Pol铆ticas de tratamiento de bases de datos

 MANUAL DE POLITICAS DE TRATAMIENTO DE DATOS PERSONALES
DE LA CORPORACION CIMA

INTRODUCCION

El presente manual recopila las políticas generales en materia de tratamiento de datos personales y se constituye como manual básico de procedimiento de la CORPORACION CIMA respecto del manejo de la información a nivel institucional y frente a las solicitudes de los titulares de los datos.
El presente esta igualmente dirigido a los titulares de la información a fin de que conozcan los aspectos fundamentales relacionados con el manejo de la misma al interior de la compañía, sus derechos y demás aspectos de interés frente a la regulación legal en materia de tratamiento de datos personales.
Este manual se elabora por disposición de la ley y su regulación encuentra fundamento en la ley estatutaria 1581 de 2012 y los decretos 1377 de 2013, 1074 de 2015 y 1759 de 2016 y demás normas vigentes con el ánimo de mantener nuestro altos estándares de calidad empresarial, tal como se acredita con las certificaciones Icontec. Se ha redactado en un lenguaje claro y conciso a fin de que sea de fácil interpretación por parte de los titulares de la información, como del personal encargado de su implementación.

DATOS GENERALES DEL RESPONSABLE

La Corporación para la investigación y el desarrollo en Ciencias Materiales – CIMA, identificada con Nit No.804008668-2 es una entidad sin ánimo de lucro, cuyo propósito es realizar investigación, desarrollo e implementación en nuevas tecnologías, con el objeto de satisfacer integralmente las necesidades en áreas de la ingeniería en materiales, inspección de equipos, corrosión e integridad de activos, mejorando las posibilidades competitivas del sector energético e industrial. Contamos actualmente con 4 sedes en Colombia, Barrancabermeja, Bogotá, Cartagena y en la ciudad de Bucaramanga, Santander, se encuentra la oficina principal, en la dirección con carrera 19 número 35 - 02, Oficina 246, sede UIS Bucarica. Por su parte los titulares podrán contactarnos mediante él envió en mensaje de datos al correo electrónico: javier.mateus@corporacion-cima.com, o a nuestra página web www.corporacioncima.com

DEFINICIONES

Las definiciones contenidas en este manual, son generalmente de carácter legal o reglamentario, bien sea que estén contempladas en la ley o en un decreto. No obstante, en este capítulo además de las definiciones que se encuentran establecidas a nivel normativo, se da una breve explicación con el propósito de que sean comprendidas en su totalidad por el público en general.

Son definiciones necesarias para entender el presente manual, las siguientes:

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. Se trata en síntesis, del permiso otorgado por la persona natural cuyos datos personales serán objeto de tratamiento.

Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. Las bases de datos pueden constar en medios físicos o estar almacenados en dispositivos electrónicos, como ordenadores, memorias, celulares, tablets. Los datos pueden tener carácter comercial como en el caso de bases de datos de clientes, laboral en el caso de datos de empleados o exempleados o socios, externo como en el caso de datos de proveedores o competidores o vinculados estratégicos; sin embargo no se limitan a los casos mencionados.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinable, refiriéndose a aspectos exclusivos, que permiten identificado a una persona en menor o mayor medida.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Se trata por tanto de la persona o empresa que realice una de las siguientes actividades relacionadas con el dato personal: recolección, almacenamiento, uso, circulación, supresión, actualización, comercialización, publicación o cualquier otra para la cual el titular deba dar su consentimiento.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. El responsable del tratamiento de los datos personales es la persona natural o jurídica que tiene en principio la autorización por parte del titular para el tratamiento de sus datos personales; la calidad de responsable y encargado del tratamiento pueden concurrir en una sola persona natural o jurídica.

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento. Es el individuo que otorga la autorización para el tratamiento de sus datos personales mediante los mecanismos dispuestos por el responsable para obtener dicha autorización.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Puede incluir también la publicación, distribución, comercialización, actualización, verificación o cualquier otra para la cual el titular deba dar su consentimiento.

Aviso de privacidad: Comunicación escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales. Mediante este aviso se pondrá en manos del titular de los datos personales, el contenido del presente manual mediante el cual se podrá informar además, acerca de la forma de ejercer sus derechos como titular de los datos.

