POLÍTICAS DE TRATAMIENTO DE DATOS RECREATEC S.A.S.
POLÍTICA DE TRATAMIENTO DE DATOS
RECREATEC S.A.S.,
De conformidad con la Ley 1581 de 2012, “Por la cual se dictan disposiciones generales para la protección de datos personales”, el Decreto 1377 de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012” y demás normatividad con referencia al tratamiento de datos, la sociedad RECREATEC S.A.S. (En adelante RECREATEC) identificada con el NIT. 800.195.487-1, con domicilio en la Avenida 82 · 12- 18 OFC 404 en Bogotà Cundinamarca, Teléfono 6237055, expone su política de tratamiento de datos personales como Responsable y Encargado del manejo de dicha información; en la cual se expone de manera sucinta el alcance y finalidad del uso de los datos personales por parte de RECREATEC, en caso de que el Titular otorgue su autorización expresa, previa e informada.
La presente Política de Tratamiento de Datos (En adelante PTD) se pone en conocimiento de los titulares de la información de las bases de datos de RECREATEC, de sus empleados, proveedores y demás personas que suministren información personal a esta entidad con el fin de dar efectivo cumplimiento a las obligaciones legales y reglamentarias relacionadas con la protección y el adecuado tratamiento de la información que administra de terceros.
De esta forma, se garantiza el derecho fundamental del habeas data en especial respecto de los derechos otorgados a los ciudadanos mediante la Ley 1581 de 2012 en lo referente a conocer la legalidad en la recopilación de sus datos, actualizar, rectificar, emitir una autorización expresa, las condiciones de privacidad y seguridad en que será tratado su dato personal, su buen manejo, y en especial las condiciones relacionadas con la recolección, uso, almacenamiento, circulación, accesos, presentación de quejas o solicitudes relacionadas con sus datos y demás actividades involucradas para tales efectos.
- DEFINICIONES
- Titular: Persona física cuyos datos sean objeto de Tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente.
- Usuario: Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal.
- Dato personal: Es cualquier Dato y/o información que identifique a una persona física o la haga identificable. Pueden ser Datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de cualquier otro tipo.
- Datos Personales Sensibles: Categoría de carácter personal especialmente protegida, por tratarse de datos relacionados con la intimidad del Titular o cuyo uso indebido puede generar discriminación. Son, entre otros, aquellos concernientes a la salud, sexo, orientación política, raza pertenencia a sindicatos, huellas biométricas o/y origen étnico, etc.
- Dato público: todos aquellos datos que no sean semiprivados, privados o sensibles de conformidad con la Ley 1581 de 2012. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Tratamiento de Datos Personales: Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre Datos Personales, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.
- Base de Datos Personales: Es todo conjunto organizado de Datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
- Cesión de base de Datos: Tratamiento de Datos que supone su revelación a una persona diferente al titular del Dato o distinta de quien estaba habilitado como cesionario.
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
- Responsable del Tratamiento: Es la persona natural o jurídica, de naturaleza pública o privada, que recolecta los Datos Personales y decide sobre la finalidad, contenido y uso de la base de Datos para su Tratamiento.
- Encargado del Tratamiento: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
- Custodio de la Base de Datos: Es la persona física que tiene bajo su custodia la base de Datos Personales al interior de la empresa.
- Habeas Data: Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y Datos Personales que de ella se hayan recolectado y/o se traten en bases de Datos públicas o privadas, conforme lo dispuesto en la Ley y demás normatividad aplicable.
- Violación de Datos Personales: Es el delito creado por la ley 1273 de 2009, contenido en el artículo 269 F del Código Penal Colombiano. La conducta prohibida es la siguiente: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, Datos Personales contenidos en base de Datos, archivos, bases de Datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.
- Violaciones de las Medidas de Seguridad de los Datos Personales: Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por la empresa para proteger los Datos Personales entregados para su custodia, sea como Responsable y/o Encargado del Tratamiento, así como cualquier otra conducta que constituya un Tratamiento inadecuado de Datos Personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los Datos Personales en poder la empresa deberá ser informado a la autoridad de control en la materia.
