MANUAL DE POLITICAS DE TRATAMIENTO DE LA INFORMACIÓN (2021)

1.  CONSIDERACIONES

Las políticas y procedimientos adoptados en este Manual interno aplicarán para el manejo de la información que sea utilizada y/o se encuentre en las bases de datos del “responsable del tratamiento de la información”, que se encuentren dentro del territorio nacional.

Teniendo en cuenta que, el Artículo 15 de la Constitución Política de Colombia, consagra que todas las personas tienen el derecho a conocer, actualizar y rectificar la información que hayan recogido sobre ellas en bancos de datos y en archivos de entidades privadas. Y plantea el deber, que en la recolección, tratamiento y circulación de datos se respeten la libertad y demás garantías consagradas en la Constitución y las leyes concordantes.

En ese orden de ideas, las disposiciones vigentes en materia de Habeas Data, en particular la Ley 1581 de 2012 y el Decreto 1377 de 2013, obligan al responsable del tratamiento de la información adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento la ley y en especial, para la atención de consultas y reclamos.

Así pues, nos comprometemos con el respeto y garantía de los derechos de los titulares de la información. Por esta razón, adoptamos el siguiente manual de políticas y procedimientos de tratamiento de información, de obligatoria aplicación en todas las actividades que involucre, total o parcialmente, la recolección, el almacenamiento, el uso, la circulación y transferencia de esa información siendo de obligatorio y estricto cumplimiento para el responsable del tratamiento, sus empleados delegados o el encargado de la información.

No obstante, de tratar directamente los datos personales, se reserva el derecho a delegar en un tercero tal tratamiento, exigiendo así mismo a estos encargados que deben observar y respetar estas políticas en el cumplimiento de sus funciones. De igual manera, deberán guardar estricta confidencialidad en relación con los datos tratados. Cualquier incumplimiento de las obligaciones y en general, de las políticas contenidas en este documento debe ser reportado a la Superintendencia de Industria y Comercio.

2.  IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN

  • Razón social: Asociación Mutual de Cundinamarca (AMC-ong)
  • Domicilio: Bogotá
  • Dirección: Calle 3 No. 18 A 08
  • Correo electrónico: ajmr1111@gmail.com
  • NIT: 830.058.091-1
  • Numero de contacto (+57) 3016219400

3.  PRINCIPIOS ESPECÍFICOS

Los principios que se establecen a continuación constituyen los parámetros generales que serán respetados por el responsable del tratamiento de datos, en los procesos de acopio, uso, tratamiento, almacenamiento e intercambio de datos personales:

a) Principio de legalidad: En el uso, captura, recolección y tratamiento de datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos fundamentales conexos.

b) Principio de libertad: El uso, captura, recolección y tratamiento de datos personales sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el consentimiento.

c) Principio de finalidad: El uso, captura, recolección y tratamiento de datos personales a los que tenga acceso y sean acopiados y recogidos por El responsable del tratamiento de la información, estarán subordinados y atenderán una finalidad legítima, la cual debe ser informada al respectivo titular de los datos personales.

d) Principio de veracidad o calidad: La información sujeta a uso, captura, recolección y tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de transparencia: En el uso, captura, recolección y tratamiento de datos personales debe garantizarse el derecho del Titular a obtener de El responsable del tratamiento de la información, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.

f) Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.

g) Principio de seguridad: Los datos personales e información usada, capturada, recolectada y sujeta a tratamiento por El responsable del tratamiento de la información, serán objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios electrónicos evitando su adulteración, modificación, pérdida, consulta, y en general en contra de cualquier uso o acceso no autorizado.

h) Principio de confidencialidad: Todas y cada una de las personas que administren, manejen, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases o Bancos de Datos, se comprometen a conservar y mantener de manera estrictamente confidencial, y no revelarla a terceros, todas las informaciones personales, comerciales, contables, técnicas, comerciales o de cualquier otro tipo suministradas en la ejecución y ejercicio de sus funciones. Todas las personas que trabajen actualmente o sean vinculadas a futuro para tal efecto en la administración y manejo de bases de datos, deberán suscribir un documento adicional u otrosí a su contrato laboral o de prestación de servicios para efectos de asegurar tal compromiso. Esta obligación persiste y se mantiene inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

4.  ALCANCE

Esta política debe ser conocida y aplicada por todo el personal interno y externo que presta sus servicios al responsable del tratamiento de la información, y aplica a toda la información que este maneja. El personal tiene la responsabilidad de velar por la confidencialidad de la información a la cual tenga acceso, por razón de sus tareas y cada vez que se realice algún trámite en relación con el manejo de datos personales dentro de la organización.

