INTRODUCCIÓN
La Constitución Política de Colombia, en su artículo 15 establece que “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar”, en concordancia con la Ley Estatutaria 1581 de 2012, que señala los derechos que tienen las personas para conocer, actualizar y rectificar la información que se haya recogido sobre cada una de ellas en bases de datos y en archivos de entidades públicas o empresas privadas.
La Ley 1581 de 2012 preceptuó que las disposiciones contenidas en esta norma le serán aplicables a todas las entidades de naturaleza pública o privada que realicen cualquier tratamiento sobre datos personales registrados en sus bases de datos.
EL POBLADO S.A.S. es una sociedad comercial que por su objeto social realiza tratamiento de datos personales, es por esto que da cumplimiento a lo dispuesto en el marco normativo nacional referente a la protección de datos personales, adoptando la presente Política de Tratamiento de Datos Personales, que busca proteger y garantizar los derechos de titulares de datos personales que hayan entregado información a la empresa, previa autorización para dicho tratamiento; esta política es de carácter obligatorio para todas las personas naturales o jurídicas que hagan tratamiento de datos personales de las bases de datos de la empresa.
1. ALCANCE
La presente política aplica para todos los datos personales tratados en las bases de datos de EL POBLADO S.A.S., en calidad de responsables, y sus encargados, en cumplimiento a las disposiciones de la Ley 1581 de 2012, Decretos 1377 de 2013 y 1074 de 2015, así como las demás normas que las complementes o reglamenten.
En ese sentido, se deben observar y respetar los lineamientos y directrices contenidos en la presente política con los cuales se establece la regulación en materia de protección de datos personales en EL POBLADO S.A.S.
2. OBJETIVO
Establecer los lineamientos para garantizar la protección de datos personales que son objeto de tratamiento por EL POBLADO S.A.S. y sus encargados, en desarrollo de su objeto social, para dar cumplimiento con la ley, políticas y procedimientos establecidos por EL POBLADO S.A.S. para la protección de los derechos de los titulares.
3. DEFINICIONES
Las siguientes palabras tendrán los significados que se indican:
- AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
- AUTORIZACIÓN: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
- BASE DE DATOS: Conjunto organizado de datos personales que sean objeto de tratamiento, incluyendo archivos físicos y electrónicos.
- CONFIDENCIALIDAD: Elemento de seguridad de la información que permite establecer quienes y bajo qué circunstancia se puede acceder a la misma.
- DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- DATO PRIVADO: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
- DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no sometidas a reserva.
- DATO SENSIBLE: Es una categoría especial de Datos de carácter personal especialmente protegido, por tratarse de aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación. Son, entre otros, aquellos concernientes a la salud, sexo, orientación política, raza u origen étnico, pertenencia a sindicatos, huellas biométricas, etc.
- DATO SEMIPRIVADO: Es el dato que no tiene naturaleza intima, reservada, ni publica y cuyo conocimiento o divulgación puede interesar no solo a su titular sino a cierto sector o grupo de personas.
- DERECHO DE LOS NIÑOS, NIÑAS Y ADOLESCENTES: En el tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.
- PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES: Son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho a la información.
- RESPONSABLE: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
- TITULAR: Persona natural cuyos datos personales sean objeto de Tratamiento.
- TRANSFERENCIA: tiene lugar cuando el responsable y/o encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
- TRANSMISIÓN: Tratamiento de Datos Personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.
- TRATAMIENTO: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
- USUARIO: Es la persona natural o jurídica que tiene interés en el uso de la información personal.
- VIOLACIONES DE LAS MEDIDAS DE SEGURIDAD DE LOS DATOS PERSONALES: Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por EL POBLADO S.A.S. para proteger los datos personales entregados para su custodia, sea como responsable y/o encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los datos personales en poder de EL POBLADO S.A.S. deberá ser informado a la autoridad de control en la materia.
4. RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
EL POBLADO S.A.S. es la persona jurídica responsable del tratamiento de la información contenida en sus bases de datos. A continuación, se detalla toda la información del responsable:
- Razón social: EL POBLADO S.A.S.
- NIT: 802.018.014-1
- Domicilio: Barranquilla, Atlántico
- Dirección: Carrera 49 No. 75- 83
- Correo electrónico: servicioalcliente@elpobladosa.com
- Teléfono: +57 60 (5) 3851854
- Página web: elpobladosa.com
5. DESTINATARIOS
Esta política se aplicará a:
- Junta Directiva de EL POBLADO S.A.S.
- Representante legal de EL POBLADO S.A.S.
- Accionistas de EL POBLADO S.A.S.
- Revisor fiscal de EL POBLADO S.A.S.
- Empleados de EL POBLADO S.A.S., incluido parte directiva que custodie y traten datos personales.