1 DERECHOS DEL TITULAR DE LOS DATOS
- A Conocer, actualizar y rectificar sus datos personales ante los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer entre otros, referente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
- A Solicitar prueba de la autorización otorgada al Responsable del Tratamiento.
Nota: Hay casos en que expresamente se exceptúa la autorización requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
- A Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que les haya dado a sus datos personales.
- A Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
- A Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
- A Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
- A ser informado sobre el procedimiento y el contacto de la persona o área responsable de la atención de peticiones, consultas y reclamos, ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir datos; y a revocar la autorización.
2 DEBERES DE LA EMPRESA COMO RESPONSABLES DE LA INFORMACIÓN
- Garantizar al titular, el derecho que le asiste en el cumplimiento de Hábeas Data.
- Solicitar y conservar, la copia de la autorización otorgada por el Titular.
- Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Rectificar la información en caso necesario y comunicar lo pertinente a cada encargado del Tratamiento de información.
- Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012.
3 PROCEDIMIENTO Y CANALES PARA LA ATENCION DE SOLICITUDES CONSULTAS Y RECLAMOS
El titular o la persona autorizada podrá formular solicitudes o consultas a través de:
- Línea de atención al cliente: «INDICATIVO»«TEL_FIJO»
- Requerimiento escrito: «DIRECCION»
- email: «EMAIL»
La consulta será atendida en un término máximo de 10 días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuera posible atender la consulta dentro del término antes indicado la empresa lo expresará así al interesado, señalando la fecha en que se atenderá su consulta.
4 MEDIDAS DE SEGURIDAD
La empresa adoptará las medidas necesarias para garantizar la seguridad de la base de datos personales evitando así uso no autorizado, adulteración o pérdida.
5 VIGENCIA
El presente manual rige a partir del «DIA» «FECHA_DE_VIGENCIA»
6 POLITICAS PARA EL TRATAMIENTO DE DATOS
Se establecen las siguientes políticas para maximizar la seguridad en el manejo de datos personales.
6.1 POLITICA DE SEGURIDAD DE ALMACENAMIENTO ELECTRONICO
La empresa cuenta con un proveedor de servicios IT, quien se encarga de gestionar todas las responsabilidades pertinentes.
“PRECISIONES TECNICAS DE SIESA: La empresa realiza según la necesidad especifica de actualización, es decir, si hay un Service Pack de Windows aplicable, se revisa si no afecta o afectara la plataforma SIESA ERP (se hace pruebas) y si aplica se procede actualizar el OS Windows, en el caso de SIESA ERP, se tiene un icono de pruebas para los clientes con versiones mas recientes, deben probar la nueva versión y si hay que realizar alguna aclaración o hay algún error se le debe comunicar al grupo de SIESA NUBE para revisar, en caso contrario donde no hay aclaraciones o no hay errores encontrados desde SIESA CLOUD se procede a realizar el cambio en un horario no hábil que no comprometa las operaciones del cliente.
RECREATEC actualmente mantiene el antivirus Mccafee, y así mismo cuenta con dos (2) firewalls redundantes en alta disponibilidad de última generación marca Vyatta versión VSE6.7R10 fabricado por Brocade que previene y es capaz de soportar ataques desde el exterior, dicho firewall continuamente se esta monitoreando y se revisa en caso que alguna regla establecida afecte el servicio de nuestros clientes, a nivel de QoS tenemos establecidas reglas que permiten que el trafico saliente desde el datacenter de IBM hacia nuestros clientes tengan privilegios.
Por contrato SIESA está obligado a generar cada veinticuatro (24) horas una copia de seguridad de las bases de datos la cual se replica a otro datacenter para mayor seguridad, y así mismo mantienen durante los últimos 30 días las copias de la base de datos, en caso que RECREATEC requiera una copia de seguridad de las bases de datos, debe solicitarla desde la página www.siesa.com – soporte- creación ticket cloud services y allí pedir dicha copia la cual será transmitida desde NUBE SIESA vía ftp u otro medio que SIESA considere apropiado para enviar dicha copia”.
