuera del territorio
colombiano, en virtud de tratados internacionales, relaciones contractuales,
entre otros. Los principios y disposiciones contenidos en este lineamiento de
protección de datos de carácter personal se aplicarán a cualquier base de
datos personal que se encuentre en custodia de EMVARIAS, bien sea en calidad
de responsable y/o como encargado del tratamiento. Todos los procesos
organizacionales de EMVARIAS que involucren el tratamiento de datos de
carácter personal, deberán someterse a lo dispuesto en esta política. 8.
DESTINATARIOS
La presente política se aplicará y por ende obligará a las siguientes
personas: • Representante legal. • Personal interno de EMVARIAS, directivos o
no, que custodien y traten bases de datos de carácter personal. • Contratistas
y personas naturales o jurídicas que presten sus servicios a EMVARIAS
bajocualquier tipo de modalidad contractual, en virtud de la cual se efectué
cualquier tratamiento de datos de carácter personal. • Aquellas otras personas
con las cuales exista una relación legal de orden estatutario, contractual,
entre otras. • Personas públicas y privadas en condición de titulares de los
datos personales. • Las demás personas que establezca la ley. 12 9. PRINCIPIOS
APLICABLES AL
TRATAMIENTO DE DATOS PERSONALES.
La protección de datos de carácter personal en EMVARIAS estará sometida a los
siguientes principios o reglas fundamentales con base en las cuales se
determinarán los procesos internos relacionados con el tratamiento de datos
personales; tales principios se interpretarán de manera armónica, integral y
sistemática para resolver los conflictos que se susciten en esta materia; son
principios aplicables a estos lineamientos, los consagrados en normas
internacionales, en la leyes colombianas y en la jurisprudencia de la Corte
Constitucional que ha desarrollado los derechos fundamentales vinculados a los
datos de carácter personal además de los siguientes. 9.1 Consentimiento
informado o principio de libertad. El tratamiento de datos personales al
interior de EMVARIAS, sólo puede hacerse con el consentimiento previo, expreso
e informado del titular. Los datos personales no podrán ser obtenidos,
tratados o divulgados sin autorización del titular, salvo mandato legal o
judicial que supla el consentimiento del titular. 9.2 Legalidad El tratamiento
de datos personales en Colombia es una actividad reglada y por ende los
procesos de negocios y destinatarios de la Ley 1581 de 2012 y demás normas
vigentes, deben sujetarse a lo dispuesto en ella. 9.3 Finalidades en los datos
personales El tratamiento de datos personales debe obedecer a una finalidad
legítima, acorde con la Constitución Política y la ley, la cual debe ser
informada de manera concreta, precisa y previa al titular para que este
exprese su consentimiento. 9.4 Calidad o veracidad del dato EMVARIAS
procurará, mediante la implementación de herramientas y estrategias, que los
datos de carácter personal recolectados sean veraces, completos, exactos,
comprobables, comprensibles y actualizados. 9.5 Transparencia 13 En el
tratamiento de datos personales se garantizará el derecho del titular a
obtener y conocer del responsable y/o encargado del tratamiento, en cualquier
momento y sin restricciones, información acerca de la existencia de datos que
le conciernen. 9.6 Pertinencia del dato Los datos personales que recabe
EMVARIAS deberán ser adecuados, pertinentes y no excesivos, teniendo en cuenta
la finalidad del tratamiento y/o de la base de datos. Se prohíbe la
recolección de datos personales desproporcionados en relación con la finalidad
para la cual se obtienen. 9.7 Acceso y circulación restringida Los datos
personales que recolecte o trate EMVARIAS serán usados por ella solo en el
ámbito de la finalidad y autorización concedida por el titular del dato
personal, por tanto, no podrán ser accedidos, transferidos, cedidos ni
comunicados a terceros. Los datos personales bajo custodia de EMVARIAS no
podrán estar disponibles en internet o en cualquier otro medio de divulgación
masiva, salvo que el acceso sea técnicamente controlable y seguro, lo anterior
con el fin de brindar un conocimiento restringido sólo a los titulares o
terceros autorizados conforme a lo dispuesto en la ley. 9.8 Temporalidad del
Dato Agotada la finalidad para la cual fue recolectado y/o tratado el dato
personal, EMVARIAS deberá cesar en su uso y por ende adoptará las medidas de
seguridad pertinentes a tal fin. 9.9 Seguridad del Dato EMVARIAS, como empresa
responsable social y ambientalmente, y en procura de favorecer un buen
relacionamiento con sus grupos de interés, adopta medidas de seguridad
previstas en la ley y normas técnicas internacionales cuyo objetivo es
proteger y preservar la confidencialidad, integridad y disponibilidad de la
información contenida en bases de datos, independientemente del medio en el
que se encuentre, de su ubicación o 14 de la forma en que esta sea
transmitida. 9.10 Confidencialidad EMVARIAS y todas las personas que
intervengan en el tratamiento de datos de carácter personal, tienen la
obligación profesional de guardar y mantener la reserva de tales datos,
obligación que subsiste aún finalizada la relación contractual. EMVARIAS
implementará, en sus relaciones contractuales, cláusulas de protección de
datos en este sentido. 9.11 Deber de la información. EMVARIAS informará, a los
titulares de los datos personales, así como a los responsables y encargados
del tratamiento, del régimen de protección de datos adoptado por la
organización, así como la finalidad y demás principios que regulan el
tratamiento de estos datos. Informará además sobre la existencia de las bases
de datos de carácter personal que custodie, los derechos y el ejercicio del
habeas data por parte de los titulares, procediendo al registro que exige la
ley. 9.12 Protección especial de datos sensibles. Emvarias sólo recolectará
datos personales de carácter sensible cuando ello sea necesario y pertinente
para su actividad empresarial, para el tratamiento de datos sensibles,
EMVARIAS informará al titular de los datos lo siguiente: • Para el tratamiento
de este tipo de información el titular no está obligado a dar su autorización
o consentimiento. • Se informará de forma explícita y previa qué tipo de datos
sensibles serán solicitados. • Se comunicará el tratamiento y la finalidad que
se le dará a los datos sensibles. • La autorización de los datos sensibles
será previa, expresa y clara. Cuando se trate de información que se relacione
con los siguientes tipos de datos, se tendrán las siguientes consideraciones
especiales: • Datos de Niños, Niñas y Adolescentes EMVARIAS se asegurará que
el tratamiento de este tipo de datos se realice de conformidad con los
derechos de los niños, niñas y adolescentes. En este sentido, se protegerá su
carácter especial y velará por el respeto de sus derechos fundamentales, de
acuerdo con lo dispuesto en los artículos 5, 6 y 7 15 de la Ley 1581 de 2012,
y en los artículos 6 y 12 del Decreto 1377 de 2013, y demás normas que los
modifiquen o adicionen. Para efectos de cumplir lo anterior, EMVARIAS actuará
de conformidad con lo siguiente: • Se solicitará autorización del
representante legal del niño, niña o adolescente previo ejercicio del menor de
su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la
madurez, autonomía y capacidad para entender el asunto, a efectos de realizar
el tratamiento de sus datos personales. • Se informará el carácter facultativo
de responder preguntas acerca de los datos de los niños, niñas o adolescentes.
