Política de privacidad y tratamiento de datos personales

1. Objetivo:

Establecer los lineamientos que permitan dar cumplimiento a la ley 1581 de 2012, el decreto 1377 del 2013 y demás normas que adicionen, modifiquen o deroguen, con los cuales se protegen los datos personales y se reglamenta el derecho a conocer, actualizar y rectificar la información que se haya recogido sobre ella, en bases de datos o archivos de Iván Botero Gómez S.A. y demás empresas del grupo.

2. Alcance:

La política de tratamiento de datos personales aplica a toda la información creada, intercambiada y/o registrada en las bases de datos, archivos y documentos que contengan datos personales y sean objeto de tratamiento por Iván Botero Gómez S.A. y demás empresas del grupo, quienes actúan en calidad de responsable y/o encargado del tratamiento de los datos personales.

3. Referencias Normativas:

  • Constitución Nacional: Derechos y deberes con el objetivo de asegurar la vida, la convivencia, el trabajo, la justicia, la igualdad, el conocimiento, la libertad y la paz, dentro de un marco jurídico, democrático y participativo que garantice un orden político, económico y social justo en el país.

  • Ley 1581 de 2012, "Protección de Datos Personales": De acuerdo con lo expuesto en el artículo 17 literal (k) de la presente ley, se hace referencia a la adopción de un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de esta Ley y en especial, para la atención de consultas y reclamos por parte de los titulares de la información.

  • Ley 2157 de 2021: La presente ley tiene por objeto modificar y adicionar la Ley 1266 de 2008, fortaleciendo el derecho al habeas data.

  • Decreto 1377 de 2013: El presente Decreto tiene como objetivo reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.

  • Doctrina y circulares de la Superintendencia de Industria y Comercio.

  • Jurisprudencia aplicable.

4. Vocabulario y/o Especificaciones:

  • Auditoría: Proceso sistemático, independiente y documentado para obtener evidencia de auditoría y para determinar el grado en el que se cumplen los criterios de auditoría.

  • Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos de personales.

  • Base de datos: Conjunto organizado de datos personales que es objeto de tratamiento.

  • Cifrado: Es la transformación de los datos mediante el uso de la criptografía para producir datos inteligibles (cifrados) y asegurar su confidencialidad. Es una técnica útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información.

  • Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

  • Criptografía: Es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada, prevenir su repudio y/o prevenir su uso no autorizado.

  • Derecho de los niños, niñas y adolescentes: En el tratamiento se asegura el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que sean de naturaleza pública.

  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

  • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometida a reserva. Por ejemplo, el número de la cédula, estado civil.

  • Datos sensibles: Se entiende por datos sensibles aquellos que afectan a la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva interés de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y a los datos biométricos.

  • Disponibilidad: Propiedad de ser accesible y utilizable a la demanda por una entidad autorizada.

  • Encargado del tratamiento de datos: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

  • Integridad: Propiedad de exactitud y completitud.

  • Incidente de seguridad de la información: Evento o serie de eventos de protección de datos personales no deseados o inesperados, que tienen probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información.

  • No repudio: Con la expresión "no repudio" se hace referencia a la capacidad de afirmar la autoría de un mensaje o información, evitando que el autor niegue la existencia de su recepción o creación.

  • Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, recopile y decida sobre la base de datos y/o el tratamiento de los datos.

  • Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.

  • Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información en cualquier medio: impreso o digital.

  • Seguridad digital: Preservación de la confidencialidad, integridad y disponibilidad de la información que se encuentra en medios digitales.

  • Titular del dato personal: Persona natural cuyos datos personales sean objeto de tratamiento.

  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o suspensión.

5. Lineamientos Generales:

La Ley 1581 de 2012 de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas, en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada; por lo tanto, se debe:

5.1 Informar de manera clara y expresa al titular de los datos personales lo siguiente, ya sea de manera verbal y/o escrita:

  • El tratamiento al cual serán sometidos sus datos personales y la finalidad de la recolección de los mismos.
  • El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
  • Los derechos que le asisten como titular.
  • La identificación, dirección física o electrónica y teléfono de Iván Botero Gómez S.A. y demás empresas del grupo en su calidad de responsable y/o encargado del tratamiento de los datos personales.

5.2 Obtener la autorización expresa y especial de datos personales (i) por escrito, (ii) de forma oral o (iii) por medios electrónicos o (iv) mediante conductas inequívocas que no admitan duda o equivocación del titular lo cual permita concluir de forma razonable que otorgó la autorización, como cuando, por ejemplo, se remite a la empresa una hoja de vida para participar en procesos de selección o cuando se ingresa a las instalaciones en el entendido de la existencia de sistemas de vídeo vigilancia.

