INTRODUCCIÓN
Empresas Varias de Medellín S.A. E.S.P. “EMVARIAS”, en el marco de la
arquitectura empresarial del Grupo Corporativo EPM y en cumplimiento
de lo dispuesto por la Ley 1581 de 2012, reglamentada parcialmente por
el Decreto 1377 de 2013 y demás normas vigentes, adopta mediante
Reunión de Junta Directiva, realizada el 22 de febrero de 2017, según
consta en el Acta número 70, tema 2, numeral 2,6; las políticas y
lineamientos establecidos para regular la recolección y tratamiento de los
datos de carácter personal y establece las garantías legales que deben
cumplir todas las personas en Colombia para el debido tratamiento de
dicha información dentro del marco normativo y el procedimiento que
desarrolla la seguridad de la información para el tratamiento de datos
personales dentro de la organización.
EMVARIAS se encuentra en proceso de homologación del macroproceso de Gestión Tecnológica de EPM, bajo el marco de la norma ISO
27001, la cual supone el sometimiento de la organización al cumplimiento
de la normatividad vigente en materia de protección de datos de
carácter personal.
En cumplimiento de la obligación que tiene EMVARIAS para mejorar su
Sistema de Gestión de Seguridad de la Información dentro del esquema
de Planear-Hacer-Verificar-Actuar, se requiere expedir las políticas y
lineamientos que establezca las reglas aplicables al tratamiento de datos
de carácter personal que estén bajo custodia de la entidad.
En cumplimiento de los derechos contenidos en el Artículo 15 de la
Constitución Política de Colombia, Ley 1581 de 2012 y Ley 1273 de 2009,
corresponde tanto a las directivas de EMVARIAS, así como a sus
empleados y terceros contratistas observar, acatar y cumplir las órdenes
e instrucciones que de modo particular imparta la organización respecto
de los datos de carácter personal, cuya divulgación o indebido uso
pueda generar un perjuicio a los titulares de la misma.
Teniendo en cuenta que EMVARIAS es la entidad responsable del
tratamiento de datos personales y en cumplimiento de lo establecido en
el artículo 13 del Decreto reglamentario 1377 de 2013 adopta y hace
público a todos los interesados la presente política y lineamientos que
contiene todos los elementos esenciales, sencillos, y seguros para el
cumplimiento de la legislación correspondiente a la protección de datos
personales.
6
1.
CONSIDERACIONES
•
Que EMVARIAS cuenta una política de protección de datos personales
aprobada desde el 22 de febrero de 2017, la cual se ha actualizado de
acuerdo con el tratamiento de nuevos datos personales.
• Que EMVARIAS cuenta con un programa integral de protección de
datos personales aprobado por la alta dirección el cual tiene como
objetivo identificar, prevenir, controlar y mitigar los riesgos relacionados
con los principios de responsabilidad demostrada, privacidad y
protección de datos personales, en los procesos de EMVARIAS.
• Que EMVARIAS en cumplimiento del deber legal consagrado en el
artículo 23 del Decreto 1377 de 2013, cuenta con un Profesional de
cumplimiento que efectúa la gestión de protección de datos personales
adscrito al área financiera-GIR quien es el encargado de velar por la
implementación efectiva de las políticas y procedimientos adoptados
al cumplimiento de la política de protección de datos de EMVARIAS.
• Que corresponde tanto a las directivas de EMVARIAS, así como a sus
trabajadores proveedores y contratistas, aliados comerciales, observar,
acatar y cumplir las órdenes e instrucciones que de modo particular
imparta la organización respecto de los datos de carácter personal
cuya divulgación o indebido uso pueda generar un perjuicio a los
titulares de la misma, en cumplimiento de los derechos contenidos en el
artículo 15 de la Constitución Política de Colombia, Ley 1581 de 2012 y
Ley 1273 de 2009.
• Que es deber de los trabajadores para con EMVARIAS prestar toda su
colaboración en caso de siniestro o riesgo inminente que afecte o
amenacen los activos de información, especialmente los relacionados
con la información de carácter personal que custodia EMVARIAS, de
manera que se preste la debida cooperación que EMVARIAS requiera
para investigar, analizar y capturar evidencia de incidentes de
seguridad que comprometan ésta información, tengan o no vocación
judicial, acatando para ello las instrucciones contenidas en el protocolo
de cadena de custodia de EMVARIAS.
Con base en las anteriores consideraciones que fundamentan la protección
de datos personales en EMVARIAS, se formulan las siguientes disposiciones
para su tratamiento y que son de obligatorio cumplimiento para los
destinatarios de esta política.
7
2. RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
Empresas Varias de Medellín S.A E.S.P. identificado con número de
identificación tributaria 890.905.055-9 (En adelante EMVARIAS)
Correo electrónico: [email protected]
Página web: www.emvarias.com.co
Atención al cliente: 444 56 36
Dirección: Calle 30 Nro. 55-198 Medellín, Colombia (Sede principal)
3.
AUTORIZACIONES
•
EMVARIAS solicitará la autorización de manera que el titular de la
información otorgue su consentimiento previo, expreso e informado del
tratamiento al cual son sujetos sus datos personales.
• El consentimiento del titular se podrá obtener por cualquier medio que
pueda ser objeto de consulta posterior, tales como, comunicación
escrita, verbal o virtual.
• En virtud de su naturaleza y objeto social, EMVARIAS recibe, recolecta,
registra, conserva, almacena, modifica, reporta, consulta, entrega,
transmite, transfiere, comparte y elimina información personal, para lo
cual obtiene la previa autorización del titular.
• La autorización que le otorgan los titulares de la información a EMVARIAS
le permite el desarrollo de su objeto social. EMVARIAS conservará
prueba de dichas autorizaciones de manera adecuada, velando y
respetando los principios de privacidad y confidencialidad de la
información.
8
4.
DEFINICIONES
•
Aviso de privacidad: Comunicación verbal o escrita generada por el
responsable, dirigida al titular para el tratamiento de sus datos personales,
mediante la cual se le informa acerca de la existencia de las políticas de
tratamiento de información que le serán aplicables, la forma de acceder
a las mismas y las finalidades del tratamiento que se pretende dar a los
datos personales.
• Base de datos personales. Es todo conjunto organizado de datos de
carácter personal, cualquiera que fuere la forma o modalidad de su
creación, almacenamiento, organización y acceso.
• Base de datos automatizada. Es el conjunto organizado de datos de
carácter personal que son creados, tratados y/o almacenados a través
de programas de ordenador o software.
• Base de datos no automatizada. Es el conjunto organizado de datos de
carácter personal que son creados, tratados y/o almacenados de forma
manual, con ausencia de programas de ordenador o software.
• Cesión de datos. Tratamiento de datos que supone su revelación a una
persona diferente al titular del dato o distinta de quien está habilitado
como cesionario.
• Custodio de la base de datos. Es la persona natural que tiene bajo su
custodia la base de datos personales al interior de EMVARIAS.
• Dato personal. Es cualquier dato y/o información que identifique a una
persona física o la haga identificable. Pueden ser datos numéricos,
alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de
cualquier otro tipo.
