POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES SEPA CONSULTORES SAS
CONTENIDO DE LA POLÍTICA DE TRATAMIENTO
CAPITULO I: GENERALIDADES
1) CONSIDERACIONES
2) OBJETO
3) ANTECEDENTES
4) ALCANCE
5) DEFINICIONES
6) PRINICIPIOS
CAPITULO II: AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS.
1) AUTORIZACIONES
2) EXCEPCIONES
3) AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS SENSIBLES
4) PRUEBA DE LA AUTORIZACIÓN
5) REVOCATORIA DE LA AUTORIZACIÓN Y/O SUPRESION DEL DATO
6) AVISO DE PRIVACIDAD
CAPITULO III: TRATAMIENTO DE DATOS PERSONALES.
1) GENERALIDADES DEL TRATAMIENTO DE DATOS PERSONALES
2) USO Y FINALIDADES DEL TRATAMIENTO
3) TRATAMIENTO DE DATOS PERSONALES DE NIÑAS, NIÑOS Y ADOLESCENTES.
CAPITULO IV: DERECHOS Y DEBERES EN EL TRATAMIENTO DE DATOS PERSONALES.
1) DERECHOS DE LOS TITULARES DEL DATO PERSONAL
2) DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO DE DATOS PERSONALES
3) DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES
CAPITULO V: PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS COMO TITULAR DE DATOS PERSONALES.
1) PROCEDIMIENTO PARA CONSULTAS
2) PROCEDIMIENTO PARA RECLAMOS
3) CANALES HABILITADOS PARA CONSULTAS Y RECLAMOS
CAPITULO VI: USO DE IMAGEN Y VIDEO.
1) VIDEOVIGILANCIA
2) USO DE IMAGEN Y VIDEO DE MENORES DE EDAD
3) USO DE IMAGEN Y VIDEO PROMOCIONALES
4) PROCEDIMIENTO DE CONSULTA Y RECLAMO DE IMAGEN Y VIDEO
CAPITULO VII: VIGENCIA, MODIFICACIONES Y CAMBIOS EN LA POLITICA DE TRATAMIENTO DE DATOS.
1) MODIFICACIÓN DE LA POLÍTICA
2) VIGENCIA VIDEO DE MENORES DE EDAD
3) CAMBIOS EN LA POLÍTICA DE TRATAMIENTO DE DATOS.
INTRODUCCIÓN
SEPA CONSULTORES S.A.S., identificada con NIT 900.507.583-4 (en adelante SEPA) con domicilio en la Calle 126 No. 7c-51 de la ciudad de Bogotá, Teléfono 7449212, da a conocer su POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES como responsables y encargados del manejo de dicha información; en el cual se exponen el alcance y finalidades del uso de los datos personales por parte de SEPA, en caso de que el Titular otorgue su autorización expresa, previa e informada.
La presente POLITICA DE TRATAMIENTO DE DATOS se pone en conocimiento por parte de SEPA a sus trabajadores, contratistas, proveedores y clientes, que suministren información personal a SEPA, con el fin de dar un efectivo cumplimiento a las obligaciones legales y reglamentarias que tienen que ver con la protección de los datos de los datos personales y su adecuado tratamiento de los mismos.
Esta política es de carácter obligatorio para SEPA en su calidad de responsable del tratamiento de datos personales, así como, para los encargados que realizan el tratamiento de datos por parte de ella. El responsable y el Encargado, deben salvaguardar la seguridad de las bases de datos que contengan datos personales y mantener la confidencialidad respecto del tratamiento de la misma.
CAPÍTULO I
GENERALIDADES
1). CONSIDERACIONES:
El Gobierno Nacional expidió la Ley 1581 de 2012 relativo al Régimen General de Protección de Datos Personales, determinando que todas las empresas garantizarán el pleno ejercicio del derecho de Habeas Data. En desarrollo de las normas previstas para la protección de datos personales, tenemos la Ley 1266 de 2008, Ley 1581 de 2012, Decreto 1377 de 2013, Decreto 1474 de 2015.
Como responsable del tratamiento de datos personales SEPA garantiza a los titulares de los datos personales, que el tratamiento se hará de acuerdo con las políticas de protección de datos que se desarrollan en armonía con la legislación vigente.