5.3 Informar que el tratamiento de datos se realizará exclusivamente para las finalidades autorizadas e informadas al momento de recolectar los datos personales dentro de las cuales podrían estar:

  • Continuar con el contacto y el trámite de solicitud de venta iniciado, aplicación laboral o proceso de contratación de proveedores.
  • Consultar en cualquier tiempo, en las centrales de riesgo, toda la información relevante para conocer su desempeño como deudor y capacidad de pago.
  • Enviar información sobre actividades desarrolladas por la compañía o demás del grupo.
  • Enviar información que se considere de interés a través de diversos medios.
  • Realizar actividades de mercadeo y publicidad de servicios propios de la compañía o demás empresas del grupo.
  • Compartir la información con terceros que colaboran con la empresa y que para el cumplimiento de sus obligaciones deben acceder a la misma.
  • Realizar gestiones de conocimiento al cliente, empleados, aspirantes, contratistas y proveedores y verificación o actualización de información a través de cualquier medio.
  • Dar cumplimiento a las obligaciones legales de información a autoridades administrativas y judiciales.

5.4 Informar que se prohíbe el tratamiento de datos sensibles excepto cuando:

  • El titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
  • El tratamiento será necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
  • El tratamiento se refiere a datos que son necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • E tratamiento tenga una finalidad histórica, estadística o científica. En este evento deben adoptarse las medidas conducentes a la supresión de identidad de los titulares.

5.5 Informar que la recolección de los datos sensibles biométricos solo será usada con la finalidad de identificar a las personas, la seguridad, el cumplimiento de obligaciones legales y la adecuada prestación de los productos.

5.6 Conservar prueba del cumplimiento de la autorización para el tratamiento de los datos personales cuando el titular lo solicite, entregarle copia de esta.

5.7 Suministrar la información solicitada por los titulares de información personal, principalmente por medios electrónicos o por cualquier otro, solo si, así lo requiere el titular y será entregada sin barreras técnicas que impidan su acceso; su contenido será de fácil lectura, acceso y tendrá que corresponder en un todo a aquella que repose en la base de datos de Iván Botero Gómez S.A. y demás empresas del grupo.

5.8 Transferir y transmitir los datos personales a terceros con quienes Iván Botero Gómez S.A. y demás empresas del grupo tengan relación operativa que le provean de servicios necesarios en el desarrollo de su misionalidad, a través de la suscripción de cláusulas contractuales en donde como lo mínimo se identifique:

  • Alcance del tratamiento.
  • Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales.
  • Las obligaciones del encargado para con el titular y el responsable.
  • Las medidas aplicadas para guardar confidencialidad respecto del tratamiento de los datos personales.

Mediante dicho contrato el encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de tratamiento de la información fijada por este y a realizar el tratamiento de datos de acuerdo con la finalidad que los titulares hayan autorizado y con las leyes aplicables vigentes.

5.9 Realizar por todos los miembros de Iván Botero Gómez S.A. y demás empresas del grupo, las actividades propias de su cargo, asumiendo las responsabilidades y las obligaciones que se tienen en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.

5.10 Almacenar la información digital y física en medios o ambientes que cuenten con adecuados controles para la protección de los datos personales. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias, centros de cómputo, centros documentales administrados por gestión documental.

5.11 Destruir los medios físicos y electrónicos a través de mecanismos que no permitan su reconstrucción. Lo anterior se deberá realizar únicamente ne los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción. La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

5.12 Los encargados del tratamiento de datos personales son las personas naturales o jurídicas, públicas o privadas (proveedores, terceros, aliados, etc.) que realizan el tratamiento de datos personales por cuenta de Iván Botero Gómez S.A. y demás empresas del grupo. En tal calidad, tienen los siguientes deberes:

  • Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de derecho de hábeas data.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Realizar oportunamente la actualización, rectificación o supresión de los datos.
  • Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la ley.
  • Dar trámite a las peticiones, quejas, reclamos, sugerencias y denuncias formulados en los términos señalados por la ley.
  • Registrar en la base de datos la leyenda "reclamo en trámite" en la forma prevista en la presente política, cuando sea requerido.
  • Insertar en la base de datos la leyenda "víctima de falsedad personal" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con suplantación de la identidad del titular del dato personal, cuando sea requerido.
  • Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  • Permitir el acceso a la información únicamente a las personas autorizadas por el titular y/o la ley.
  • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y/o existan riesgos en la administración de la información de los titulares.
  • Cumplir las instrucciones y atender los requerimientos que imparta la Superintendencia de Industria y Comercio en materia de información y protección de datos personales.

