POLÍTICA DE TRATAMIENTOS DE DATOS PERSONALES DE TEAM FOODS COLOMBIA S.A. Y GRASAS S.A.
1. OBJETIVO
El objetivo de esta política de tratamiento de datos personales (en adelante, la “Política”) en la cual actúan como Responsables Team Foods Colombia S.A. y Grasas S.A., (en adelante las “Compañías”, sin perjuicio de lo cual la referencia debe entenderse a la entidad que resulte aplicable según el caso) es garantizar el cumplimiento de la ley aplicable en materia de protección de datos personales, respecto a la información de los titulares sobre la cual las Compañías realizan algún tipo de tratamiento. Así mismo, esta Política busca asegurar los derechos de los titulares, en cualquier fase del tratamiento. Esta Política también busca prevenir y/o controlar los riesgos asociados al tratamiento de los datos personales, para garantizar la privacidad y seguridad de la información personal, tales como:
- Acceso no autorizado.
- Pérdida de información.
- Modificación no autorizada.
- Divulgación no autorizada.
- Uso no consentido.
- Incumplimiento legal.
2. RESPONSABLES DE TRATAMIENTO
Esta es la información de las Compañías que actúan como responsables del tratamiento de los datos personales en el marco de esta Política:
3. ALCANCE
Esta Política debe ser cumplida de manera obligatoria y estricta por las Compañías, así como por sus funcionarios de alto gobierno, colaboradores y cualquier otro tercero que las represente o actúe en su nombre, o tenga algún tipo de vínculo legal o comercial que realice el tratamiento de datos personales en nombre y por cuenta de las Compañías. A su vez, los colaboradores de las Compañías que en ejercicio de sus funciones ejecuten operaciones relacionadas con el tratamiento de datos personales deben conocer, respetar y hacer cumplir las directrices del presente documento. Todos los colaboradores que trabajen en las Compañías están obligados a guardar reserva de los datos personales con los que tengan contacto en virtud de sus funciones, inclusive después de finalizada su relación laboral o contractual con las Compañías.
4. DEFINICIONES
Las palabras y conceptos adoptarán los significados que se detallan a continuación, con el fin de facilitar una comprensión adecuada de la presente Política:
a) Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
b) Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
c) Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
d) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. En términos generales al hacer referencia a Dato personal se entenderán incluidos Datos sensibles, salvo que se exprese lo contrario o se haga una diferenciación explícita.
e) Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, entre otros.
f) Derecho Habeas Data: De conformidad con el Artículo 15 Constitución Política de Colombia, todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución.
g) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.
h) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el tratamiento de los datos. Para los efectos de esta Política, las Compañías son las Responsables del Tratamiento.
i) Titular o Titulares: Persona natural cuyos datos personales sean objeto de tratamiento.
j) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
k) Transferencia: Tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en la República de Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del Tratamiento y se encuentra dentro o fuera del país.
l) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable. Estas definiciones han sido establecidas en la Ley 1581 de 2012, el Decreto 1377 de 2013 y las normas que los aclaren, modifiquen o complementen.
5. PRINCIPIOS APLICADOS AL TRATAMIENTO DE LOS DATOS PERSONALES
Las Compañías llevarán a cabo el Tratamiento de los datos personales bajo los siguientes principios:
a) Principio de legalidad: El Tratamiento de los datos personales es una actividad regulada, por lo cual sólo debe realizarse de acuerdo a las disposiciones legales establecidas en la normatividad colombiana y otras que la desarrollen.
b) Principio de finalidad: El Tratamiento de los datos personales siempre se realizará de acuerdo a la finalidad que se le informó al Titular en su momento de recolección, la cual debe ser legítima de acuerdo a la Constitución y la regulación aplicable.
c) Principio de libertad: El Tratamiento de los datos personales sólo se realizará previa autorización del Titular de los datos, y no podrán ser obtenidos o divulgados sin contar con una autorización expresa para tal fin. Como excepción podrán ser obtenidos y divulgados mandato legal u orden judicial que releve la obligación de obtener la referida autorización.
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Se deben implementar medidas adecuadas para garantizar la precisión y suficiencia de los datos. Cuando el Titular lo solicite o cuando las Compañías lo determinen pertinente, se procederá a la actualización, rectificación o eliminación de los datos.