•
Dato personal sensible. Es una categoría especial de datos de carácter
personal especialmente protegido, por tratarse de aquellos
concernientes a la salud, sexo, filiación política, raza u origen étnico,
huellas biométricas, entre otros, que hacen parte del haber íntimo de la
persona y pueden ser recolectados únicamente con el consentimiento
expreso e informado de su titular y en los casos previstos en la ley.
• Encargado del tratamiento. Es la persona física o jurídica, autoridad
pública o privada, que por sí misma o en asocio con otros, realice el
tratamiento de datos personales por cuenta del responsable del
tratamiento.
• Fuentes accesibles al público. Se refiere a aquellas bases contentivas de
datos personales cuya consulta puede ser efectuada por cualquier
persona, que puede incluir o no el pago de una contraprestación a
cambio del servicio de acceso a tales datos. Tienen esta condición de
fuentes accesibles al público las guías telefónicas, los directorios de la
9
industria o sectoriales, entre otras, siempre y cuando la información se
limite a datos personales de carácter general o que contenga
generalidades de ley. Tendrán esta condición los medios de
comunicación impresos, diario oficial y demás medios de comunicación.
• Habeas Data. Derecho fundamental de toda persona para conocer,
actualizar, rectificar y/o cancelar la información y datos personales que
de ella se hayan recolectado y/o se traten en bases de datos públicas o
privadas, conforme lo dispuesto en la ley y demás normatividad
aplicable.
• Procedimiento de análisis y creación de información. Es la creación de
información respecto de una persona, a partir del análisis y tratamiento
de los datos personales recolectados y autorizados, para fines de analizar
y extraer perfiles o hábitos de comportamiento, que generan un valor
agregado sobre la información obtenida del titular de cada dato
personal.
• Procedimiento de disociación. Hace referencia a todo tratamiento de
datos personales de modo que la información que se obtenga no pueda
asociarse a persona identificada o identificable.
• Principios para el tratamiento de datos. Son las reglas fundamentales, de
orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de
datos personales, a partir de los cuales se determinan acciones y criterios
para dar solución a la posible colisión entre el derecho a la intimidad,
habeas data y protección de los datos personales con el derecho a la
información.
• Propietario de la base de datos. En los procesos de EMVARIAS, es
propietaria de la base de datos el área que tiene bajo su responsabilidad
el tratamiento de los mismos los gestiona y los tiene bajo su custodia.
• Responsable del tratamiento. Es la persona física o jurídica, de naturaleza
pública o privada, que recolecta los datos personales y decide sobre la
finalidad, contenido y uso de la base de datos para su tratamiento.
• Titular del dato personal. Es la persona física cuyos datos sean objeto de
tratamiento. Respecto de las personas jurídicas se predica el nombre
como derecho fundamental protegido constitucionalmente.
• Tratamiento de datos. Cualquier operación o conjunto de operaciones y
procedimientos técnicos de carácter automatizado o no que se
efectúan sobre datos personales tales como la recolección, grabación,
almacenamiento, conservación, uso, circulación, modificación, bloqueo,
cancelación, entre otros.
• Usuario. Es la persona natural o jurídica que tiene interés en el uso de la
información de carácter personal.
• Violación de datos personales. Es el delito creado por la Ley 1273 de 2009,
contenido en el Artículo 269 F del Código Penal Colombiano. El tipo penal
10
es la siguiente: “El que, sin estar facultado para ello, con provecho propio
o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee
códigos personales, datos personales contenidos en ficheros, archivos,
bases de datos o medios semejantes, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000
salarios mínimos legales mensuales vigentes”.
5. OBJETO.
Mediante el presente lineamiento se adoptan y establecen las reglas
aplicables al tratamiento de datos de carácter personal recolectados,
tratados y/o almacenados por EMVARIAS en desarrollo de su objeto social y
demás actividades empresariales, bien sea en calidad de responsable y/o
encargado del tratamiento.
Las reglas contenidas en esta política dan cumplimiento a lo dispuesto en el
Artículo 15 de la Constitución Política de Colombia y en la Ley 1581 de 2012,
en cuanto a la garantía de la intimidad de las personas, ejercicio del habeas
data y protección de datos personales, en concordancia con el derecho a
lainformación, de manera que se regulen proporcionalmente estos derechos
en EMVARIAS y se pueda prevenir la vulneración de los mismos.
Las reglas adoptadas en esta política por EMVARIAS se adecúan a los
estándares internacionales en materia de protección de datos personales.
6.
ALCANCE
Esta política aplica para toda la información personal registrada en las bases
de datos de EMVARIAS, quien actúa como responsable del tratamiento de
datos personales.
Todos los trabajadores, proveedores, contratista y aliados comerciales y
terceros que tengan relación legal o comercial con EMVARIAS y que ejerzan
tratamiento sobre las bases de datos personales, deben cumplir con esta
política y los procedimientos establecidos para el tratamiento de los datos
personales.
7.
ÁMBITO DE APLICACIÓN.
11
Las disposiciones contenidas en esta política se aplicarán al tratamiento de
datos personales efectuado en territorio colombiano, o cuando el
responsable y/o encargado se encuentre ubicado fuera del territorio
colombiano, en virtud de tratados internacionales, relaciones contractuales,
entre otros.
Los principios y disposiciones contenidos en este lineamiento de protección
de datos de carácter personal se aplicarán a cualquier base de datos
personal que se encuentre en custodia de EMVARIAS, bien sea en calidad
de responsable y/o como encargado del tratamiento.
Todos los procesos organizacionales de EMVARIAS que involucren el
tratamiento de datos de carácter personal, deberán someterse a lo
dispuesto en esta política.
8.
DESTINATARIOS.
La presente política se aplicará y por ende obligará a las siguientes personas:
• Representante legal.
• Personal interno de EMVARIAS, directivos o no, que custodien y traten
bases de datos de carácter personal.
• Contratistas y personas naturales o jurídicas que presten sus servicios a
EMVARIAS bajocualquier tipo de modalidad contractual, en virtud de la cual
se efectué cualquier tratamiento de datos de carácter personal.
• Aquellas otras personas con las cuales exista una relación legal de orden
estatutario, contractual, entre otras.
• Personas públicas y privadas en condición de titulares de los datos
personales.
• Las demás personas que establezca la ley.
12
9. PRINCIPIOS APLICABLES AL
TRATAMIENTO DE DATOS PERSONALES.
La protección de datos de carácter personal en EMVARIAS estará sometida
a los siguientes principios o reglas fundamentales con base en las cuales se
determinarán los procesos internos relacionados con el tratamiento de datos
personales; tales principios se interpretarán de manera armónica, integral y
sistemática para resolver los conflictos que se susciten en esta materia; son
principios aplicables a estos lineamientos, los consagrados en normas
internacionales, en la leyes colombianas y en la jurisprudencia de la Corte
Constitucional que ha desarrollado los derechos fundamentales vinculados a
los datos de carácter personal además de los siguientes.
9.1 Consentimiento informado o principio de libertad.
El tratamiento de datos personales al interior de EMVARIAS, sólo puede
hacerse con el consentimiento previo, expreso e informado del titular. Los
datos personales no podrán ser obtenidos, tratados o divulgados sin
autorización del titular, salvo mandato legal o judicial que supla el
consentimiento del titular.