2). OBJETO
El objeto de la creación de la presente Política de Tratamiento de Datos Personales, es dar cumplimiento a la legislación vigente en materia de protección de datos, en especial lo señalado en la Ley 1581 de 2012 y al Decreto 1377 de 2013 (y demás normas que los modifiquen, adicionen, complementen o desarrollen), y asegurar la preservación y confidencialidad de la información personal de trabajadores, proveedores, clientes y contratistas.
En este documento se encontrarán aspectos relevantes en relación con la recolección, uso y transferencia de datos personales que SEPA, realiza de los datos personales, en virtud de la autorización que ha sido otorgada por el titular para adelantar dicho tratamiento.
En esta política de tratamiento de datos personales (la “Política”) se encuentran los lineamientos corporativos y de ley, bajo los cuales SEPA realiza el tratamiento de datos personales, la finalidad, los derechos de los titulares, así como los procedimientos internos y externos que existen para el ejercicio de tales derechos ante la Compañía, entre otros.
Conforme a lo previsto en el artículo 15 de la Constitución Política de Colombia y la legislación aplicable (Ley 1266 de 2008, Ley 1581 de 2012, Decreto 1377 de 2013 y todas aquellas normas que las reglamenten, adicionen, deroguen o modifiquen), SEPA tiene una clara política de privacidad y protección de los datos personales que hayan sido suministrados voluntariamente mediante el consentimiento previo, expreso, informado y calificado.
3). ALCANCE
La presente POLITICA DE TRATAMIENTO DE DATOS PERSONALES, es aplicable única y exclusivamente al tratamiento de los datos de carácter personal que posee SEPA en la actualidad y aquellos que posteriormente puedan recolectar, de sus trabajadores, clientes, contratistas y proveedores en cumplimiento de las exigencias legales dispuestas por la Ley para la obtención de datos personales.
4). ANTECEDENTES DE LA POLÍTICA:
Los sucesos que anteceden la elaboración y divulgación de la presente POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES son los que se exponen a continuación:
- Mediante la Ley 1581 de Octubre 17 de 2012 se expidió el Régimen General de Protección de Datos Personales, el cual, de conformidad con su artículo 1°, tiene por objeto: «(…) desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma”.
- La Ley 1581 de 2012 constituye el marco general de la protección de los datos personales en Colombia.
- Mediante Sentencia C-748 del 6 de Octubre de 2011 la Corte Constitucional declaró exequible el Proyecto de Ley Estatutaria No. 184 de 2010 (Senado) y 046 de 2010 (Cámara).
Con el fin de facilitar la implementación y cumplimiento de la Ley 1581 de 2012, a través del Decreto 1377 de Junio 27 de 2013, el Ministerio de Comercio, Industria y Turismo reglamentó aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales, este último tema referido a la rendición de cuentas.
5). DEFINICIONES:
Para efectos de un mejor entendimiento de la presente POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES a continuación se relacionan las definiciones señaladas en el artículo 3 de la Ley 1581 de 2012 y el Decreto 1377 de 2013, las cuales deben ser tenidas en cuenta por parte de los titulares del dato personal, así como por parte de SEPA:
i) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de sus datos.
ii) Bases de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
iii) Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
iv) Titular del Dato: Toda persona que, como destinatario final, ya sea de los servicios de SEPA o ejerciendo como contratistas, trabajadores, Clientes, proveedores, tanto activos como inactivos y demás personas en general.
v) Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
vi) Dato Personal Público: Aquellos que conciernen a un interés general y que están contenidos por regla general en documentos públicos, registros públicos y aquellos que no estén sometidos a reserva. Los datos públicos pueden ser, sin limitarse a: nombre, identificación, estado civil, profesión u oficio.
vii) Datos Personales Privados: Es aquella información que solo le concierne al Titular, su naturaleza es íntima y reservada. Dentro de estos datos se pueden clasificar, sin limitarse a: la información de dirección y teléfono del domicilio del Titular, entre otras.
viii) Datos Personales Semiprivados: Son aquellos datos que a pesar de ser privados en ciertas situaciones podrían ser de interés para un determinado grupo de personas, como por ejemplo el cumplimiento o no de obligaciones financieras.
ix) Datos Sensibles: Aquellos datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como orientación sexual, religión, entre otras.
x) Empleado: Persona natural que en virtud de un contrato de trabajo se obliga a prestar un servicio personal a otra persona natural o jurídica, bajo la continuada dependencia o subordinación de la segunda y mediante remuneración.