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del titular a obtener del Responsable o del Encargado, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le interesen.
f) Principio de acceso y circulación restringida: El acceso a los datos personales solo estará permitido a: i) el Titular, sus causahabientes o sus representantes legales; ii) terceros autorizados por el Titular o la ley; y iii) las entidades públicas y administrativas en ejercicio de sus funciones legales o por orden judicial.
g) Principio de seguridad: Los datos personales deberán tratarse bajo las medidas técnicas, humanas y administrativas que sean necesarias para garantizar su seguridad evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
6. AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES Y AVISOS DE PRIVACIDAD
Las Compañías realizan el tratamiento de los datos personales bajo los parámetros normativos aplicables, de conformidad con la cual, como regla general y salvo excepción legal aplicable, obtienen de los Titulares Autorización antes de la realización de cualquier tipo de Tratamiento. La Autorización tiene en cuenta los siguientes parámetros fundamentales:
a) Autorización: El Tratamiento de datos personales por parte de las Compañías requiere como regla general y salvo excepción legal aplicable del consentimiento libre, previo, expreso e informado del Titular.
b) Forma y mecanismos para otorgar la autorización: La Autorización puede constar en cualquier mecanismo que permita obtener prueba y garantizar su posterior consulta, lo cual puede darse: i) por escrito, ii) de forma oral, o iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que se otorgó la Autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
c) Prueba de la Autorización: Las Compañías mantendrán registros o mecanismos necesarios para demostrar cuándo y cómo se obtuvo la Autorización por parte de los Titulares de datos personales para el Tratamiento de los mismos.
d) Casos en los que no es necesaria la Autorización: Los siguientes son eventos en que de conformidad con la ley aplicable no es necesaria la Autorización del Titular, esto es, cuando se trate de:
-
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el registro civil de las personas.
e) Revocación de la Autorización y/o supresión del dato: Los Titulares podrán en todo momento solicitar a las Compañías la supresión de sus datos personales y/o revocar la Autorización otorgada para el Tratamiento s, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo
15 de la Ley 1581 de 2012, proceso que se describe en el título 8 de esta Política.
f) Autorización para el Tratamiento de datos sensibles: Cuando se trate del Tratamiento de datos personales sensibles, las Compañías darán cumplimiento a los requisitos especiales que ha establecido la ley aplicable, tales como informarle al Titular que no está obligado a autorizar su Tratamiento, e informar de manera explícita y previa los datos que tienen carácter de sensibles y la finalidad específica de su tratamiento.
g) Aviso de privacidad: El aviso de privacidad es el documento físico, electrónico o en cualquier formato que es puesto en conocimiento del titular, antes o en el momento de la recolección de sus datos personales, y es el medio por el cual le es informado todo lo relativo con las políticas de tratamiento de información que le serán aplicables, las formas para conocerlas y, en general, las finalidades para las cuales sus datos personales han sido obtenidos y el tratamiento que las Compañías les darán a los mismos. Las Compañías dispondrán los avisos de privacidad que encuentren pertinentes para el Tratamiento que realicen, siempre en cumplimiento de la ley aplicable.
7. DERECHOS DE LOS TITULARES
De conformidad con lo establecido en artículo 8 de la Ley 1581 de 2012, el Titular de los datos personales tiene derecho a:
a) Conocer, actualizar y rectificar sus datos personales frente a las Compañías. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la Autorización otorgada a las Compañías cuando actúen como Responsables del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
c) Ser informado por las Compañías, previa solicitud, respecto del uso que les han dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.
e) Revocar la Autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá en los términos del artículo 9 del Decreto 1377 de 2013. Lo anterior no será aplicable en los casos en los que el Titular tenga deber legal o contractual de permanecer en la base de datos, de acuerdo con el artículo 2.2.25.2.6 del Decreto 1074 de 2015.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
8. PROCEDIMIENTO PARA EJERCER LOS DERECHOS DE LOS TITULARES
a) Canales de atención Los Titulares podrán ejercer los derechos que les otorgan la ley aplicable y esta Política frente a las Compañías, a través de las vías que las Compañías han implementado con tal propósito presentando una solicitud dirigida a algunos de los siguientes canales de atención:
Team Foods Colombia S.A.
NIT: 860.000.006-4
Dirección: Calle 45 A Sur No. 56 – 21, Bogotá D.C., Colombia.
Teléfono: 01 8000 12 7474 en Colombia o (601) 307 3980 en Bogotá
Grasas S.A.
NIT 891.300.529-4
Dirección: Calle 11 No. 18 – 113, Buga, Valle del Cauca, Colombia
Teléfono: 01 8000 12 7474 en Colombia
b) Legitimación para el ejercicio de los derechos de los titulares Los derechos de los Titulares establecidos en la ley aplicable e indicados anteriormente, podrán ejercerse por las siguientes personas:
- Por el Titular, quien deberá acreditar su identidad en forma suficiente.
- Por sus causahabientes, quienes deberán acreditar tal calidad.
- Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
- Por estipulación a favor de otro o para otro.
Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
c) Tipos de solicitudes Los siguientes son los tipos de solicitudes que se podrán presentar en relación con el Tratamiento de datos personales que realicen las Compañías, de conformidad con la ley aplicable:
(i) Consulta :
De conformidad con lo establecido en el artículo 14 de la Ley 1581 de 2012, el Titular, su causahabiente o su representante podrá consultar de forma gratuita los datos personales del Titular que reposen en las bases de datos de las Compañías. Las Compañías suministrarán a las personas legitimadas toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. Para tal fin, el Titular, su causahabiente o su representante deberá elevar una consulta indicando la información que desea conocer, dirigida a cualquiera de los canales de atención antes señalados. La consulta será atendida por las Compañías en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, este hecho se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
De conformidad con lo establecido en el artículo 15 de la Ley 1581 de 2012, cuando el Titular, su causahabiente o su representante consideren que la información tratada por las Compañías deba ser objeto de corrección, actualización o supresión, o adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley aplicable, podrán presentar un reclamo ante las Compañías, el cual será tramitado bajo las siguientes reglas:
1. El reclamo debe ser presentado a través de los canales de atención habilitados por las Compañías e indicados en el presente documento.
2. El reclamo debe contener, como mínimo, la siguiente información:
a. La identidad del Titular, así como los documentos que acrediten la identidad del solicitante y la calidad en la que actúa, esto último en caso de que no sea el mismo Titular.
b. La dirección o medio de comunicación escrito mediante el cual el solicitante espera recibir respuesta.
c. La descripción clara y precisa de los hechos que dan lugar al reclamo, así como de los datos personales respecto de los cuales se busca ejercer alguno de los derechos y la solicitud concreta.
3. El término máximo que tendrán las Compañías para atender un reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado sobre los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
4. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del mismo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
5. En caso de que quien reciba el reclamo al interior de la Compañía no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
6. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
7. Rectificación y actualización. Cuando los reclamos tengan por objeto la rectificación o actualización de la información, el solicitante deberá indicar las correcciones a realizar y aportar la documentación que avale su solicitud.
8. Supresión y revocatoria de la autorización. La supresión de datos personales se realiza mediante la eliminación total o parcial de la información personal según lo solicitado por el titular; no obstante, la solicitud de supresión o la revocatoria de la Autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos, de conformidad con el artículo 9 del Decreto 1377 de 2013.
d) Requisito de procedibilidad De acuerdo con lo establecido en el artículo 16 de la Ley 1581 de 2012, el Titular, causahabiente y sus representantes, sólo podrán elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante las Compañías.
e) Persona y área responsable de la atención de solicitudes de los titulares El área responsable al interior de las Compañías de atender las solicitudes de los titulares es:
- Área: Vicepresidencia Jurídica y de Asuntos Corporativos.
- Los Titulares podrán presentar sus solicitudes a través de los canales de atención indicados en el literal a) del título 8 de esta Política.
f) Oficial de Protección de Datos Personales El Oficial de Protección de Datos Personales de las Compañías tendrá como funciones principales velar por la implementación efectiva de las políticas y procedimientos adoptados por las Compañías para dar cumplimiento al Régimen General de Protección de Datos Personales, y hacerse cargo de la estructuración, diseño y administración del programa integral de gestión de datos personales.
(i) Recabar información para determinar las actividades de Tratamiento.
(ii) Analizar y comprobar la conformidad con la normativa de las actividades de Tratamiento.
(iii) Informar, asesorar y emitir recomendaciones a las Compañías.
(iv) Promover la elaboración e implementación de un sistema que permita administrar los riesgos del Tratamiento de datos personales.
(v) Coordinar la definición e implementación de los controles del programa integral de gestión de datos personales.
(vi) Servir de enlace y coordinador con las demás áreas de las Compañías para asegurar una implementación transversal del programa integral de gestión de datos personales.
(vii) Impulsar una cultura de protección de datos personales en poder de las Compañías y su debida clasificación según su naturaleza.
(viii) Registrar las Bases de Datos de las Compañías en el Registro Nacional de Bases de Datos y actualizar el reporte atendiendo a las instrucciones que sobre el particular emita la Superintendencia de Industria y Comercio.
(ix) Obtener las declaraciones de conformidad de la Superintendencia de Industria y Comercio cuando sea requerido.
(x) Obtener, siempre que sea aplicable, la certificación de las Normas Corporativas Vinculantes por parte de la Superintendencia de Industria y Comercio cuando sea requerido.
(xi) Revisar los contenidos de los contratos de Transferencias internacionales de datos personales que se suscriban con otros Responsables del Tratamiento, ubicados o no en territorio colombiano.
(xii) Revisar los contenidos de los contratos de Transmisión internacional de datos personales que se suscriban con Encargados del Tratamiento, ubicados o no en territorio colombiano.
(xiii) Analizar la responsabilidad de cada cargo de las Compañías, para diseñar un programa de entrenamiento en protección de datos personales específico para cada uno de ellos.
