SELECCIÓN DE FIDUCIARIAS

MANUAL DE PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES

En el marco de la entrada en vigencia de la Ley 1581 de 2012 reglamentada parcialmente por el Decreto 1377 de 2013, que desarrolla el artículo 15 de la Constitución Política para la protección de datos, PROMOTORA DE INVERSIONES Y ESTRUCTURADORA DE NEGOCIOS S.A.S. (SIGLA PIENSAS), ha elaborado el presente manual encaminado a la determinación de controles, directrices y garantías legales aplicables para el procedimiento de recolección, tratamiento, uso, circulación y supresión de datos personales.

POLÍTICA DE TRATAMIENTO DE INFORMACIÓN

En consecuencia de lo anterior, se compromete con el cumplimiento de las disposiciones establecidas por la mencionada normatividad relacionadas con la protección de datos, con el propósito de respetar y garantizar los derechos de hábeas data, libertad, autodeterminación informática, intimidad, entre otros, de los titulares de la información personal que sea tratada al interior de la empresa, en virtud de la existencia de una relación comercial, civil o laboral.

En este sentido, cualquier persona natural que suministre información relacionada con datos personales, tendrá las facultades de autorizar el uso y tratamiento de la misma, actualizarla, corregirla o rectificarla.

OBJETIVO

Establecer las medidas relacionadas con el tratamiento y protección de datos personales en términos de recolección, uso, almacenamiento, actualización y supresión, teniendo como base las disposiciones recogidas en la Ley 1581 de 2012 y normas concordantes, con el propósito de garantizar y proteger los derechos de las personas naturales que suministren sus datos personales, en desarrollo de una relación civil, comercial o laboral constituida con nuestra empresa.

ALCANCE

MARCO JURÍDICO APLICABLE

Art. 15 Constitución Política de Colombia

Ley 1581 de 2012

Decreto 1377 de 2013

Ley 1266 de 2008

DEFINICIONES APLICABLES

AUTORIZACIÓN: Manifestación emitida por el titular de los datos personales, que puede ser por escrito, verbalmente o a través de conductas inequívocas, con el fin de legitimar el tratamiento de los mismos. La autorización debe otorgarse a través de consentimiento informado, para asegurar que el titular conoce todos los usos para los cuales será empleada la información que suministre.

AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el responsable del tratamiento, con el fin de informar al titular de los datos sobre la aplicación de la política de tratamiento de información instaurada al interior de la empresa.

BASE DE DATOS: Conjunto organizado de datos de personales. Las disposiciones sobre protección y tratamiento de datos, no serán aplicables en caso de bases para uso doméstico.

DATO PERSONAL PRIVADO: Según lo establecido por la Ley 1266 de 2008, es aquel que por su naturaleza íntima o reservada sólo es relevante para el titular.

DATO PERSONAL SENSIBLE: Según lo establecido por el Decreto 1377 de 2013, son aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación, entre otros los relacionados con el origen racial o étnico, la orientación política, las convicciones religiosas, etc.

DATO PÚBLICO: Según lo establecido por el Decreto 1377 de 2013, es aquel que no sea privado, semiprivado o sensible. Son considerados de esta naturaleza los relacionados con el estado civil de las personas, su profesión u oficio, entre otros

ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o a través de otros, designado por el responsable, realice el tratamiento de los datos 

HÁBEAS DATA: De acuerdo con la ley 1266 de 2008, conocida como “LEY DE HABEAS DATA”, es el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en Bancos de Datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el artículo 15 de la Constitución política, particularmente en relación con la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.

RESPONSABLE DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o a través de otros, define el modo de ejecutar el tratamiento de los datos personales y la base de datos. En este caso es la sociedad denominada PROMOTORA DE INVERSIONES Y ESTRUCTURADORA DE NEGOCIOS S.A.S. (SIGLA PIEN S.A.S), quien para efectos del presente documento será PIEN S.A.S.

TITULAR DE LOS DATOS: Persona natural que cuyos datos serán objeto de tratamiento.