xi) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta de SEPA como Responsable de los datos.
xii) Política de Tratamiento: Se refiere al presente documento, como política de tratamiento de datos personales aplicada por SEPA de conformidad con los lineamientos de la legislación vigente en la materia.
xiii) Proveedor: Toda persona natural o jurídica que preste algún servicio a SEPA en virtud de una relación contractual / obligacional.
xiv) Clientes: Toda personas natural o jurídica que de alguna manera recibe un servicio o producto por parte de SEPA.
xv) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los Datos, para efectos de esta política, ejercerá como Responsable, en principio, SEPA.
xvi) Transferencia: Se refiere al envío por parte de SEPA como responsable del Tratamiento o un Encargado de los datos, a un tercer agente o persona natural /jurídica (receptor), dentro o fuera del territorio nacional para el tratamiento efectivo de datos personales.
xvii) Trasmisión: Se refiere a la comunicación de datos personales por parte del Responsable al Encargado, ubicado dentro o fuera del territorio nacional, para que el Encargado, por cuenta del Responsable, trate datos personales.
xviii) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
En caso suscitarse alguna duda sobre una cualquiera de las definiciones antes listadas, solicitamos remitirse a la legislación que sobre el particular se ha expedido sobre todo a la Ley 1581 de 2012 y de no quedar claro sírvase dar a la misma el sentido que ha sido empleado por el legislador en las normas anteriormente citadas.
6) PRINCIPIOS:
A continuación, se listan los principios que son los parámetros básicos a seguir y que serán respetados por SEPA frente a los procesos de tratamiento de datos.
i) Principio de Legalidad en materia de tratamiento de datos: El Tratamiento a que se refiere la Ley 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
ii) Principio de Finalidad: El Tratamiento de los datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
iii) Principio de Libertad: El Tratamiento de los datos personales sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
iv) Principio de Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
v) Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
vi) Principio de Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley.
vii) Principio de Colaboración: SEPA cooperará con las autoridades competentes en materia de protección de datos, para garantizar el cumplimiento de las leyes en esta materia.
viii) Principio de Seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
ix) Principio de Confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.
CAPÍTULO II
AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS
1). AUTORIZACIONES:
De conformidad con lo dispuesto en la Ley 1581 de 2012 el Decreto Reglamentario 1377 de 2013, el uso, recolección y almacenamiento de datos personales por parte de SEPA, debe contar autorización del titular en al cual se pueda verificar su consentimiento previo, expreso e informado, para que SEPA pueda llevar a cabo su tratamiento.
En el momento en que SEPA solicite la autorización al titular del dato, deberá informarle de manera clara y expresa: i) el tratamiento al cual serán sometidos los datos personales recolectados y la finalidad de los mismos. ii) Cuando el dato verse sobre datos sensibles, deberá indicarle el carácter facultativo que tiene el titular al momento de dar su autorización, al igual que cuando se trate de datos de niños, niñas y adolescentes. iii) Los derechos que le asisten como titular. iv) La identificación, dirección tanto física como electrónica y el teléfono del Responsable del Tratamiento. v) La forma en la cual el titular puede solicitar la revocatoria y/o supresión de sus datos.
Sin embargo, tratándose de datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, se tiene que éstos pueden ser tratados por SEPA, siempre y cuando, por su naturaleza, sean datos públicos.
2). EXCEPCIONES:
De conformidad con lo establecido en el artículo 10 de la Ley 1581 de 2012, la autorización del titular no será necesaria cuando los mismos versen sobre: i) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. ii) Datos de naturaleza pública. iii) Casos de urgencia médica o sanitaria. iv) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. v) Datos relacionados con el Registro Civil de las personas.
3). AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS SENSIBLES:
De acuerdo con lo previsto en el Capítulo I de la presente Política, se entiende por Datos Sensibles: “aquellos datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación”.
Por tanto, los datos sensibles a los cuales se refiere el Artículo 5° de la Ley 1581 de 2012 está prohibido, a excepción de los casos que se listan a continuación:
- Cuando el Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
- Cuando el Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
- Cuando el Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
- Cuando el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
- Cuando el Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible conforme a lo establecido en el Artículo 6 de la Ley 1581 de 2012, SEPA cumple las siguientes obligaciones:
- Informa al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
- Informa al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad de su Tratamiento, y además obtener el consentimiento expreso.