(xiv) Realizar los entrenamientos que se requieran en materia de protección de datos personales para todos los empleados de las Compañías de tiempo en tiempo, y mantenerlos actualizados al respecto.
(xv) Realizar el entrenamiento necesario a los nuevos empleados, que tengan acceso por las condiciones de su empleo, a datos personales gestionados por las Compañías.
(xvi) Realizar el entrenamiento necesario a los nuevos colaboradores, que tengan acceso por las condiciones de sus contratos, a datos personales gestionados por las Compañías.
(xvii) Integrar las políticas de protección de datos dentro de las actividades de las demás áreas de las Compañías (talento humano, seguridad, call centers, gestión de proveedores, etc.).
(xviii) Medir la participación, y calificar el desempeño, en los entrenamientos de protección de datos personales.
(xix) Requerir que, dentro de los análisis de desempeño de los empleados, se encuentre haber completado satisfactoriamente cualquier entrenamiento sobre Datos personales que tenga lugar en el respectivo año en el que tiene lugar el análisis de desempeño.
(xx) Velar por la implementación de planes de auditoría interna para verificar el cumplimiento de sus políticas de Tratamiento de información personal.
(xxi) Acompañar y asistir a las Compañías en la atención de las visitas y los requerimientos que realice la Superintendencia de Industria y Comercio.
(xxii) Realizar seguimiento al programa integral de gestión de datos personales.
9. DEBERES DE LAS COMPAÑÍAS COMO RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE LOS DATOS PERSONALES
Las Compañías reconocen que los datos personales son de propiedad de los Titulares a los que se refieren y que solamente ellos pueden decidir sobre los mismos. En ese sentido, las Compañías harán uso de los datos personales recolectados únicamente para las finalidades para las que el Titular expresamente ha autorizado su Tratamiento, o cuando puedan realizar el Tratamiento sin dicha Autorización para las finalidades ligadas a la excepción por la cual no se debe contar con Autorización, y respetando, en todo caso, la normatividad vigente sobre la protección de datos personales. Sin perjuicio de lo anterior, las Compañías tendrán los siguientes deberes como Responsables y Encargados del Tratamiento, cuando actúen en tales calidades:
a) Deberes de las Compañías como Responsables del Tratamiento: Las Compañías como Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad.
(i) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data.
(ii) Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva Autorización otorgada por el Titular.
(iii) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la Autorización otorgada.
(iv) Conservar los datos personales bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
(v) Garantizar que la información que se suministre a los Encargados del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
(vi) Actualizar la información, comunicando de forma oportuna a los Encargados del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
(vii) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
(viii) Suministrar a los Encargados del Tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012.
(ix) Exigir a los Encargados del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
(x) Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012.
(xi) Informar a los Encargados del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
(xii) Informar a solicitud del Titular sobre el uso dado a sus datos.
(xiii) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
(xiv) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
b) Deberes de las Compañías como Encargados del Tratamiento Las Compañías cuando actúen como Encargados del Tratamiento, o cuando concurran en las mismas las calidades de Responsable y Encargado del Tratamiento, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:
(i) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data.
(ii) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
(iii) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
(iv) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
(v) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en el régimen colombiano de protección de datos personales.
(vi) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento del régimen colombiano de protección de datos personales y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
(vii) Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la ley.
(viii) Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
(ix) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
(x) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
(xi) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
(xii) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
10 .FINALIDADES DEL TRATAMIENTO
Sin perjuicio de las finalidades del tratamiento informadas a los Titulares de manera oportuna y previo al tratamiento mediante Avisos de Privacidad y según conste en cada una de las Autorizaciones del Tratamiento, los datos personales administrados por las Compañías serán recopilados, usados, almacenados, actualizados, transmitidos y/o transferidos, y en términos generales serán tratados, para los siguientes propósitos o finalidades:
a) En relación con la naturaleza y las actividades propias del objeto social de las Compañías: El Tratamiento de los datos personales que realicen las Compañías tendrá las siguientes finalidades generales relacionadas con la naturaleza y actividades propias del objeto social de las Compañías, aplicables a los diferentes tipos de contrapartes y/o Titulares cuyos datos sean objeto de Tratamiento por parte de las Compañías como Responsable del Tratamiento:
-
- Gestionar y/o mantener la relación que tenga o que llegue a tener el Titular o la entidad con la cual se encuentre vinculado el Titular y que tiene una relación con las Compañías, cualquiera que sea su naturaleza, lo que incluye ejecutar y cumplir las obligaciones que se deriven de tal relación, y realizar la gestión administrativa y contable que corresponda a tales relaciones.