9.2 Legalidad
El tratamiento de datos personales en Colombia es una actividad reglada y
por ende los procesos de negocios y destinatarios de la Ley 1581 de 2012 y
demás normas vigentes, deben sujetarse a lo dispuesto en ella.
9.3 Finalidades en los datos personales
El tratamiento de datos personales debe obedecer a una finalidad legítima,
acorde con la Constitución Política y la ley, la cual debe ser informada de
manera concreta, precisa y previa al titular para que este exprese su
consentimiento.
9.4 Calidad o veracidad del dato
EMVARIAS procurará, mediante la implementación de herramientas y
estrategias, que los datos de carácter personal recolectados sean veraces,
completos, exactos, comprobables, comprensibles y actualizados.
9.5 Transparencia
13
En el tratamiento de datos personales se garantizará el derecho del titular a
obtener y conocer del responsable y/o encargado del tratamiento, en
cualquier momento y sin restricciones, información acerca de la existencia
de datos que le conciernen.
9.6 Pertinencia del dato
Los datos personales que recabe EMVARIAS deberán ser adecuados,
pertinentes y no excesivos, teniendo en cuenta la finalidad del tratamiento
y/o de la base de datos. Se prohíbe la recolección de datos personales
desproporcionados en relación con la finalidad para la cual se obtienen.
9.7 Acceso y circulación restringida
Los datos personales que recolecte o trate EMVARIAS serán usados por ella
solo en el ámbito de la finalidad y autorización concedida por el titular del
dato personal, por tanto, no podrán ser accedidos, transferidos, cedidos ni
comunicados a terceros.
Los datos personales bajo custodia de EMVARIAS no podrán estar
disponibles en internet o en cualquier otro medio de divulgación masiva,
salvo que el acceso sea técnicamente controlable y seguro, lo anterior con
el fin de brindar un conocimiento restringido sólo a los titulares o terceros
autorizados conforme a lo dispuesto en la ley.
9.8 Temporalidad del Dato
Agotada la finalidad para la cual fue recolectado y/o tratado el dato
personal, EMVARIAS deberá cesar en su uso y por ende adoptará las
medidas de seguridad pertinentes a tal fin.
9.9 Seguridad del Dato
EMVARIAS, como empresa responsable social y ambientalmente, y en
procura de favorecer un buen relacionamiento con sus grupos de interés,
adopta medidas de seguridad previstas en la ley y normas técnicas
internacionales cuyo objetivo es proteger y preservar la confidencialidad,
integridad y disponibilidad de la información contenida en bases de datos,
independientemente del medio en el que se encuentre, de su ubicación o
14
de la forma en que esta sea transmitida.
9.10 Confidencialidad
EMVARIAS y todas las personas que intervengan en el tratamiento de datos
de carácter personal, tienen la obligación profesional de guardar y
mantener la reserva de tales datos, obligación que subsiste aún finalizada la
relación contractual. EMVARIAS implementará, en sus relaciones
contractuales, cláusulas de protección de datos en este sentido.
9.11 Deber de la información.
EMVARIAS informará, a los titulares de los datos personales, así como a los
responsables y encargados del tratamiento, del régimen de protección de
datos adoptado por la organización, así como la finalidad y demás
principios que regulan el tratamiento de estos datos. Informará además
sobre la existencia de las bases de datos de carácter personal que custodie,
los derechos y el ejercicio del habeas data por parte de los titulares,
procediendo al registro que exige la ley.
9.12 Protección especial de datos sensibles.
Emvarias sólo recolectará datos personales de carácter sensible cuando ello
sea necesario y pertinente para su actividad empresarial, para el tratamiento
de datos sensibles, EMVARIAS informará al titular de los datos lo siguiente:
• Para el tratamiento de este tipo de información el titular no está
obligado a dar su autorización o consentimiento.
• Se informará de forma explícita y previa qué tipo de datos sensibles
serán solicitados.
• Se comunicará el tratamiento y la finalidad que se le dará a los datos
sensibles.
• La autorización de los datos sensibles será previa, expresa y clara.
Cuando se trate de información que se relacione con los siguientes tipos de
datos, se tendrán las siguientes consideraciones especiales:
• Datos de Niños, Niñas y Adolescentes
EMVARIAS se asegurará que el tratamiento de este tipo de datos se realice de
conformidad con los derechos de los niños, niñas y adolescentes. En este
sentido, se protegerá su carácter especial y velará por el respeto de sus
derechos fundamentales, de acuerdo con lo dispuesto en los artículos 5, 6 y 7
15
de la Ley 1581 de 2012, y en los artículos 6 y 12 del Decreto 1377 de 2013, y
demás normas que los modifiquen o adicionen.
Para efectos de cumplir lo anterior, EMVARIAS actuará de conformidad con lo
siguiente:
• Se solicitará autorización del representante legal del niño, niña o
adolescente previo ejercicio del menor de su derecho a ser escuchado,
opinión que será valorada teniendo en cuenta la madurez, autonomía
y capacidad para entender el asunto, a efectos de realizar el
tratamiento de sus datos personales.
• Se informará el carácter facultativo de responder preguntas acerca de
los datos de los niños, niñas o adolescentes.
• Se informará de forma explícita y previa cuáles son los datos objeto de
tratamiento y la finalidad de este.
De manera excepcional autorización no será requerida en los siguientes
casos:
• Cuando sea requerida por entidad pública o administrativa en
cumplimiento de sus funciones legales, o por orden judicial.
• Cuando se trate de datos de naturaleza pública.
• En casos de emergencia médica o sanitaria.
• Cuando sea tratamiento de información autorizado por la ley para
fines históricos, estadísticos o científicos.
• Cuando se trate de datos personales relacionados con el Registro Civil
de las personas.
En estos casos, si bien no se requiere de la autorización del titular, si tendrán
aplicación los demás principios y disposiciones legales sobre protección de
datos personales.
10.DERECHOS DE LOS TITULARES DE LOS DATOS.
Los titulares de los datos de carácter personal contenidos en bases de datos
que reposen en los sistemas de información de EMVARIAS, tienen los
derechos descritos en este acápite en cumplimiento de las garantías
fundamentales consagradas en el Constitución Política y la ley.
El ejercicio de estos derechos será gratuito e ilimitado por parte del titular del
dato personal, sin perjuicio de disposiciones legales que regulen el ejercicio
de los mismos.
16
El ejercicio del Habeas Data, expresado en los siguientes derechos,
constituye una potestad personalísima y corresponderán al titular del dato
de manera primigenia, salvo las excepciones de ley.
10.1 Derechos de acceso.
Este derecho comprende la facultad del titular del dato de obtener toda la
información respecto de sus propios datos personales, sean parciales o
completos, del tratamiento aplicado a los mismos, de la finalidad del
tratamiento, la ubicación de las bases de datos que contienen sus datos
personales y sobre las comunicaciones y/o cesiones efectuadas respecto de
ellos, sean estas autorizadas o no.
10.2 Derechos de actualización
Este derecho comprende la facultad del titular del dato de actualizar sus
datos personales cuando estos hayan tenido alguna variación.
10.2 Derechos de rectificación.
Este derecho comprende la facultad del titular del dato de modificar los
datos que resulten ser inexactos, incompletos o inexistentes.