Es importante anotar que ninguna de las actividades que realiza SEPA está ni estará condicionada a que el Titular suministre a la Compañía datos personales sensibles.
4).PRUEBA DE LA AUTORIZACIÓN:
SEPA obtendrá de manera previa al tratamiento de datos personales la autorización de los titulares o de quien se encuentre legitimado para ello a través de mecanismos tales como: i) Formato de autorización para la recolección y tratamiento de datos personales. ii) correo electrónico. iii) página web. iv) mensaje de datos; o cualquier otro mecanismo que permita concluir que la autorización fue otorgada.
Se entenderá que la autorización otorgada por el Titular a SEPA, cumple con los requisitos exigidos en la legislación vigente aplicable, cuando ésta se manifieste: (i) por escrito; (ii) de forma oral; o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que éste otorgó a SEPA la autorización respectiva.
En ningún caso el silencio por parte del titular será asimilado por SEPA como una conducta inequívoca.
5). REVOCATORIA DE LA AUTORIZACIÓN Y/O SUPRESIÓN DEL DATO:
Los Titulares de datos que hayan autorizado a SEPA para el tratamiento de los mismos, podrán en todo momento solicitar a SEPA como Responsable del Tratamiento, la supresión de sus datos personales y/o revocar la autorización que ha otorgado para el Tratamiento de los mismos, mediante un reclamo, para lo cual se han dispuesto unos canales para que el titular pueda hacer uso de ellos y los cuales se encuentran previstos en el Numeral 3° del Capítulo V de la presente Política.
El titular podrá en cualquier momento solicitar la revocatoria de la autorización otorgada a SEPA o la supresión de los datos en los siguientes eventos:
- Cuando el titular considere que sus datos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la Ley.
- Cuando el dato para el cual fue otorgada la autorización deje de ser necesarios o pertinentes la finalidad para la cual fueron obtenidos.
- Cuando se haya cumplido el tiempo necesario para el cumplimiento de los fines para los que fueron obtenidos.
La supresión implica la eliminación parcial o total de la información personal.
Si vencido el término legal respectivo SEPA como responsable no procede a eliminar los datos personales de sus bases de datos, el titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o a la supresión de los datos personales. Para ello se aplicará lo estipulado en el artículo 22 de la Ley 1581 de 2012.
SEPA podrá negarse a la revocatoria de la autorización o supresión del dato en los siguientes eventos:
- El titular tenga un deber legal o contractual para permanecer en las bases de datos.
- La eliminación de datos pueda obstaculizar actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación de delitos o la actualización de sanciones administrativas.
- Los datos sean necesarios para proteger intereses judicialmente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con la obligación legalmente adquirida por el titular.
6). AVISO DE PRIVACIDAD:
El aviso de privacidad es el documento por medio del cual SEPA pone en conocimiento de los titulares del dato la existencia de la política de tratamiento de datos que le será aplicada a los mismos, la forma de acceder a ella y el tipo de tratamiento que se realizará a los datos entregados.
CAPÍTULO III
TRATAMIENTO DE DATOS PERSONALES
1). GENERALIDADES DEL TRATAMIENTO DE DATOS PERSONALES:
La presente Política se extiende a las diversas áreas que hacen parte del tratamiento (uso, recolección, circulación, almacenamiento y supresión) de datos personales, con el fin de homogenizar procedimientos en la gestión y administración de riesgos en el tratamiento de datos personales.
Esta Política se aplica a todas las Bases de Datos de SEPA que contienen datos personales, ya sean estas digitales o físicas y vincula a cada una de las áreas y personal designado para el tratamiento de datos personales. La política se hará extensiva en lo aplicable a los encargados del tratamiento con quienes SEPA establezca vínculos en lo que resulte aplicable. Este documento aplica a todos los trabajadores, contratistas y personal vinculado a SEPA en virtud de cualquier tipo de relación contractual y que intervenga en el tratamiento de datos personales por virtud de la ejecución de un contrato. Para el efecto se entenderá como dato personal cualquier información vinculada o que pueda asociarse a personas naturales. Para considerarlo como dato personal debe responder afirmativamente a la siguiente pregunta ¿Con el dato puedo identificar directa o directamente a una persona natural?
De conformidad con lo señalado en el Decreto 1377 de 2013, SEPA, sólo podrá recolectar, almacenar, usar o circular los datos personales de una persona, durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del Tratamiento y sin perjuicio de normas legales que dispongan lo contrario SEPA deberá proceder a la supresión de los datos personales en su posesión.