TRATAMIENTO DE DATOS: Operación relacionada con la recolección, uso, consulta, almacenamiento, actualización, circulación y supresión de los datos.

RESPONSABLE/DESTINATARIOS

Los responsables del presente manual son los siguientes:

Gerente General

Los destinatarios del presente manual son los siguientes:

Empleados: En virtud de la relación laboral, cuando suministren o administren datos personales.

Clientes: En aquellos eventos en que la relación sea constituida con una persona natural. Así mismo en caso de personas jurídicas, cuando los funcionarios por ellas designados suministren datos de esta naturaleza para el desarrollo del contrato establecido.

Proveedores: Cuando la relación sea constituida con una persona natural. Así mismo en caso de personas jurídicas, cuando los funcionarios por ellas designados suministren datos de esta naturaleza para el desarrollo del contrato establecido

Personas naturales o jurídicas que en virtud de la relación civil o comercial constituida suministren datos personales:

Titulares de los datos: Empleados, clientes, proveedores y contratistas en los términos anteriormente enunciados, en ejercicio de los derechos relacionados con la posibilidad de autorizar, actualizar, rectificar, corregir y suprimir la información que sobre ellos se ha incluido en nuestras bases de datos.

DESARROLLO DEL DOCUMENTO

PRINCIPIOS APLICABLES

En PIEN S.A.S se aplicarán los siguientes principios para el tratamiento y protección de los datos personales que sean recolectados en desarrollo de la actividad de la empresa, teniendo en cuenta los postulados establecidos en el marco jurídico aplicable:

PRINCIPIO DE LEGALIDAD: El tratamiento de datos debe sujetarse a las disposiciones establecidas por la Ley 1581 de 2012 y el Decreto 1377 de 2012.

PRINCIPIO DE LIBERTAD: El consentimiento manifestado por el titular de los datos para su tratamiento debe ser libre, expreso, previo e informado. Es necesario comunicar con claridad los usos de los datos suministrados. La autorización debe ser la regla general para el manejo de datos personales.

PRINCIPIO DE RELEVANCIA: Los datos recolectados deben guardar relación directa con el objeto de estudio.

PRINCIPIO DE NECESIDAD: Los datos recolectados deben ser indispensables para cumplir la finalidad legítima aspirada por la empresa.

PRINCIPIO DE CIRCULACIÓN RESTRINGIDA: Los datos recolectados deberán ser empleados de forma restringida para la finalidad inicialmente enunciada, no será revelada a terceros o desviada de su uso inicial sin autorización previa del titular.

PRINCIPIO DE UTILIDAD: Utilidad que se predica de la base de datos disponible en la empresa, la información almacenada debe tener una temporalidad que está determinada por la funcionalidad que representa en cumplimiento de la finalidad establecida.

PRINCIPIO DE VERACIDAD: Los datos registrados en la base de datos deben ser veraces y corresponder a la realidad. No está permitido administrar datos falsos. El responsable del tratamiento de datos debe garantizar la actualización permanente de la base.

PRINCIPIO DE CONFIDENCIALIDAD: Se debe garantizar la reserva de la información suministrada por los titulares, sólo será posible comunicar los datos personales en cumplimiento de la finalidad inicialmente comunicada por el responsable del tratamiento, previa autorización del titular.

DERECHOS DE LOS TITULARES SOBRE LA INFORMACIÓN

DE ACCESO: El titular podrá acceder a la base y consultar los datos allí consignados  que se relacionan con su información personal.

DE INCLUSIÓN: El titular podrá incluir datos nuevos a su perfil para ofrecer una imagen completa de su información.

DE ACTUALIZACIÓN: El titular podrá solicitar que la información sobre él consignada se actualice, con el fin de garantizar la correspondencia de los datos con la realidad, en desarrollo del principio de veracidad.

DE CORRECCIÓN: Podrá solicitar la corrección o rectificación de la información contenida en la base de datos en desarrollo del principio de veracidad.