RECREATEC se encargara de cambiar la contraseña periódicamente ideal cada 3 meses, y se encarga de que el sistema sea programado para exigir a los usuarios sustituir la clave, de lo contrario no les permitirá el acceso.
- Complejidad de la clave: contener un mínimo de 8 caracteres, que contenga al menos: un carácter especial, un número, una mayúscula y una minúscula.
6.2 POLITICA DE DESTRUCCIÓN DE INFORMACIÓN
La administración de la empresa es consciente de la prudencia y responsabilidad en el momento de deshacerse de los datos. Por lo tanto, para la data física se hace una destrucción manual y para la electrónica un borrado seguro electrónico (aconsejado por su administrador de sistemas).
“PRECISIONES EN EL CONTRATO SIESA: Una vez finalizado el periodo de vigencia de este contrato, el CLIENTE ya no dispondrá de derechos de acceso y uso al SISTEMA y los SISTEMAS ADICIONALES, el entorno de servicio, la información y aplicaciones del cliente, ni será responsabilidad de SIESA prestar los servicios objeto de este contrato. No obstante lo anterior, y si el CLIENTE así lo solicita, y por un período de hasta sesenta (60) días después de la finalización del respectivo periodo de vigencia, SIESA pondrá a disposición y entregará al CLIENTE toda su información y aplicaciones que en ese momento se encuentren en el entorno de servicio a fin de ser recuperados bajo el motor de base de datos SQL. Al finalizar dicho período de sesenta (60) días, y salvo por lo exigido por la ley aplicable, SIESA destruirá o eliminará los datos de manera segura o de otro modo tornará inaccesible dicha información y aplicaciones que permanezcan en el entorno de servicio «. (Ver contrato de servicio de SIESA para más información)
6.3 POLITICA DE AUDITORIA
Se recomienda el establecimiento de controles y verificación del cumplimiento de las políticas establecidas; periodicidad sugerida 6 meses. De dicha auditoría se emitirá un informe del cumplimiento de los lineamientos internos con el objeto de hacer los reajustes en caso de ser necesarios. Igualmente son aconsejables las capacitaciones que sensibilicen a los empleados sobre los riesgos inherentes al entorno digital.
6.4 POLITICA PARA TERCEROS
En el evento de ceder las bases de datos en su totalidad o parcialmente a un tercero, la empresa tiene como compromiso revisar las políticas de protección de datos que maneja la compañía a quien se le comparte la información de los titulares. Se deja constancia con los respectivos documentos que soporten que la responsabilidad hacia los titulares y el tratamiento que se les da a los datos, recae sobre la compañía tercerizadora.
6.5 POLITICA PARA USO DE FOTOGRAFIAS Y VIDEOS
Ningún empleado de «EMPRESA» podrá utilizar datos, fotografías, videos o en general cualquier información sensible, con el fin de promocionar la compañía en ninguna Red Social (Facebook, Instagram, Twitter, Snapchat, etc) salvo autorización de los Padres o interesados.
6.6 POLITICA DE PROTECCIÓN DE LA INFORMACIÓN A TRAVÉS DEL USO DE EQUIPOS MULTIFUNCIONALES (IMPRESORA, FOTOCOPIADORA, ESCÁNER Y FAX).
Los empleados deben tener en cuenta las siguientes consideraciones cuando impriman documentos a través de los equipos multifuncionales e impresoras que se encuentran dentro de las instalaciones de la empresa o que son propiedad de este:
- Se prohíbe el uso de copias de documentos que contengan información personal o datos confidenciales y se destinen con fines de reciclaje.
- Recoger inmediatamente todos los faxes, impresiones y/o fotocopias que contengan información confidencial para evitar su revelación.