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. Al tener el carácter público, se sobrentiende que son de conocimiento de cualquier persona pero no por ello el responsable del tratamiento es libre de disponer de dichos datos.

Dato privado: El dato que por su naturaleza íntima o reservada solo es relevante para el titular.

Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. Este tipo de datos y su protección buscan proteger garantías y derechos fundamentales de la persona mediante una vigilancia más estricta en su tratamiento, pues su uso indebido podría generar perjuicios de carácter moral o físico.

Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. Es importante destacar que la transferencia de datos personales debe estar debidamente autorizada por el titular de los datos.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

4. DERECHOS QUE LE ASISTEN A LOS TITULARES:

Podrán los empleados, clientes, y contratistas cuyos datos Personales sean objeto de Tratamiento por parte de LA CORPORACION, ejercer los siguientes derechos, sin limitación alguna:

• Conocer los Datos Personales sobre los cuales LA CORPORACION está realizando el Tratamiento. De igual manera, el Titular puede solicitar en cualquier momento, que sus datos sean actualizados o rectificados, por ejemplo, si encuentra que sus datos son parciales, inexactos, incompletos, fraccionados, induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

• Solicitar constancia física o electrónica en la cual se otorgó la autorización a LA CORPORACION para el Tratamiento de sus Datos Personales.
  
• Efectuar de manera previa, información frente a los usos que LA CORPORACION, le ha dado a sus Datos Personales.
  
• Solicitar ante LA CORPORACION la supresión de sus Datos Personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, cuando no se respeten los principios, derechos ni garantías constitucionales. Lo anterior, mediante la presentación de un requerimiento denominado “reclamo”, de acuerdo con los procedimientos establecidos en estas políticas. No obstante, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular de la información tenga un deber legal o contractual de permanecer en la Base de Datos y/o Archivos, ni mientras se encuentre vigente la relación entre el Titular y LA COMPAÑIA, en virtud de la cual fueron recolectados sus datos.
  

• Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley de Protección de Datos Personales, siempre que hubiere agotado el reclamo de forma previa y directamente ante la compañía.
  

•  Acceder de forma gratuita a sus datos Personales que hayan sido objeto de Tratamiento.
  

4.1.1 Quienes pueden ejercer los derechos de los titulares?

Hay que Recordar que Los derechos de los Titulares podrán ser ejercidos: a.) de manera directa por el Titular, b.)Los herederos quienes deberán acreditar su calidad. c.)Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento, d.) Por estipulación a favor de otro o para otro.

5. DEBERES DE LA CORPORACION COMO RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES:

LA CORPORACION tiene presente que los datos Personales son de propiedad exclusiva de sus titulares y solamente ellas pueden decidir sobre los mismos. En ese sentido, se hará uso de los Datos Personales recolectados únicamente para las finalidades para las que se encuentra debidamente facultada y respetando, en todo caso, la normatividad vigente sobre la Protección de Datos Personales.

En consecuencia, los Responsables del Tratamiento deberán cumplir los siguientes deberes:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Conservar en medios físicos o electrónicos, constancias de las autorizaciones otorgadas por los Titulares.
c) Informar de forma previa al titular, mediante la suscripción del documento denominado autorización para el tratamiento de los datos personales junto con la publicación del aviso de privacidad, sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Implementar medidas de seguridad necesarias para impedir la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, de personal de LA CORPORACION o de terceros.
e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
f) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
g) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
h) Adoptar en debida forma por la CORPORACION, el presente manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley 1581 del 2012 y en especial, para la correcta atención de consultas y reclamos;
i) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
j) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

6. ÁREA ENCARGADA DE LA IMPLEMENTACIÓN Y OBSERVANCIA DE ESTA POLÍTICA

El señor CARLOS JAVIER MATEUS CAICEDO tendrá a su cargo la labor de desarrollo, implementación, capacitación y observancia de ésta Política. Para el efecto, todos los funcionarios que realizan el Tratamiento de Datos Personales en las diferentes áreas de LA CORPORACION, están obligados a reportar estas Bases de Datos al ADMINITRADOR y darán traslado de manera inmediata, de todas las peticiones, quejas o reclamos que reciban por parte de los Titulares de Datos Personales.
EL ADMINISTRADOR, también ha sido designado por LA CORPORACION como la persona a cargo de la atención de peticiones, consultas, quejas y reclamos ante la cual el Titular de la información podrá ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización. Esta persona se encuentra ubicada en la ciudad de Bucaramanga, Santander, en la dirección con carrera 19 número 35 - 02, Oficina 246, sede UIS Bucarica, y puede ser contactada a través del correo electrónico: javier.mateus@corporacion-cima.com.