10.3 Derechos de cancelación.
Este derecho comprende la facultad del titular del dato de cancelar sus
datos personales o suprimirlos cuando sean excesivos, no pertinentes o el
tratamiento sea contrario a las normas, salvo en aquellos casos
contemplados como excepciones por la ley.
10.4 Derechos a la revocatoria del consentimiento.
El titular de los datos personales tiene el derecho de revocar el
consentimiento o la autorización que habilita a EMVARIAS para un
tratamiento con determinada finalidad, salvo en aquellos casos
contemplados como excepciones por la ley.
10.5 Derechos de oposición.
17
Este derecho comprende la facultad del titular del dato de oponerse al
tratamiento de sus datos personales, salvo los casos en que tal derecho no
proceda por disposición legal o por vulnerar intereses generales superiores
al interés particular.
La Secretaría General de EMVARIAS, con base en los legítimos derechos que
argumente el titular del dato personal, tomará la decisión pertinente.
10.6 Derecho a presentar quejas y reclamos o a ejercer acciones.
El titular del dato personal tiene derecho a presentar ante la
Superintendencia de Industria y Comercio, o la entidad que fuera
competente, quejas y reclamos, así como las acciones que resultaren
pertinentes, para la protección de sus datos.
10.7 Derecho a otorgar autorización para el tratamiento de datos.
En desarrollo del principio del consentimiento informado, el titular del dato
tiene derecho a otorgar su autorización, por cualquier medio que pueda ser
objeto de consulta posterior, para tratar sus datos personales en EMVARIAS.
De manera excepcional, esta autorización no será requerida en los siguientes
casos:
• Cuando sea requerida por entidad pública o administrativa en
cumplimiento de sus funciones legales, o por orden judicial.
• Cuando se trate de datos de naturaleza pública.
• En casos de emergencia médica o sanitaria.
• Cuando sea tratamiento de información autorizado por la ley para fines
históricos, estadísticos o científicos.
• Cuando se trate de datos personales relacionados con el registro civil
de las personas.
En estos casos, si bien no se requiere de la autorización del titular, sí tendrán
aplicación los demás principios y disposiciones legales sobre protección de
datos personales.
18
11.DEBERES DE LOS DESTINATARIOS DE ESTA NORMA RESPECTO DE LAS BASES DE
DATOS DE CARÁCTER PERSONAL CUANDO OSTENTEN LA CALIDAD DE
RESPONSABLES Y ENCARGADOS.
10.8 Deberes para los responsables del tratamiento:
Cuando EMVARIAS o cualquiera de los destinatarios de esta norma, asuma
la calidad de responsable del tratamiento de datos personales bajo su
custodia, deberá cumplir los siguientes deberes, sin perjuicio de las demás
disposiciones previstas en la ley y en otras que rijan su actividad:
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de Hábeas Data.
• Solicitar y conservar, en las condiciones previstas en el presente
lineamiento, copia de la respectiva autorización otorgada por el titular.
• Informar debidamente al titular sobre la finalidad de la recolección y los
derechos que le asisten por virtud de la autorización otorgada.
• Conservar la información bajo las condiciones de seguridad necesarias
para impedir su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
• Garantizar que la información que se suministre al encargado del
tratamiento sea veraz, completa, exacta, actualizada, comprobable y
comprensible.
• Actualizar la información, comunicando de forma oportuna al
encargado del tratamiento, todas las novedades respecto de los datos
que previamente le haya suministrado y adoptar las demás medidas
necesarias para que la información suministrada a este se mantenga
actualizada.
• Rectificar
• la información cuando sea incorrecta y comunicar lo pertinente al
encargado del tratamiento.
• Suministrar al encargado del tratamiento, según el caso, únicamente
datos cuyo tratamiento esté previamente autorizado de conformidad
con lo previsto en la ley.
• Exigir al encargado del tratamiento en todo momento respeto a las
condiciones de seguridad y privacidad de la información del titular.
• Tramitar las consultas y reclamos formulados en los términos señalados en
esta norma y en la ley.
• Adoptar un manual interno de políticas y procedimientos para garantizar
el adecuado cumplimiento de la ley y en especial, para la atención de
consultas y reclamos. EMVARIAS cumple con esta obligación a través de
la adopción de este lineamiento.
19
• Informar al encargado del tratamiento la circunstancia de que
determinada información se encuentra en discusión por parte del titular,
una vez se haya presentado la reclamación y no haya finalizado el
trámite respectivo.
• Informar a solicitud del titular sobre el uso dado a sus datos.
• Informar a la autoridad de protección de datos cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la
administración de la información de los titulares.
• Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.
10.9 Deberes de los encargados del tratamiento de datos personales
Cuando EMVARIAS o cualquiera de los destinatarios de esta norma, asuma
la calidad de encargado del tratamiento de datos personales bajo su
custodia, deberá cumplir los siguientes deberes, sin perjuicio de las demás
disposiciones previstas en la ley y en otras que rijan su actividad:
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de Hábeas Data.
• Conservar la información bajo las condiciones de seguridad necesarias
para impedir su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
• Realizar oportunamente la actualización, rectificación o supresión de los
datos en los términos de la ley.
• Actualizar la información reportada por los responsables del tratamiento
dentro de los cinco (5) días hábiles contados a partir de su recibo.
• Tramitar las consultas y los reclamos formulados por los titulares en los
términos señalados en este lineamiento y en la ley.
• Adoptar un manual interno de políticas y procedimientos para
garantizar el adecuado cumplimiento de la ley y, en especial, para la
atención de consultas y reclamos por parte de los Titulares. EMVARIAS
cumple con dicha obligación a través de la adopción de la presente
política.
• Registrar en la base de datos la leyenda "RECLAMO DE HABEAS DATA EN
TRÁMITE" en relación con la información personal que se discuta o
cuestione por los titulares, acorde con la forma en que se regule en la
ley.
• Insertar en la base de datos la leyenda "INFORMACION SOBRE HABEAS
DATA EN DISCUSION JUDICIAL" una vez notificado por parte de la
autoridad competente sobre procesos judiciales relacionados con la
calidad del dato personal.
• Abstenerse de circular información que esté siendo controvertida por el
20
titular y cuyo bloqueo haya sido ordenado por la Superintendencia de
Industria y Comercio o por otra autoridad competente.
• Permitir el acceso a la información únicamente a las personas que pueden
tener acceso a ella.
• Informar a la Superintendencia de Industria y Comercio cuando se
presenten violaciones a los “Códigos de Seguridad” y existan riesgos en
la administración de la información de los titulares.
• Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.
10.10 Deberes comunes de responsables y encargados del tratamiento
Además de los deberes antes descritos en cabeza de EMVARIAS y de
cualquiera otra persona que asuma su condición de responsable o
encargado del tratamiento, de manera complementaria asumirán los
siguientes deberes cualquiera que sea su condición:
• Aplicar las medidas de seguridad conforme la clasificación de los datos
personales que trata EMVARIAS.
• Adoptar procedimientos de recuperación de desastres aplicables a la
base de datos que contengan datos personales.
• Adoptar procedimientos de respaldo o back up de la base de datos que
contienen datos personales.