- Se debe imprimir solo lo que es estrictamente necesario.
- Verificar el equipo multifuncional o impresora y las áreas adyacentes para asegurarse de que no queden copias adicionales. Si encuentra copias adicionales se deben destruir. (El uso de trituradores es recomendado)
- Los empleados deben asegurarse que tienen el documento original antes de retirarse del equipo multifuncional o de la impresora.
- Si el equipo multifuncional o la impresora no están funcionando, borre el archivo de impresión.
- Verificar el número al que se enviará el fax o a la dirección de correo antes de hacerlo, para evitar él envió de documentos a números equivocados.
6.7 TRATAMIENTO DE DATOS DE MENORES
«EMPRESA», solo trata datos personales de menores de edad cuando sean necesarios y estos sean de naturaleza pública o provengan de la información suministrada por empleados o contratistas, al momento de su vinculación laboral o de prestación de servicios a la empresa.
Lo mencionado, dará conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y, cuando el tratamiento cumpla con los siguientes parámetros y requisitos:
- Que responda y respete el interés superior de los niños, niñas y adolescentes.
- Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, la empresa exigirá al representante legal o tutor del niño, niña o adolescente, la autorización del menor, previo a que el menor de su opinión frente al tratamiento que se le dará a sus datos, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, tal como lo indica la Ley 1581. «EMPRESA» y cualquier persona involucrada en el tratamiento de los datos personales de niños, niñas y adolescentes, velaran por el uso adecuado de los mismos.
En cumplimiento de lo anterior, se aplican y desarrollan los principios y obligaciones establecidos en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
7 BASES DE DATOS
7.1 CLIENTES FISICO COMPRAS TARJETA DE CREDITO
Datos de clientes crédito: Nombre, documento de identidad, teléfono, dirección, Cámara de Comercio, RUT y pagaré firmado por el cliente.
Cliente contado: No se obtiene información alguna de ellos.
La información se almacena electrónicamente en el servidor y en físico con carpetas debidamente marcadas, las cuales reposan en un archivador bajo llave.
7.2 CLIENTES FIESTA FISICA
Datos que reposan en la base de datos: Nombre, documento de identidad, teléfono y dirección, correo electrónico.
7.3 CLIENTES DIGITAL
Datos que reposan en la base: Nombre, documento de identidad, RUT, Certificado de Cámara de Comercio, teléfono, dirección, cuenta bancaria, correo electrónico.
7.4 EMPLEADOS
Hojas de vida e información personal (físico): información usada para afiliaciones de empleados a seguridad social usando la página de los proveedores y demás asuntos pertinentes para contratación, almacenada en carpetas identificadas en un archivador bajo llave. Estas carpetas son solo manejadas por la encargada de nómina y/o el Representante Legal. Terminada la relación laboral se almacenan los archivos en el mismo lugar rotulado como Empleados retirados.
Las hojas de vida del personal retirado deben reposar en la Bodega de Bogotá en CODABAS, en un archivador bajo llave, y se guarda por tiempo indefinido.
7.5 PROVEEDORES
Datos que reposan en la base: Nombre, documento de identidad, RUT, Certificado de Cámara de Comercio, teléfono, dirección, cuenta bancaria, correo electrónico, e información de todos los proveedores de todos los parques.
La información se almacena electrónicamente en el servidor y en físico con carpetas debidamente marcadas, las cuales reposan en un archivador bajo llave.
8 GESTION DE RIESGOS
La Empresa tiene conocimiento de la existencia de los riesgos de seguridad cibernética e informática, los cuales pueden presentarse en cualquier momento. No existe un plan de riesgo establecido sin embargo se siguen lineamientos tales como el reporte al grupo de respuesta a emergencias cibernéticas de Colombia COLCERT, en su sitio web www.colcert.gov.com, lo anterior en caso de que la compañía sea blanco de un ataque cibernético.
En caso de observar que la información personal haya sido manipulada en forma incorrecta la empresa contactara a la SIC http://sic.gov.co para dar aviso de esta conducta.