Como excepción a lo anterior SEPA podrá conservar los datos personales cuando así lo requiera para el cumplimiento de una obligación legal o contractual. En los casos en que SEPA trate datos sensibles, éstos serán protegidos conforme al marco y limitaciones establecidas por la Ley. SEPA propenderá por darle cumplimiento a las medidas de seguridad digitales y físicas establecidas en este documento, las cuales son adecuadas para velar por la seguridad de los datos sensibles.
2). USO Y FINALIDADES DEL TRATAMIENTO:
Los titulares de datos personales, tiene derecho a contar con una expectativa razonable de su privacidad, teniendo en todo caso para ello en cuenta sus responsabilidades, derechos y obligaciones con SEPA.
La información que suministran los titulares de datos personales será utilizada para las siguientes finalidades:
- a) Ejecutar los contratos que tiene suscritos SEPA.
- b) Dar cumplimiento a las obligaciones legales y contractuales.
- c) Procesar, recolectar, almacenar, usar, circular, suprimir, actualizar y/o transmitir, principalmente para fines comerciales, administrativos de contacto y en general para hacer posible la prestación de servicios.
- d) Enviar la información que sea solicitada expresamente por Entidades Gubernamentales o Judiciales.
- e) Registra la información de profesionales independientes, trabajadores, clientes, proveedores, tanto activos como inactivos y demás personas en general en las bases de datos de SEPA, así como la información de sus respectivos negocios, con la finalidad de tener un contacto permanente y de esta manera poder prestar un adecuado servicio.
- f) Registrar la información de trabajadores (activos e inactivos) en las bases de datos de SEPA, con el fin de poder realizar afiliaciones a seguridad social en salud, pensión y ARL, invitarlos a eventos de la compañía, realizar el pago de sus salarios y demás obligaciones laborales.
- g) Registrar información de proveedores (activos e inactivos) en la base de datos de SEPA, con el fin de contactarlos para solicitar un servicio.
- h) Contactar profesionales con el fin de realizar entrevistas para vacantes que puedan estar abiertas dentro de SEPA.
- i) Contactar profesionales independientes, trabajadores, clientes, proveedores, para el envío de información referida a la relación contractual, comercial y obligacional a que haya lugar.
- j) Registrar información de clientes (activos e inactivos) en la base de datos de SEPA, con el fin de contactarlos para ofrecer los servicios de la compañía,
- k) Cualquier otra finalidad que resulte en el desarrollo de la relación contractual que existe entre el titular del dato y SEPA.
- l) Generar una comunicación óptima en relación con los servicios, productos y facturación.
- m) Informar cambios en nuestros servicios.
- n) Consultar en cualquier tiempo, en Data Crédito o en cualquier otro operador de información financiera y crediticia la información relevante para adelantar estudio de riesgo crediticio en cualquiera de sus etapas.
- o) Realización de campañas de mercadeo y ofrecimiento de productos.
Una vez el titular del dato proporcione su información personal a SEPA, esta será utilizada para los fines expuestos anteriormente, y por lo ello, no se procederá a su venta, licenciamiento, transmisión o divulgación fuera de la compañía, salvo que este autorizado expresamente por el titular del dato, sea necesario para el buen desarrollo y prestación de los servicios, o sea requerido y permitido por la Ley o por una autoridad administrativa o judicial competente.
En el evento en que SEPA subcontrate a un tercero para el procesamiento de información personal o se proporcione dicha información, se advertirá a esos terceros sobre la obligación de proteger la información personal con medidas de seguridad apropiadas, se prohibirá el uso de esa información para fines propios y se impedirá que se divulgue a terceros.
Una vez cese la necesidad del tratamiento de datos personales otorgados por un titular, los mismos podrán ser eliminados de las bases de datos de SEPA o archivados de manera segura a efectos de que solamente sean divulgados por disposición legal o cuando a ello hubiera lugar.
3). TRATAMIENTO DE DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES:
SEPA se asegurará del respeto a los derechos prevalentes de niños, niñas y adolescentes, por lo cual, queda proscrito el tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública, autorizados por normas judiciales vigentes y se cumpla con los siguientes preceptos:
- Que responda y respete el interés superior de los niños, niñas y adolescentes.
- Que se asegure el respeto de sus derechos fundamentales.