- Clientes de EL POBLADO S.A.S., en aquellos eventos en que la relación sea constituida con una persona natural; así mismo en caso de personas jurídicas, cuando los funcionarios por ellas designados suministren datos de esta naturaleza para el desarrollo del contrato establecido.
- Proveedores y contratistas que en virtud de la relación civil o comercial constituida suministren datos personales.
- Encargados de tratamiento.
- Ciudadanía en general, para que tengan a su disposición la información necesaria y suficiente sobre los diferentes tratamientos y fines sobre los que serán objeto sus datos, así como los derechos que ellos, como titulares de datos personales, pueden ejercer frente a EL POBLADO S.A.S., como responsable del tratamiento de sus datos personales.
6. PRINCIPIOS APLICABLES
EL POBLADO S.A.S. aplicará de manera armónica e integral los siguientes principios en todos los procesos y/o actividades relacionadas con el tratamiento de datos personales, los cuales se encuentran alineados con los establecidos en el artículo 4 de la Ley 1581 de 2012:
- Principio de libertad o Consentimiento: El tratamiento de datos al interior de EL POBLADO S.A.S., sólo puede hacerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos, tratados o divulgados sin autorización del titular salvo mandato legal o judicial que supla el consentimiento del titular.
- Principio de legalidad: El tratamiento de datos personales es una actividad reglada y por ende los procesos de negocios y destinatarios de esta norma deben sujetarse a lo dispuesto en esta norma.
- Principio de finalidad: El tratamiento de datos personales debe obedecer a una finalidad legítima, acorde con la Constitución y la ley, la cual debe ser informada de manera concreta, precisa y previa al titular para que éste exprese su consentimiento informado.
- Principio de veracidad o calidad del dato: Los datos de carácter personal recolectados por EL POBLADO S.A.S. deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados. Se prohíbe el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error.
- Principio de transparencia: En el tratamiento de datos personales se garantizará el derecho del titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
- Principio de pertinencia del dato: En la recolección de los datos personales por parte de EL POBLADO S.A.S. se deberá tener en cuenta la finalidad del tratamiento y/o de la base de datos; por tanto, deben ser datos adecuados, pertinentes y no excesivos ni desproporcionados en relación con la finalidad. Se prohíbe la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen.
- Principio de acceso o circulación restringida: Los datos personales que recolecte o trate EL POBLADO S.A.S. serán usados por esta, solo en el ámbito de la finalidad y autorización concedida por el titular del dato personal, por tanto, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros no autorizados. Los datos personales bajo custodia de EL POBLADO S.A.S. no podrán estar disponibles en Internet o en cualquiera otro medio de divulgación masiva, salvo que el acceso sea técnicamente controlable y seguro, y para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a lo dispuesto en la ley y los principios que gobiernan la materia.
- Principio de temporalidad del dato: Agotada la finalidad para la cual fue recolectado y/o tratado el dato personal, EL POBLADO S.A.S. deberá cesar en su uso y por ende adoptará las medidas de seguridad pertinentes a tal fin. Para ello se tendrán en cuenta las obligaciones de ley comercial en materia de conservación de libros de comercio y correspondencia del comerciante, y las demás normas de carácter laboral, civil y administrativo en el tema.
- Principio de seguridad del dato: EL POBLADO S.A.S., en calidad de responsable del tratamiento de datos personales, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, autenticidad y confiabilidad de los datos personales. EL POBLADO S.A.S. conforme la clasificación de los datos personales implementará las medidas de seguridad de nivel alto, medio o bajo, aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento.
- Principio de confidencialidad: EL POBLADO S.A.S. y todas las personas que intervengan en el tratamiento de datos personales, tienen la obligación profesional de guardar y mantener la reserva de tales datos, obligación que subsiste aún finalizada la relación contractual. EL POBLADO S.A.S. implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido.
- Principio de deber de información: EL POBLADO S.A.S. informará a los titulares de los datos personales, así como a los responsables y encargados del tratamiento, del régimen de protección de datos personales adoptado por EL POBLADO S.A.S., así como respecto de la finalidad y demás principios que regulan el tratamiento. Así mismo informará sobre la existencia de las bases de datos personales que custodie, los derechos y el ejercicio del habeas data por parte de los titulares, procediendo al registro que exige la ley.
- Principio de protección especial a datos sensibles: EL POBLADO S.A.S. no recolectará ni tratará datos personales ligados exclusivamente a ideologías políticas, afiliación sindical, creencias religiosas, vida sexual, origen étnico, y datos de salud, salvo autorización expresa del titular, dejando claro que es de carácter facultativo responder preguntas que versen sobre datos sensibles o sobre menores de edad, y en aquellos casos de ley en los cuales no se requiera del consentimiento. Los datos personales de carácter sensible que se puedan obtener en procesos de la actividad de EL POBLADO S.A.S. serán protegidos a través de medidas de seguridad altas.