- Cumplir las políticas internas, procedimientos operativos estándar y demás lineamientos relevantes de las Compañías, incluyendo procedimientos y obligaciones de conocimiento de contrapartes y control y prevención del fraude, el lavado de activos y la financiación del terrorismo, de conformidad con la ley aplicable, lo que incluye realizar investigaciones para combatir el lavado de activos, fraudes y cualquier otra actividad ilícita y/o consulta en listas restrictivas y/u otras bases de datos públicas.
- Revisión de la información para cumplir con la regulación relacionada con debida diligencia a nivel de SAGRILAFT, Ética Empresarial PTEE, Prevención de Delitos ambientales y Derechos Humanos.
- Llevar a cabo procesos de auditoría interna o externa propios de la actividad comercial que las Compañías desarrollan;
- Adelantar cualquier trámite ante autoridades y/o personas y/o entidades públicas o privadas, respecto de las cuales la información resulte pertinente, así como, atender requerimientos administrativos y judiciales, pudiendo ser entregados para estos fines a abogados y asesores externos o auditores.
- Realizar llamadas y enviar comunicaciones al correo físico, correo electrónico, celular o dispositivo móvil, vía mensajes de texto o a través de cualquier otro medio análogo y/o digital de comunicación, con información relevante para el Titular o la entidad con la cual se encuentre vinculado el Titular y que tiene una relación con las Compañías.
- Llevar a cabo cualquier tipo de acto o diligencia de cobranza judicial o extrajudicial y/o ejercer los derechos que le correspondan a las Compañías.
- Verificar los datos e información relacionada con el Titular o la entidad con la cual se encuentre vinculado, así como ampliar la información proporcionada a través de fuentes públicas.
- Atender y gestionar las solicitudes, quejas, reclamos o sugerencias realizadas por los Titulares y a organismos de control, incluyendo dar respuesta o proporcionar a las demás autoridades que en ejercicio de sus funciones y virtud de la ley aplicable requieran los datos personales;
- Gestionar la seguridad en las instalaciones de las Compañías a través de sistemas de videovigilancia. En la medida en que se trata del Tratamiento de datos sensibles como la imagen de las personas, la información captada mediante sistemas de videovigilancia se tratará con las medidas de seguridad y confidencialidad pertinentes, y se dará cumplimiento a los demás requerimientos establecidos por la ley aplicable para el tratamiento de datos personales sensibles.
- Cumplir y dar aplicación a las disposiciones constitucionales, legales y reglamentarias previstas en el ordenamiento jurídico colombiano y aplicables a las Compañías.
- Velar y garantizar la seguridad física y digital del Titular y su información, y por el mejoramiento de la experiencia de visita en los establecimientos e instalaciones de las Compañías.
- Dar cumplimiento de obligaciones legales, precontractuales, contractuales, pos-contractuales, tributarias, financieras y contables de las Compañías.
- Dar cumplimiento de las Directrices de Políticas de las Compañías.
b) Respecto de los datos personales de nuestros clientes, tanto corporativos como consumidores, y nuestros proveedores:
A. Finalidades comerciales:
Finalidades comunes a los Clientes Corporativos y Clientes Consumidores:
- Informar sobre cambios o modificaciones en nuestros productos o servicios, o sobre nuevos productos o servicios, relacionados o no con el contratado o adquirido por el Titular, por cualquiera de los medios de comunicación proporcionados por el Titular.
- Evaluar la calidad de nuestros productos y servicios, realizar estudios de mercado y análisis estadísticos para usos internos e invitar a los Titulares a participar en actividades de mercadeo y promocionales desarrolladas por las Compañías, por cualquiera de los medios de comunicación proporcionados por el Titular.
- Facilitar el diseño e implementación de programas de fidelización.
- Realizar estudios internos sobre el cumplimiento de las relaciones comerciales y estudios de mercado a todo nivel.
Finalidades aplicables solo a Clientes Consumidores:
- Permitir que terceras compañías, con las cuales las Compañías han celebrado contratos de Transmisión, o Transferencia de datos que incluyen disposiciones para garantizar la seguridad y el adecuado Tratamiento de los datos personales, contacten al Titular con el propósito de ofrecerle bienes o servicios de su interés, en la medida en que esto haya sido autorizado expresamente por el titular.
- Alimentar las Bases de Datos de las Compañías con información de los Titulares a través de actividades de mercadeo, siempre y cuando estos hayan aceptado su inclusión expresamente.
B. Finalidades de servicio:
Finalidades comunes a los Clientes Corporativos y Clientes Consumidores:
- Proveer servicios y productos requeridos por el Titular.
- Dar cumplimiento a obligaciones contraídas con el Titular;
- Compartir los datos personales, incluyendo la Transferencia y Transmisión de datos personales, a terceros para el desarrollo de las finalidades autorizadas por el Titular.