• Auditar de forma periódica el cumplimiento de este lineamiento por
parte de los destinatarios de la misma.
• Gestionar de manera segura las bases de datos que contengan datos
personales.
• Aplicar este lineamiento sobre protección de datos personales en
armonía con la “Política de Seguridad de la Información”.
• Llevar un registro central de las bases de datos que contengan datos
personales que comprenda el historial desde su creación, tratamiento de
la información y cancelación de la base de datos.
• Gestionar de manera segura el acceso a las bases de datos personales
contenidos en los sistemas de información, en los que actúe como
responsable o encargado del tratamiento.
• Disponer de un procedimiento para gestionar los incidentes de seguridad
respecto de las bases de datos que contengan datos personales.
• Regular en los contratos con terceros el acceso a las bases que
contengan datos de carácter personal.
21
12.
PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS
DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACION,
CANCELACION Y OPOSICION.
En desarrollo del derecho constitucional de Hábeas Data respecto de los
derechos de acceso, actualización, rectificación, cancelación y oposición
por parte del titular de datos personales, o interesado habilitado legalmente,
esto es, sus causahabientes y representantes legales, EMVARIAS adopta el
siguiente procedimiento:
• El titular del dato y/o interesado en ejercer uno de estos derechos,
acreditará esta condición mediante copia de su documento de identidad,
que podrá suministrar por medio físico o digital. En caso de que el titular este
representado por un tercero deberá allegarse el respectivo poder, el cual
deberá tener reconocimiento del contenido ante notario, habida cuenta de
que se trata del ejercicio del Derecho Fundamental al Habeas Data. El
apoderado deberá igualmente acreditar su identidad en los términos
indicados.
• La solicitud para ejercer cualquiera de los derechos mencionados
deberá hacerse en soporte escrito, sea este físico o digital. La solicitud de
ejercicio de los derechos mencionados podrá dirigir su comunicación a la
cuenta de correo electrónico, [email protected], o
entregarla en cualquiera de las oficinas de atención presencial dispuestas
por la entidad. EMVARIAS podrá disponer de otros medios para que el titular
de los datos personales ejerza sus derechos.
La solicitud de ejercicio de cualquiera de los derechos mencionados
contendrá la siguiente información:
• Nombre e identificación del titular del dato personal, y de sus
representantes, de ser elcaso.
• Petición concreta y precisa de información, acceso, actualización,
rectificación, cancelación, oposición o revocatoria del consentimiento. En
cada caso la petición deberá estar razonablemente fundamentada para
que EMVARIAS proceda, como responsable de la base de datos, a dar
respuesta.
22
• Dirección física y/o electrónica para notificaciones.
• Documentos que soportan la solicitud, si a ello hay lugar.
EMVARIAS dispone de un formato para el ejercicio de los derechos. Si faltare
alguno de los requisitos aquí indicados, EMVARIAS así lo comunicará al
interesado dentro de los 5 días siguientes a la recepción de la solicitud, para
que los mismos sean subsanados, procediendo entonces a dar respuesta a
la solicitud de Hábeas Data presentada. Si transcurridos dos (2) meses sin que
presente la información requerida, se entenderá que se ha desistido de la
solicitud. EMVARIAS podrá disponer de formatos físicos y/o digitales para el
ejercicio de este derecho y en ellos indicará si se trata de una consulta o de
un reclamo del interesado. Dentro de los dos (2) días hábiles siguientes a la
recepción completa de la solicitud, EMVARIAS indicará que se trata de un
reclamo en trámite. En la respectiva base de datos (PQR) se deberá
consignar una casilla en la que se aparezcan las siguientes leyendas:
“RECLAMO POR HABEAS DATA EN TRAMITE” y “RECLAMO POR HABEAS DATA
RESUELTO”.
EMVARIAS, cuando sea responsable de la base de datos personales
contenidos en sus sistemas de información, dará respuesta a la solicitud en
el término de diez (10) días si se trata de una consulta; y de quince días (15)
días si se trata de un reclamo. En igual término se pronunciará EMVARIAS
cuando verifique que en sus sistemas de información no tiene datos
personales del interesado que ejerce alguno de los derechos indicados.
En caso de reclamo, si no fuere posible dar respuesta dentro del término de
(15) quince días, se informarán al interesado los motivos de demora y la
fecha en la que se atenderá el reclamo, la cual en ningún caso podrá
superar los ocho (8) días hábiles siguientes al vencimiento de los primeros
quince (15) días.
EMVARIAS, en los casos que detente la condición de encargado del
tratamiento informará tal situación al titular o interesado en el dato personal,
y comunicará al responsable del dato personal la solicitud, con el fin de que
este dé respuesta a la solicitud de consulta o reclamo presentado. Copia de
tal comunicación será dirigidaal titular del dato o interesado, paraque tenga
conocimiento sobre la identidad del responsable del dato personal y en
consecuencia del obligado principal de garantizar el ejercicio de su
derecho.
23
EMVARIAS documentará y almacenará las solicitudes realizadas por los
titulares de los datos o por los interesados en ejercicio de cualquiera de los
derechos, así como las respuestas a tales solicitudes. Esta información será
tratada conforme a las normas aplicables a la correspondencia de la
organización.
Para acudir a la Superintendencia de Industria y Comercio en ejercicio de
las acciones legales contempladas para los titulares de datos o interesados,
se deberá agotar previamente el trámite de consultas y/o reclamos aquí
descrito.
13. REGISTRO CENTRAL DE BASES DE DATOS PERSONALES
EMVARIAS, como responsable del tratamiento de datos personales bajo su
custodia, en desarrollo de su actividad empresarial, así como respecto de
aquellos en los cuales tenga la calidad de encargado del tratamiento,
dispondrá de un registro central en el cual relacionará cada una de las
bases de datos contenidas en sus sistemas de información y demás archivos
de EMVARIAS.
El registro central de bases de datos personales permitirá:
• Inscribir toda base de datos personales contenida en los sistemas de
información y demás archivos de EMVARIAS. A cada base se le asignará un
número de registro.
• La inscripción de las bases de datos personales indicará: (i) El tipo de
dato personal que contiene; (ii) La finalidad y uso previsto de la base de
datos; (iii) Identificación del área deEMVARIAS que hace el tratamiento de
la base de datos; (iv) Sistema de tratamiento empleado (automatizado o
manual) en la base de datos; (v) Indicación del nivel y medidas de
seguridad que aplican a la base de datos en virtud del tipo de dato personal
que contiene; (vi) Ubicación de la base de datos en los sistemas de
información de EMVARIAS; (vii) El colectivo de personas o grupo de interés
cuyos datos están contenidos en la base de datos; (viii) La condición de
EMVARIAS como RESPONSABLE o ENCARGADO del tratamiento de las bases
de datos; (ix) Autorización de comunicación o cesión de la base de datos,
si existe; (x) Procedencia de los datos y procedimiento en la obtención del
consentimiento; (xi) Servidor de EMVARIAS custodio de la base de datos; (xii)
24
Los demás requisitos que sean aplicables conforme al reglamento de la ley
que llegare a expedirse.