Manejo de riesgos también implica el establecimiento de un plan de contingencia para incidentes en una eventualidad como puede ser fuego, la pérdida de un computador, descargue no intencional de un malware entre otros, para los cuales debe existir una estrategia de prevención.
El cuadro siguiente toma como referencia dos sucesos, sus implicaciones y el manejo adecuado.
PRECISIONES TECNICAS DE SIESA PARA GESTIÓN DE RIESGOS
Actualmente los servicios de SIESA CLOUD están ubicados en los estados Unidos en el datacenter de IBM Washington DC 04 (WDC04) en ese aspecto dicho datacenter cuentan con las certificaciones ISO27001, es un estándar de seguridad global generalizado que describe los requisitos para sistemas de gestión de seguridad de la información y proporciona una metodología sistemática para la gestión de la información de clientes y empresas en función de evaluaciones de riesgo periódicas. Documento que se adjunta dentro del contrato http://www.softlayer.com/sites/default/files/assets/page/softlayer_iso_27001_041516.pdf
Adicional nube IBM/SoftLayer proporciona informes SOC 1, SOC 2 y SOC 3. Estos informes evalúan los controles operativos de SoftLayer con respecto a los criterios establecidos por los Trust Services Principles del Instituto Norteamericano de Contadores Públicos (AICPA). Los Trust Services Principles definen unos sistemas de control adecuados y establecen estándares del sector para que los proveedores de servicios como SoftLayer custodien los datos y la información de sus clientes; , documento que se adjunta dentro del contrato
http://static.softlayer.com/sites/default/files/assets/page/softlayer-soc_3-103115.pdf
A nivel de contingencia, aunque no se tiene establecido un BCP (Business Continuity plan) por contrato SIESA está obligado a una recuperación en caso de desastre de 4 horas y asi mismo nos comprometemos con un nivel de disponibilidad del 99.8% anual
SIESA proporcionará entornos de producción, prueba y respaldo en la región del centro de datos. SIESA puede llevar a cabo ciertas actividades de los servicios en la nube, tales como administración del servicio y soporte del SISTEMA y los SISTEMAS ADICIONALES, así como otros servicios, entre ellos servicios profesionales de administración de tecnología y recuperación ante desastres, desde ubicaciones a nivel global y que pueden requerir la participación de terceros.
RESPONSABILIDAD DE LA EMPRESA
RECREATEC es el responsable del Tratamiento de los Datos Personales, que sean recolectados por su personal, por terceros a quienes hubiese encargado tal labor, o por cualquier medio electrónico que éste ponga a disposición de los Titulares para tal fin.
El responsable del tratamiento realiza la recolección de Datos Personales con el propósito de realizar su Tratamiento con las siguientes finalidades:
- Realizar actividades de mercadeo, promoción y/o publicidad, estudio de mercados, a través de diversos medios idóneos tales como correos o mensajes electrónicos, mensajes de texto (SMS) y comunicaciones telefónicas.
- Adelantar labores requeridas para el ofrecimiento y/o prestación de los servicios, tales como la venta de fiestas, tarjetas empresariales, mejoramiento del servicio, programación, control, o cualquier otra actividad relacionada con los productos actuales o futuros del Responsable del Tratamiento, que sean relevantes o necesarias para el cumplimiento de su objeto social o de sus obligaciones contractuales.
- Tener contacto con los clientes en relación con los servicios actuales o futuros del Responsable del Tratamiento y acerca de promociones, paquetes, estrenos o servicios adicionales.
- Cumplir con las obligaciones contraídas con los Titulares de los Datos Personales, entre los que se encuentran proveedores, clientes, empleados, exempleados, futuros empleados.
- Realizar estudios sobre hábitos de consumo.
- Compartir, transferir y transmitir datos a aliados comerciales, con el fin de realizar actividades comerciales y de promoción de los productos o servicios de propiedad de dichas empresas o a personas con las que el Responsable del Tratamiento tenga o llegue a tener relación comercial que esté referida a los contratos de prestación de los servicios a los Titulares.