- Que se tenga la opinión del menor de acuerdo con su madurez, la cual no tiene relación directa con su edad, sino con su grado de discernimiento.
- Que se cumpla con los requisitos de la ley para el tratamiento de datos personales, como la autorización, la finalidad, la explicación de los deberes y de los derechos de los titulares.
Cumplido lo anterior, el representante legal del menor otorgará la autorización correspondiente a SEPA.
CAPÍTULO VI
DERECHOS Y DEBERES EN EL TRATAMIENTO DE DATOS PERSONALES
1). DERECHOS DE LOS TITULARES DE DATOS PERSONALES:
De conformidad con la presente política y las normas que la sustentan, los titulares de datos personales que maneja SEPA, tendrán los siguientes derechos:
- a) Conocer, actualizar y rectificar sus datos personales frente a los responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
- b) Solicitar la supresión de la información en caso de que no desee que repose en las bases de datos de SEPA.
- c) Solicitar prueba de la autorización otorgada al responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento.
- d) Ser informado por el responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
- e) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y en las demás normas que la modifiquen, adicionen o complementen.
- f) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la Ley y a la Constitución.
- g) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
- h) Tener fácil acceso a la política de datos.
- i) Conocer cuál es la persona encargada en SEPA ante quien podrá proceder respecto de la información tratada.
2). DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO DE DATOS PERSONALES:
SEPA en su condición de responsable de la información tiene pleno conocimiento de la importancia de observar las políticas y protocolos tendientes a proteger los datos personales de los titulares, toda vez que, los mismos son propiedad de la persona a la que se refieren y solo ellas pueden decidir sobre su uso.
En este sentido SEPA solo utilizará los datos personales para las finalidades expresadas y autorizadas por el titular garantizando en todo momento el cumplimiento de las disposiciones legales que sobre protección de datos ha impartido el Gobierno Nacional.
A continuación, se enlistas los deberes que SEPA debe cumplir en su función como responsable de datos personales:
- a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
- b) Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.
- c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
- g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
- h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
- i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
- j) Tramitar las consultas y reclamos formulados en los términos señalados en la ley;
- k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
- l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
- m) Informar a solicitud del Titular sobre el uso dado a sus datos.
- n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- 0) Conservar la información bajo estrictas medidas de seguridad con el fin de impedir perdida, consulta, uso o acceso no permitido o fraudulento por parte de terceros ajenos a SEPA.
- p) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
3). DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES:
Para efectos de la presente política EL ENCARGADO es aquel que realiza el tratamiento, entendiendo éste como el uso, recolección, almacenamiento, circulación o supresión de los datos personales por cuenta de SEPA. De conformidad con lo anterior y lo señalado en artículo 18 de la Ley 1581 de 2012, a continuación, se enumeran los deberes que deben cumplir los encargos del tratamiento de datos personales:
- a) Garantizar al Titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas data.
- b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
- d) Actualizar la información reportada por el Responsable del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
- e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la Ley.
- f) Adoptar y cumplir con las políticas, manuales y procedimientos que en cumplimiento de las normas sobre protección de datos ha dispuesto el Gobierno Nacional y que han sido implementadas por SEPA.
- g) Dar el trámite correspondiente a las consultas y reclamos presentadas por parte de los Titulares de conformidad con lo estipulado en la Ley.
- h) Registrar en las bases de datos la leyenda “reclamo en trámite” en la forma en que se regula en la Ley.
- i) Insertar en las bases de datos la leyenda “información en discusión judicial” una vez sea notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- j) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- k) Permitir el acceso a la información únicamente a las personas que puedan tener acceso a la misma.
- l) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- m) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
CAPÍTULO V
PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS COMO TITULAR DE DATOS PERSONALES
Los titulares de la información cuentan con procedimientos para la protección de sus datos personales respecto del tratamiento que efectúe SEPA de los mismos.Las personas que pueden ejercer este derecho probando su calidad ante SEPA, son las que a continuación se relacionan:
- Por parte del titular de los datos, quien deberá acreditar su identidad de forma suficiente.
- Por los causahabientes del titular de los datos, quienes deberán acreditar tal calidad.
- Por el representante legal y/o apoderado del titular de los datos, previa acreditación de su calidad como tal.
- Por estipulación a favor de otro para otro.
A continuación, se relacionan los procedimientos y canales habilitados para el ejercicio del derecho del que habla el presente capítulo.