• De manera mensual se registrarán, para efectos de cumplimiento y
auditoria, los cambios surtidos en las base de datos personales en relación
con los requisitos antes enunciados. En caso de que las bases de datos no
hayan sufrido cambios así se dejará constancia por el custodio de la misma.
• La ocurrencia de incidentes de seguridad que se presenten contra
alguna de las bases de datos personales custodiados por EMVARIAS, serán
reportados al Registro Nacional de Base de Datos dentro de los quince (15)
días hábiles siguientes al momento en que se detecten y serán puestos en
conocimiento de la persona o área encargada de atenderlos.
• El registro indicará las sanciones que llegaren a imponerse respecto del
uso de la base de datos personales, indicando el origen de la misma.
• La cancelación de la base de datos personales será registrada
indicando los motivos y las medidas técnicas adoptadas por EMVARIAS para
hacer efectiva la cancelación.
14. FINALIDADES DEL TRATAMIENTO DE DATOS PERSONALES
EMVARIAS realizará el tratamiento de los datos personales de acuerdo con las
condiciones establecidas por el titular, la ley y las definidas en la presente
política de protección de datos personales. El Tratamiento de los Datos
Personales se podrá realizar a través de medios físicos, automatizados o
digitales de acuerdo con el tipo y forma de recolección de la información.
Las operaciones que constituyen tratamiento de datos personales por parte
de EMVARIAS, en calidad de responsable o encargado de los mismos, se
regirán por los siguientes parámetros.
14.1 Datos personales relacionados con la gestión de los colaboradores:
EMVARIAS tratará los datos personales de sus empleados, contratistas, así
como respecto de aquellos que se postulen para vacantes, en tres
momentos a saber: antes, durante y después de la relación laboral y/o de
servicios.
14.1.1 Tratamiento antes de la relación contractual con los colaboradores
25
EMVARIAS informará, de manera anticipada, a las personas interesadas en
participar en un proceso de selección, las reglas aplicables al tratamiento de
los datos personales que suministre el interesado, así como respecto de
aquellos que se obtengan durante el proceso de selección.
EMVARIAS, una vez agote el proceso de selección, informará el resultado
negativo y entregará a las personas no seleccionadas los datos personales
suministrados, salvo que los titulares de los datos por escrito autoricen la
destrucción de los mismos. La información obtenida por EMVARIAS respecto
de quienes no fueron seleccionados, resultados de las pruebas sicotécnicas
y entrevistas, serán eliminados de sus sistemas de información, dando así
cumplimiento al principio de finalidad.
EMVARIAS cuando contrate procesos de selección de personal con terceros
regulará en los contratos el tratamiento que se deberá dar a los datos
personales entregados por los interesados, así como la destinación de la
información personal obtenida del respectivo proceso.
Los datos personales e información obtenida del proceso de selección
respecto del personal seleccionado para laborar en EMVARIAS, serán
almacenados en la carpeta personal, aplicando a esta información niveles y
medidas de seguridad altas, en virtud de la potencialidad de que tal
información contenga datos de carácter sensible.
La finalidad de la entrega de los datos suministrados por los interesados en las
vacantes de EMVARIAS y la información personal obtenida del proceso de
selección, se limita a la participación en el mismo; por tanto, su uso para fines
diferentes está prohibido.
Se tratarán para siguiente manera:
a) Proveer el talento humano idóneo a la organización, de forma
oportuna y transparente, teniendo en cuenta los perfiles de cargos
definidos y la información personal suministrada por los aspirantes con
el fin de para atender las necesidades de talento humano en
EMVARIAS.
b) Recibir mensajes relacionados con el proceso de selección que se
encuentre inscrito.
c) Invitarlo a participar a nuevas convocatorias laborales que desarrolle
EMVARIAS.
26
d) Verificar la identidad del aspirante, realizar estudios de seguridad y/o
aplicar los protocolos de seguridad a fin de prevenir y mitigar el riesgo de
fraude, corrupción, lavado de activos y/o financiación del terrorismo, y
otras actividades ilegales.
14.1.2 Tratamiento de datos durante la relación contractual colaboradores
EMVARIAS almacenará los datos e información personales obtenida del
proceso de selección de los empleados en una carpeta identificada con el
nombre de cada uno de estos. El tratamiento y acceso a esta información,
en formato físico o digital, será autorizado por el proceso de Gestión Humana,
acorde con sus procedimientos, con la finalidad de administrar la relación
contractual entre EMVARIA y el empleado.
El uso de la información de los empleados para fines diferentes a la
administración de la relación contractual está prohibido en EMVARIAS. El uso
diferente de los datos e información personal de los empleados solo
procederá por orden de autoridad competente, siempre que en ella radique
tal facultad. Corresponderá a la Secretaría General evaluar la competencia
y eficacia de la orden de la autoridad competente, con el fin de prevenir una
cesión no autorizada de datos personales.
14.1.3 Tratamiento de datos después de terminada la relación contractual
colaboradores
Terminada la relación laboral, cualquiera que fuere la causa, EMVARIAS
procederá a almacenar los datos personales obtenidos del proceso de
selección y documentación generada en el desarrollo de la relación laboral
en un archivo central, sometiendo tal información a medidas y niveles de
seguridad altas, en virtud de la potencialidad de que la información laboral
pueda contener datos sensibles.
EMVARIAS tiene prohibido ceder tal información a terceras partes, pues tal
hecho puede configurar una desviación en la finalidad para la cual fueron
entregados los datos personales por sus titulares. Lo anterior, salvo
autorización previa y escrita que documente el consentimiento por parte del
titular del dato personal.
14.2 Tratamiento de datos personales de accionistas
Los datos e información personal de las personas físicas que llegaren a tener
27
la condición de accionista de EMVARIAS, se considerará información
reservada, pues la misma está registrada en los libros de comercio y tiene el
carácter de reserva por disposición legal.
En consecuencia, el acceso a tal información personal se efectuará
conforme las disposiciones contenidas en el Código de Comercio que
regulan la materia.
EMVARIAS solo usará los datos personales de los accionistas de las filiales para
las finalidades derivadas de la relación estatutaria existente.
14.3 Tratamiento de datos personales de proveedores.
EMVARIAS solo recabará de sus proveedores los datos que sean necesarios,
pertinentes y no excesivos para la finalidad de selección, evaluación y
ejecución del contrato a que haya lugar. Cuando se le exija a EMVARIAS, por
su naturaleza jurídica, la divulgación de datos del proveedor - persona físicaconsecuencia de un proceso de selección, esta se efectuará con las
previsiones que den cumplimiento a lo dispuesto en esta norma y que
prevengan a terceros sobre la finalidad de la información que se divulga.
EMVARIAS recolectará de sus proveedores los datos personales de los
empleados de este, que sean necesarios, pertinentes y no excesivos, que por
motivos de seguridad deba analizar y evaluar, atendiendo las características
de los servicios que se contraten con el proveedor.
Los datos personales de empleados de los proveedores recolectados por
EMVARIAS, tendrá como única finalidad verificar su idoneidad y
competencia de tales empleados; por tanto, una vez verificado este
requisito, EMVARIAS podrá devolver tal información al proveedor, salvo
cuando fuere necesario preservar estos datos.
