1. INTRODUCCIÓN

En desarrollo de la normativa que integra el régimen de protección de datos personales en Colombia, así como los deberes particulares de cada uno de los intervinientes en las relaciones comerciales que surjan entre responsable y titular de datos personales dentro del territorio nacional, el presente documento desarrolla una serie de pautas que deben tomar en consideración todos y cada uno de los colaboradores y contratistas de DPHIR®. que, con ocasión al ejercicio de las funciones propias de su cargo, efectúan tratamiento de información personal, entendiendo éste como cualquier actividad que se efectúe sobre datos personales, incluyendo desde el acceso hasta la supresión de estos.

2. MARCO NORMATIVO

  • Constitución Política: Artículos 15 y 20;
  • Ley 1266 de 2008;
  • Ley 1273 de 2009;
  • Ley 1581 de 2012;
  • Ley 1712 de 2014;
  • Ley 1928 de 2018;
  • Decreto 1727 de 2009;
  • Decreto 2952 de 2010;
  • Decreto 1377 de 2013;
  • Decreto 1074 de 2015;
  • Circular 002 de 2015 de S. de Industria y Comercio;
  • Decreto 620 de 2020.

3. OBJETIVO DE LA POLÍTICA

Establecer las medidas generales para garantizar los niveles de seguridad y privacidad adecuados para la protección de datos personales con el propósito de evitar posibles adulteraciones, pérdidas, consultas o accesos no autorizados.

4. ALCANCE

La presente política será aplicable a los datos personales registrados en cualquier base de datos de DPHIR®, cuyo titular sea una persona natural.

La política será de obligatorio cumplimiento por parte del Gerente o Representante Legal, colaboradores, usuarios, contratistas, proveedores de tecnologías, bienes y servicios, aliados estratégicos y a terceros que tengan relación con la compañía y que ejerzan tratamiento sobre estos datos personales.

Es de carácter obligatorio para todas las personas naturales y jurídicas responsables de la administración y gestión de bases de datos personales en DPHIR®, en especial los responsables encargados de gestionar las bases de datos, los que atienden la gestión documental, atienden y dan respuesta a las PQRSD y especialmente las que tengan relación con la protección de datos personales.

5. DESCRIPCIÓN DE LA POLÍTICA

  • 5.1. PRINCIPIOS

La Ley 1581 de 2012 contempla que para el tratamiento de datos personales se aplicarán los siguientes principios:

a) Principio de Legalidad en Materia de Tratamiento de Datos

El tratamiento es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 del 17 de octubre de 2012, decretos reglamentarios y demás disposiciones que la desarrollen.

b) Principio de Finalidad

El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

c) Principio de Libertad

El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de Veracidad o Calidad

La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de Transparencia

En el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

f) Principio de Acceso y Circulación Restringida

El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.

g) Principio de Seguridad

La información sujeta a tratamiento por el responsable o encargado del tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de Confidencialidad

Todos los colaboradores o contratistas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de esta.

DPHIR® se compromete a tratar los datos personales de los titulares tal y como lo define el literal g) del artículo 3 de la Ley 1581 de 2012 de forma absolutamente confidencial haciendo uso de estos, exclusivamente, para las finalidades indicadas en este documento, siempre que el titular no se haya opuesto a dicho tratamiento. La compañía informa que tiene implantadas las medidas de seguridad de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos personales y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

i) Principio de temporalidad

Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de los datos.

j) Interpretación integral de los derechos constitucionales

Los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los derechos constitucionales aplicables.

k) Principio de Necesidad

Los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.

5.2. TRATAMIENTO DE LA INFORMACIÓN

DPHIR® implementará esta política de tratamiento de la información, en un lenguaje claro y sencillo, que deberá ser puesta en conocimiento de los titulares y tendrá que incluir como mínimo:

  1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del responsable;
  2. El tratamiento al cual serán sometidos los datos y la finalidad de este, si este no se ha informado por medio del aviso de privacidad;
  3. Derechos que asisten a los Titulares de la información;
  4. El área o persona responsable de la atención de las consultas, peticiones y reclamos ante la cual el Titular de la información puede ejercer sus derechos;
  5. Procedimiento por medio del cual los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar, suprimir información y revocar la autorización.

Los mecanismos para la autorización del tratamiento de los datos personales podrán ser determinados a través de medios técnicos, de forma oral o por medio de conductas inequívocas que permitan otorgar la autorización por parte del titular y los mismos deberán ser conservados por los responsables del tratamiento.

