1. INTRODUCCIÓN
La sociedad IMG es una empresa del sector de tecnología, especializada en software con más de 15 años en el mercado, dedicada al diseño e implementación de soluciones tecnológicas empresariales.
IMG realiza la protección de Datos Personales de sus clientes, clientes prospectivos, trabajadores y ex trabajadores, proveedores, contratistas o individuos en el marco de las relaciones pre-contractuales, contractuales y post-contractuales con IMG. Es por esto que IMG ha desarrollado y adoptado esta Política de Tratamiento de Datos Personales con la finalidad de proteger, respetar e informar los derechos de los Titulares de los datos que encuentran en su posesión y control, ya sea en sus aplicativos de IT o almacenada en Bases de Datos u otros sistemas, sin excluir archivos físicos.
2. OBJETO
De conformidad con lo establecido en la legislación vigente en materia de Hábeas Data, IMG, a través del presente documento, define e informa las Políticas de Tratamiento de la Información que aplica sobre la información de carácter personal que haya sido recolectada por IMG en ejercicio de sus actividades empresariales.
3. DEFINICIONES
De conformidad con lo previsto en la ley 1581 de 2012 y el Decreto 1377 de 2013, se deben tener presentes las siguientes definiciones:
– Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
– Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable del tratamiento de datos, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
– Bases de Datos: Conjunto organizado de Datos Personales que sean objeto de Tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización y acceso.
– Dato Personal: Cualquier información de cualquier tipo, vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
– Dato público: Dato personal que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
– Dato sensible: Dato personal que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como que revelen afiliaciones sindicales, el origen racial o étnico, la orientación política, las convicciones religiosas, morales o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
– Dato financiero: Dato Personal referido al nacimiento, ejecución y extinción de obligaciones dinerarias, independientemente de la naturaleza del contrato que les dé origen, cuyo Tratamiento se rige por la Ley 1266 de 2008 o las normas que la complementen, modifiquen o adicionen.
– Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
– Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los Datos.
– Autorizado: La Compañía y todas las personas bajo la responsabilidad de la Compañía, que por virtud de la Autorización y de estas Políticas tienen legitimidad para Tratar los Datos Personales del Titular. El Autorizado incluye al género de los Habilitados.
– Habilitación: Legitimación que expresamente y por escrito mediante contrato o documento que haga sus veces, otorgue la Compañía a terceros, en cumplimiento de la Ley aplicable, para el Tratamiento de Datos Personales, convirtiendo a tales terceros en Encargados del Tratamiento de los Datos Personales entregados o puestos a disposición.
– Titular del Dato Personal: Persona natural o jurídica a quien se refiere la información que reposa en una Base de Datos, y quien es el sujeto del derecho de hábeas data.
– Tratamiento de Datos Personales: Toda operación y procedimiento sistemático, electrónico o no, que permita la recolección, conservación, ordenamiento, almacenamiento, modificación, relacionamiento, uso, circulación, evaluación, bloqueo, destrucción y en general, el procesamiento de Datos Personales, así como también su transferencia a terceros a través de comunicaciones, consultas, interconexiones, cesiones, mensajes de datos.
– Transferencia: Cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en la República de Colombia, envía la información o los Datos Personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
– Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
4. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS
De conformidad con la normatividad legal aplicable, IMG cumplirá con los siguientes principios para el Tratamiento de Datos Personales:
– Principio de Legalidad en Materia de Tratamiento de Datos: El Tratamiento de Datos es una actividad regulada, la cual deberá estar sujeta a las disposiciones legales vigentes y aplicables que regulen el tema.
– Principio de Finalidad: La actividad del Tratamiento de Datos Personales que realice IMG o a la cual tuviere acceso obedecerán a una finalidad legítima en consonancia con la Constitución Política de Colombia, la cual deberá ser informada al respectivo Titular de los Datos Personales.
– Principio de Libertad: El Tratamiento de Datos Personales sólo puede realizarse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario o judicial que releve el consentimiento.
– Principio de Veracidad o Calidad: La información sujeta al Tratamiento de Datos Personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Cuando se esté en poder de Datos Personales parciales, incompletos, fraccionados o que induzcan a error, IMG deberá abstenerse de Tratarlos, o solicitar a su Titular la completitud o corrección de la información.
– Principio de Transparencia: En el Tratamiento de Datos Personales, IMG garantizará al Titular su derecho de obtener, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o Dato Personal que sea de su interés o titularidad.
– Principio de Acceso y Circulación Restringida: El Tratamiento de Datos Personales se sujeta a los límites que se derivan de la naturaleza de éstos, de las disposiciones de la ley y la Constitución. En consecuencia, el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los Datos Personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley. Para estos propósitos la obligación de IMG será de medio.