7. TRATAMIENTO DE DATOS PERSONALES
Para efectos de este documento, se entiende por tratamiento cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión, entre otros.
7.1. RECOLECCIÓN DE DATOS PERSONALES
7.1.1. Autorización de tratamiento de datos personales
Toda recolección y/o captación de datos personales que realice EL POBLADO S.A.S. en el desarrollo de sus actividades comerciales, laborales y/o contractuales, requiere que los titulares de la información otorguen un consentimiento libre, previo, expreso, inequívoco e informado, para tal situación, EL POBLADO S.A.S. ha puesto a disposición de los titulares la autorización para el tratamiento de sus datos personales en los diversos escenarios en los cuales la organización realiza captación de datos, ya sea de manera física como digital, a través de modelos de autorizaciones o avisos de privacidad en donde se informa al titular sobre la recolección de sus datos personales, el tratamiento al cual serán sometidos, incluyendo las finalidades, sus derechos, los canales de ejercicio de sus derechos y la información relacionada sobre la Política de Tratamiento de Datos Personales.
La obtención de la autorización del tratamiento de datos personales se realizará bajo las diferentes modalidades que establece la ley, teniendo en cuenta la naturaleza de cada uno de los canales de captura de la información, y el modo en que la misma es obtenida, es decir, si es a través de un canal escrito, uno verbal o mediante una conducta inequívoca.
7.1.2. Casos en que no es necesaria la autorización
La autorización del Titular no será necesaria cuando se trate de:
- Información requerida por la Entidad, en ejercicio de sus funciones legales o por orden judicial.
- Datos de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el Registro Civil de las Personas.
Cuando en EL POBLADO S.A.S. se acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la Ley 1581 de 2012 y demás normas concordantes y vigentes.
7.2. USO Y CIRCULACIÓN DE DATOS PERSONALES
La información de carácter personal contenida en las bases de datos de EL POBLADO S.A.S. debe ser utilizada y tratada de acuerdo con las finalidades descritas en el numeral 7.5. de la presente política.
En caso de que algún área identifique nuevos usos diferentes a los descritos a en la presente política de tratamiento de datos personales, deberá informar a la Dirección Jurídica, quien evaluará y gestionará, cuando aplique, su inclusión en el presente documento.
Cada una de las áreas de EL POBLADO S.A.S. tienen definidos en sus procesos correspondientes, el uso y circulación que le deberán dar a los datos personales de acuerdo con las finalidades y tipo de datos que sea recolectado y tratado.
7.3. ALMACENAMIENTO DE DATOS PERSONALES
EL POBLADO S.A.S. almacenará la información física y digital en ambientes que cuentan con adecuados controles para la protección de los datos, dichos controles son: humanos, tecnológicos, administrativos y ambientales. El almacenamiento de datos personales es respaldado con procedimientos y políticas que dispone cada una de las áreas dentro de la organización que tratan datos personales para garantizar la confidencialidad y seguridad de la información.
7.4. SUPRESIÓN DE DATOS PERSONALES
Una vez que los datos personales han cumplido su propósito original y ya no son necesarios para el tratamiento, serán eliminados de forma segura y adecuada por EL POBLADO S.A.S.
Los datos personales pueden ser eliminados de la siguiente manera:
- Eliminación electrónica: Los datos personales almacenados electrónicamente serán eliminados de todos los dispositivos electrónicos, discos duros, servidores y cualquier otra forma de almacenamiento electrónica en la que se encuentren.
- Eliminación física: Los datos personales almacenados en papel o cualquier otro medio físico serán destruidos mediante la trituración, incineración o cualquier otro método de eliminación seguro.
En el caso de que existan obligaciones legales que impidan la eliminación de los datos personales, se procederá a su bloqueo, lo que implica que los datos no podrán ser objeto de tratamiento posterior, excepto para su puesta a disposición de las autoridades competentes, en particular las autoridades judiciales, para la exigencia de responsabilidades derivadas del tratamiento, y solo durante el plazo de prescripción de estas responsabilidades. En cualquier caso, se garantizará la confidencialidad y seguridad de los datos personales, incluso después de su eliminación o bloqueo.
7.5. FINALIDADES
En concordancia con la ley 1581 de 2012 y demás normas aplicables, los datos personales tratados por EL POBLADO S.A.S. se realizará de acuerdo con el grupo de interés y en proporción a la finalidad (es) que tenga cada tratamiento como se clasifica a continuación:
7.5.1. Finalidades generales de la información
- Para los fines administrativos propios de EL POBLADO S.A.S.
- Enviar comunicaciones de carácter administrativo, publicitario y comercial.
- Remitir respuestas a las peticiones, quejas, reclamos, solicitudes y consultas de los usuarios.
- Realizar campañas de posicionamiento de marca.
- Realizar capacitaciones virtuales y/o presenciales.