Cuando EMVARIAS entregue datos de sus empleados a sus proveedores,
estos deberán proteger los datos personales suministrados, conforme lo
dispuesto en este lineamiento. Para tal efecto se incluirá la previsión de
auditoría respectiva en el contrato o documento que legitima la entrega de
los datos personales. EMVARIAS verificará que los datos solicitados sean
necesarios, pertinentes y no excesivos respecto de la finalidad que
fundamente la solicitud de acceso a los mismos.
28
14.4 Tratamiento de datos personales en procesos de contratación.
Los terceros que en procesos de contratación, alianzas y acuerdos de
cooperación con EMVARIAS accedan, usen, traten y/o almacenen datos
personales de empleados de EMVARIAS y/o de terceros relacionados con
dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en
esta política, así como las medidas de seguridad que le indique EMVARIAS
según el tipo de dato de carácter personal tratado.
Para tal efecto se incluirá la previsión de auditoría respectiva en el contrato
o documento que legitima la entrega de los datos personales. EMVARIAS
verificará que los datos solicitados sean necesarios, pertinentes y no
excesivos respecto de la finalidad del tratamiento.
14.5 Tratamiento de datos personales de usuarios de los servicios públicos
domiciliarios que presta EMVARIAS
EMVARIAS usará los datos personales obtenidos en la prestación del servicio
para los fines dispuestos en el contrato de condiciones uniformes, tratando
dichos datos conforme a lo establecido en esta política.
El tratamiento de esta información para fines diferentes a los vinculados con
la prestación de servicios públicos domiciliarios deberá ser definido por
EMVARIAS, así como previamente informado y autorizado por el titular del
dato.
De acuerdo con lo anterior serán tratados para:
a) Dar cumplimiento a las obligaciones contraídas con nuestros usuarios.
b) Atención a las PQR´s presentadas por los usuarios.
c) Atención a las solicitudes de información pública para niños, niñas y
adolescentes.
d) Atención a las solicitudes de información clasificada o reservada.
Felicitaciones, sugerencias o denuncias.
14.6 Tratamiento DE DATOS personales de clientes diferentes a los servicios
públicos domiciliarios prestados por EMVARIAS
a) Enviarle información sobre cambios o nuevos productos o servicios
29
que estén relacionados con el contrato y ofertas tanto de carácter
comercial como relacionada con los servicios que ofrece la empresa
y sus aliados
b) Evaluar la calidad del servicio, y realizar estudios internos sobre los
hábitos de consumo.
14.7 Tratamiento de datos personales de la comunidad en general.
La recolección de datos de personas físicas que EMVARIAS trate en
desarrollo de acciones relacionadas con la comunidad, bien sea
consecuencia de responsabilidad social empresarial o de cualquiera otra
actividad, se sujetará a lo dispuesto en esta norma. Para el efecto,
previamente EMVARIAS informará y obtendrá la autorización de los titulares
de los datos en los documentos e instrumentos que utilice para el efecto y
relacionados con estas actividades.
En cada uno de los casos antes descritos, las áreas de la organización que
desarrollen los procesos de negocios en los que se involucren datos de
carácter personal, deberán considerar en sus estrategias de acción la
formulación de reglas y procedimientos que permitan cumplir y hacer
efectiva las disposiciones aquí adoptadas, además de prevenir posibles
sanciones legales.
De acuerdo con lo anterior se podrá contar con información de líderes
comunitarios y otros representantes de la comunidad con el fin de gestionar
la solución de problemáticas, atención de solicitudes de la comunidad y
periodistas para realizar eventos de mercadeo y ofertas de la empresa.
14.8 Tratamiento de datos personales de visitantes a los espacios operados
y/o administrados por la EMVARIAS.
En la recolección de datos personales de visitantes que acceden a los
diferentes espacios operados y/o administrados por EMVARIAS y en los que
se puedan incluir datos biométricos, se sujetará a lo dispuesto en esta norma
y EMVARIAS para el efecto, previamente informará mediante avisos de
privacidad dispuestos en las zonas donde haya video vigilancia a los titulares
de los datos, y adoptará las medidas de seguridad físicas, lógicas y
administrativas, en nivel alto, conforme el riesgo que pueda derivar de la
criticidad de los datos personales tratados.
Por lo anterior EMVARIAS podrá:
30
a) Contar con un registro de los visitantes y trabajadores de EMVARIAS con
el fin de gestionar la seguridad personal y empresarial de la empresa.
b) Contar con registro en caso de que se presente una emergencia
durante la visita a las instalaciones de EMVARIAS.
c) Apoyar investigaciones de algún evento que comprometa la
seguridad personal y empresarial de la empresa.
15. PROHIBICIONES.
En desarrollo de esta norma de seguridad de la información personal de
Emvarias, se establecen las siguientes prohibiciones y sanciones como
consecuencia de su incumplimiento.
a) Emvarias prohíbe el acceso, uso, gestión, cesión, comunicación,
almacenamiento y cualquiera otro tratamiento de datos personales de
carácter sensible sin autorización del titular del dato personal y/o de
Emvarias
El incumplimiento de esta prohibición por parte de los empleados de
Emvarias acarreará las sanciones a que haya lugar de conformidad con la
ley.
El incumplimiento de esta prohibición por parte de los proveedores que
contraten con Emvarias será considerado como causa grave para dar
terminación al contrato, sin perjuicio de las acciones a que haya lugar.
En los contratos con los proveedores, en lo que el objeto contratado tenga
relación con datos personales, se pactará una previsión en relación con los
perjuicios que se pueden llegar a ocasionar a Emvarias como consecuencia
de la imposición de multas, sanciones operativas, entre otras, por parte de
las autoridades competentes y como consecuencia del obrar imprudente o
negligente del proveedor.
b) Emvarias prohíbe la cesión, comunicación o circulación de datos
personales, sin el consentimiento previo, escrito y expreso del titular del dato
o sin autorización de Emvarias. La cesión o comunicación de datos
personales deberá ser inscrita en el registro central de datos personales de
Emvarias y contar con la autorización del custodio de la base de datos.
c) Emvarias prohíbe el acceso, uso, cesión, comunicación, tratamiento,
31
almacenamiento y cualquiera otro tratamiento de datos personales de
carácter sensible que llegaren a ser identificados en un procedimiento de
auditoría en aplicación de la norma sobre el buen uso de los recursos
informáticos de la organización y/u otras normas expedidas por Emvarias
para estos fines.
Los datos sensibles que se identifiquen serán informados al titular de los
mismos, con el fin de este proceda a eliminarlos; de no ser posible esta
opción, Emvarias procederá a eliminarlos de manera segura.
d) Emvarias prohíbe a los destinatarios de este lineamiento cualquier
tratamiento de datos personales que pueda dar lugar a alguna de las
conductas descritas en la ley de delitos informáticos 1273 de 2009. Salvo que
se cuente con la autorización del titular del dato y/o de Emvarias, según el
caso.
e) Emvarias prohíbe el tratamiento de datos personales de niños y
adolescentes menores de edad, salvo autorización expresa de sus
representantes legales. Todo tratamiento que se llegare a
hacer respecto de los datos de los menores, se deberán asegurar los
derechos prevalentes que la Constitución Política reconoce a estos, en
armonía con el Código de la Infancia y la Adolescencia.