– Principio de Seguridad: La información sujeta a Tratamiento por IMG se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
– Principio de Confidencialidad: Todas las personas que en IMG administren, manejen, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases de Datos, están obligadas a garantizar la reserva de la información, por lo que se comprometen a conservar y mantener de manera estrictamente confidencial y no revelar a terceros toda la información que llegaren a conocer en la ejecución y ejercicio de sus funciones, salvo cuando se trate de actividades autorizadas expresamente por la Ley de Protección de Datos. Esta obligación persiste y se mantendrá inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.
5. MARCO LEGAL
La Política de Tratamiento de Datos Personales, se opera de conformidad con lo dispuesto en:
– Constitución Política de la República de Colombia.
– Ley 1581 de 2012.
– Decreto Reglamentario 1377 de 2013.
– Decreto Reglamentario 886 de 2014.
– Decreto Reglamentario 1074 de 2015.
Así como demás disposiciones complementarias que hacen referencia a todas las actividades relacionadas con el Tratamiento de Datos Personales.
6. FINALIDAD DEL USO DE LOS DATOS PERSONALES RECOLECTADOS
Cuando IMG actúe como responsable del Tratamiento de Datos, los Datos deberán someterse estricta y únicamente a las finalidades que se señalan a continuación. Así mismo, los Encargados o terceros que tengan acceso a los Datos Personales por virtud de Ley o contrato, mantendrán el Tratamiento dentro de las siguientes finalidades:
a) Desarrollar el proceso de selección y/o contratación, así como la ejecución de la relación contractual existente con sus clientes, proveedores, contratistas y trabajadores, incluido el pago de obligaciones contractuales.
b) Proveer, informar, brindar soporte, evaluar y actualizar información relacionada con los servicios y/o los productos ofrecidos por IMG y requeridos por sus usuarios.
c) Enviar información comercial, publicitaria o promocional sobre los productos y/o servicios, eventos y/o promociones de tipo comercial o no de éstas, adelantados por IMG y/o por terceras personas contratadas para estos efectos.
d) Suministrar, compartir, enviar o entregar sus Datos Personales a empresas aliadas ubicadas en la República de Colombia o cualquier otro país en el evento que dichas compañías requieran la información para los fines aquí indicados.
7. AUTORIZACIÓN DE TRATAMIENTO DE LOS DATOS PERSONALES
Sin perjuicio de las excepciones previstas en la ley, el Titular de los Datos Personales debe dar su autorización previa, expresa e informada para su Tratamiento, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
La autorización puede constar en un documento físico, electrónico, mensaje de datos, Internet, Sitios Web, en cualquier otro formato que permita garantizar su posterior consulta o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento, mediante el cual se pueda concluir de manera inequívoca que, de no haberse surtido una conducta del Titular, los Datos nunca hubieren sido capturados y almacenados en la Base de Datos.
La autorización será generada por IMG y será puesta a disposición del Titular con antelación y de manera previa al Tratamiento de sus Datos Personales.
Si un Dato Personal es proporcionado, dicha información será utilizada sólo para los propósitos señalados en esta Política y, por tanto, IMG no procederá a vender, licenciar, transmitir o divulgar la misma, salvo que:
– exista autorización expresa para hacerlo;
– sea necesario para permitir a los contratistas o agentes prestar los servicios encomendados;
– sea necesario con el fin de proveer los servicios y/o productos;
– sea necesario divulgarla a las entidades que prestan servicios de mercadeo en nombre de IMG o a otras entidades con las cuales se tengan acuerdos de mercado conjunto;
– la información tenga relación con una fusión, consolidación, adquisición, desinversión u otro proceso de reestructuración de la sociedad;
– sea requerido o permitido por la ley. IMG podrá subcontratar a terceros para el procesamiento de determinadas funciones o información. Cuando efectivamente se subcontrate con terceros el procesamiento de información personal o se proporcione información personal a terceros prestadores de servicios, IMG advierte a dichos terceros sobre la necesidad de proteger dicha información personal con medidas de seguridad apropiadas. Se prohíbe el uso de la información para fines propios y se solicita que no se divulgue la información personal a otros.
8. CANALES DE SUMINISTRO DE LA INFORMACIÓN
La Gerencia General de IMG será la responsable de atender las peticiones, quejas y reclamos que formule el Titular de los Datos Personales. IMG establece como datos de contacto de Servicio al Cliente los siguientes:
– Dirección Física: Cra 17A # 103A-31 Bogotá, Colombia
– Correo electrónico: info@imglatam.com
– Página web: imglatam.com
9. DERECHOS DEL TITULAR DE LOS DATOS PERSONALES
IMG declara conocer que el Titular de los datos personales tiene los derechos que a continuación se enumeran sobre sus datos personales:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento. No será necesaria la autorización del Titular de los Datos Personales para el Tratamiento en los siguientes casos:
i. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
ii. Datos de naturaleza pública.
iii. Casos de urgencia médica o sanitaria.
iv. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
v. Cuando se trate de datos relacionados con el Registro Civil de las Personas.
c) Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio, o la entidad que hiciere sus veces, quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, previo trámite de consulta o requerimiento ante el Responsable, de conformidad con el procedimiento establecido en esta política.
e) Solicitar la supresión de datos cuando así lo haya dispuesto la Superintendencia de Industria y Comercio previa comprobación de conductas contrarias a la Ley 1581 de 2012.
f) El Titular podrá consultar de forma gratuita sus datos personales al menos una vez cada mes calendario o cada vez que existan modificaciones sustanciales de las políticas de tratamiento de la información que motiven nuevas consultas.