1).PROCEDIMIENTO PARA CONSULTAS:
El procedimiento para las consultas que requieran hacer los titulares de datos personales, sus causahabientes o representantes, será como a continuación se señala:
- Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en las bases de datos de SEPA.
- SEPA como Responsable del Tratamiento suministrará a los Titulares o sus causahabientes, toda la información que se encuentre contenida en el registro individual o que esté vinculada con la identificación del Titular.
- La consulta se formulará a través de los canales que para dicho efecto han sido habilitados por SEPA, los cuales se describen en el Numeral 3° del presente capítulo.
- La consulta será atendida por SEPA en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma.
- Cuando no fuere posible para SEPA atender la consulta dentro de dicho término, lo informará al interesado, expresando los motivos de la demora y señalando la fecha en que atenderá su consulta, la cual en ningún caso superará los cinco (5) días hábiles siguientes al vencimiento del primer término.
2). PROCEDIMIENTO PARA RECLAMOS:
Los Titulares o los causahabientes que consideren que la información que se encuentra contenida en las bases de datos de SEPA debe ser objeto de corrección, actualización o supresión, o cuando adviertan un presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante SEPA como Responsable del Tratamiento, el cual será tramitado de la siguiente manera:
- El reclamo se formulará mediante solicitud escrita dirigida a SEPA, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que quiera hacer valer.
- Al reclamo deberá adjuntarse fotocopia del documento de identificación del Titular de los datos.
- El reclamo se formulará a través de los canales que para dicho efecto han sido habilitados por SEPA y los cuales se encuentran descritos en el Numeral 3° del presente capítulo.
- Si el reclamo resulta incompleto, SEPA requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas.
- Transcurridos dos (2) meses desde la fecha del requerimiento realizado por SEPA, sin que el solicitante presente la información requerida, la Compañía entenderá que se ha desistido del reclamo.
- En caso de que quien reciba el reclamo no sea el competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
- Una vez SEPA reciba el reclamo completo, incluirá en la base de datos una leyenda que indique: «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
- El término máximo para atender el reclamo por parte de SEPA será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo.
- Cuando no fuere posible para SEPA atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
3). CANALES HABILITADOS PARA CONSULTAS Y RECLAMOS:
Los titulares de datos podrán ejercer sus derechos a través de los siguientes canales habilitados por SEPA para dicho fin.
- A través de la dirección de correo electrónico: gerenciaadministrativa@sepasas.com
- Instalaciones físicas de SEPA: Calle 126 No. 7c-51 de la ciudad de Bogotá
NOTA: El titular, sus causahabientes, su representante y/o apoderado, o quien se determine por estipulación a favor de otro; solo podrá presentar quejas ante la Superintendencia de Industria y Comercio por el ejercicio de sus derechos una vez se haya agotado el trámite de consulta o reclamo directamente ante SEPA.
CAPÍTULO VI
USO DE IMAGEN Y VIDEO
1). VIDEOVIGILANCIA:
Dado que las instalaciones de SEPA cuentan con un modelo de seguridad basado en la videovigilancia, se informa que el mismo se encuentra instalado en diferentes puntos al interior de la instalaciones y oficinas. Dicho mecanismo de vigilancia se utiliza para fines de seguridad como derecho a cualquier persona que trabaje o visite las instalaciones de SEPA..
La información recolectada mediante videovigilancia podrá ser utilizada como prueba ante cualquier autoridad u organización; y será almacenada por SEPA, por un periodo comprendido entre 1 (días) y 15(días), de acuerdo con las especificaciones técnicas de cámara de vigilancia.
2). USO DE IMAGEN Y VIDEO DE MENORES DE EDAD:
SEPA CONSULTORES S.A.S., en el tratamiento de datos personales de menores, asegura el respeto a los derechos prevalentes de estos, por lo cual, SEPA podrá usar los datos de menores de edad con el fin de realizar actividades dedicadas a ellos o beneficios otorgados en el giro ordinario de las actividades de SEPA.
SEPA podrá realizar el tratamiento de imágenes, fotografías y videos de los menores y publicarlos en sus redes sociales siempre y cuando se cumplan los criterios como finalidad, el interés superior del menor, tener en cuenta su opinión según el grado de madurez, asegurar el respeto por sus derechos fundamentales y el cumplimiento de los requisitos previstos en la Ley 1581 de 2012.
De otra parte y teniendo en cuenta lo señalado por la Corte Constitucional al proyecto de Ley estatutaria de hábeas data sentencia C-748 de 2011, SEPA propenderá por no arriesgar la prevalencia de los derechos de los menores, analizando cada caso en particular y teniendo en cuenta los principios de seguridad, confidencialidad, legalidad, libertad, acceso y circulación restringida.
Para todo lo anterior, SEPA se compromete a recabar la autorización previa del representante legal del menor.
3.) USO DE IMÁGEN Y VIDEO PROMOCIONAL:
Teniendo en consideración que dentro del desarrollo del objeto social de SEPA y con el fin de mejorar el servicio al cliente y mantener una buena relación con nuestros proveedores, contratistas y trabajadores, SEPA ha diseñado un plan de incentivos en el cual cualquiera de la personas antes mencionadas podrán obtener un beneficio de la empresa, para lo cual SEPA tratará su imagen con el fin de poder hacer fotografías o producción audiovisual (video) que será utilizada como medio de publicidad para SEPA.
De conformidad con lo anterior, SEPA solicitará la autorización respectiva para el uso de derechos de imagen sobre fotografía y procedimientos análogos y/o digitales a la fotografía, o producción audiovisual (video), así como los patrimoniales de autor y derechos conexos, el cual se regirá por las normas legales aplicables.
4.) PROCEDIMIENTO DE CONSULTA Y RECLAMO DE IMAGEN Y VIDEO:
Los titulares de datos cuya imagen o video hayan sido capturados podrán igualmente realizar solicitudes de consulta y reclamo a SEPA mediante los canales establecidos para dicho fin en el numeral 3° del Capítulo V del presente documento y deberán contener:
- a) Indicación de los hechos de la solicitud, estableciendo la fecha y hora.
- b) Justificación de la necesidad de la solicitud.
- c) Aporte de los documentos que permitan justificar que el titular es la persona indicada para realizar dicha solicitud. En caso de que el interesado sea un tercero, deberá aportar el documento de autorización para el acceso a esa información por parte del titular del dato.
Una vez recibida la solicitud SEPA realizará las siguientes acciones:
- Verificación de que la información aún se encuentre almacenada en sus servidores.
- Revisión de la solicitud y verificación de su procedencia, revisando que afecte el derecho a la intimidad y otros derechos fundamentales de terceros diferentes al titular de la información que se encuentren en dichas imágenes y/o videos.
- Si se llegaré a verificar la afectación de derechos fundamentales de terceros, SEPA verificará si los hechos descritos en la solicitud se generaron con el fin de informar al titular sobre los hallazgos.
- En el caso de no encontrarse afectación a derechos fundamentales de terceros, SEPA citará al titular de la información en sus instalaciones para que pueda visualizar la información que requiere.
CAPÍTULO VII
VIGENCIA, MODIFICACIONES Y CAMBIOS EN LA POLITICA DE TRATAMIENTO DE DATOS
1). MODIFICACIÓN DE LAS POLITICAS:
SEPA podrá en cualquier momento realizar las modificaciones que sean necesarias a la presente política de tratamiento de datos personales.
Sin perjuicio de lo anterior, todas las modificaciones serán comunicadas de forma oportuna a los titulares de datos personales a través de los medios habituales de contacto con diez (10) hábiles de antelación a su entrada en vigor.
Si luego de comunicada la política de tratamiento de datos, algún titular que por medio de razones justas y válidas que puedan constituir justa causa para no continuar con la autorización para el tratamiento de sus datos personales, podrá solicitar a SEPA el retiro de su información a través de los canales descritos en el numeral 3° del Capítulo V.
Sin perjuicio de lo anterior, los titulares no podrán solicitar el retiro de sus datos personales cuando SEPA tenga un deber legal o contractual de tratar los mismos.
2). VIGENCIA:
La presente política de tratamiento de datos personales entrará en vigor a partir de su publicación y las bases de datos de SEPA se conservarán por el tiempo necesario para garantizar el cumplimento de su objeto social, los que ordene la ley y lo que dispongan otras normas en materia de retención documental.
3.) CAMBIOS EN LA POLÍTICA DE TRATAMIENTO DE DATOS:
Cualquier cambio sustancial en la política de tratamiento de datos será comunicado a los titulares que reposen en las bases de datos de SEPA mediante comunicación masiva dirigida a los correos electrónicos entregados a SEPA.