5.13 El oficial de protección de datos personales es el responsable de la gestión en la atención de peticiones, consultas y reclamos a través de las siguientes premisas:

  • Las peticiones, consultas y reclamos formulados por los titulares de datos personales bajo tratamiento de Iván Botero Gómez S.A. y demás empresas del grupo para ejercer sus derechos a conocer, actualizar, rectificar y suprimir datos o revocar la autorización deberán ser dirigidas a:

    • Oficial de protección de datos personales: Calle 20 # 14 - 56 Centro en Armenia, Quindío, Colombia.
    • Contacto línea gratuita: 01 8000 960 960
    • Correo electrónico: notificaciones@ibg.com.co
    • Página web de la compañía: PQRS
  • Las consultas dirigidas a Iván Botero Gómez S.A. y demás empresas del grupo, deben contener como mínimo la siguiente información:

    • Nombres y apellidos del titular y/o su representante y/o causahabientes.
    • Lo que se pretende consultar.
    • Las razones o hechos que motivan la consulta.
    • Dirección física, electrónica y teléfono de contacto del titular y/o causahabientes o representantes para efectos de notificación.
    • Firma, número de identificación o su documento de identificación equivalente.

6. Responsabilidades:

  • Junta directiva: Realizar la aprobación, seguimiento y toma de decisiones con relación a la implementación de la presente política.

  • Oficial de protección de datos personales: Dentro de sus responsabilidades se encuentran entre otras:

    • Disposiciones descritas en el numeral 5.13 del presente documento.
    • Coordinar, supervisar y controlar las medidas sobre el tratamiento de datos personales definidas por la entidad.
    • Velar por la divulgación y publicación del aviso de privacidad en los sitios de atención al público.
    • Impulsar una cultura de protección de datos dentro de la entidad.
      Elaborar y actualizar los procedimientos internos para atender las quejas, consultas y reclamos relacionados con el tratamiento de datos personales.
    • Capacitar al personal de Iván Botero Gómez S.A. y demás empresas del grupo, sobre la presente política y sanciones por su eventual incumplimiento.
      Socializar la presente política a los titulares de los datos personales, servidores, contratistas y terceros.
    • Recibir y dar trámite a a las solicitudes remitidas, en los términos, plazos y condiciones establecidas en la ley 1581 de 2012, normas que regulan la materia y las presentes políticas.
    • Registrar las bases de datos de la entidad en el Registro Nacional de Bases de Datos y actualizar el reporte atendiendo a las instrucciones que sobre el particular emita la Superintendencia de Industria y Comercio.
    • Presentar los diferentes informes que correspondan a la Superintendencia de Industria y Comercio relacionado con la protección de datos personales.
    • Integrar las políticas de datos dentro de las actividades de las demás áreas de la entidad (gestión humana, contabilidad, comercial, etc.).
    • Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la Superintendencia de Industria y Comercio.
    • Velar por la implementación efectiva y el cumplimiento de estas políticas y las obligaciones legales de la entidad y sus empresas del grupo.
  • Gestión jurídica - Dirección jurídica: Apoyar las consultas, solicitudes y trámites legales relacionados con el tratamiento de datos personales, cuando así le sea solicitado.

  • Gestión humana - Dirección de gestión humana: En conjunto con el oficial de protección de datos personales, definir planes de capacitación a los colaboradores de acuerdo con la normativa vigente.

  • Gestión TIC - Dirección TIC: Implementar las medidas de seguridad informática requeridas para la adecuada protección de los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  • Gestión de control interno - Dirección de control interno: Realizar el correspondiente seguimiento de verificación del cumplimiento de las políticas de protección de datos.

  • Todas las áreas de la compañía:

    • Obtener autorización del titular para el tratamiento de datos personales en los casos requeridos.
    • Reportar los incidentes de seguridad de bases de datos personales mediante el correo: notificaciones@ibg.com.co.
    • Aplicar los procedimientos establecidos por Iván Botero Gómez S.A. y demás empresas del grupo frente a la recolección, almacenamiento, uso, circulación y supresión de datos personales.

7. Gobernabilidad de la política:
Cualquier contravención u omisión de las políticas aquí descritas se sancionará conforme a lo establecido en el reglamento interno de trabajo y se desarrollará bajo el debido proceso administrativo que haya a lugar.

8. Actualización:
La sociedad Iván Botero Gómez S.A. se reserva el derecho a modificar y/o actualizar la política en cualquier tiempo, conforme se considere necesario y acorde a los requerimientos normativos.

9. Divulgación:
La presente política será socializada de igual manera en procesos de inducción, reinducción o demás que sean necesarios.

10. Vigencia:
La presente política comenzará a regir a partir de la fecha de su publicación por medio de la plataforma tecnológica de la sociedad Iván Botero Gómez S.A. con vigencia indefinida.