- Actualizar bases de datos, incluyendo los casos en que se requiera transmitir o transferir a un tercero la información para la validación, depuración enriquecimiento y homogenización de datos, previo cumplimiento de las exigencias legales.
- Informar acerca de los productos y servicios de EL POBLADO S.A.S. y de las innovaciones efectuadas a los mismos.
- Realizar transacciones.
- Registros contables.
- Efectuar reportes con las distintas autoridades administrativas de control y vigilancia nacionales, policivas o autoridades judiciales, entidades financieras y/o compañías de seguros.
- Fines administrativos internos y/o comerciales tales como: investigación de mercados, auditorías, reportes contables, análisis estadísticos o facturación.
- Transmisión y/o transferencia a terceros países de los datos suministrados, para la ejecución de las actividades relacionadas con los servicios y productos ofrecidos por EL POBLADO S.A.S.
- Identificación de fraudes y prevención de lavado de activos y de otras actividades delictivas.
- En caso de datos biométricos capturados a través de sistemas de videovigilancia o grabación su tratamiento tendrá como finalidad la identificación, seguridad y la prevención de fraude interno y externo.
- Elaborar encuestas, estudios, estadísticas.
7.5.2. Finalidades de la información de los accionistas
- Efectuar el pago de dividendos.
- Cumplimiento de decisiones judiciales y disposiciones administrativas y legales.
- Control de la participación accionaria y publicación de los accionistas con mayor participación.
- Cumplimiento de decisiones judiciales y disposiciones administrativas y legales, fiscales y regulatorias.
7.5.3. Finalidades de la información de clientes
- Para fines comerciales.
- Para celebrar contratos de promesa de venta y/o compraventa.
- Publicidad y mercadeo.
- Contabilización.
- Facturación.
- Cumplimiento de obligaciones contractuales, por lo cual la información podrá́ ser transferida a terceros, tales como entidades financieras, notarías, abogados, etc.
- Cumplimiento de decisiones judiciales y disposiciones administrativas y legales, fiscales y regulatorias.
- Transmisión de información y datos personales en procesos de auditorías.
- Realizar validación de información de contrapartes en los sistemas contra el lavado de activos, financiación del terrorismo, corrupción y soborno transnacional.
- Actividades de fidelización.
- Posicionamiento de marca y productos.
- Actualización de información.
- Gestión de cartera.
7.5.4. Finalidades de la información de proveedores y contratistas
- Para realizar contratos, documentos y/o acuerdo entre las partes.
- Para fines comerciales.
- Contabilización.
- Cumplimiento de decisiones judiciales y disposiciones administrativas y legales, fiscales y regulatorias.
- Cumplimiento de obligaciones contractuales, por lo cual la información podrá́ ser transferida a terceros, tales como entidades financieras, notarías, abogados, etc.
- Para realizar los procesos en que se encuentran vinculados los proveedores.
- Cualquier otro uso que el proveedor autorice por escrito para el uso de su información.
- Transmisión de información y datos personales en procesos de auditorías.
- Realizar validación de información de contrapartes en los sistemas contra el lavado de activos, financiación del terrorismo, corrupción y soborno transnacional.
- Actualización de información.
7.5.5. Finalidades de información de los candidatos a ocupar un cargo, empleados y exempleados
- Para fines pertinentes a la relación laboral (EPS, ARL, fondos de pensiones y cesantías, cajas de compensación familiar, etc.)
- Para atender requerimientos judiciales y legales.
- Contabilización y pago de nómina.
- Reclutar y seleccionar personal que ocuparán las vacantes.
- Procesar, confirmar y cumplir con las obligaciones laborales legales y extralegales derivadas del contrato laboral.
- Realizar transacciones.
- Pago de beneficios extralegales.
- Análisis estadísticos.
- Capacitación y formación
- Compartir los datos personales con entidades bancarias, empresas que ofrezcan beneficios a los trabajadores activos, entre otros.
- Transmisión de información y datos personales en procesos de selección de personal a través de empresas de servicios temporales.
- Realizar validación de información de contra partes en los sistemas contra el lavado de activos, financiación del terrorismo, corrupción y soborno transnacional.
- Actualización de información.
- Accidentes laborales.
- Exámenes médicos de ingreso y retiro.
- Control de acceso a las instalaciones de EL POBLADO S.A.S.
8. DATOS CON CONNATACION ESPECIAL
8.1. DATOS SENSIBLES
8.1.1. Tratamiento de datos sensibles
EL POBLADO S.A.S. prohíbe el tratamiento de datos sensibles, salvo cuando:
- El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
- El tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
- El tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
- El tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
8.1.2. Autorización especial de datos personales sensibles
EL POBLADO S.A.S. cumple con las siguientes obligaciones:
- Informar a los titulares de los datos sensibles, a través de los diversos medios de obtención de la autorización, que en virtud de la ley 1581 del 2012 y normas reglamentarias estos no están obligados a otorgar la autorización para el tratamiento de datos sensibles.
- Informar a los titulares de los datos sensibles de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles datos objeto de Tratamiento son de carácter sensible y la finalidad del tratamiento, y obtener el consentimiento expreso.
- No condicionar ninguna actividad a que el titular suministre datos personales sensibles (salvo que exista una causa legal o contractual para hacerlo).
8.2. DATOS PERSONALES DE NIÑOS, NIÑAS Y ADOLESCENTES
EL POBLADO S.A.S. solo trata datos personales de niños, niñas y adolescentes cuando estos sean de naturaleza pública o provengan de la información suministrada al momento de una vinculación laboral o como cliente, por celebración de contratos y/o acuerdos cuando sean menores de edad representados por sus padres o por asuntos de publicidad, mercadeo o comunicaciones cuando sean parte de campañas publicitarias o de marketing, siempre y cuando se cuente con la autorización del representante legal. Lo anterior, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y, cuando el tratamiento cumpla con los siguientes parámetros y requisitos:
- Que responda y respete el interés superior de los niños, niñas y adolescentes.
- Que se asegure el respeto de sus derechos fundamentales.
8.2.1. Autorización especial de datos personales de niños, niñas y adolescentes
EL POBLADO S.A.S. cumple con las siguientes obligaciones:
- Solicitar la autorización para el tratamiento de los datos de niños, niñas y adolescentes al represente legal o tutor del niño, niña o adolescente, la autorización del menor, previo a que el menor de su opinión frente al tratamiento que se le dará a sus datos, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, tal como lo indica la Ley.
- Cumplir con el uso adecuado a las finalidades autorizadas.
- Que se asegure el respeto y garantía de sus derechos fundamentales.
9. TRANSMISIÓN Y TRANSFERENCIA DE DATOS PERSONALES
EL POBLADO S.A.S. podrá transmitir y transferir los datos personales a terceros con quienes tenga relación comercial, contractual, laboral y/o administrativa que le provean de servicios necesarios para su debida operación, de conformidad con las funciones establecidas a su cargo en las leyes. La transmisión y/o transferencia de datos personales realizadas por EL POBLADO S.A.S. deberán contar con el consentimiento previo, expreso, informado e inequívoco por el titular de los datos.
EL POBLADO S.A.S. y el encargado adoptarán las medidas necesarias para que las personas que tengan acceso a los datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas en la Ley.
EL POBLADO S.A.S. cuando transmita datos personales a encargados ubicados dentro o fuera de Colombia, celebrará un contrato de transmisión de datos personales en donde se incluirán cláusulas que permitan garantizar la protección de los datos personales transmitidos. El Encargado se comprometerá a dar aplicación a las obligaciones de EL POBLADO S.A.S. como responsable, bajo la presente política y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.
9.1. TRANSMISIONES Y TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES
EL POBLADO S.A.S. podrá realizar transmisiones y/o transferencias internacionales a encargados que ostenten la capacidad jurídica y técnica para garantizar la protección y seguridad de los datos personales transmitidos y/o transferidos; así mismo, la transmisión y/o transferencia de datos personales solo se podrá realizar a países que ofrecen un nivel adecuado de seguridad en la protección de datos personales, en concordancia con la Circular Única de la Superintendencia de Industria y Comercio.
10. DEBERES Y DERECHOS
Tal como lo establece la normatividad vigente, son deberes y derechos de los implicados en el tratamiento de los datos personales, los siguientes:
10.1. DERECHOS DE LOS TITULARES DE DATOS PERSONALES
EL POBLADO S.A.S. realizará el tratamiento de datos personales bajo los estándares de respeto y en sujeción a los derechos de los titulares establecidos en la ley 1581 de 2012, y en aplicación a lo dispuesto en el artículo 8° de la misma norma, el titular de los datos personales tendrá los siguientes derechos:
- Conocer, actualizar y rectificar sus datos personales frente a los responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
- Solicitar prueba de la autorización otorgada al responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en la ley.
- Ser informado por el responsable del tratamiento o el encargado del tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales.
- Presentar ante la autoridad competente las quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la autoridad administrativa respectiva haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la ley y a la Constitución.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
10.2. DEBERES DEL RESPONSABLE
EL POBLADO S.A.S. en calidad de responsable del tratamiento de datos personales, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:
- Garantizar al titular, en todo tiempo, el pleno ejercicio del derecho de hábeas data.
- Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización y consentimiento otorgada por el titular.
- Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicarlo al encargado del tratamiento.
- Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
- Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
- Tramitar las consultas y reclamos en los términos señalados en esta norma y en la ley.
- Adoptar lineamientos internos de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
- Informar al Encargado del tratamiento la circunstancia de que determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
- Informar a solicitud del titular sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la autoridad competente.
10.3. DEBERES DE LOS ENCARGADOS
Los encargados del tratamiento de datos personales, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:
- Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.
- Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
- Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en esta norma y en la ley.
- Adoptar lineamientos internos de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
- Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la ley, respecto de aquellas quejas o reclamaciones no resueltas presentadas por los titulares de los datos personales.
- Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la autoridad competente.
- Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- Informar a la autoridad competente cuando se le presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la autoridad competente.
11. CANALES DE ATENCIÓN PARA LOS TITULARES DE DATOS
EL POBLADO S.A.S. dispone de los siguientes mecanismos y/o canales para la atención de los titulares de datos personales que deseen interponer peticiones, quejas, reclamos, sugerencias y consultas:
11.1. ÁREA RESPONSABLE DE ATENCIÓN DE PQRS Y CONSULTAS
El área responsable de la atención, gestión y respuesta de PQRS y consultas en EL POBLADO S.A.S. es Servicio al Cliente, quien centraliza todo el proceso, de acuerdo con el Procedimiento para tratamiento de PQRS.
12. PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS
En desarrollo de la garantía constitucional de Habeas Data respecto de los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del titular, o interesado habilitado legalmente, esto es, sus causahabientes y representantes legales, EL POBLADO S.A.S. adopta el siguiente procedimiento:
12.1. PROCEDIMIENTO DE CONSULTAS
Los titulares de datos personales y sus causahabientes podrán consultar la información que de éste repose en las bases de datos administradas por EL POBLADO S.A.S., para esto, los titulares deberán acreditar su identidad de la siguiente manera:
MEDIO DE RADICACIÓN | TIPO DE TITULAR | SOPORTE DE ACREDITACIÓN |
Página web, documento físico, correo electrónico | Titular | Copia de documento de identidad |
Página web, documento físico, correo electrónico | Causahabiente | Copia de escritura apertura de sucesión o documento que acredite el parentesco y copia documento de identidad. |
Página web, documento físico, correo electrónico | Apoderado | Copia autentica del poder y documento de identidad |
12.1.1. Información requerida para consultas
Las consultas dirigidas a EL POBLADO S.A.S. deberán contener como mínimo la siguiente información:
- Nombres y apellidos del Titular y/o su representante y/o causahabientes.
- Número de documento de identidad del Titular y/o su representante y/o causahabientes.
- Dirección física, electrónica y teléfono para poder efectuar las respectivas notificaciones.
- Lo que se pretende consultar.
- Soporte de acreditación de identidad.
- Haber sido presentada por los canales de atención habilitados por EL POBLADO S.A.S.
Una vez que Servicio al cliente reciba la solicitud de información por cualquiera de los canales de atención habilitados por EL POBLADO S.A.S., procederá a revisar el registro individual que corresponda al nombre del Titular y al número de documento de identidad aportado, si encontrare alguna diferencia entre estos dos datos lo informará al usuario dentro de los cinco (5) días hábiles siguientes a su recibo, con el fin de que el usuario la aclare.
12.1.2. Plazos de respuesta
Las solicitudes recibidas por cualquiera de los canales de atención habilitados por EL POBLADO S.A.S., serán atendidos en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.
En caso de que EL POBLADO S.A.S. considere que requiere de un mayor tiempo para dar respuesta a la consulta, se le informará al usuario antes del vencimiento de los diez (10) días hábiles, los motivos de la demora y señalando la fecha en que se enviará la respuesta a su consulta, la cual no podrá superior a los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
12.2. PROCEDIMIENTO DE RECLAMOS, PETICIONES, QUEJAS Y SUGERENCIAS
12.2.1. Reclamos
Los titulares de datos personales y sus causahabientes que consideren que la información contenida en una base de datos administrada por EL POBLADO S.A.S. debe ser sujeta a corrección, actualización o supresión, o si advierten un incumplimiento por parte de ésta o de alguno de sus encargados, podrán presentar ante EL POBLADO S.A.S. o el encargado el reclamo correspondiente, para esto, los titulares deberán acreditar su identidad de la siguiente manera:
MEDIO DE RADICACIÓN | TIPO DE TITULAR | SOPORTE DE ACREDITACIÓN |
Página web, documento físico, correo electrónico | Titular | Copia de documento de identidad |
Página web, documento físico, correo electrónico | Causahabiente | Copia de escritura apertura de sucesión o documento que acredite el parentesco y copia documento de identidad. |
Página web, documento físico, correo electrónico | Apoderado | Copia autentica del poder y documento de identidad |
12.2.1.1. Información requerida para reclamos
Las reclamaciones realizadas a EL POBLADO S.A.S., deberán ser en los siguientes términos y deberán contener como mínimo la siguiente información:
- El reclamo se presentará ante EL POBLADO S.A.S. o el encargado del tratamiento, acompañado del documento que acredite al titular.
- Nombres y apellidos del Titular y/o su representante y/o causahabientes.
- Documento de identidad del Titular y/o su representante y/o causahabientes.