• Se informará de forma explícita y previa cuáles son los datos objeto de
tratamiento y la finalidad de este. De manera excepcional autorización no será
requerida en los siguientes casos: • Cuando sea requerida por entidad pública
o administrativa en cumplimiento de sus funciones legales, o por orden
judicial. • Cuando se trate de datos de naturaleza pública. • En casos de
emergencia médica o sanitaria. • Cuando sea tratamiento de información
autorizado por la ley para fines históricos, estadísticos o científicos. •
Cuando se trate de datos personales relacionados con el Registro Civil de las
personas. En estos casos, si bien no se requiere de la autorización del
titular, si tendrán aplicación los demás principios y disposiciones legales
sobre protección de datos personales. 10.DERECHOS DE LOS TITULARES DE LOS
DATOS. Los titulares de los datos de carácter personal contenidos en bases de
datos que reposen en los sistemas de información de EMVARIAS, tienen los
derechos descritos en este acápite en cumplimiento de las garantías
fundamentales consagradas en el Constitución Política y la ley. El ejercicio
de estos derechos será gratuito e ilimitado por parte del titular del dato
personal, sin perjuicio de disposiciones legales que regulen el ejercicio de
los mismos. 16 El ejercicio del Habeas Data, expresado en los siguientes
derechos, constituye una potestad personalísima y corresponderán al titular
del dato de manera primigenia, salvo las excepciones de ley. 10.1 Derechos de
acceso. Este derecho comprende la facultad del titular del dato de obtener
toda la información respecto de sus propios datos personales, sean parciales o
completos, del tratamiento aplicado a los mismos, de la finalidad del
tratamiento, la ubicación de las bases de datos que contienen sus datos
personales y sobre las comunicaciones y/o cesiones efectuadas respecto de
ellos, sean estas autorizadas o no. 10.2 Derechos de actualización Este
derecho comprende la facultad del titular del dato de actualizar sus datos
personales cuando estos hayan tenido alguna variación. 10.2 Derechos de
rectificación. Este derecho comprende la facultad del titular del dato de
modificar los datos que resulten ser inexactos, incompletos o inexistentes.
10.3 Derechos de cancelación. Este derecho comprende la facultad del titular
del dato de cancelar sus datos personales o suprimirlos cuando sean excesivos,
no pertinentes o el tratamiento sea contrario a las normas, salvo en aquellos
casos contemplados como excepciones por la ley. 10.4 Derechos a la revocatoria
del consentimiento. El titular de los datos personales tiene el derecho de
revocar el consentimiento o la autorización que habilita a EMVARIAS para un
tratamiento con determinada finalidad, salvo en aquellos casos contemplados
como excepciones por la ley. 10.5 Derechos de oposición. 17 Este derecho
comprende la facultad del titular del dato de oponerse al tratamiento de sus
datos personales, salvo los casos en que tal derecho no proceda por
disposición legal o por vulnerar intereses generales superiores al interés
particular. La Secretaría General de EMVARIAS, con base en los legítimos
derechos que argumente el titular del dato personal, tomará la decisión
pertinente. 10.6 Derecho a presentar quejas y reclamos o a ejercer acciones.