DE EXCLUSIÓN O SUPRESIÓN: El titular podrá solicitar la exclusión o supresión de sus datos personales de una base por uso indebido demostrado o mera liberalidad a excluir información de una base de datos: por uso indebido o mera liberalidad.

PRINCIPAL DERECHO: Libertad de autorizar el tratamiento de datos personales.

AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES

La autorización para el tratamiento de datos personales será la regla general para la recolección y manejo de los mismos, esta deberá ser manifestada por el TITULAR a través de consentimiento expreso, libre e informado y por escrito.

Para lo anterior, se aplicarán los siguientes formatos que podrán ser remitidos a través de correo electrónico empresarial o en documento físico de acuerdo a la necesidad:

Formato de autorización para el tratamiento de datos personales de Clientes, Proveedores y/o empleados, según el caso.

Aviso de privacidad para el tratamiento de datos personales ( a través de la página web abogadofiduciario.com o en físico en nuestras oficinas)

Los formatos deberán diligenciarse de forma previa, para garantizar que el titular conoce toda la información relacionada con la finalidad para la cual serán recolectados los datos que suministre y los derechos enunciados en el numeral anterior, en cumplimiento de lo dispuesto en el artículo 7 del Decreto 1377 de 2013.

Cada autorización será almacenada por la persona designada para tal fin dentro de la empresa, teniendo en cuenta los tiempos de retención establecidos para cada caso en el numeral 8.1 del presente manual.

En consonancia con lo establecido por la Ley 1581 de 2012, se excluirá la aplicación de los formatos de autorización establecidos al interior de la empresa en los siguientes eventos:

Cuando la información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

Cuando se trate de datos de naturaleza pública.

En casos de emergencia médica o sanitaria.

Para tratamiento de información autorizado con fines históricos, estadísticos o científicos.

Datos relacionados con el registro civil de las personas.

Tratamiento de datos personales en el Proceso de Gestión de Recursos

Datos de aspirantes y trabajadores.

La empresa se compromete a darle un tratamiento apropiado a los datos que sean recolectados en el proceso de gestión de recursos, con ocasión del procedimiento establecido para la selección de personal, así como en desarrollo de la relación constituida en virtud del contrato laboral.

Para lo anterior, se deberá emplear el formato de autorización para el tratamiento de datos personales, teniendo en cuenta la clasificación establecida en la Tabla No. 1.

En el caso de aspirantes, el responsable de la selección de personal deberá comunicar al interesado en el cargo que se encuentra disponible, que la información suministrada durante el proceso será analizada con el objetivo de realizar verificaciones para evaluar la idoneidad del aspirante con respecto al perfil requerido y, así mismo, solicitar la autorización para el tratamiento, almacenamiento y supresión de los datos a través del formato anteriormente mencionado.

En el caso de aspirantes no seleccionados, los documentos serán retenidos al interior del proceso durante seis (6) meses, con el fin de que sea posible consultarlos nuevamente en caso de presentarse una nueva convocatoria. Cumplido dicho plazo los documentos recolectados serán suprimidos.

En caso de personal con contrato de trabajo vigente, la finalidad esencial de la presente autorización se referirá, entre otros datos pero sin limitarse a los enunciados a continuación, al manejo de información relacionada con dirección, teléfono, núcleo familiar del trabajador, historias clínicas ocupacionales (exámenes de ingreso y ocupacionales), afiliaciones y autoliquidación de pagos al sistema general de seguridad social. La autorización para retener la información tendrá efectos hasta luego de finalizarse el contrato de trabajo, con el fin de evidenciar el cumplimiento de las obligaciones derivadas de la relación laboral por requerimiento del titular, orden judicial o de autoridad competente.

La información reposará en la carpeta designada para cada trabajador y sólo podrá ser consultada por el titular o el personal encargado por el área de recurso humano.