5.  DEFINICIONES

Para el entendimiento del presente Manual serán aplicables las siguientes definiciones y aclaraciones:

  1. Aviso de Privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de la política de Tratamiento de información que le será aplicable, la forma de acceder a la misma y las finalidades del Tratamiento que se pretende dar a los datos personales.
  2. Autorización: Consentimiento expreso, inequívoco e informado del Titular del dato para llevar a cabo el tratamiento de su información personal;
    1. La autorización puede constar en un documento físico, electrónico, mensaje de datos, Internet, sitios web, en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento vía clic o doble clic, mediante el cual se pueda concluir de manera inequívoca que, de no haberse surtido una conducta del Titular, los datos nunca hubieren sido capturados y almacenados en la base de datos. La autorización también puede ser otorgada mediante actos claros e inequívocos, conforme la normativa vigente.
    2. Casos en que no se requiere la autorización: La autorización del Titular no será necesaria cuando se trate de:
      1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
      2. Datos de naturaleza pública.
  • Casos de urgencia médica o sanitaria.
  1. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
  2. Datos relacionados con el Registro Civil de las personas.
  1. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento, sea usuario, proveedor, candidato en proceso de selección, empleado, o cualquier tercero que, debido a una relación comercial o jurídica, suministre datos personales.
  2. Base de datos: Todo conjunto organizado de datos que sea objeto de tratamiento;
  3. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
  4. Datos públicos: Aquellos datos que no sean semiprivados, privados o sensibles. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o servidor público;
  5. Datos privados: Aquellos que por su naturaleza íntima o reservada solo interesa a su titular y requiere de su autorización expresa;
  6. Dato sensible: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, etc.
  7. Dato semiprivado: Aquel que no tiene naturaleza íntima, reservada o pública y cuyo conocimiento o divulgación interesa no solo al titular sino a un grupo de personas.
  8. Tratamiento de datos: Procedimiento que permite obtener mediante cualquier operación o conjunto de operaciones datos personales mediante la recolección, almacenamiento, uso, circulación o supresión u otros métodos implementados por las entidades y/o empresas, quienes son los responsables de la administración y buen uso de los datos.
  9. Tratamiento de datos sensibles: Se podrá hacer uso y tratamiento de los datos catalogados como sensibles cuando:
    1. El Tratamiento sea necesario para salvaguardar el interés vital del titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
    2. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
    3. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares

6.  TRATAMIENTO DE LOS DATOS

Los datos personales que el responsable del tratamiento de la información conoce, son obtenidos con previa autorización y serán recolectados, almacenados, circulados y/o suprimidos en medio físico y/o digital. El responsable del tratamiento de la información se reserva, en los eventos contemplados en la ley, la facultad de mantener y catalogar determinada información que repose en sus bases o bancos de datos, como confidencial de acuerdo con las normas vigentes; todo lo anterior y en consonancia con el derecho fundamental y constitucional a la autonomía.