7. MEDIOS ADOPTADOS PARA OBTENER LA AUTORIZACIÓN DEL TITULAR

LA CORPORACION CIMA solicitará autorización previa, expresa e informada a los Titulares de los Datos Personales sobre los que requiera realizar el Tratamiento.
Esta manifestación de voluntad del Titular puede darse a través de diferentes mecanismos puestos a disposición, tales como:
• Mediante el envió de la solicitud de la autorización por medio de mensaje de datos (correo electrónico), la cual su titular enviara un correo al encargado aceptado, autorización, y habiendo leído detenidamente las finalidades previstas Tratamiento de Datos Personales determinado por LA CORPORACION.
• De forma contractual, a través de la celebración de negocios jurídicos con contratistas y empleados

IMPORTANTE: En ningún caso LA CORPORACION asimilará el silencio del Titular a una conducta inequívoca.

8. DISPOSICIONES ESPECIALES PARA EL TRATAMIENTO DE DATOS PERSONALES.

La Corporación no adoptara el Tratamiento de los Datos Personales de naturaleza sensible, salvo que se cuente con autorización expresa, previa e informada del Titular, cuya única finalidad sea para salvaguardar la vida de sus titulares en aspectos referentes a la salud.

9. MEDIOS DE ATENCIÓN DE LA CORPORACIÓN.

Como se ha expresado anteriormente, Podrán en todo momento los titulares de los datos suministrados a la compañía, solicitar su rectificación, actualización y eliminación si considera que son innecesarios o exceden la finalidad para la cual se otorgó la autorización por parte del titular.
La compañía ha diseñado diferentes medio sobre los cuales se garantizara el libre ejercicio de los derechos de los titulares a través de la presentación de la solicitud respectiva en las siguientes direcciones:
a.) Comunicación escrita o verbal dirigida al domicilio principal LA CORPORACION CIMA, carrera 19 número 35 - 02, Oficina 246, sede UIS Bucarica, Bucaramanga, Santander, Colombia, teléfonos 6704695.
b.)Solicitud presentada al correo electrónico: javier.mateus@corporacion-cima.com
c.)Solicitud presentada a través del Portal web www.corporacioncima.com , en la pestaña de contacto, la cual podrá manifestar lo que estime referente al tratamiento.

10. PROCEDIMIENTO APLICABLE ANTE EL RECIBO DE CONSULTAS, QUEJAS RECLAMOS (PQR).

El presente procedimiento tiene como finalidad principal, la adopción de mecanismos sobre las cuales la compañía como los titulares de los datos personales se encuentren plenamente informados, sobre la manera que deberán ser presentadas y recepcionadas las peticiones de corrección, eliminación, actualización, y revocación al envió de información sobre los datos personales que se encuentren bajo el almacenamiento y custodia de la Compañía, que no cumplan los deberes establecidos en las políticas y en las disposiciones legales.

LA CORPORACION, atenderá en cualquier tiempo, las solicitudes presentadas por los titulares, la cual será tramitada de conformidad a lo siguiente:

a.) Deber de acreditación de identidad del titular, o la de su apoderado. La solicitud presentada por persona distinta del Titular, la cual no allegue poder conferido para la representación de titular, se tendrá por no inscrita y no dará lugar a la respuesta ni tramite de parte de la Compañía.
b.) La solicitud de rectificación, actualización, supresión o revocatoria debe ser presentada a través de los medios habilitados por LA CORPORACION indicados en el presente documento y contener, como mínimo, la siguiente información:
• El nombre y apellidos completos y dirección de domicilio del Titular o cualquier otro medio para recibir la respuesta.
• Los documentos que acrediten la identidad del titular y en caso dado, la de su representante con la respectiva poder con nota de presentación personal.
• Informar los hechos de forma clara y precisa que dan lugar a la consulta o reclamo, comunicando sobre qué datos personales está interesado el titular en ejercer sus derechos de actualización, eliminación, rectificación.
c.) Si la solicitud se presenta incompleta, LA CORPORACION deberá requerir al interesado dentro de los cinco (5) días siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de su solicitud.
d.) En caso de que quien reciba la solicitud no sea competente para resolverlo, dará traslado al ENCARGADO, en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
e.) Una vez recibida la solicitud, se incluirá en la Base de Datos una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que ésta sea decidida.
f.) El término máximo para atender esta solicitud será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado sobre los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