Tratamiento de datos personales en el proceso de Compras

Datos de Proveedores

En el marco de la relación comercial constituida con un proveedor para el suministro de bienes y/o servicios, el responsable designado dentro de empresa como el encargado de las relaciones con los proveedores, solicitará los documentos que sean necesarios y pertinentes para desarrollar la mencionada relación, teniendo en cuenta lo establecido al interior de la empresa en el procedimiento para la selección, evaluación y reevaluación de proveedores.

Los documentos aportados por el proveedor serán almacenados en el archivo del proceso de compras, con el fin de garantizar la seguridad de la información.

Para lo anterior, se empleará el formato de autorización para el tratamiento de datos de clientes, proveedores y contratistas.

La información suministrada por el proveedor relacionada con los datos básicos de contacto, será almacenada en el listado de proveedores, donde se incluyen los siguientes datos: nombre, dirección, teléfono, correo electrónico y RUT.

La información contenida en el listado maestro de proveedores se mantendrá vigente durante la relación comercial y por un periodo de un (1) año a partir de su finalización, situación que se le comunicará previamente al proveedor, quien podrá determinar si desea suprimir la información suministrada al cumplirse el periodo mencionado o si desea mantenerla para futuros suministros.

Tratamiento de datos personales en el proceso Comercial

Datos personales de clientes

Lo pertinente será aplicable para clientes cuando los servicios de la empresa sean prestados a personas naturales.

Los datos solicitados serán los necesarios para elaborar el contrato que formalice la relación civil o comercial. La información recolectada será almacenada por el Proceso Comercial y a ella sólo tendrá acceso el personal asignado por Gerencia. Para el tratamiento de datos, se deberá aplicar el formato de autorización para el tratamiento de datos de clientes, proveedores y contratistas.

PRUEBA DE LA AUTORIZACIÓN

La empresa mantendrá los registros en archivo físico o digital, de acuerdo al modo de adquisición de la autorización para el tratamiento de datos, con el fin de probar la existencia de la misma como mecanismo de garantía del derecho a la intimidad del titular, en atención a lo dispuesto por el artículo 8 del Decreto 1377 de 2013.

TRATAMIENTO DE DATOS SENSIBLES

En PIEN S.A.S., se prohíbe el tratamiento de datos sensibles, solo en los eventos establecidos por el artículo 6 la Ley 1581 de 2012 será posible efectuar dicho procedimiento, teniendo en cuenta las siguientes excepciones aplicables a la empresa:

Cuando el titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;

Cuando el tratamiento sea necesario para salvaguardar el interés vital del titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;

Cuando el tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

Cuando el tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

DEBERES DEL RESPONSABLE DEL TRATAMIENTO

En atención a lo dispuesto por la ley 1581 de 2012 en relación a los deberes del responsable del tratamiento, PIEN S.A.S., se compromete a:

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular;

Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento;

Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;

Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;

Informar a solicitud del titular sobre el uso dado a sus datos;

Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Las demás establecidas por ley.

PROCEDIMIENTOS DE CONSULTA Y RECLAMACIÓN

Procedimiento de consulta

En atención a lo dispuesto por el artículo 14 de la Ley 1581 de 2012, el titular o los causahabientes del titular podrán acceder a la información que sobre él se encuentre incluida en los listados base al interior de la empresa.

Para lo anterior, será necesario acreditar con el documento de identificación pertinente, la calidad de titular o causahabiente.

La solicitud para consultar los datos personales deberá ser radicada en medio físico en la Carrera 11 No. 94 – 47 Oficina 401 o enviada en forma digital al correo electrónico admon@abogadofiduciario.com, con el fin de garantizar al titular de los datos que cuenta con medios idóneos, disponibles y de fácil acceso para presentar sus solicitudes de consulta.

El documento presentado deberá incluir como mínimo la siguiente información:

Nombre del titular o causahabiente, acompañado de una copia simple del documento  que acredite su calidad de tal.

Petición clara referente a la información a la cual desea acceder para consulta.

Dirección de notificaciones (física o electrónica).

Teniendo en cuenta los términos establecidos por la mencionada normatividad, PIEN S.A.S., cuenta con un tiempo máximo de diez (10) días hábiles contados a partir de la correcta radicación de la solicitud para dar una respuesta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en la que se atenderá la consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

En virtud de lo anterior, el interesado podrá consultar toda la información que se encuentre registrada en la base de datos existente.

Procedimiento de reclamaciones

En atención a lo dispuesto por el artículo 15 de la Ley 1581 de 2012, el titular o los causahabientes que consideren que la información contenida en los listados base debe ser objeto de corrección, actualización o supresión, o cuando adviertan el incumplimiento de uno de los deberes contenidos en el numeral 5.9 del presente manual, podrán presentar solicitud para realizar las modificaciones pertinentes.

La solicitud deberá contener como mínimo la siguiente dirección:

Identificación del titular

Una descripción de los hechos que dan lugar al reclamo

Dirección de notificaciones

Documentos que se quiera hacer valer como soportes de la solicitud

La solicitud para realizar la modificación o supresión de los datos deberá ser radicada en las mismas condiciones indicadas en el numeral anterior.

Si el reclamo no cumple con las condiciones mínimas, se le informará al solicitante dentro de los cinco (5) días siguientes a la fecha de radicación sobre los errores a subsanar, si pasados dos (2) meses a partir de lo anterior el solicitante no ha presentado la información faltante, se entenderá que ha desistido de la solicitud.

Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga «reclamo en trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

El tiempo máximo para resolver el trámite serán quince (15) días contados a partir de la correcta radicación de la solicitud. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

La modificación o supresión de los datos será efectiva siempre y cuando no medie disposición jurídica en contrario.

5.11. REVOCATORIA DE LA AUTORIZACIÓN Y/O SUPRESIÓN DEL DATO

El titular podrá revocar la autorización en cualquier tiempo, siempre y cuando no medie disposición legal o contractual en contrario. Para lo anterior, debe aplicarse el mismo procedimiento de reclamos establecido en el numeral 5.10.2 del presente manual.

Si vencido el término legal respectivo y descrito en el numeral 5.10.2, PIEN S.A.S., no hubiera eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará la disposición descrita en el artículo 22 de la Ley 1581 de 2012.

5.12. VIGENCIA

El presente manual rige a partir del veintinueve (29) de Abril de dos mil diecinueve (2019) y es de uso exclusivo para PIEN S.A.S.

ANEXOS

ANEXO 1:

Con el fin de tener una guía básica sobre la clasificación de los datos personales, a continuación se enuncia la siguiente tabla que menciona algunos de uso frecuente al interior de la empresa y su naturaleza para fines de autorización:

TABLA No. 1 – CLASIFICACIÓN DE DATOS PERSONALES (EJEMPLOS)

DATOS PÚBLICOS (No requiere autorización):    DATOS PRIVADOS (Requiere autorización):

Estado civil de las personas

Profesión u oficio

Calidad de servidor público

Calidad de comerciante

Número  telefónico obtenido del directorio telefónico

Dirección obtenida del directorio telefónico    Historia clínica

Información sobre el nombre de personas infectadas por VIH y otras enfermedades de transmisión sexual

Libros y papeles del comerciante

Información tributaria respecto de las bases gravables y la determinación privada de los impuestos que figuren en las declaraciones privadas

Información relativa a las bases y a la autoliquidación de aportes del sistema general de seguridad social

La información relacionada con afiliaciones al sistema general de seguridad social

El número telefónico que no es extraído del directorio telefónico público

La dirección que no es extraída del directorio público

DATOS SENSIBLES (Requiere autorización, el titular no se encuentra en la obligación de revelarlos):    DATOS SEMIPRIVADOS:

Información genética

Relacionados con la ideología política

Orientación Sexual

Origen Racial y Étnico

Orientación Política

Pertenencia a Sindicatos y Organizaciones Sociales

Datos Relativos a la Salud y a la Vida Sexual

Datos Biométricos (huella digital, forma de firmar, etc.) Dato financiero, crediticio, comercial, de servicios y proveniente de terceros países