16. TRANSFERENCIA INTERNACIONAL DE DATOS.
Está prohibida la transferencia de datos personales a países que no
proporcionen niveles adecuados de protección de datos. Se entienden
países seguros aquellos que cumplan con los estándares fijados por la
Superintendencia de Industria y Comercio.
De manera excepcional se podrán efectuar transferencias internacionales
de datos por Emvarias cuando:
a) El titular del dato haya otorgado su autorización previa, expresa e
inequívoca para efectuar la transferencia.
b) La transferencia sea necesaria para la ejecución de un contrato entre
el titular y Emvarias como responsable y/o encargado del tratamiento.
c) Se trate de transferencias bancarias y bursátiles acorde con la
32
legislación aplicable a dichas transacciones.
d) Se trate de transferencia de datos en el marco de tratados
internacionales que hagan parte del ordenamiento jurídico colombiano.
e) Transferencias legalmente exigidas para salvaguardar un interés
público.
Al momento de presentarse una transferencia internacional de datos
personales, previo envío o recepción de los mismos, Emvarias suscribirá los
acuerdos que regulen en detalle las obligaciones, cargas y deberes que
surgen para las partes intervinientes.
Los acuerdos o contratos que se celebren deberán atender lo dispuesto en
esta norma, así como en la legislación y jurisprudencia que fuera aplicable
en materia de protección de datos personales.
Corresponderá a la Secretaría General de Emvarias aprobar los acuerdos o
contratos que conlleven una transferencia internacional de datos personales,
atendiendo como directrices los principios aplicables y recogidos en esta
norma. Así mismo le corresponderá hacer las consultas pertinentes ante la
Superintendencia de Industria y Comercio para asegurar la circunstancia de
“país seguro” en relación con el territorio de destino y/o procedencia de los
datos.
17. ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCION DE
DATOS PERSONALES.
La responsabilidad en el adecuado tratamiento de datos personales al interior
de Emvarias, está en cabeza de todos los servidores públicos.
En consecuencia, al interior de cada área que maneje los procesos de
negocios que involucren tratamiento de datos personales, deberán adoptar
las reglas y procedimientos para la aplicación y cumplimiento de la presente
norma, dada su condición de custodios de la información personal que
contenida en los sistemas de información de Emvarias.
En caso de duda respecto del tratamiento de los datos personales, se acudirá
a la Secretaria General para que indiquen la directriz a seguir, según el caso.
18. TEMPORALIDAD DEL DATO PERSONAL.
En el tratamiento de datos personales que efectúa Emvarias, la permanencia
de los datos en sus sistemas de información estará determinada por la
33
finalidad de dicho tratamiento. En consecuencia, agotada la finalidad para
la cual se recolectaron los datos, Emvarias procederá a su destrucción o
devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley,
adoptando las medidas técnicas que impidan un tratamiento inadecuado.
19. MEDIDAS DE SEGURIDAD.
En el tratamiento de los datos personales objeto de regulación en este
lineamiento, Emvarias adoptó medidas de seguridad físicas, lógicas y
administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme
el riesgo que pueda derivar de la criticidad de los datos personales tratados.
20. PROCEDIMIENTOS Y SANCIONES.
Emvarias comunica a los destinatarios de este lineamiento el régimen de
sanciones previsto por la Ley 1581 de 2012 en su Artículo 23, que materializa
los riesgos que se asume por un indebido tratamiento de datos personales:
“ARTICULO 23. Sanciones. La Superintendencia de Industria y Comercio
podrá imponer a los responsables del Tratamiento y Encargados del
Tratamiento las siguientes sanciones:
a) Multas de carácter personal e institucional hasta por el equivalente de
dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de
la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista
el incumplimiento que las originó.
b) Suspensión de las actividades relacionadas con el Tratamiento hasta por
un término de seis (6) meses. En el acto de suspensión se indicarán los
correctivos que se deberán adoptar.
c) Cierre temporal de las operaciones relacionadas con el Tratamiento una
vez transcurrido el término de suspensión sin que se hubieren adoptado los
correctivos ordenados por la Superintendencia de Industria y Comercio.
d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento
de datos sensibles.”
La notificación de cualquier procedimiento de investigación por parte de
cualquier autoridad, relacionado con el tratamiento de datos personales,
deberá ser comunicada de manera inmediata a la Secretaría General de
Emvarias, con el fin de tomar las medidas tendientes a defender el accionar
34
de la entidad y evitar la imposición de las sanciones previstas en la legislación
colombiana, en particular las consignadas en el Título VI, Capítulo 3 de la Ley
1581 de 2012 antes descritas.
Consecuencia de los riesgos que asume Emvarias bien en calidad de
responsable y/o encargado del tratamiento de los datos personales, el
incumplimiento de esta norma por parte de sus destinatarios, se considera
una falta grave y dará lugar a la terminación del contrato respectivo sin
perjuicio de las demás acciones que legalmente procedan.
21. ENTREGA DE DATOS PERSONALES A AUTORIDADES.
Cuando las autoridades del Estado soliciten a Emvarias el acceso y/o entrega
de datos de carácter personal contenidos en cualquiera de sus bases de
datos, se verificará la legalidad de la petición, la pertinencia de los datos
solicitados en relación con la finalidad expresada por la autoridad, y se
documentará la entrega de la información personal solicitada previendo que
la misma cumpla con todos sus atributos (autenticidad, confiabilidad e
integridad), y advirtiendo el deber de protección sobre estos datos, tanto al
funcionario que hace la solicitud, a quien la recibe, así como a la entidad para
la cual estos laboran. Se prevendrá a la autoridad que requiera la información
personal, sobre las medidas de seguridad que aplican a los datos personales
entregados y los riegos que conllevan su indebido uso e inadecuado
tratamiento.
22.
RESTRICCIONES EN EL USO DE ESTA POLÍTICA.
Esta política de protección de datos personales es para uso exclusivo de
Emvarias, por tanto, está prohibida su copia, reproducción, distribución,
cesión, publicación, traducción y cualquiera otro uso por persona distinta a
Emvarias, en atención al respeto de la propiedad intelectual que ostentan sus
creadores, así como por razones de seguridad de la información
23.
VIGENCIA
Las bases de datos que contienen datos personales tendrán una vigencia
igual al tiempo que se mantenga y utilice la información para las finalidades
descritas en esta Política. Una vez se cumplan estas finalidades y siempre que
exista un deber legal o contractual de conservar su información, los datos
serán eliminados de nuestra base de datos.
La presente política modifica y actualiza la versión 1-Política de protección de
datos personales EMVARIAS aprobada por Junta Directiva el 22 de febrero de
35
2017.
La presente actualización Versión 2-Política de protección de datos personales
Emvarias rige a partir de los 26 días del mes de mayo de dos mil veintiuno
(2021).
• Elaboró:
María Alejandra Raigosa Gaviria- Profesional de cumplimiento- Área Finanzas
Elizabeth Silva Alvarez- Profesional 3 en riesgos y Seguros- Área Finanzas
Daniel Franco Agudelo- Profesional en riegos y Seguros- Área Finanzas
• Revisó:
Isabel Cristina Rodriguez Carvajal- Jefe Área Financiera