Así mismo, los colaboradores, contratistas o terceros sólo deberán recopilar la cantidad mínima de datos personales requerida para cumplir con los propósitos de la compañía. Dicho recaudo sólo se realizará una vez se obtenga la respectiva autorización.

Además, el responsable de las bases de datos deberá adoptar las medidas necesarias para garantizar la seguridad de la información de carácter personal y así evitar su destrucción, alteración, pérdida o tratamiento no autorizado. Estas medidas deberán incluir los mecanismos de seguridad físicos y lógicos más adecuados, de acuerdo con el desarrollo tecnológico, de tal forma que garanticen la protección de la información almacenada y el secreto profesional.

Las bases de datos que contengan datos personales deberán ser administradas de tal modo que se garantice el respeto a derechos fundamentales como la intimidad, el buen nombre, y en especial, el Habeas Data.

Ningún colaborador o contratista podrá retirar o transmitir información que contenga datos personales sin la debida autorización expresa del responsable; en caso de que se facilite información a terceros, se deberá garantizar el buen uso y contar con el debido consentimiento para el tratamiento de los datos conforme a su finalidad, firmado por el titular de los datos. Los mecanismos de transferencia se realizarán a través de las políticas y procedimientos de seguridad y privacidad descritas en el presente documento.

Los responsables y encargados del tratamiento de los datos personales sólo podrán recolectar, almacenar, usar o circular los datos durante el tiempo establecido para cumplir las finalidades que justificaron el tratamiento. Por lo tanto, una vez se cumpla con los objetivos y las finalidades del tratamiento, el responsable y el encargado deberán suprimir de una forma segura los datos personales que tengan en su posesión.

Si no es posible poner a disposición del titular la información relacionada con las políticas de tratamiento, los responsables deberán informarle por medio de un Aviso de Privacidad sobre su existencia y la forma en la cual puede acceder a ellas, a más tardar en el momento en el que se vaya a realizar la recolección de datos personales.

6. DERECHOS DE TÍTULAR DE LOS DATOS PERSONALES

Como titular de datos personales, se tiene derecho a:

  1. Acceder en forma gratuita a los datos proporcionados a DPHIR® que hayan sido objeto de tratamiento;
  2. Conocer, actualizar y rectificar su información frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o a aquellos cuyo tratamiento esté prohibido;
  3. Presentar queja ante la Superintendencia de Industria y Comercio por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, una vez haya agotado el trámite de reclamo ante el responsable o encargado del tratamiento de datos personales;
  4. Solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, el cual procederá cuando la autoridad haya determinado que DPHIR® en el tratamiento ha incurrido en conductas contrarias a la Constitución y la normatividad vigente;
  5. Conocer la política de tratamiento de datos de la compañía y a través de ella, el uso o finalidad que se le dará a sus datos personales;
  6. Identificar al responsable en DPHIR® que dará trámite y respuesta a sus solicitudes;
  7. Los demás señalados por el artículo 8 de la Ley 1581 de 2012.

7. AUTORIZACIÓN EXPRESA DE DATOS PERSONALES

DPHIR® informará a través de los diversos medios de obtención de la autorización a todos sus titulares, que en virtud de la ley 1581 del 2012 y normas reglamentarias, en donde estos no están obligados a otorgar la autorización para el tratamiento de datos sensibles.

8. DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES

Para el tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros o requisitos:

  1. Que respondan y respeten el interés superior de los niños, niñas y adolescentes;
  2. Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

9. RESPONSABILIDADES

  1. Los colaboradores, contratistas y terceros que tengan acceso a datos personales tratados y administrados por DPHIR®, deberán cumplir con la política aquí descrita, haciendo uso de los controles y medidas establecidas para la protección de la información conforme a su nivel de clasificación;
  2. El responsable de las bases de datos que contengan información personal deberá asegurar que antes de realizar cualquier tratamiento de los datos, se cuenten con las autorizaciones de los titulares y los mecanismos de control para la protección de la información;
  3. Los colaboradores, contratistas y terceros deberán evitar el acceso a los datos personales para los cuales no se encuentren autorizados y en caso de que observen violación o fallas de los mecanismos de control de seguridad y privacidad, deberán ser reportados oportunamente al Oficial de Seguridad y Protección de Datos Personales, o quien haga sus veces para determinar las acciones a desarrollar;
  4. Toda transferencia de datos personales se deberá realizar según lo establecido en el Procedimiento Transferencia de Información definido por DPHIR®;
  5. Se deberán actualizar periódicamente las listas de acceso de las personas y colaboradores autorizados para efectuar cualquier tipo de tratamiento de datos personales. Así mismo, se identificarán, de acuerdo con los niveles de clasificación, los mecanismos apropiados para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado;
  6. Cumplido el lapso del tratamiento de los datos personales, el responsable deberá velar porque sean eliminados de forma segura, y evitar así su recuperación.