- Gestionar la utilización por parte del Titular de los distintos servicios correspondientes a sitios web gestionados por las Compañías, incluyendo el diligenciamiento de contenidos y formatos y la descarga por parte del titular. Algunos de dichos sitios web contienen actividades o contenido de mercadeo de interés del Titular, que permiten alimentar las Bases de Datos de las Compañías, lo cual se les informa expresamente a los Titulares.
- Registrar a los Titulares en los sistemas de las Compañías y procesar sus pagos o recaudos.
- Transmitir, Transferir o compartir la información recolectada a diferentes áreas de las Compañías y a sus empresas asociadas en Colombia y en el extranjero, en el marco de las finalidades autorizadas por el Titular
- Contactar al Titular después de su inactivación para evaluar la reanudación del vínculo, siempre que el Titular no haya solicitado el retiro de su información de la base de datos, ni haya revocado la autorización.
Finalidades aplicables solo a Clientes Corporativos:
- Elaborar, presentar y hacer seguimiento a cotizaciones, propuestas comerciales y ofertas de bienes o servicios de las Compañías y/o solicitar, estudiar y hacer seguimiento a cotizaciones, propuestas comerciales y ofertas de bienes o servicios presentadas a las Compañías.
- Compartir y transmitir la información entre las áreas de la Compañía o con terceras empresas en Colombia y en el exterior cuando ello sea necesario para el desarrollo de las finalidades autorizadas por el Titular, tales como el recaudo de cartera y cobros administrativos, tesorería, contabilidad, entre otros relacionados con la gestión de la relación con el Titular.
Finalidades aplicables solo a Clientes Consumidores:
- Gestionar las solicitudes del Titular relacionadas con la adquisición de productos o servicios vía comercio electrónico.
Finalidades aplicables solo a Proveedores:
- Recibir los productos y/o servicios ofrecidos por el proveedor.
- Dar cumplimiento a obligaciones contraídas con el Titular y gestionar sus pagos y contraprestaciones.
- Gestionar la utilización por parte del Titular de los distintos servicios correspondientes a sitios web gestionados por las Compañías, incluyendo el diligenciamiento de contenidos y formatos y la descarga por parte del Titular.
- Transmitir, Transferir o compartir la información recolectada a diferentes áreas de las Compañías y a sus empresas asociadas en Colombia y en el extranjero, en el marco de las finalidades autorizadas por el Titular.
C. Respecto de los datos personales de los candidatos laborales de las Compañías:
- Abrir un expediente sobre el candidato en relación con el proceso de selección al que aplique o ha sido invitado a participar.
- Realizar todas las actividades propias de un proceso de selección de personal tales como exámenes médicos, exámenes de habilidades y competencias, entre otras.
- Administrar y operar, directamente o por conducto de terceros, los procesos de selección y vinculación de personal, incluyendo la evaluación y calificación de los participantes y la realización de estudios de seguridad para verificar debida diligencia a nivel de riesgos de los Programas de Cumplimiento, verificación de antecedentes judiciales o realizar visitas domiciliarias, otros. En la medida en que alguna de esta información puede ser considerada un dato sensible como aquellos relacionados con los antecedentes judiciales, las Compañías darán cumplimiento a los requerimientos especiales contemplados en la legislación aplicable para este tipo de datos.
- Así mismo, el proceso también puede incluir contactar al candidato o contactar a terceros a través de la información que el candidato ha proporcionado, incluyendo la confirmación de las referencias personales y laborales que ha relacionado el candidato, así como toda la información que el titular proporcione como parte del proceso de selección.
- Requerir anexos de la hoja de vida como exámenes médicos o psicotécnicos, referencias y certificaciones laborales, entre otros. En la medida en que se trate de datos personales sensibles como aquellos relacionados con la salud, las Compañías darán cumplimiento a los requerimientos especiales contemplados en la legislación aplicable para este tipo de datos.
- Verificar los documentos relacionados con los estudios del titular, tales como diplomas, historial de notas, y otros documentos relacionados con su historial laboral, entre otros.
- También podrán tratarse los datos después de finalizado el proceso de selección para considerar el perfil del titular en futuras convocatorias laborales y contactarlo en caso de que su perfil pueda adaptarse a una de estas.
- Enviar información sobre vacantes posteriores similares a las que se haya postulado el candidato.
- Incluso después de finalizado el proceso de selección, dar cumplimiento a obligaciones legales, cumplir requerimientos corporativos internos y cumplir con las normas de conservación de documentos.
d) Respecto de los datos personales de los colaboradores de las Compañías:
- Almacenar y administrar en sus bases de datos los datos personales de los empleados y exempleados; así como realizar las actividades requeridas en la etapa contractual y post contractual de la relación laboral.