- La descripción clara de los hechos que dan lugar al reclamo.
- La dirección física o electrónica donde desea recibir notificaciones.
- Teléfono de contacto del Titular y/o sus causahabientes o representantes;
- Documentos que pretenda hacer valer.
- Haber sido presentada por los canales de atención habilitados por EL POBLADO S.A.S.
NOTA:
- Si el reclamo resulta incompleto, Servicio al cliente le informará al usuario, requiriendo que subsane la reclamación dentro de los cinco (5) días siguientes a la recepción del reclamo.
- Si transcurridos dos (2) meses desde la fecha en la que EL POBLADO S.A.S., en cabeza de Servicio al cliente, requirió al usuario para subsanar la reclamación, este no haya completado o subsanado la información, se entenderá que el usuario ha desistido del reclamo.
- En el caso en que EL POBLADO S.A.S., en cabeza de Servicio al cliente o el encargado a quien se dirija la reclamación no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al usuario; si EL POBLADO S.A.S. no conoce la persona a quien deba darse traslado, Servicio al cliente informará de inmediato al titular con copia a la Superintendencia de Industria y Comercio.
- Una vez recibido el reclamo completo, en un término máximo de dos (2) días hábiles contados desde la recepción, EL POBLADO S.A.S., en cabeza de servicio al cliente, deberá incluir en la base de datos donde se encuentren los datos personales del titular, una leyenda que diga “Reclamo en trámite” y el motivo del mismo. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
12.2.1.2. Plazo de respuesta de los reclamos
Las reclamaciones recibidas por cualquiera de los canales de atención habilitados por EL POBLADO S.A.S., serán atendidos en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo, si no es posible hacerlo en este término, Servicio al cliente le informará al usuario los motivos de la demora y la fecha en que se le dará respuesta al reclamo, la cual no podrá exceder de ocho (8) días hábiles siguientes al vencimiento del primer término.
En caso de resultar procedente la supresión o revocación de la autorización del uso de los datos personales para alguna finalidad no indispensable, EL POBLADO S.A.S. realizará operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, sin embargo, el titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la organización por lo que su supresión versará frente al tratamiento activo de los mismo y de acuerdo a la solicitud del titular.
NOTA:
- EL POBLADO S.A.S. podrá realizar revocatoria de consentimiento de forma total, en relación con todas las finalidades autorizadas y si la misma procede, se deberá cesar cualquier actividad de tratamiento de los datos.
- EL POBLADO S.A.S. podrá realizar revocatoria de consentimiento de forma parcial, en relación con algunas finalidades autorizadas; y se podrá continuar tratando los datos personales para aquellos fines propios de la relación contractual, comercial o laboral.
12.2.2. Peticiones, quejas y sugerencias
Los titulares de datos personales, sus causahabientes y en general cualquier usuario, podrá interponer peticiones, quejas y sugerencias por los canales de atención dispuestos por EL POBLADO S.A.S.
12.2.2.1. Información requerida para peticiones, quejas y sugerencia
Las peticiones, quejas y sugerencias realizadas a EL POBLADO S.A.S. deberán ser en los siguientes términos y deberán contener como mínimo la siguiente información:
- Nombres y apellidos del usuario.
- Documento de identidad del usuario.
- La dirección física o electrónica donde desea recibir notificaciones.
- Teléfono de contacto del usuario.
- La descripción clara de los hechos que dan lugar a la petición, queja y/o sugerencia.
- Razones en las que se fundamenta la petición, queja y/o sugerencia.
- Documentos que pretenda hacer valer.
- Haber sido presentada por los canales de atención habilitados por EL POBLADO S.A.S.
- Plazos de respuesta de peticiones, quejas y sugerencias.
Las peticiones especiales, es decir donde solicitan documentos e información, deberán resolverse dentro de los diez (10) días hábiles siguientes a la contados a partir de la recepción de la petición.
Las peticiones generales, quejas y sugerencias recibidas por cualquiera de los canales de atención habilitados por EL POBLADO S.A.S., serán atendidos en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo, si no es posible hacerlo en este término, Servicio al cliente le informará al usuario los motivos de la demora y la fecha en que se le dará respuesta al reclamo, la cual no podrá exceder de quince (15) días hábiles siguientes al vencimiento del primer término.
13. BASES DE DATOS
13.1. REGISTRO CENTRAL DE BASES DE DATOS
EL POBLADO S.A.S. como responsable del tratamiento de datos personales bajo su custodia, en desarrollo de su actividad empresarial, dispondrá de un registro central en el cual relacionará cada una de las bases de datos contenidas en sus sistemas de información. El registro central de bases de datos personales permitirá:
1. Inscribir toda base de datos personales contenida en los sistemas de información de EL POBLADO S.A.S., a cada base se le asignará un número de registro. La inscripción de las bases de datos personales indicará:
- El tipo de datos personales que contiene.
- La finalidad y uso previsto de la base de datos.
- Identificación del área de EL POBLADO S.A.S. que hace el tratamiento de la base de datos.
- Sistema de tratamiento empleado (automatizado o manual) en la base de datos.
- Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene.
- Ubicación de la base de datos en los sistemas de información de EL POBLADO S.A.S.
- Funcionario de EL POBLADO S.A.S. que tiene acceso a la base de datos.
- Los demás requisitos que sean aplicables conforme al reglamento de la ley que llegare a expedirse.
2. La cancelación de la base de datos de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por EL POBLADO S.A.S. para hacer efectiva la cancelación.
3. Para efectos de cumplimiento y auditoría, se actualizarán periódicamente los cambios surtidos en las bases de datos en relación con los requisitos antes enunciados. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia.
4. Se documentará el historial de incidentes de seguridad que surjan de cualquiera de las bases de datos personales custodiadas por EL POBLADO S.A.S. así como y las sanciones impuestas o las medidas tomadas.
13.2. REGISTRO NACIONAL DE BASES DE DATOS
De conformidad con el artículo 25 de la ley 1581 de 2012 y sus decretos reglamentarios, EL POBLADO S.A.S. registrará sus bases de datos junto con la presente política de tratamiento de datos personales, en el Registro Nacional de Bases de Daros administrados por la Superintendencia de Industria y Comercio, siguiendo el procedimiento establecido para esto.
13.2.1. Identificación de las bases de datos
EL POBLADO S.A.S. ha identificado las siguientes bases de datos:
- Clientes
- Clientes potenciales
- Clientes cartera jurídica
- Clientes propietarios
- Proveedores
- Contratos proveedores
- Base de contratos general
- Control de exámenes médicos y seguimiento
- Ausentismo por causa medica
- Registro de control de acceso
- Empleados
- Exempleados
- Intranet
- PQRS
13.3. PERIODO DE VIGENCIA DE LAS BASES DE DATOS
Las bases de datos de EL POBLADO S.A.S. tendrán el periodo de vigencia que corresponda a la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia.
14. MEDIDAS DE SEGURIDAD Y GESTIÓN DE INCIDENTES
En el tratamiento de los datos personales objeto de regulación en esta norma, EL POBLADO S.A.S. adoptará medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los datos personales tratados.
Los destinatarios de esta política están obligados a informar a EL POBLADO S.A.S. cualquier violación de las medidas de seguridad adoptadas por EL POBLADO S.A.S. para proteger los datos personales, así como cualquier tratamiento de información inapropiado. En estos casos, EL POBLADO S.A.S. comunicará la situación a la autoridad competente y procederá a gestionar los incidentes de seguridad relacionados con datos personales para establecer las repercusiones penales, laborales, disciplinarias o civiles.
Para ello, EL POBLADO S.A.S. estableció un procedimiento de gestión de incidentes de seguridad interno, el cual divulgará y será́ de obligatorio cumplimiento para todos los empleados y encargados de EL POBLADO S.A.S.
14.1. REPORTE DE INCIDENTES ANTE LA SIC
EL POBLADO S.A.S. reportará todos los incidentes de seguridad que afecten sus bases de datos, ante la autoridad competente en este caso: Superintendencia de Industria y Comercio. De conformidad con el capítulo II, titulo V de la Circular única de la Superintendencia de Industria y Comercio, las organizaciones que están obligadas a inscribir las Bases de Datos Personales ante el Registro Nacional de Bases de Datos, deberán reportar cualquier incidente de seguridad dentro de los 15 días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o el área encargada de atenderlos.
15. ENTREGA DE DATOS PERSONALES A AUTORIDADES
Cuando las autoridades del Estado soliciten a EL POBLADO S.A.S. el acceso y/o entrega de datos personales contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los datos personales entregados y los riesgos que conlleva su indebido uso e inadecuado tratamiento.
16. SANCIONES
El incumplimiento de la esta política constituirá una violación del contrato de trabajo, civil y/o comercial con EL POBLADO S.A.S. y conllevará la aplicación de sanciones que pueden implicar, incluso, la terminación de la relación laboral, contractual y/o comercial. Adicionalmente, puede implicar sanciones impuestas por las autoridades competentes, según la normatividad que resulte aplicable.
La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionado con el tratamiento de datos personales, deberá ser comunicada de manera inmediata a la Dirección Jurídica, con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones previstas en la legislación aplicable.
17. VIGENCIA, VERSIONES Y ACTUALIZACIÓN DE LA POLÍTICA
La presente política de tratamiento de datos personales rige a partir del 30 de marzo de 2023, y complementa las políticas asociadas, estará vigente hasta el momento en que expresamente se revoque o se modifique.
Las modificaciones que se den a las políticas acá descritas darán origen a una nueva versión del documento; así mismo, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto y/o a través de la página web: www.elpobladosa.com.