- Cuando la transferencia o transmisión de los Datos Personales se realice, éstos permanecerán como información confidencial y no podrán ser tratados con una finalidad diferente a la establecida en las presentes políticas o a la señalada en el documento que contenga la relación contractual que se ejecute. En caso de Transferencia quien reciba la información será considerado Responsable del Tratamiento y aplicará sus políticas de privacidad.
- Atender y gestionar las solicitudes y sugerencias realizadas por los clientes, proveedores y terceros en general.
- Atender los requerimientos de información de la DIAN, autoridades municipales y demas entidades que soliciten información de datos de proveedores, contratistas, empleados y en general de todos los terceros.
- Bajo cualquier circunstancia está prohibido el tratamiento de datos sensibles, es decir aquellos datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación (i.e. los que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos). Igualmente, se prohíbe el Tratamiento de Datos Personales de niños, niñas y adolescentes sin la la autorización de los padres o representantes de los menores.
- Cuando la presente Política sufra algún cambio será necesario notificar a los Titulares de los Datos Personales dicho cambio. Dicha modificación se podrá realizar a través de los medios de comunicación normalmente empleados entre las Partes.
- El área responsable dentro de RECREATEC para realizar del tratamiento de los Datos Personales, y atender las consultas o reclamos relacionados con los Datos Personales se denomina TRATAMIENTO DE DATOS PERSONALES.
- Será necesario solicitar y conservar la prueba de las autorizaciones otorgadas.
9 DATOS RECOLECTADOS ANTES DE JUNIO DE 2013 art. 9
Decreto 1377 de 2013 Artículo 2.2.2.25.2.7. Para estos los datos se tendrá en cuenta lo siguiente:
- Los responsables deberán solicitar la autorización de los titulares para continuar con el Tratamiento de sus datos personales del modo previsto en el artículo 2.2.2.25.2.4., a través de mecanismos eficientes de comunicación, así como poner en conocimiento de estos sus políticas de Tratamiento de la información y el modo de ejercer sus derechos.
- Para efectos de lo dispuesto en el numeral 1, se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus bases de datos.
- Si los mecanismos citados en el numeral 1 imponen al responsable una carga desproporcionada o es imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos, el Responsable podrá implementar mecanismos alternos para los efectos dispuestos en el numeral 1, tales como diarios de amplia circulación nacional, diarios locales o revistas, páginas de Internet del responsable, carteles informativos, entre otros, e informar al respecto a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación. Con el fin de establecer cuándo existe una carga desproporcionada para el responsable se tendrá en cuenta su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación responsable y el mecanismo alterno de comunicación a utilizar, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ellos comprometa la estabilidad financiera del responsable, la realización de actividades propias de su negocio o la viabilidad de su presupuesto programado.
A su vez se considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando el responsable no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.
- Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualesquiera de los mecanismos de comunicación descritos en los numerales 1, 2 y 3 el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos del presente capítulo, el responsable y encargado podrán continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.
- En todo caso el Responsable y el Encargado deben cumplir con todas las disposiciones aplicables de la Ley 1581 de 2012 y el presente capítulo. Así mismo, será necesario que la finalidad o finalidades del Tratamiento vigentes sean iguales, análogas o compatibles con aquella o aquellas para las cuales se recabaron los datos personales inicialmente.
Parágrafo. La implementación de los mecanismos alternos de comunicación previstos en esta norma deberá realizase a más tardar dentro del mes siguiente de la publicación del Decreto 1377 de 2013.
10 PLAZO PARA IMPLEMENTAR LA PROTECCION DE DATOS
El decreto 1115 de Junio 29, estableció un plazo hasta Enero 30 2018 para aplicar y adaptar de políticas por parte de las empresas que hagan las veces de encargados y/o responsables del tratamiento de datos.