- Dar cumplimiento a las obligaciones derivadas de la relación laboral, así como a las disposiciones constitucionales, legales y reglamentarias previstas en el ordenamiento jurídico colombiano que resulten aplicables a la relación laboral. Lo anterior, puede incluir compartir los datos personales de los empleados -y los de sus beneficiarios- con las autoridades judiciales y administrativas competentes, entidades del sistema de seguridad social (Fondo de Pensiones, EPS, ARL, Fondo de Cesantía, ICBF, Caja de Compensación Familiar, SENA), operadores de planilla asistida, los cuales sean requeridos en cumplimiento de sus funciones legales y la legislación laboral existente; así como realizar reportes de nómina electrónica ante la DIAN y en especial, para la generación del soporte de pago de nómina electrónica y las notas de ajuste que se derivan del citado documento.
- Realizar el proceso de debida diligencia a nivel de riesgos de los Programas de Cumplimiento, verificación de antecedentes judiciales, comportamientos financieros o realizar visitas domiciliarias, entre otros, para la actualización de su estudio de seguridad.
- Desarrollar las actividades propias de la gestión de recursos humanos dentro de las Compañías, tales como nómina, afiliaciones a entidades del sistema general de seguridad social, actividades de bienestar y salud ocupacional, ejercicio de la potestad sancionatoria del empleador, entre otras.
- Realizar los pagos necesarios derivados de la ejecución del contrato de trabajo y/o su terminación, y las demás prestaciones sociales a que haya lugar de conformidad con la ley aplicable.
- Contratar beneficios laborales con terceros, tales como seguros de vida, gastos médicos, entre otros.
- Notificar a contactos autorizados en caso de emergencias durante el horario de trabajo o con ocasión del desarrollo del mismo.
- Coordinar el desarrollo profesional de los empleados, el acceso de los empleados a los recursos informáticos de las Compañías y asistir en su utilización.
- Planificar actividades y eventos empresariales o de bienestar laboral.
- Transmitir la información con terceras empresas en Colombia y en el exterior cuando ello sea necesario para el desarrollo de las finalidades autorizadas por el Titular, tales como la gestión de nómina.
- Controlar el acceso a las oficinas y las plantas de las Compañías, incluyendo el establecimiento de zonas videovigiladas. En la medida en que se trata del tratamiento de datos sensibles como la imagen de las personas, la información captada mediante sistemas de videovigilancia se tratará con las medidas de seguridad y confidencialidad pertinentes, y se dará cumplimiento a los demás requerimientos establecidos por la ley aplicable para el Tratamiento de datos personales sensibles.
- Llevar a cabo el Tratamiento de los datos sensibles tales como información relativa a la salud, exámenes médicos o psicotécnicos del empleado con la finalidad de llevar a cabo el registro y seguimiento de esta información exclusivamente en el marco de la relación laboral. En la medida en que se trate de datos personales sensibles como aquellos relacionados con la salud, las Compañías darán cumplimiento a los requerimientos especiales contemplados en la legislación aplicable para este tipo de datos.
- Llevar a cabo el tratamiento de los datos sensibles tales como información relativa a los hijos menores con la finalidad de llevar a cabo los registros que resulten pertinentes ante las entidades del sistema de seguridad social, así como para gestionar posibles beneficios y/o información que resulte relevante exclusivamente en el marco de la relación laboral, en caso de que resulte aplicable. Las Compañías darán cumplimiento a los requerimientos especiales contemplados en la legislación aplicable para este tipo de datos.
- Realizar capacitaciones de las directrices y políticas de las Compañías;
- Registrar a los Titulares en los sistemas informáticos y plataformas de las Compañías.
- Utilizar la información personal e imágenes producidas durante las actividades y eventos de las Compañías con el fin de compartirlas tanto interna como externamente mediante plataformas digitales, redes sociales, correos electrónicos u otros canales de comunicación. Esto incluye la creación y difusión de material para comunicar en formatos físicos, digitales o audiovisuales, siempre que haya sido autorizado por el Titular. En la medida en que se trata del tratamiento de datos sensibles como la imagen de las personas, la misma será tratada con las medidas de seguridad y confidencialidad pertinentes, y se dará cumplimiento a los demás requerimientos establecidos por la ley aplicable para el tratamiento de datos personales sensibles.
- Tramitar procesos de selección que tengan las Compañías a nivel interno, con clientes o licitaciones usando la información contenida en la hoja de vida, certificaciones académicas y certificaciones laborales del empleado.
- Responder a preguntas o solicitudes de información que hagan los clientes de las Compañías, para los cuales los datos personales de los empleados o exempleados resulten relevantes.
- Inscribir, gestionar, y adelantar el procesamiento y archivo de la información suministrada en los reportes y consultas presentadas a través del Canal de la Línea de Integridad y Asuntos Laborales de las Compañías.