10. PROCEDIMIENTO PARA EL EJERICIO DEL DERECHO DEL HABEAS DATA

Los titulares cuya información se encuentre en bases de datos de propiedad de DPHIR® o los terceros legitimados por ley o autorizados expresamente y por escrito por parte del titular, para el ejercicio de sus derechos de actualización, rectificación, conocimiento o supresión de su información personal, podrán utilizar los siguientes mecanismos para el envío de su petición:

  1. Envío de petición escrita en medio físico a la dirección (Oficinas de DPHIR®);
  2. Enviar un correo electrónico a la dirección de DPHIR® de la compañía;
  3. Contacto telefónico a través de la línea nacional 6016470258 de DPHIR®;
  4. Los colaboradores y trabajadores de DPHIR® podrán gestionar sus peticiones y reclamos relacionados con los datos personales y datos sensibles por medio del área de Gestión de Talento Humano.

La petición será atendida dentro de los diez (10) días hábiles siguientes a la recepción de la comunicación por parte del área responsable, esto, en los casos que se trate de una consulta, mientras que en los casos que se trate de reclamo, se atenderá dentro de los quince (15) días hábiles siguientes a la recepción.

El Área de Servicio al Cliente informará al titular sobre la recepción de la petición. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

La solicitud debe estar dirigida a DPHIR® y debe contener como mínimo los siguientes datos:

  1. Nombres y apellidos del titular;
  2. Número de identificación del titular;
  3. Datos de localización del titular;
  4. Descripción de los hechos que dan lugar a la consulta o reclamo;
  5. Documentos que considere soportan la consulta o reclamo;
  6. Medio de notificación para respuesta sea dirección electrónica o física;
  7. Nombre del peticionario, el cual, si es diferente al titular, debe adjuntar los documentos que le permitan actuar en su nombre (autorización, representación legal);
  8. Firma del peticionario.

11. TRATAMIENTO Y FINALIDADES

DPHIR® utilizará la información suministrada única y exclusivamente para los fines indicados, por lo tanto, salvaguardará las bases de datos que contenga la información recolectada, y no permitirá el acceso a personal no autorizado, salvo las excepciones constitucionales y legales vigentes y aplicables sobre la materia.

En ese sentido tomará todas las precauciones y medidas necesarias para garantizar la reserva de la información, de conformidad con el principio de confidencialidad que trata la Ley 1581 de 2012, y demás información vigente sobre la materia.

De igual manera, al titular le asisten los derechos que le otorga la normatividad aplicable y vigente respecto a la protección de datos y el derecho a la información.

El tratamiento que realizará DPHIR® será el de recolectar, almacenar, procesar, usar y transmitir o transferir (según corresponda) los datos personales, atendiendo de forma estricta los deberes de seguridad y confidencialidad ordenados por la Ley 1581 de 2012 y el Decreto 1377de 2013, con las siguientes finalidades:

  1. Registrar la información de datos personales en las bases de datos de DPHIR®, con la finalidad de analizar, evaluar y generar datos estadísticos, así como indicadores requeridos por los organismos de control;
  2. Facilitar la implementación de programas en cumplimiento de mandatos legales;
  3. Enviar la información a entidades gubernamentales o judiciales por solicitud expresa de las mismas, dar respuestas a organismos de control;
  4. Soportar procesos de auditoría externa e interna;
  5. Dar respuesta a peticiones, quejas, reclamos y recursos;
  6. Manejar y administrar bases de datos.

12. ORIGEN

Es una política interna de DPHIR®.

13. VIGENCIA

La presente política para el tratamiento de datos personales rige a partir de la aprobación de esta por parte de la alta dirección.

14. PERIODICIDAD

La revisión de la política se realizará por lo menos una (1) vez al año, de acuerdo con los ajustes que se requieran, que deben ser aprobados por el Gobierno Organizacional.