El titular del dato personal tiene derecho a presentar ante la
Superintendencia de Industria y Comercio, o la entidad que fuera competente,
quejas y reclamos, así como las acciones que resultaren pertinentes, para la
protección de sus datos. 10.7 Derecho a otorgar autorización para el
tratamiento de datos. En desarrollo del principio del consentimiento
informado, el titular del dato tiene derecho a otorgar su autorización, por
cualquier medio que pueda ser objeto de consulta posterior, para tratar sus
datos personales en EMVARIAS. De manera excepcional, esta autorización no será
requerida en los siguientes casos: • Cuando sea requerida por entidad pública
o administrativa en cumplimiento de sus funciones legales, o por orden
judicial. • Cuando se trate de datos de naturaleza pública. • En casos de
emergencia médica o sanitaria. • Cuando sea tratamiento de información
autorizado por la ley para fines históricos, estadísticos o científicos. •
Cuando se trate de datos personales relacionados con el registro civil de las
personas. En estos casos, si bien no se requiere de la autorización del
titular, sí tendrán aplicación los demás principios y disposiciones legales
sobre protección de datos personales. 18 11.DEBERES DE LOS DESTINATARIOS DE
ESTA NORMA RESPECTO DE LAS BASES DE DATOS DE CARÁCTER PERSONAL CUANDO OSTENTEN
LA CALIDAD DE RESPONSABLES Y ENCARGADOS. 10.8 Deberes para los responsables
del tratamiento: Cuando EMVARIAS o cualquiera de los destinatarios de esta
norma, asuma la calidad de responsable del tratamiento de datos personales
bajo su custodia, deberá cumplir los siguientes deberes, sin perjuicio de las
demás disposiciones previstas en la ley y en otras que rijan su actividad: •
Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de Hábeas Data. • Solicitar y conservar, en las condiciones previstas
en el presente lineamiento, copia de la respectiva autorización otorgada por
el titular. • Informar debidamente al titular sobre la finalidad de la
recolección y los derechos que le asisten por virtud de la autorización
otorgada. • Conservar la información bajo las condiciones de seguridad
necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento. • Garantizar que la información que se suministre al
encargado del tratamiento sea veraz, completa, exacta, actualizada,
comprobable y comprensible. • Actualizar la información, comunicando de forma
oportuna al encargado del tratamiento, todas las novedades respecto de los
datos que previamente le haya suministrado y adoptar las demás medidas
necesarias para que la información suministrada a este se mantenga
actualizada. • Rectificar • la información cuando sea incorrecta y comunicar
lo pertinente al encargado del tratamiento. • Suministrar al encargado del
tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente
autorizado de conformidad con lo previsto en la ley. • Exigir al encargado del
tratamiento en todo momento respeto a las condiciones de seguridad y
privacidad de la información del titular. • Tramitar las consultas y reclamos
formulados en los términos señalados en esta norma y en la ley. • Adoptar un
manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la ley y en especial, para la atención de consultas y
reclamos. EMVARIAS cumple con esta obligación a través de la adopción de este
lineamiento. 19 • Informar al encargado del tratamiento la circunstancia de
que determinada información se encuentra en discusión por parte del titular,
una vez se haya presentado la reclamación y no haya finalizado el trámite
respectivo. • Informar a solicitud del titular sobre el uso dado a sus datos.
• Informar a la autoridad de protección de datos cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración
de la información de los titulares. • Cumplir las instrucciones y
requerimientos que imparta la Superintendencia de Industria y Comercio. 10.9
Deberes de los encargados del tratamiento de datos personales Cuando EMVARIAS
o cualquiera de los destinatarios de esta norma, asuma la calidad de encargado
del tratamiento de datos personales bajo su custodia, deberá cumplir los
siguientes deberes, sin perjuicio de las demás disposiciones previstas en la
ley y en otras que rijan su actividad: • Garantizar al titular, en todo
tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data. • Conservar
la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. •
Realizar oportunamente la actualización, rectificación o supresión de los
datos en los términos de la ley. • Actualizar la información reportada por los
responsables del tratamiento dentro de los cinco (5) días hábiles contados a
partir de su recibo. • Tramitar las consultas y los reclamos formulados por
los titulares en los términos señalados en este lineamiento y en la ley. •
Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la ley y, en especial, para la atención de consultas
y reclamos por parte de los Titulares. EMVARIAS cumple con dicha obligación a
través de la adopción de la presente política. • Registrar en la base de datos
la leyenda "RECLAMO DE HABEAS DATA EN TRÁMITE" en relación con la información
personal que se discuta o cuestione por los titulares, acorde con la forma en
que se regule en la ley. • Insertar en la base de datos la leyenda
"INFORMACION SOBRE HABEAS DATA EN DISCUSION JUDICIAL" una vez notificado por
parte de la autoridad competente sobre procesos judiciales relacionados con la
calidad del dato personal. • Abstenerse de circular información que esté
siendo controvertida por el 20 titular y cuyo bloqueo haya sido ordenado por
la Superintendencia de Industria y Comercio o por otra autoridad competente. •
Permitir el acceso a la información únicamente a las personas que pueden tener
acceso a ella. • Informar a la Superintendencia de Industria y Comercio cuando
se presenten violaciones a los “Códigos de Seguridad” y existan riesgos en la
administración de la información de los titulares. • Cumplir las instrucciones
y requerimientos que imparta la Superintendencia de Industria y Comercio.
10.10 Deberes comunes de responsables y encargados del tratamiento Además de
los deberes antes descritos en cabeza de EMVARIAS y de cualquiera otra persona
que asuma su condición de responsable o encargado del tratamiento, de manera
complementaria asumirán los siguientes deberes cualquiera que sea su
condición: • Aplicar las medidas de seguridad conforme la clasificación de los
datos personales que trata EMVARIAS. • Adoptar procedimientos de recuperación
de desastres aplicables a la base de datos que contengan datos personales. •
Adoptar procedimientos de respaldo o back up de la base de datos que contienen
datos personales. • Auditar de forma periódica el cumplimiento de este
lineamiento por parte de los destinatarios de la misma. • Gestionar de manera
segura las bases de datos que contengan datos personales. • Aplicar este
lineamiento sobre protección de datos personales en armonía con la “Política
de Seguridad de la Información”. • Llevar un registro central de las bases de
datos que contengan datos personales que comprenda el historial desde su
creación, tratamiento de la información y cancelación de la base de datos. •
Gestionar de manera segura el acceso a las bases de datos personales
contenidos en los sistemas de información, en los que actúe como responsable o
encargado del tratamiento. • Disponer de un procedimiento para gestionar los
incidentes de seguridad respecto de las bases de datos que contengan datos
personales. • Regular en los contratos con terceros el acceso a las bases que
contengan datos de carácter personal. 21 12.
PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN,
ACCESO, ACTUALIZACIÓN, RECTIFICACION, CANCELACION Y OPOSICION. En desarrollo
del derecho constitucional de Hábeas Data respecto de los derechos de acceso,
actualización, rectificación, cancelación y oposición por parte del titular de
datos personales, o interesado habilitado legalmente, esto es, sus
causahabientes y representantes legales, EMVARIAS adopta el siguiente
procedimiento: • El titular del dato y/o interesado en ejercer uno de estos
derechos, acreditará esta condición mediante copia de su documento de
identidad, que podrá suministrar por medio físico o digital. En caso de que el
titular este representado por un tercero deberá allegarse el respectivo poder,
el cual deberá tener reconocimiento del contenido ante notario, habida cuenta
de que se trata del ejercicio del Derecho Fundamental al Habeas Data. El
apoderado deberá igualmente acreditar su identidad en los términos indicados.
• La solicitud para ejercer cualquiera de los derechos mencionados deberá
hacerse en soporte escrito, sea este físico o digital. La solicitud de
ejercicio de los derechos mencionados podrá dirigir su comunicación a la
cuenta de correo electrónico, [email protected], o entregarla en
cualquiera de las oficinas de atención presencial dispuestas por la entidad.
EMVARIAS podrá disponer de otros medios para que el titular de los datos
personales ejerza sus derechos. La solicitud de ejercicio de cualquiera de los
derechos mencionados contendrá la siguiente información: • Nombre e
identificación del titular del dato personal, y de sus representantes, de ser
elcaso. • Petición concreta y precisa de información, acceso, actualización,
rectificación, cancelación, oposición o revocatoria del consentimiento. En
cada caso la petición deberá estar razonablemente fundamentada para que
EMVARIAS proceda, como responsable de la base de datos, a dar respuesta. 22 •
Dirección física y/o electrónica para notificaciones. • Documentos que
soportan la solicitud, si a ello hay lugar. EMVARIAS dispone de un formato
para el ejercicio de los derechos. Si faltare alguno de los requisitos aquí
indicados, EMVARIAS así lo comunicará al interesado dentro de los 5 días
siguientes a la recepción de la solicitud, para que los mismos sean
subsanados, procediendo entonces a dar respuesta a la solicitud de Hábeas Data
presentada. Si transcurridos dos (2) meses sin que presente la información
requerida, se entenderá que se ha desistido de la solicitud. EMVARIAS podrá
disponer de formatos físicos y/o digitales para el ejercicio de este derecho y
en ellos indicará si se trata de una consulta o de un reclamo del interesado.
Dentro de los dos (2) días hábiles siguientes a la recepción completa de la
solicitud, EMVARIAS indicará que se trata de un reclamo en trámite. En la
respectiva base de datos (PQR) se deberá consignar una casilla en la que se
aparezcan las siguientes leyendas: “RECLAMO POR HABEAS DATA EN TRAMITE” y
“RECLAMO POR HABEAS DATA RESUELTO”. EMVARIAS, cuando sea responsable de la
base de datos personales contenidos en sus sistemas de información, dará
respuesta a la solicitud en el término de diez (10) días si se trata de una
consulta; y de quince días (15) días si se trata de un reclamo. En igual
término se pronunciará EMVARIAS cuando verifique que en sus sistemas de
información no tiene datos personales del interesado que ejerce alguno de los
derechos indicados. En caso de reclamo, si no fuere posible dar respuesta
dentro del término de (15) quince días, se informarán al interesado los
motivos de demora y la fecha en la que se atenderá el reclamo, la cual en
ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento
de los primeros quince (15) días. EMVARIAS, en los casos que detente la
condición de encargado del tratamiento informará tal situación al titular o
interesado en el dato personal, y comunicará al responsable del dato personal
la solicitud, con el fin de que este dé respuesta a la solicitud de consulta o
reclamo presentado. Copia de tal comunicación será dirigidaal titular del dato
o interesado, paraque tenga conocimiento sobre la identidad del responsable
del dato personal y en consecuencia del obligado principal de garantizar el
ejercicio de su derecho. 23 EMVARIAS documentará y almacenará las solicitudes
realizadas por los titulares de los datos o por los interesados en ejercicio
de cualquiera de los derechos, así como las respuestas a tales solicitudes.