10. OBLIGACIONES DE IMG
IMG en su calidad de Responsable del Tratamiento de Datos que le sean suministrados deberá:
a) Conservar la prueba de la autorización del Titular y de la información que le suministró al momento de obtener dicha autorización, así como la información bajo condiciones de seguridad para impedir adulteración, pérdida, consulta, uso o acceso fraudulento o no autorizado.
b) Informar al Titular en forma expresa y clara el Tratamiento al cual serán sometidos los Datos Personales y la finalidad del mismo; el carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre Datos Sensibles o sobre los Datos de las niñas, niños y adolescentes; los derechos que le asisten como Titular y la identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
c) Tramitar las consultas y reclamos formulados en los términos señalados en la presente política.
d) Dar cumplimiento a los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en la presente Política.
e) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
f) Actualizar la información e informar de ello al Encargado del Tratamiento cuando sea necesario.
g) Rectificar la información y comunicar lo pertinente al Encargado del Tratamiento cuando ello sea procedente.
h) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
j) Permitir el acceso a la información únicamente a las personas autorizadas por el Titular o facultadas por la ley para dicho efecto.
k) Suministrar al Encargado del Tratamiento la información autorizada.
l) Exigir al Encargado del Tratamiento el respeto de las normas sobre Datos Personales para garantizar la seguridad y privacidad de la información del Titular.
m) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
n) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
o) Los datos se deben conservar de acuerdo y dando cumplimiento a las normas que reglamentan la conservación de documentos.
11. MANEJO Y SEGURIDAD DE LOS DATOS
IMG procurará establecer los niveles y medidas de seguridad adecuados que garanticen de una manera razonable la confidencialidad, integridad y disponibilidad de los Datos Personales conforme lo establezca la Superintendencia de Industria y Comercio.
Entre otras, las medidas de seguridad adoptadas incluyen, pero no se limitan a:
– Establecimiento de cláusulas de confidencialidad contractual con los empleados que van más allá de la duración misma del contrato, así como acuerdos de confidencialidad independientes con los consultores para el manejo de información contenida en Bases de Datos.
– Implementación de procesos de seguridad para verificar la identidad de las personas que acceden a la información, ya sea de manera física o electrónica.
– Actualización permanente de las medidas de seguridad para adaptarlas a la normatividad vigente.
– Adopción de sistemas de seguridad de firewalls y detección de accesos no autorizados.
– Monitoreo periódico de actividades sospechosas y mantenimiento físico y electrónico de las Bases de Datos.
– Restricción interna de acceso a las Bases de Datos sólo al personal autorizado.
– Establecimiento de políticas internas de restauración de Base de Datos y canales de soporte a clientes.
12. PROCEDIMIENTO PARA QUE LOS TITULARES DE LA INFORMACIÓN PUEDAN EJERCER SUS DERECHOS
El Titular o sus causahabientes que consideren que la información contenida en una Base de Datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante IMG.
Para consultas cuya periodicidad sea mayor a una por cada mes calendario, IMG podrá cobrar al Titular los gastos de envío, reproducción o certificación de documentos.
Para presentar reclamaciones y/o consultas, se deberá aportar, por lo menos, la siguiente información:
– Nombres y apellidos del titular
– Número de identificación del titular.
– Descripción de los hechos que dan lugar a la consulta o reclamo. Documentos que considere soportan su consulta o reclamo.
– Medio por el cual desea recibir respuesta y los respectivos datos de contacto (Teléfono, celular, dirección o correo electrónico según aplique).
Las consultas serán atendidas en un término máximo de diez (10) días hábiles contados a partir del día siguiente a la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al titular o interesado los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual no será superior a los cinco (5) días hábiles siguientes al vencimiento del primer término.
Para los reclamos, si alguno resulta incompleto, se requerirá al titular o interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las falencias identificadas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el titular o interesado presente la información requerida, se entenderá que ha desistido del reclamo.
13. VIGENCIA
La presente política rige a partir del treinta y uno (31) de octubre de 2016 y deja sin efectos los reglamentos o manuales anteriores. IMG se reserva el derecho a modificarla, en los términos y con las limitaciones previstas en la ley.