6.1 POLÍTICAS ESPECÍFICAS RELACIONADAS CON EL TRATAMIENTO DE DATOS PERSONALES

  1. El responsable del tratamiento de la información, en los casos que la ley lo ordene, deberá obtener la autorización por medio de un documento físico, electrónico, mensaje de datos, Internet, sitio web, o también de manera verbal o telefónica o en cualquier otro formato que permita su posterior consulta a fin de constatar de forma inequívoca que sin el consentimiento del titular los datos nunca hubieran sido capturados y almacenados en medios electrónicos o físicos. Así mismo se podrá obtener por medio de conductas claras e inequívocas del Titular que permitan concluir de una manera razonable que este otorgó su consentimiento para el manejo de sus Datos Personales.
  2. El responsable del tratamiento de la información solicitará la autorización a los titulares de los datos personales y mantendrá las pruebas de ésta, para los casos que la ley lo exija.
  3. El dato personal del titular deberá ser veraz, completo, exacto, actualizado, comprobable y comprensible. El responsable del tratamiento de la información mantendrá la información bajo estas características siempre y cuando el titular informe oportunamente sus novedades.
  4. Los datos personales solo serán tratados por aquellos trabajadores del responsable del tratamiento de la información, que cuenten con el permiso para ello, o quienes dentro de sus funciones tengan a cargo la realización de tales actividades o por los encargados.
  5. El responsable del tratamiento de la información NO hará disponibles los datos personales para su acceso a través de internet u otros medios de comunicación masiva.
  6. Todo dato personal que no sea dato público se tratará por el responsable del tratamiento de la información, como confidencial, aun cuando la relación contractual o el vínculo entre el titular del dato personal y las instituciones y/o entidades anterior mente mencionadas haya finalizado.
  7. El titular de la información, directamente o a través de las personas debidamente autorizadas, podrá consultar sus datos personales, de manera gratuita y especialmente cada vez que existan modificaciones en las Políticas de Tratamiento de la información.
  8. El responsable del tratamiento de la información suministrará, actualizará, ratificará o suprimirá los Datos Personales a solicitud del titular de la información para corregir información parcial, inexacta, incompleta, fraccionada que induzca al error o aquella que haya sido tratada previa a la vigencia de la ley y que no tenga autorización o sea prohibida.
  9. Cuando le sea solicitada información, ya sea mediante una petición, consulta o reclamo por parte del titular, sobre la manera como son utilizados sus datos personales, El responsable del tratamiento de la información, deberá entregar dicha información.
  10. A solicitud del titular y cuando no tenga ningún deber legal o contractual de permanecer en las bases de datos del responsable del tratamiento de la información, los datos personales deberán ser eliminados
  11. Las políticas establecidas respecto al tratamiento de datos personales podrán ser modificadas en cualquier momento. Toda modificación se realizará con apego a la normatividad legal vigente, y las mismas entrarán en vigor y tendrán efectos desde su aprobación, para que los titulares conozcan la política de tratamiento de la información y los cambios que se produzcan en ella.
  12. Los datos personales solo podrán ser tratados durante el tiempo y en la medida que la finalidad de su tratamiento lo justifique.
  13. El responsable del tratamiento de la información será más riguroso en la aplicación de las políticas de tratamiento de la información cuando se trate del uso de datos personales de los niños, niñas y adolescentes asegurando la protección de sus derechos fundamentales.
  14. El responsable del tratamiento de la información podrá intercambiar información de datos personales con autoridades gubernamentales o publicas tales como autoridades administrativas, de impuestos, organismos de investigación y autoridades judiciales, cuando la soliciten en ejercicio de sus funciones.
  15. Los datos personales sujetos a tratamiento se garantizará su protección, brindando la seguridad de que ésta no pueda ser copiada, adulterada, eliminada, consultada o de alguna manera utilizada sin autorización o para uso fraudulento.
  16. El responsable del tratamiento de la información NO realizará transferencia de información relacionada con datos personales a otros países o terceros sin autorización expresa del titular, para tal fin.
  17. Cuando exista un encargado del tratamiento de información de datos personales, se exigirá que, en todo momento, se respeten las condiciones de seguridad y confidencialidad de la información del titular establecidas por el responsable del tratamiento de la información.
  18. Deber de secreto y confidencialidad: El responsable del tratamiento de la información, garantizaran y exigirán a toda persona que intervenga en cualquier fase del tratamiento de los datos de carácter personal privado, el secreto profesional, respecto de estos y al deber de guardarlos, obligaciones que permanecerán aún después de finalizar sus relaciones contractuales él. El incumplimiento del deber de secreto será sancionado de conformidad con lo previsto en el manual interno de trabajo y la legislación vigente.

6.2 TRATAMIENTO DE DATOS PERSONALES RECOLECTADO POR CÁMARAS DE SEGURIDAD

El responsable del tratamiento de la información, cuentan con normas y procedimientos que garantizan que solamente personal altamente calificado e idóneo manejen las bases de datos

a) El responsable del tratamiento de la información, utilizaran diversos medios de video vigilancia instalados en diferentes sitios internos y externos de sus instalaciones u oficinas.

b) El responsable del tratamiento de la información, informaran sobre la existencia de estos mecanismos mediante la difusión en sitios visibles de anuncios de video vigilancia.

c) La información recolectada se utilizará para fines de seguridad de los bienes, instalaciones y personas que se encuentren en éstas. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante cualquier tipo de autoridad y organización con sujeción y cumplimiento de las normas aplicables.

d) Las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

e) En cualquier caso, el uso de sistemas de video vigilancia será respetuoso protegiendo el derecho a la intimidad personal. Las imágenes serán conservadas por el tiempo necesario de acuerdo con la finalidad para la que se recolectan. El responsable del tratamiento de la información, se obligarán con las empresas de seguridad a garantizar medidas especiales de índole técnica y administrativas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, tratamiento o acceso no autorizado, tales como control de acceso, cifrado de datos, comunicaciones cifradas, de acuerdo con los niveles y medidas de seguridad dispuestos para el tratamiento de estos.

7.  TRATAMIENTO DE LA INFORMACIÓN, NIVELES Y MEDIDAS DE SEGURIDAD:

El responsable del tratamiento de la información, podrán conservar los datos personales de los titulares de la información en bases de datos ubicadas en Colombia o en el extranjero, cumpliendo con la finalidad autorizada por el titular de los datos, realizando sus mayores esfuerzos para mantener la información de manera segura, salvaguardando su integridad, veracidad y confidencialidad.

De igual forma, frente a la protección de datos personales el responsable del tratamiento de la información procurará establecer los niveles y medidas de seguridad adecuados que garanticen de una manera razonable la disponibilidad de los datos personales conforme lo establezca la Superintendencia de Industria y Comercio. Dichas medidas de seguridad establecidas serán de estricto cumplimiento para el responsable del tratamiento de la información, como para los encargados para el tratamiento de los datos.

8.  DERECHOS DE LOS TITULARES DE LA INFORMACIÓN

El responsable del tratamiento de la información, se comprometerán a respetar y garantizar los siguientes derechos de los titulares de los datos:

a) Acceder, conocer, actualizar y rectificar los datos personales.

b) Para el efecto es necesario establecer previamente la identificación de la persona para evitar que terceros no autorizados accedan a los datos del titular del dato.

c) Obtener copia de la autorización otorgada por éstos en calidad de titulares de los datos.

d) Conocer el uso que El responsable del tratamiento de la información, han dado a los datos personales del titular.

e) Consultar sus datos personales y hacer reclamos para salvaguardar su derecho a la protección de sus datos personales siguiendo las pautas establecidas en la ley y en la presente política.

f) Suprimir el dato personal cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento por parte de El responsable del tratamiento de la información, se ha incurrido en conductas contrarias a la Constitución o a la Ley 1581 de 2012.

h) Presentar quejas por infracciones a lo dispuesto en la ley ante la Superintendencia de Industria y Comercio. El responsable del tratamiento de la información, en cumplimiento de las normas sobre protección de datos personales, señalará el procedimiento y requisitos mínimos para el ejercicio de los derechos de los titulares de la información.

9.  LOS NIÑOS, NIÑAS Y ADOLESCENTES.

Los datos personales de los menores de edad tienen una especial protección y por lo tanto su tratamiento está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho tratamiento cumpla con los siguientes parámetros y requisitos:

  • Que responda y respete el interés superior de los niños, niñas y adolescentes.
  • Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. Aclarando el carácter facultativo que tiene el Titular de dar o no respuesta a preguntas que versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes. Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y su decreto reglamentario.

10.              DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO

Los responsables del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el titular;

c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

e) Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

f) Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del Tratamiento;

h) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;

i) Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;

k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;

l) Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;

m) Informar a solicitud del titular sobre el uso dado a sus datos;

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio

11.              FINALIDAD DE LOS DATOS

  1. Seguridad de los bienes y personas
  2. Gestionar los trámites del responsable del tratamiento de la información.
  3. Prestar servicios que tiene a cargo el responsable del tratamiento de la información, en ejercicio de sus funciones
  4. Invitar a los titulares de la información a eventos de participación.
  5. Efectuar encuestas de satisfacción.
  6. Solicitar a los titulares de la información, ratificación de la información o adición de información para los registros de los protocolos de seguridad.
  7. Contactar al titular de la información para dar cumplimiento a obligaciones contractuales, legales o judiciales.
  8. Suministrar información a terceros autorizados.

12.              PROCEDIMIENTO PARA QUE LOS TITULARES DE LA INFORMACIÓN PUEDAN EJERCER LOS DERECHOS A CONOCER, ACTUALIZAR, RECTIFICAR Y SUPRIMIR INFORMACIÓN Y REVOCAR LA AUTORIZACIÓN

En cualquier momento y de manera gratuita, el titular o su representante podrán solicitar a personal del responsable del tratamiento de la información, la rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad. Los derechos de rectificación, actualización o supresión únicamente se podrán ejercer por:

a) El titular o sus causahabientes, previa acreditación de su identidad, o a través de instrumentos electrónicos que le permitan identificarse.

b) Su representante, previa acreditación de la representación.

Cuando la solicitud sea formulada por persona distinta del Titular, deberá acreditarse en debida forma la personería o mandato para actuar; y en caso de no acreditar tal calidad, la solicitud se tendrá por no presentada. Los titulares acreditados, podrán hacer consultas sobre sus datos ante el responsable de la información, mediante escrito físico. La consulta (para conocer, actualizar, rectificar y suprimir información o revocar la autorización) deberá contener un mínimo de información a efectos de ser tramitada:

– Nombres y apellidos del titular

– Número de identificación del titular

– Datos de localización del titular

 -Objeto de la consulta

-Nombre del peticionario, el cual, si es diferente al titular, debe adjuntar los documentos que le permitan actuar en su nombre y medios de contacto.

– Firma del peticionario.

 

12.1 CONSULTAS

Los titulares o sus causahabientes podrán consultar la información personal del titular que repose en cualquier base de datos, sea esta del sector público o privado. El responsable del tratamiento o encargado del tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.

La consulta se formulará por el medio habilitado por el responsable del tratamiento o encargado del tratamiento, siempre y cuando se pueda mantener prueba de esta.

La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

12.2 RECLAMOS

El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:

  1. El reclamo se formulará mediante solicitud dirigida al responsable del tratamiento o al encargado del tratamiento, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

  1. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
  2. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

12.3 RECTIFICACIÓN Y ACTUALIZACIÓN DE DATOS

El responsable del tratamiento de la información, tienen la obligación de rectificar y actualizar a solicitud del Titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señaladas. Al respecto se tendrá en cuenta lo siguiente: En las solicitudes de rectificación y actualización de datos personales el Titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición. El responsable del tratamiento de la información, tienen plena libertad de habilitar mecanismos que le faciliten el ejercicio de este derecho, siempre y cuando éstos beneficien al titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinente El responsable del tratamiento de la información, podrán establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad y que se pondrán a disposición de los interesados en la página web.

12.4 SUPRESIÓN DE DATOS

El Titular tiene el derecho, en todo momento, a solicitar a El responsable del tratamiento de la información, la supresión (eliminación) de sus datos personales cuando: a) Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente. b) Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados. c) Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por el responsable del tratamiento de la información. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable puede negar el ejercicio de este cuando:

a) El titular tenga un deber legal o contractual de permanecer en la base de datos.

b) La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.

c) Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.