- Mantener una comunicación eficiente con el empleado para obtener o actualizar la información que le sea de utilidad en virtud de los vínculos laborales/contractuales en los que ella sea parte.
- Dar referencias a terceros sobre el desempeño del empleado, en caso de que las Compañías sea contactado por terceros con este propósito, durante o con posterioridad a la terminación de la relación laboral.
- Cualquier otra actividad de naturaleza similar y/o complementaria a las anteriormente descritas que sean necesarias para desarrollar la relación laboral entre el titular y una de las Compañías.
11. TRATAMIENTO DE DATOS PERSONALES SENSIBLES
En desarrollo de su actividad comercial, las Compañías únicamente tratan datos personales sensibles para propósitos específicos, y en tanto haya sido previamente autorizado por el respectivo Titular, siempre bajo los estándares de seguridad y confidencialidad correspondientes a su naturaleza. En todo caso, la recopilación de datos personales sensibles advertirá que la autorización del Tratamiento de los mismos es de carácter facultativo y no constituye condición para acceder a ninguno de nuestros productos o servicios. En este sentido, la citada autorización que otorguen los Titulares dará cumplimiento a los requisitos especiales que ha establecido la ley aplicable al respecto, tales como informarle al Titular de manera explícita y previa los datos que tienen carácter de sensibles y la finalidad específica de su Tratamiento, entre otros que resulten aplicables.
12. TRANSFERENCIAS NACIONALES E INTERNACIONALES
Las Compañías podrán, siempre y cuando así lo autorice el Titular, Transferir los datos personales a terceros, los cuales podrán estar ubicados en Colombia o en jurisdicciones diferentes a la colombiana. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los exigidos por la ley 1581 de 2012. Lo anterior, sin perjuicio de los casos contemplados en el artículo 26 de la Ley 1581 de 2012.En los casos no contemplados como excepción, las Compañías obtendrán de la Superintendencia de Industria y Comercio una declaración de conformidad relativa a la Transferencia internacional de datos personales. En cualquier caso, los terceros a quienes las Compañías Transfieran datos cumplirán en todo momento con obligaciones de confidencialidad y seguridad que permitan garantizar la integridad, confidencialidad y seguridad de los datos. Los terceros que reciban los datos podrán tratar los mismos en calidad de Responsables del Tratamiento, y para las finalidades que hubiesen sido autorizadas por el Titular del dato. En los casos de Transferencias, se le informará al Titular del dato los mecanismos para ejercer sus derechos y la identificación del nuevo Responsable del Tratamiento.
13. TRANSMISIONES INTERNACIONALES Y NACIONALES
En el marco de las actividades de Tratamiento y las finalidades autorizadas por el Titular, las Compañías podrán Transmitir datos a uno o varios encargados ubicados dentro o fuera del territorio de República de Colombia, en la medida en que la referida Transmisión haya sido autorizada por el Titular. En caso contrario, las Compañías deberán establecer cláusulas contractuales o celebrar contratos de Transmisión de datos personales con los Encargados del Tratamiento en los que, entre otros, establezcan lo siguiente:
- Los alcances y finalidades del Tratamiento por parte del Encargado.
- Las actividades que el Encargado realizará sobre los datos por cuenta de las Compañías.
- Las obligaciones del Encargado para con el Titular y las Compañías, las cuales comprenderán como mínimo: (i) dar aplicación a las obligaciones de las Compañías bajo esta Política y realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables; (ii) dar Tratamiento, a nombre de las Compañías, a los datos personales conforme a los principios que los tutelan; (iii) salvaguardar la seguridad de las bases de datos en los que se contengan datos personales; y (iv) guardar confidencialidad respecto del Tratamiento de los datos personales.
14. VIGENCIA DE LAS BASES DE DATOS
- Los datos personales bajo el control de las Compañías serán conservados durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el Tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para dar cumplimiento a una obligación legal o contractual. Las Compañías han adoptado medidas para la eliminación oportuna y segura de sus datos personales.
15. VIGENCIA DE LA POLÍTICA Y MODIFICACIONES
La presente Política rige a partir del primero (01) de junio de 2017, y ha sido modificada el veintisiete de (27) de febrero de 2024. Las Compañías podrán enmendar, modificar o retirar cualquier parte del contenido de la presente Política en cualquier momento y cuando se trate de cambios sustanciales, se les informará a los Titulares antes o al momento de implementar las nuevas políticas, lo anterior, a través de la publicación del texto actualizado en este sitio y/o mediante el envío al titular de los datos personales por medio de otro mecanismo.
16. MEDIDAS DE SEGURIDAD
En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012, las Compañías adoptará las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales objeto de tratamiento, evitando así́́ su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento.