(Guía Institucional o15 de Enero de 2019)

Política de tratamiento de datos personales

Políticas y procedimientos que permitan garantizar el adecuado cumplimiento de la ley 1581 de 2012, sus normas complementarias y en especial, para la atención de consultas y reclamos asociados a la protección de datos personales.

1. PROPÓSITO

Adoptar el manual interno de políticas y procedimientos que permitan garantizar el adecuado cumplimiento de la ley 1581 de 2012, sus normas complementarias y en especial, para la atención de consultas y reclamos asociados a la protección de datos personales.

 

2. ALCANCE

Establecer los lineamientos que permitan garantizar el derecho constitucional que tienen todas las personas en Colombia a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere la Constitución Política, especialmente el derecho a la intimidad de los ciudadanos.

3. REFERENCIAS

  1.  Constitución Política de Colombia.
  2.  Ley 1581 de 2012 por la cual se dictan disposiciones generales para la protección de datos personales.
  3.  Decreto 1377 de 2013 por el cual se reglamenta parcialmente la ley 1581 de 2012.
  4.  Circulares de la Superintendencia de Industria y Comercio.
  5.  Política de Información y del Conocimiento de ISA y sus empresas

4. LINEAMIENTOS

* Responsable del Tratamiento de Datos Personales.
Nombre:     INTERNEXA S.A.

NIT:811021654-9      

Domicilio: Medellín

Dirección: Calle 12 sur 18 168

Teléfono: 57 (4) 3171111

Página Web: www.internexa.com 

Correo Electrónico: contactenos@internexa.com

El Responsable del Tratamiento de Datos Personales, es una Sociedad de economía mixta, regida por la ley 1341 de 2009, y en lo no previsto en ella por las reglas del derecho privado.

* Declaración. En evidencia al compromiso desde la dirección con una cultura organizacional de respeto a la protección de los datos personales, se adoptan los lineamientos aplicables para toda información personal registrada en las bases de datos del responsable del Tratamiento de Datos Personales. Por lo tanto, estos lineamientos son de obligatorio y estricto cumplimiento para el Responsable del Tratamiento de Datos Personales, lo que incluye a los administradores y trabajadores, quienes deben observar los mismos.

* Para los fines de los presentes lineamientos, se acogen las definiciones que contienen la ley 1581 de 2012 y sus decretos reglamentarios o aquellas normas que las modifiquen, adicionen, sustituyan o deroguen.
No obstante, con la finalidad de facilitar el entendimiento de estos lineamientos, se detallan los siguientes conceptos:

Datos personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Base de Datos: Conjunto organizado de datos personales.

Gráfico-1

Figura 1. Conceptos Básicos. Dato Personal

Titular: Persona natural a la que pertenecen los datos personales. Responsable del Tratamiento de Datos Personales: Es la empresa establecida en los presentes lineamientos. Encargado del Tratamiento de Datos Personales: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento (por ejemplo: los proveedores, los clientes, entre otros)

Gráfico-2

Figura 2. Conceptos Básicos. Actores: Titular, Responsable y Encargado

  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales o bases de datos, tales como la recolección, almacenamiento, uso, circulación o supresión, que realiza el Responsable o el Encargado.
  • Sobre la protección de los Datos Personales. Cuando la ley haga referencia a las políticas de tratamientos de datos personales, se entenderá la remisión a la presente Guía; y en especial, cuando en las autorizaciones, registros, avisos, propuestas comerciales, contratos, mensajes o cualquier otro documento se haga referencia a la incorporación de las políticas de tratamiento de datos, se entenderá realizado a los siguientes términos:
  • Finalidad del Tratamiento. El Tratamiento que realiza el Responsable con la información personal, será tratada para el cumplimiento de las finalidades específicas para las cuales el Titular proporcionó el Dato Personal, al momento de la autorización.

Gráfico-3

Figura 3. Conceptos Básicos. Tratamiento del Dato Personal

Sin perjuicio de lo anterior, en todo caso, los datos personales podrán ser recolectados y tratados para las finalidades particulares de cada base de datos, de acuerdo con lo establecido en el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio.

No obstante, se entiende que, con la autorización del Titular, el Responsable del Tratamiento podrá tratar los datos con las siguientes finalidades:

  • Cumplir o mantener las obligaciones legales o contractuales adquiridas con accionistas, empleados, clientes, proveedores y con otros grupos de interés e inclusive la atención a peticiones, quejas y reclamos.
  • Realizar gestión comercial y relacionamiento con los grupos de interés.
  • Suministrar información relacionada con campañas, proyectos, advertencias, programas u operaciones.
  • Proporcionar información comercial, publicitaria o promocional, concursos, y eventos, respecto de cualquier producto y/o servicio.
  • Contactar al Titular para pedirle información u opinión sobre los productos o servicios del Responsable.
  • Realizar análisis y/o segmentación de mercado y/o estadísticos.
  • Presentar servicios de valor agregado en relación con la información que gestiona de sus grupos de interés.
  • Transferir y transmitir, dentro o fuera de Colombia, los datos personales a compañías vinculadas económicamente con el Responsable del Tratamiento o con las que llegue a acuerdos comerciales legalmente permitidos.
  • Transferir y transmitir, dentro o fuera de Colombia, datos personales a terceros cuando ello sea necesario para el cumplimiento de obligaciones contractuales, de ley, prestar un buen servicio o cuando por razones tecnológicas ello sea indispensable para mantener un buen servicio.
  • Permitir el acceso a la información y datos personales a los auditores o terceros para llevar a cabo procesos de auditoría interna o externa.
  • Determinar los hábitos de uso, la dirección IP del dispositivo que utilice, ubicación geográfica, información de cookies del Titular, entre otros, derivados del ingreso y/o registro de datos personales en las plataformas digitales o móviles del Responsable del Tratamiento, cuando aplique.
  • Proporcionar funciones y servicios relacionados con los gustos, ubicación y preferencias.
  • Vincular a terceros con las actividades que realiza, como serían el compartir una noticia, evento o situación, comentarla, enviarla por correo electrónico a un tercero, señalar que es de su agrado o interés para que sus contactos/amigos la vean en las redes sociales en las que se encuentre el Titular; en operaciones internas, incluidos la solución de problemas, el análisis de datos, la investigación, el desarrollo y la mejora del servicio.
  • Transferir la información de los Titulares como parte de los activos, en caso de una enajenación de los mismos por parte del Responsable del Tratamiento.

Autorización.

El Titular entiende que la autorización podrá constar en un documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta, o mediante cualquier otro mecanismo técnico o tecnológico.
Igualmente, la autorización podrá realizarse mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la misma.

Finalmente, el Titular acepta y declara conocer que el Responsable del Tratamiento, puede suministrar esta información a las empresas vinculadas o del mismo grupo empresarial, dentro y fuera del territorio colombiano.

Entrega de datos personales a autoridades.

El Responsable de Tratamiento de Datos podrá suministrar la información personal a las autoridades, en virtud del requerimiento que realicen.
En este evento, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad y se documentará la entrega de la información personal, advirtiendo que la entrega se hace en virtud de un requerimiento de autoridad y el deber de protección por parte de quien recibe la información.

Tratamiento de datos sensibles.

El Responsable del Tratamiento sólo recolectará datos personales de carácter sensible cuando ello sea necesario y pertinente para su actividad empresarial y adoptará las medidas de seguridad que sean proporcionales para la protección de este tipo de datos. Entre los datos sensibles se encuentran los datos biométricos, incluyendo imágenes, fotografías, videos, voces y/o sonidos, huellas digitales, entre otros.

Teniendo en cuenta la condición de infraestructura crítica que debe soportar la prestación permanente y continúa de los servicios públicos y que la misma es objeto de seguridad nacional, se advierte a los Titulares que la autenticidad para el uso de ciertos plataformas, redes o accesos físicos o virtuales, y la verificación de la identidad de los Titulares, requiere algunos datos sensibles. Adicionalmente, entre los datos sensibles se encuentran aquellos que son recolectadas durante la participación en eventos organizados o promovidos por el Responsable del Tratamiento, dentro o fuera de las instalaciones o en cualquiera de las actividades desarrolladas con ocasión de la relación del Titular con el Responsable del Tratamiento. Luego, con la participación al evento el Titular autoriza el tratamiento de sus datos para cumplir con las finalidades acá establecidas.

Además, esta autorización comprende el uso de los derechos relacionados con la imagen o imágenes del Titular, para que sea incorporado en cualquier tipo de obra, física o digital, medio electrónico, óptico, magnético, en redes (Intranet y Extranet), mensajes de datos o similares, plataformas de comunicación y redes sociales y en general para cualquier medio o soporte conocido o por conocer en el futuro, y en especial, con la finalidad que sean utilizados para publicaciones internas o externas del Responsable del Tratamiento o de sus filiales.

Además de lo señalado anteriormente, en relación con los datos sensibles, se aplica todo lo que contiene la presente Guía, incluida la finalidad del tratamiento de dichos datos, los derechos y procedimiento de atención de consultas y reclamos.

* Tratamiento de los datos personales de niños, niñas y adolescentes
. El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en la ley y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

1. Que responda y respete el interés superior de los niños, niñas y
2. Que se asegure el respeto de sus derechos

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

El Responsable del Tratamiento y el Encargado del Tratamiento de los datos personales de niños, niñas y adolescentes, deberán velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la ley 1581 de 2012 y el decreto reglamentario 1377 de 2013 y las normas que los modifiquen o adicionen.

Derechos de los Titulares.

El Titular de los Datos Personales tiene los derechos consagrados en el artículo 8 de la ley 1581 de 2012 que en general, se describen a continuación:

  1.  Acceder de forma gratuita a los datos personales objeto de Tratamiento.
  2.  Conocer, actualizar y rectificar sus datos personales frente al Responsable del Tratamiento o Encargados del Tratamiento.
  3.  Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10° de la ley 1581.
  4.  Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
  5.  Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en la normatividad vigente.
  6.  Revocar la autorización y/o solicitar la supresión del dato, siempre que no exista un deber legal o contractual que impida eliminarlos.
  7.  Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de las niñas y niños y adolescentes.

Atención de peticiones, quejas y reclamos para la Protección de Datos Personales.

El Encargado de Cumplimiento es responsable de la atención de peticiones, consultas y reclamos, ante el cual el Titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización. El Encargado puede ser contactado mediante comunicación escrita enviada a “Contáctenos” disponible en la página web www.internexa.com, o mediante envío de correspondencia escrita dirigida a:

INTERNEXA S.A.
Comité de Ética
Dirección Calle 12 Sur No. 18-168 (Bloque 5, piso 2)
Medellín – Antioquia
Colombia
Tel: 57(4) 317 1111

Procedimiento para el ejercicio de los derechos.

En cumplimiento de las normas sobre protección de datos personales, el Responsable del Tratamiento presenta el procedimiento y requisitos mínimos para el ejercicio de los derechos de los Titulares.


Para la radicación y atención de su solicitud le solicitamos suministrar la siguiente información:

Nombre completo y apellidos; datos de contacto (Dirección física y/o electrónica y teléfonos de contacto); medios para recibir respuesta a su solicitud; motivo(s)/hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información); firma (en el evento que aplique) y número de identificación.

A continuación, se presenta el procedimiento para consultas y reclamos:

El Titular podrá consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario y (ii) cada vez que existan modificaciones sustanciales de las políticas de Tratamiento de la información que motiven nuevas consultas.

Para consultas cuya periodicidad sea mayor a una por cada mes calendario, el Responsable del Tratamiento podrá cobrar al Titular los gastos de envío, reproducción, y en su caso, certificación de documentos. Los costos de reproducción no podrán ser mayores a los costos de recuperación del material correspondiente.

El Responsable del Tratamiento dará respuesta a las consultas formuladas por el Titular de la información o sus causahabientes, en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando el motivo de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (05) días hábiles siguientes al vencimiento del primer término.

El Titular o sus causahabientes que consideren que la información contenida en una base de datos, debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley 1581 de 2012 o en las normas que la reglamenten o modifiquen, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento, el cual será tramitado bajo las siguientes reglas:

  1.  El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, su dirección y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (05) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (02) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del En caso de que el Responsable del Tratamiento no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (02) días hábiles e informará de la situación al interesado.
  2.  Una vez recibido el reclamo completo, se incluirá en la base de datos que contenga la información en reclamo, una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (02) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea
  3.  El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (08) días hábiles siguientes al vencimiento del primer término.
  4.  La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos. Si vencido el término legal respectivo, el Responsable del Tratamiento y/o el Encargado del Tratamiento, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales.
  5.  Procedimiento de quejas ante la ante la Superintendencia de Industria y Comercio. El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento, de acuerdo al procedimiento anteriormente mencionado.
  6.  Veracidad de la información. Los titulares del dato personal están en el deber de suministrar al Responsable del Tratamiento información personal veraz con el fin de poder cumplir la finalidad para la cual se hace el recabo de información del titular del dato. El Responsable del Tratamiento presume la veracidad de la información suministrada por los Titulares y no asumirán la obligación de verificar la identidad de los mismos, ni la veracidad, vigencia, suficiencia y autenticidad de los datos que cada uno de ellos proporcione. Por tanto, no asumirán responsabilidad por daños y/o perjuicios de cualquier naturaleza que pudieran tener origen en la falta de veracidad, vigencia, suficiencia o autenticidad de la información y datos personales, incluyendo daños y perjuicios que puedan deberse a la homonimia o a la suplantación de la identidad.
  7.  Vigencia El Titular acepta y reconoce que la autorización para el tratamiento de datos estará vigente durante el tiempo en que el Responsable del Tratamiento ejerza las actividades propias de su objeto social y/o cuando el titular del dato decida revocar la autorización sobre los mismos.

Por tanto, las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta Guía. En todo caso es necesario contar con el dato para el cumplimiento de las obligaciones legales y/o contractuales a cargo del Responsable del Tratamiento, especialmente en materia contable, fiscal y tributaria o por todo el tiempo necesario para atender las disposiciones aplicables a la materia de que se trate, los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información, o en todo evento previsto en la ley.

El Responsable del Tratamiento puede cambiar unilateralmente los términos de la presente Guía, por lo que se compromete a publicar cualquier modificación, sin afectar los derechos de los Titulares. "

  •  Encargado de Cumplimiento.
    El Encargado de Cumplimiento es el designado por el Responsable del Tratamiento para velar por la implementación efectiva de la presente Guía y para cumplir con las normas de protección de datos personales, así como la implementación de buenas prácticas de gestión de datos personales por parte del Responsable del Tratamiento y en especial, será el encargado de dar trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la ley 1581 de 2012 y demás normas concordantes.
  •  Seguridad de la información. Teniendo en cuenta que los datos personales son información y activos intangibles, se entiende que a los mismos se les aplica las políticas y procedimientos que tenga el Responsable del Tratamiento en estas materias. 
  • Vigencia. La presente Guía Institucional tiene vigencia a partir de su expedición y firma.

JAIME ALBERTO PELAEZ ESPINOSA

Gerente General