 12.5 REVOCATORIA DE LA AUTORIZACIÓN

Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para ello, el responsable del tratamiento de la información, deberán establecer mecanismos sencillos y gratuitos que permitan al titular revocar su consentimiento, al menos por el mismo medio por el que lo otorgó. Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento puede darse. La primera puede ser sobre la totalidad de las finalidades consentidas, esto es, que el responsable del tratamiento de la información, deban dejar de tratar por completo los datos del titular; la segunda puede ocurrir sobre tipos de tratamiento determinados, como, por ejemplo, para fines publicitarios o de estudios de mercado. Con la segunda modalidad, esto es la revocación parcial del consentimiento, se mantienen a salvo otros fines del tratamiento que el responsable, de conformidad con la autorización otorgada puede llevar a cabo y con los que el titular está de acuerdo.

13.              REGISTRO NACIONAL DE BASES DE DATOS

El Registro Nacional de Bases de Datos – RNBD – es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual es administrado por la Superintendencia de Industria y Comercio y de libre consulta para los ciudadanos. Por su parte, el proceso de registro en el RNBD lo deben llevar a cabo únicamente las sociedades y entidades sin ánimo de lucro que tengan más de 100.000 UVT´s de activos totales como lo establece el decreto 090 del 18 de enero de 2018, independientemente del número de empleados que tengan a la fecha y las entidades públicas.

El Gobierno Nacional, mediante el capítulo 26 del Decreto Único 1074 de 2015, reglamentó la información mínima que debe contener el RNBD y los términos y condiciones bajo los cuales se deben inscribir en éste las bases de datos sujetas a la aplicación de la Ley 1581 de 2012.

Mediante Decreto 090 del 18 de enero de 2018, el Gobierno Nacional modificó el ámbito de aplicación del Registro Nacional de Bases de Datos y creo unos nuevos plazos para que los sujetos que resulten obligados realicen la inscripción de sus bases de datos.

Los sujetos que continúan con el deber de registrar sus bases de datos son las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100 mil Unidades de Valor Tributario (UVT) y las entidades de naturaleza pública.

Los plazos establecidos para realizar el registro de las bases de datos son tres: el primero de ellos es para las sociedades y entidades sin ánimo de lucro que tengan activos por más de 610.000 UVT, que deberán registrar sus bases de datos a más tardar el 30 de septiembre de 2018.

El segundo plazo es para las sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 UVT, quienes tendrán plazo de realizar el registro hasta el 30 de noviembre de 2018.

Por último, el tercer plazo corresponde a las entidades públicas, quienes tendrán plazo para registrar sus bases de datos hasta el 31 de enero de 2019.

Las bases de datos que se creen con posterioridad al vencimiento de los plazos ya mencionados deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación

14.              VIGENCIA

La vigencia de estas políticas inicia a partir de su publicación. La información de la base datos tiene vigencia mientras el titular no pida la supresión.

15.              ANEXOS

15.1 CLAUSULA CONFIDENCIALIDAD

Además de las obligaciones que emanan de la naturaleza del acuerdo del que da cuenta el presente instrumento; el contratista al ser receptor de la información de la cual está desde ya autorizado a recibir estará obligado a: 1) Tratar todo dato de información como confidencial y en estricta reserva, y no revelar ningún dato de información a ningún tercero, sin el consentimiento previo escrito del contratante. 2) Instruir al personal que estará a cargo de recibir la información confidencial, debiendo suscribir el correspondiente acuerdo de confidencialidad, si fuere necesario, con su obligación de recibir, tratar y usar la información con carácter confidencial y destinarla únicamente al propósito objeto del acuerdo principal, así como en los mismos términos en que se establece en el presente instrumento. 3) Divulgar la información confidencial únicamente a las personas autorizadas. 4) Se prohíbe al receptor (contratista) manejar, usar, explotar, o divulgar la información confidencial a terceros no autorizados, en contravención a lo dispuesto en este instrumento; salvo que sea expresamente autorizado, mediante escrito, por el contratante.

Parágrafo. En cualquier momento, ante solicitud escrita del contratante, el contratista o receptor de la información confidencial, devolverá a éste toda o parte de la información según lo requiera el contratante, así como las copias que se encuentren en su poder cualquiera sea su formato. El contratista deberá destruir la información y proporcionar prueba de su destrucción a requerimiento del contratante. Por último, la divulgación o el uso de la información por el contratista, en infracción de este acuerdo, será considerado causal de indemnización de perjuicios.