11. SEGURIDAD DE LOS DATOS PERSONALES

LA CORPORACION, en estricta aplicación del Principio de Seguridad en el Tratamiento de Datos Personales, proporcionará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. La obligación y responsabilidad se limita a disponer de los medios adecuados para este fin.
En cumplimiento de lo anterior, el almacenamiento solo estará bajo la custodia y cuidado del RESPONSABLE junto la estructura administrativa adoptada, la cual adopto mecanismos informáticos (software) que impidan el ingreso a las bases de datos por parte de personal no autorizado, y que ante un eventual hurto o perdida de los dispositivos móviles, el acceso cuente con un grado de dificultad que impida su vulneración y posible extracción.

12. TRANSFERENCIA, TRANSMISIÓN Y REVELACIÓN DE DATOS PERSONALES

Igualmente LA CORPORACION podrá entregar los Datos Personales a terceros solo en eventos como:

• Se trate de contratistas en ejecución de contratos para el desarrollo de las actividades de LA CORPORACION;
En todo caso, cuando LA CORPORACION requiera enviar o transmitir datos a alguna dependencia, sede, o empleado ubicado dentro del territorio de la República de Colombia para
hacer uso de las finalidades previstas, establecerá procesos administrativos en el que se pacte lo siguiente:
(i) Los alcances y finalidades del tratamiento.
(ii) Las actividades que el personal bajo la dirección del administrador realizará en nombre de LA CORPORACION.
(iii) Las obligaciones que debe cumplir el administrador respecto del Titular del dato.
(iv) la finalidad autorizada para el mismo y observando los principios establecidos en la Ley colombiana y la presente política.
(v) La obligación del personal de proteger adecuadamente los datos personales y las bases de datos así como de guardar confidencialidad respecto del tratamiento de los datos transmitidos.
(vi) Una descripción de las medidas de seguridad concretas que van a ser adoptadas por las sedes de LA CORPORACION.

13. LEGISLACIÓN APLICABLE

Esta Política de Protección de Datos Personales, el Aviso de Privacidad, se rigen por lo dispuesto en la legislación vigente sobre protección de los Datos Personales a los que se refieren el Artículo 15 de la Constitución Política de Colombia, la Ley 1266 de 2008, la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1727 de 2009, decreto 1759 del 2016 y demás normas que las modifiquen, deroguen o sustituyan.

14. VIGENCIAS

a.)En referencia a las políticas del tratamiento:
Esta Política de Protección de Datos Personales regirá a partir del 30 de Junio del 2017.
B.) REFERENTE A LAS BASES DE DATOS:
En cumplimiento del principio de Finalidad, la información personal objeto de tratamiento de la CORPORACION, estará bajo custodia y conservación respecto de empleados, contratistas y socios, durante la vigencia y ejecución de las relaciones contractuales como durante la permanencia en la calidad de socio o accionista. En consecuencia dicha información del titular será objeto de supresión y/o eliminación dentro de los dos años siguientes contados a partir de la terminación de las actividades comerciales o laborales; lo anterior información se mantendrá en nuestras bases de datos con el único propósito de establecer cualquier tipo de contacto que permita efectuar una relación contractual con los titulares.
-En el evento en el que la CORPORACION decida conservar de la información por un periodo mayor al anteriormente descrito, será estrictamente necesario implementar un nuevo mecanismo para solicitar de los titulares la autorización para ejercer su tratamiento renovando el ámbito temporal y conforme a las finalidades específicas descritas en el Aviso de Privacidad.

El presente manual fue elaborado en consideración a las necesidades específicas de la Corporación CIMA, por lo tanto se recomienda la no reproducción de la misma, en razón a que el presente manual se encuentra protegido por los derechos de autor.