1. Objetivo:
Establecer los lineamientos que permitan dar cumplimiento a la ley 1581 de 2012, el decreto 1377 del 2013 y demás normas que adicionen, modifiquen o deroguen, con los cuales se protegen los datos personales y se reglamenta el derecho a conocer, actualizar y rectificar la información que se haya recogido sobre ella, en bases de datos o archivos de Iván Botero Gómez S.A. y demás empresas del grupo.
2. Alcance:
La política de tratamiento de datos personales aplica a toda la información creada, intercambiada y/o registrada en las bases de datos, archivos y documentos que contengan datos personales y sean objeto de tratamiento por Iván Botero Gómez S.A. y demás empresas del grupo, quienes actúan en calidad de responsable y/o encargado del tratamiento de los datos personales.
3. Referencias Normativas:
Constitución Nacional: Derechos y deberes con el objetivo de asegurar la vida, la convivencia, el trabajo, la justicia, la igualdad, el conocimiento, la libertad y la paz, dentro de un marco jurídico, democrático y participativo que garantice un orden político, económico y social justo en el país.
Ley 1581 de 2012, "Protección de Datos Personales": De acuerdo con lo expuesto en el artículo 17 literal (k) de la presente ley, se hace referencia a la adopción de un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de esta Ley y en especial, para la atención de consultas y reclamos por parte de los titulares de la información.
Ley 2157 de 2021: La presente ley tiene por objeto modificar y adicionar la Ley 1266 de 2008, fortaleciendo el derecho al habeas data.
Decreto 1377 de 2013: El presente Decreto tiene como objetivo reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.
Doctrina y circulares de la Superintendencia de Industria y Comercio.
Jurisprudencia aplicable.
4. Vocabulario y/o Especificaciones:
Auditoría: Proceso sistemático, independiente y documentado para obtener evidencia de auditoría y para determinar el grado en el que se cumplen los criterios de auditoría.
Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos de personales.
Base de datos: Conjunto organizado de datos personales que es objeto de tratamiento.
Cifrado: Es la transformación de los datos mediante el uso de la criptografía para producir datos inteligibles (cifrados) y asegurar su confidencialidad. Es una técnica útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información.
Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.
Criptografía: Es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada, prevenir su repudio y/o prevenir su uso no autorizado.
Derecho de los niños, niñas y adolescentes: En el tratamiento se asegura el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que sean de naturaleza pública.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometida a reserva. Por ejemplo, el número de la cédula, estado civil.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan a la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva interés de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y a los datos biométricos.
Disponibilidad: Propiedad de ser accesible y utilizable a la demanda por una entidad autorizada.
Encargado del tratamiento de datos: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
Integridad: Propiedad de exactitud y completitud.
Incidente de seguridad de la información: Evento o serie de eventos de protección de datos personales no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.
No repudio: Con la expresión "no repudio" se hace referencia a la capacidad de afirmar la autoría de un mensaje o información, evitando que el autor niegue la existencia de su recepción o creación.
Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, recopile y decida sobre la base de datos y/o el tratamiento de los datos.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.
Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información en cualquier medio: impreso o digital.
Seguridad digital: Preservación de la confidencialidad, integridad y disponibilidad de la información que se encuentra en medios digitales.
Titular del dato personal: Persona natural cuyos datos personales sean objeto de tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o suspensión.
5. Lineamientos Generales:
La Ley 1581 de 2012 de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas, en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada; por lo tanto, se debe:
5.1 Informar de manera clara y expresa al titular de los datos personales lo siguiente, ya sea de manera verbal y/o escrita:
5.2 Obtener la autorización expresa y especial de datos personales (i) por escrito, (ii) de forma oral o (iii) por medios electrónicos o (iv) mediante conductas inequívocas que no admitan duda o equivocación del titular lo cual permita concluir de forma razonable que otorgó la autorización, como cuando, por ejemplo, se remite a la empresa una hoja de vida para participar en procesos de selección o cuando se ingresa a las instalaciones en el entendido de la existencia de sistemas de vídeo vigilancia.
5.3 Informar que el tratamiento de datos se realizará exclusivamente para las finalidades autorizadas e informadas al momento de recolectar los datos personales dentro de las cuales podrían estar:
5.4 Informar que se prohíbe el tratamiento de datos sensibles excepto cuando:
5.5 Informar que la recolección de los datos sensibles biométricos solo será usada con la finalidad de identificar a las personas, la seguridad, el cumplimiento de obligaciones legales y la adecuada prestación de los productos.
5.6 Conservar prueba del cumplimiento de la autorización para el tratamiento de los datos personales cuando el titular lo solicite, entregarle copia de esta.
5.7 Suministrar la información solicitada por los titulares de información personal, principalmente por medios electrónicos o por cualquier otro, solo si, así lo requiere el titular y será entregada sin barreras técnicas que impidan su acceso; su contenido será de fácil lectura, acceso y tendrá que corresponder en un todo a aquella que repose en la base de datos de Iván Botero Gómez S.A. y demás empresas del grupo.
5.8 Transferir y transmitir los datos personales a terceros con quienes Iván Botero Gómez S.A. y demás empresas del grupo tengan relación operativa que le provean de servicios necesarios en el desarrollo de su misionalidad, a través de la suscripción de cláusulas contractuales en donde como lo mínimo se identifique:
Mediante dicho contrato el encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de tratamiento de la información fijada por este y a realizar el tratamiento de datos de acuerdo con la finalidad que los titulares hayan autorizado y con las leyes aplicables vigentes.
5.9 Realizar por todos los miembros de Iván Botero Gómez S.A. y demás empresas del grupo, las actividades propias de su cargo, asumiendo las responsabilidades y las obligaciones que se tienen en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.
5.10 Almacenar la información digital y física en medios o ambientes que cuenten con adecuados controles para la protección de los datos personales. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias, centros de cómputo, centros documentales administrados por gestión documental.
5.11 Destruir los medios físicos y electrónicos a través de mecanismos que no permitan su reconstrucción. Lo anterior se deberá realizar únicamente ne los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción. La destrucción comprende información contenida en poder de terceros como en instalaciones propias.
5.12 Los encargados del tratamiento de datos personales son las personas naturales o jurídicas, públicas o privadas (proveedores, terceros, aliados, etc.) que realizan el tratamiento de datos personales por cuenta de Iván Botero Gómez S.A. y demás empresas del grupo. En tal calidad, tienen los siguientes deberes:
5.13 El oficial de protección de datos personales es el responsable de la gestión en la atención de peticiones, consultas y reclamos a través de las siguientes premisas:
Las peticiones, consultas y reclamos formulados por los titulares de datos personales bajo tratamiento de Iván Botero Gómez S.A. y demás empresas del grupo para ejercer sus derechos a conocer, actualizar, rectificar y suprimir datos o revocar la autorización deberán ser dirigidas a:
Las consultas dirigidas a Iván Botero Gómez S.A. y demás empresas del grupo, deben contener como mínimo la siguiente información:
6. Responsabilidades:
Junta directiva: Realizar la aprobación, seguimiento y toma de decisiones con relación a la implementación de la presente política.
Oficial de protección de datos personales: Dentro de sus responsabilidades se encuentran entre otras:
Gestión jurídica - Dirección jurídica: Apoyar las consultas, solicitudes y trámites legales relacionados con el tratamiento de datos personales, cuando así le sea solicitado.
Gestión humana - Dirección de gestión humana: En conjunto con el oficial de protección de datos personales, definir planes de capacitación a los colaboradores de acuerdo con la normativa vigente.
Gestión TIC - Dirección TIC: Implementar las medidas de seguridad informática requeridas para la adecuada protección de los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Gestión de control interno - Dirección de control interno: Realizar el correspondiente seguimiento de verificación del cumplimiento de las políticas de protección de datos.
Todas las áreas de la compañía:
7. Gobernabilidad de la política:
Cualquier contravención u omisión de las políticas aquí descritas se sancionará conforme a lo establecido en el reglamento interno de trabajo y se desarrollará bajo el debido proceso administrativo que haya a lugar.
8. Actualización:
La sociedad Iván Botero Gómez S.A. se reserva el derecho a modificar y/o actualizar la política en cualquier tiempo, conforme se considere necesario y acorde a los requerimientos normativos.
9. Divulgación:
La presente política será socializada de igual manera en procesos de inducción, reinducción o demás que sean necesarios.
10. Vigencia:
La presente política comenzará a regir a partir de la fecha de su publicación por medio de la plataforma tecnológica de la sociedad Iván Botero Gómez S.A. con vigencia indefinida.