Esta información será tratada conforme a las normas aplicables a la
correspondencia de la organización. Para acudir a la Superintendencia de
Industria y Comercio en ejercicio de las acciones legales contempladas para
los titulares de datos o interesados, se deberá agotar previamente el trámite
de consultas y/o reclamos aquí descrito. 13. REGISTRO CENTRAL DE BASES DE
DATOS PERSONALES EMVARIAS, como responsable del tratamiento de datos
personales bajo su custodia, en desarrollo de su actividad empresarial, así
como respecto de aquellos en los cuales tenga la calidad de encargado del
tratamiento, dispondrá de un registro central en el cual relacionará cada una
de las bases de datos contenidas en sus sistemas de información y demás
archivos de EMVARIAS. El registro central de bases de datos personales
permitirá: • Inscribir toda base de datos personales contenida en los sistemas
de información y demás archivos de EMVARIAS. A cada base se le asignará un
número de registro. • La inscripción de las bases de datos personales
indicará: (i) El tipo de dato personal que contiene; (ii) La finalidad y uso
previsto de la base de datos; (iii) Identificación del área deEMVARIAS que
hace el tratamiento de la base de datos; (iv) Sistema de tratamiento empleado
(automatizado o manual) en la base de datos; (v) Indicación del nivel y
medidas de seguridad que aplican a la base de datos en virtud del tipo de dato
personal que contiene; (vi) Ubicación de la base de datos en los sistemas de
información de EMVARIAS; (vii) El colectivo de personas o grupo de interés
cuyos datos están contenidos en la base de datos; (viii) La condición de
EMVARIAS como RESPONSABLE o ENCARGADO del tratamiento de las bases de datos;
(ix) Autorización de comunicación o cesión de la base de datos, si existe; (x)
Procedencia de los datos y procedimiento en la obtención del consentimiento;
(xi) Servidor de EMVARIAS custodio de la base de datos; (xii) 24 Los demás
requisitos que sean aplicables conforme al reglamento de la ley que llegare a
expedirse. • De manera mensual se registrarán, para efectos de cumplimiento y
auditoria, los cambios surtidos en las base de datos personales en relación
con los requisitos antes enunciados. En caso de que las bases de datos no
hayan sufrido cambios así se dejará constancia por el custodio de la misma. •
La ocurrencia de incidentes de seguridad que se presenten contra alguna de las
bases de datos personales custodiados por EMVARIAS, serán reportados al
Registro Nacional de Base de Datos dentro de los quince (15) días hábiles
siguientes al momento en que se detecten y serán puestos en conocimiento de la
persona o área encargada de atenderlos. • El registro indicará las sanciones
que llegaren a imponerse respecto del uso de la base de datos personales,
indicando el origen de la misma. • La cancelación de la base de datos
personales será registrada indicando los motivos y las medidas técnicas
adoptadas por EMVARIAS para hacer efectiva la cancelación. 14. FINALIDADES DEL
TRATAMIENTO DE DATOS PERSONALES EMVARIAS realizará el tratamiento de los datos
personales de acuerdo con las condiciones establecidas por el titular, la ley
y las definidas en la presente política de protección de datos personales. El
Tratamiento de los Datos Personales se podrá realizar a través de medios
físicos, automatizados o digitales de acuerdo con el tipo y forma de
recolección de la información. Las operaciones que constituyen tratamiento de
datos personales por parte de EMVARIAS, en calidad de responsable o encargado
de los mismos, se regirán por los siguientes parámetros. 14.1 Datos personales
relacionados con la gestión de los colaboradores: EMVARIAS tratará los datos
personales de sus empleados, contratistas, así como respecto de aquellos que
se postulen para vacantes, en tres momentos a saber: antes, durante y después
de la relación laboral y/o de servicios. 14.1.1 Tratamiento antes de la
relación contractual con los colaboradores 25 EMVARIAS informará, de manera
anticipada, a las personas interesadas en participar en un proceso de
selección, las reglas aplicables al tratamiento de los datos personales que
suministre el interesado, así como respecto de aquellos que se obtengan
durante el proceso de selección. EMVARIAS, una vez agote el proceso de
selección, informará el resultado negativo y entregará a las personas no
seleccionadas los datos personales suministrados, salvo que los titulares de
los datos por escrito autoricen la destrucción de los mismos. La información
obtenida por EMVARIAS respecto de quienes no fueron seleccionados, resultados
de las pruebas sicotécnicas y entrevistas, serán eliminados de sus sistemas de
información, dando así cumplimiento al principio de finalidad. EMVARIAS cuando
contrate procesos de selección de personal con terceros regulará en los
contratos el tratamiento que se deberá dar a los datos personales entregados
por los interesados, así como la destinación de la información personal
obtenida del respectivo proceso. Los datos personales e información obtenida
del proceso de selección respecto del personal seleccionado para laborar en
EMVARIAS, serán almacenados en la carpeta personal, aplicando a esta
información niveles y medidas de seguridad altas, en virtud de la
potencialidad de que tal información contenga datos de carácter sensible. La
finalidad de la entrega de los datos suministrados por los interesados en las
vacantes de EMVARIAS y la información personal obtenida del proceso de
selección, se limita a la participación en el mismo; por tanto, su uso para
fines diferentes está prohibido. Se tratarán para siguiente manera: a) Proveer
el talento humano idóneo a la organización, de forma oportuna y transparente,
teniendo en cuenta los perfiles de cargos definidos y la información personal
suministrada por los aspirantes con el fin de para atender las necesidades de
talento humano en EMVARIAS. b) Recibir mensajes relacionados con el proceso de
selección que se encuentre inscrito. c) Invitarlo a participar a nuevas
convocatorias laborales que desarrolle EMVARIAS. 26 d) Verificar la identidad
del aspirante, realizar estudios de seguridad y/o aplicar los protocolos de
seguridad a fin de prevenir y mitigar el riesgo de fraude, corrupción, lavado
de activos y/o financiación del terrorismo, y otras actividades ilegales.
14.1.2 Tratamiento de datos durante la relación contractual colaboradores
EMVARIAS almacenará los datos e información personales obtenida del proceso de
selección de los empleados en una carpeta identificada con el nombre de cada
uno de estos. El tratamiento y acceso a esta información, en formato físico o
digital, será autorizado por el proceso de Gestión Humana, acorde con sus
procedimientos, con la finalidad de administrar la relación contractual entre
EMVARIA y el empleado. El uso de la información de los empleados para fines
diferentes a la administración de la relación contractual está prohibido en
EMVARIAS. El uso diferente de los datos e información personal de los
empleados solo procederá por orden de autoridad competente, siempre que en
ella radique tal facultad. Corresponderá a la Secretaría General evaluar la
competencia y eficacia de la orden de la autoridad competente, con el fin de
prevenir una cesión no autorizada de datos personales. 14.1.3 Tratamiento de
datos después de terminada la relación contractual colaboradores Terminada la
relación laboral, cualquiera que fuere la causa, EMVARIAS procederá a
almacenar los datos personales obtenidos del proceso de selección y
documentación generada en el desarrollo de la relación laboral en un archivo
central, sometiendo tal información a medidas y niveles de seguridad altas, en
virtud de la potencialidad de que la información laboral pueda contener datos
sensibles. EMVARIAS tiene prohibido ceder tal información a terceras partes,
pues tal hecho puede configurar una desviación en la finalidad para la cual
fueron entregados los datos personales por sus titulares. Lo anterior, salvo
autorización previa y escrita que documente el consentimiento por parte del
titular del dato personal. 14.2 Tratamiento de datos personales de accionistas
Los datos e información personal de las personas físicas que llegaren a tener
27 la condición de accionista de EMVARIAS, se considerará información
reservada, pues la misma está registrada en los libros de comercio y tiene el
carácter de reserva por disposición legal. En consecuencia, el acceso a tal
información personal se efectuará conforme las disposiciones contenidas en el
Código de Comercio que regulan la materia. EMVARIAS solo usará los datos
personales de los accionistas de las filiales para las finalidades derivadas
de la relación estatutaria existente. 14.3 Tratamiento de datos personales de
proveedores. EMVARIAS solo recabará de sus proveedores los datos que sean
necesarios, pertinentes y no excesivos para la finalidad de selección,
evaluación y ejecución del contrato a que haya lugar. Cuando se le exija a
EMVARIAS, por su naturaleza jurídica, la divulgación de datos del proveedor -
persona físicaconsecuencia de un proceso de selección, esta se efectuará con
las previsiones que den cumplimiento a lo dispuesto en esta norma y que
prevengan a terceros sobre la finalidad de la información que se divulga.
EMVARIAS recolectará de sus proveedores los datos personales de los empleados
de este, que sean necesarios, pertinentes y no excesivos, que por motivos de
seguridad deba analizar y evaluar, atendiendo las características de los
servicios que se contraten con el proveedor. Los datos personales de empleados
de los proveedores recolectados por EMVARIAS, tendrá como única finalidad
verificar su idoneidad y competencia de tales empleados; por tanto, una vez
verificado este requisito, EMVARIAS podrá devolver tal información al
proveedor, salvo cuando fuere necesario preservar estos datos. Cuando EMVARIAS
entregue datos de sus empleados a sus proveedores, estos deberán proteger los
datos personales suministrados, conforme lo dispuesto en este lineamiento.
Para tal efecto se incluirá la previsión de auditoría respectiva en el
contrato o documento que legitima la entrega de los datos personales. EMVARIAS
verificará que los datos solicitados sean necesarios, pertinentes y no
excesivos respecto de la finalidad que fundamente la solicitud de acceso a los
mismos. 28 14.4 Tratamiento de datos personales en procesos de contratación.
Los terceros que en procesos de contratación, alianzas y acuerdos de
cooperación con EMVARIAS accedan, usen, traten y/o almacenen datos personales
de empleados de EMVARIAS y/o de terceros relacionados con dichos procesos
contractuales, adoptarán en lo pertinente lo dispuesto en esta política, así
como las medidas de seguridad que le indique EMVARIAS según el tipo de dato de
carácter personal tratado. Para tal efecto se incluirá la previsión de
auditoría respectiva en el contrato o documento que legitima la entrega de los
datos personales. EMVARIAS verificará que los datos solicitados sean
necesarios, pertinentes y no excesivos respecto de la finalidad del
tratamiento. 14.5 Tratamiento de datos personales de usuarios de los servicios
públicos domiciliarios que presta EMVARIAS EMVARIAS usará los datos personales
obtenidos en la prestación del servicio para los fines dispuestos en el
contrato de condiciones uniformes, tratando dichos datos conforme a lo
establecido en esta política. El tratamiento de esta información para fines
diferentes a los vinculados con la prestación de servicios públicos
domiciliarios deberá ser definido por EMVARIAS, así como previamente informado
y autorizado por el titular del dato. De acuerdo con lo anterior serán
tratados para: a) Dar cumplimiento a las obligaciones contraídas con nuestros
usuarios. b) Atención a las PQR´s presentadas por los usuarios. c) Atención a
las solicitudes de información pública para niños, niñas y adolescentes. d)
Atención a las solicitudes de información clasificada o reservada.
Felicitaciones, sugerencias o denuncias. 14.6 Tratamiento DE DATOS personales
de clientes diferentes a los servicios públicos domiciliarios prestados por
EMVARIAS a) Enviarle información sobre cambios o nuevos productos o servicios
29 que estén relacionados con el contrato y ofertas tanto de carácter
comercial como relacionada con los servicios que ofrece la empresa y sus
aliados b) Evaluar la calidad del servicio, y realizar estudios internos sobre
los hábitos de consumo. 14.7 Tratamiento de datos personales de la comunidad
en general. La recolección de datos de personas físicas que EMVARIAS trate en
desarrollo de acciones relacionadas con la comunidad, bien sea consecuencia de
responsabilidad social empresarial o de cualquiera otra actividad, se sujetará
a lo dispuesto en esta norma. Para el efecto, previamente EMVARIAS informará y
obtendrá la autorización de los titulares de los datos en los documentos e
instrumentos que utilice para el efecto y relacionados con estas actividades.
En cada uno de los casos antes descritos, las áreas de la organización que
desarrollen los procesos de negocios en los que se involucren datos de
carácter personal, deberán considerar en sus estrategias de acción la
formulación de reglas y procedimientos que permitan cumplir y hacer efectiva
las disposiciones aquí adoptadas, además de prevenir posibles sanciones
legales. De acuerdo con lo anterior se podrá contar con información de líderes
comunitarios y otros representantes de la comunidad con el fin de gestionar la
solución de problemáticas, atención de solicitudes de la comunidad y
periodistas para realizar eventos de mercadeo y ofertas de la empresa. 14.8
Tratamiento de datos personales de visitantes a los espacios operados y/o
administrados por la EMVARIAS. En la recolección de datos personales de
visitantes que acceden a los diferentes espacios operados y/o administrados
por EMVARIAS y en los que se puedan incluir datos biométricos, se sujetará a
lo dispuesto en esta norma y EMVARIAS para el efecto, previamente informará
mediante avisos de privacidad dispuestos en las zonas donde haya video
vigilancia a los titulares de los datos, y adoptará las medidas de seguridad
físicas, lógicas y administrativas, en nivel alto, conforme el riesgo que
pueda derivar de la criticidad de los datos personales tratados. Por lo
anterior EMVARIAS podrá: 30 a) Contar con un registro de los visitantes y
trabajadores de EMVARIAS con el fin de gestionar la seguridad personal y
empresarial de la empresa. b) Contar con registro en caso de que se presente
una emergencia durante la visita a las instalaciones de EMVARIAS. c) Apoyar
investigaciones de algún evento que comprometa la seguridad personal y
empresarial de la empresa. 15. PROHIBICIONES. En desarrollo de esta norma de
seguridad de la información personal de Emvarias, se establecen las siguientes
prohibiciones y sanciones como consecuencia de su incumplimiento. a) Emvarias
prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y
cualquiera otro tratamiento de datos personales de carácter sensible sin
autorización del titular del dato personal y/o de Emvarias El incumplimiento
de esta prohibición por parte de los empleados de Emvarias acarreará las
sanciones a que haya lugar de conformidad con la ley. El incumplimiento de
esta prohibición por parte de los proveedores que contraten con Emvarias será
considerado como causa grave para dar terminación al contrato, sin perjuicio
de las acciones a que haya lugar. En los contratos con los proveedores, en lo
que el objeto contratado tenga relación con datos personales, se pactará una
previsión en relación con los perjuicios que se pueden llegar a ocasionar a
Emvarias como consecuencia de la imposición de multas, sanciones operativas,
entre otras, por parte de las autoridades competentes y como consecuencia del
obrar imprudente o negligente del proveedor. b) Emvarias prohíbe la cesión,
comunicación o circulación de datos personales, sin el consentimiento previo,
escrito y expreso del titular del dato o sin autorización de Emvarias. La
cesión o comunicación de datos personales deberá ser inscrita en el registro
central de datos personales de Emvarias y contar con la autorización del
custodio de la base de datos. c) Emvarias prohíbe el acceso, uso, cesión,
comunicación, tratamiento, 31 almacenamiento y cualquiera otro tratamiento de
datos personales de carácter sensible que llegaren a ser identificados en un
procedimiento de auditoría en aplicación de la norma sobre el buen uso de los
recursos informáticos de la organización y/u otras normas expedidas por
Emvarias para estos fines. Los datos sensibles que se identifiquen serán
informados al titular de los mismos, con el fin de este proceda a eliminarlos;
de no ser posible esta opción, Emvarias procederá a eliminarlos de manera
segura. d) Emvarias prohíbe a los destinatarios de este lineamiento cualquier
tratamiento de datos personales que pueda dar lugar a alguna de las conductas
descritas en la ley de delitos informáticos 1273 de 2009. Salvo que se cuente
con la autorización del titular del dato y/o de Emvarias, según el caso. e)
Emvarias prohíbe el tratamiento de datos personales de niños y adolescentes
menores de edad, salvo autorización expresa de sus representantes legales.
Todo tratamiento que se llegare a hacer respecto de los datos de los menores,
se deberán asegurar los derechos prevalentes que la Constitución Política
reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia.
16. TRANSFERENCIA INTERNACIONAL DE DATOS. Está prohibida la transferencia de
datos personales a países que no proporcionen niveles adecuados de protección
de datos. Se entienden países seguros aquellos que cumplan con los estándares
fijados por la Superintendencia de Industria y Comercio. De manera excepcional
se podrán efectuar transferencias internacionales de datos por Emvarias
cuando: a) El titular del dato haya otorgado su autorización previa, expresa e
inequívoca para efectuar la transferencia. b) La transferencia sea necesaria
para la ejecución de un contrato entre el titular y Emvarias como responsable
y/o encargado del tratamiento. c) Se trate de transferencias bancarias y
bursátiles acorde con la 32 legislación aplicable a dichas transacciones. d)
Se trate de transferencia de datos en el marco de tratados internacionales que
hagan parte del ordenamiento jurídico colombiano. e) Transferencias legalmente
exigidas para salvaguardar un interés público. Al momento de presentarse una
transferencia internacional de datos personales, previo envío o recepción de
los mismos, Emvarias suscribirá los acuerdos que regulen en detalle las
obligaciones, cargas y deberes que surgen para las partes intervinientes. Los
acuerdos o contratos que se celebren deberán atender lo dispuesto en esta
norma, así como en la legislación y jurisprudencia que fuera aplicable en
materia de protección de datos personales. Corresponderá a la Secretaría
General de Emvarias aprobar los acuerdos o contratos que conlleven una
transferencia internacional de datos personales, atendiendo como directrices
los principios aplicables y recogidos en esta norma. Así mismo le
corresponderá hacer las consultas pertinentes ante la Superintendencia de
Industria y Comercio para asegurar la circunstancia de “país seguro” en
relación con el territorio de destino y/o procedencia de los datos. 17. ROLES
Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCION DE DATOS PERSONALES.
La responsabilidad en el adecuado tratamiento de datos personales al interior
de Emvarias, está en cabeza de todos los servidores públicos. En consecuencia,
al interior de cada área que maneje los procesos de negocios que involucren
tratamiento de datos personales, deberán adoptar las reglas y procedimientos
para la aplicación y cumplimiento de la presente norma, dada su condición de
custodios de la información personal que contenida en los sistemas de
información de Emvarias. En caso de duda respecto del tratamiento de los datos
personales, se acudirá a la Secretaria General para que indiquen la directriz
a seguir, según el caso. 18. TEMPORALIDAD DEL DATO PERSONAL. En el tratamiento
de datos personales que efectúa Emvarias, la permanencia de los datos en sus
sistemas de información estará determinada por la 33 finalidad de dicho
tratamiento. En consecuencia, agotada la finalidad para la cual se
recolectaron los datos, Emvarias procederá a su destrucción o devolución,
según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando
las medidas técnicas que impidan un tratamiento inadecuado. 19. MEDIDAS DE
SEGURIDAD. En el tratamiento de los datos personales objeto de regulación en
este lineamiento, Emvarias adoptó medidas de seguridad físicas, lógicas y
administrativas, las cuales se clasifican en nivel alto, medio y bajo,
conforme el riesgo que pueda derivar de la criticidad de los datos personales
tratados. 20. PROCEDIMIENTOS Y SANCIONES. Emvarias comunica a los
destinatarios de este lineamiento el régimen de sanciones previsto por la Ley
1581 de 2012 en su Artículo 23, que materializa los riesgos que se asume por
un indebido tratamiento de datos personales: “ARTICULO 23. Sanciones. La
Superintendencia de Industria y Comercio podrá imponer a los responsables del
Tratamiento y Encargados del Tratamiento las siguientes sanciones: a) Multas
de carácter personal e institucional hasta por el equivalente de dos mil
(2.000) salarios mínimos mensuales legales vigentes al momento de la
imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el
incumplimiento que las originó. b) Suspensión de las actividades relacionadas
con el Tratamiento hasta por un término de seis (6) meses. En el acto de
suspensión se indicarán los correctivos que se deberán adoptar. c) Cierre
temporal de las operaciones relacionadas con el Tratamiento una vez
transcurrido el término de suspensión sin que se hubieren adoptado los
correctivos ordenados por la Superintendencia de Industria y Comercio. d)
Cierre inmediato y definitivo de la operación que involucre el Tratamiento de
datos sensibles.” La notificación de cualquier procedimiento de investigación
por parte de cualquier autoridad, relacionado con el tratamiento de datos
personales, deberá ser comunicada de manera inmediata a la Secretaría General
de Emvarias, con el fin de tomar las medidas tendientes a defender el accionar
34 de la entidad y evitar la imposición de las sanciones previstas en la
legislación colombiana, en particular las consignadas en el Título VI,
Capítulo 3 de la Ley 1581 de 2012 antes descritas. Consecuencia de los riesgos
que asume Emvarias bien en calidad de responsable y/o encargado del
tratamiento de los datos personales, el incumplimiento de esta norma por parte
de sus destinatarios, se considera una falta grave y dará lugar a la
terminación del contrato respectivo sin perjuicio de las demás acciones que
legalmente procedan. 21. ENTREGA DE DATOS PERSONALES A AUTORIDADES. Cuando las
autoridades del Estado soliciten a Emvarias el acceso y/o entrega de datos de
carácter personal contenidos en cualquiera de sus bases de datos, se
verificará la legalidad de la petición, la pertinencia de los datos
solicitados en relación con la finalidad expresada por la autoridad, y se
documentará la entrega de la información personal solicitada previendo que la
misma cumpla con todos sus atributos (autenticidad, confiabilidad e
integridad), y advirtiendo el deber de protección sobre estos datos, tanto al
funcionario que hace la solicitud, a quien la recibe, así como a la entidad
para la cual estos laboran. Se prevendrá a la autoridad que requiera la
información personal, sobre las medidas de seguridad que aplican a los datos
personales entregados y los riegos que conllevan su indebido uso e inadecuado
tratamiento. 22.
RESTRICCIONES EN EL USO DE ESTA POLÍTICA.
Esta política de protección de datos personales es para uso exclusivo de
Emvarias, por tanto, está prohibida su copia, reproducción, distribución,
cesión, publicación, traducción y cualquiera otro uso por persona distinta a
Emvarias, en atención al respeto de la propiedad intelectual que ostentan sus
creadores, así como por razones de seguridad de la información 23.
VIGENCIA Las bases de datos que contienen datos personales tendrán una
vigencia igual al tiempo que se mantenga y utilice la información para las
finalidades descritas en esta Política. Una vez se cumplan estas finalidades y
siempre que exista un deber legal o contractual de conservar su información,
los datos serán eliminados de nuestra base de datos. La presente política
modifica y actualiza la versión 1-Política de protección de datos personales
EMVARIAS aprobada por Junta Directiva el 22 de febrero de 35 2017. La presente
actualización Versión 2-Política de protección de datos personales Emvarias
rige a partir de los 26 días del mes de mayo de dos mil veintiuno (2021). •
Elaboró: María Alejandra Raigosa Gaviria- Profesional de cumplimiento- Área
Finanzas Elizabeth Silva Alvarez- Profesional 3 en riesgos y Seguros- Área
Finanzas Daniel Franco Agudelo- Profesional en riegos y Seguros- Área Finanzas
• Revisó: Isabel Cristina Rodriguez Carvajal- Jefe Área Financiera