Principios generales y postulados
Principios específicos
Derecho de los titulares
Deberes de La Compañía
Deberes como responsable
Deberes como encargado
Obligaciones de terceros proveedores.
Obligaciones de los trabajadores.
Medio y manifestaciones para otorgar la autorización.
Prueba de la autorización.
Procedimientos de consultas de los titulares de la información
Procedimiento de reclamos (Corrección, actualización, supresión)
Canal de protección de datos y medios de contacto
Relacionamiento de terceros
Identificación y actualización del ciclo de la información personal
Relacionamiento con terceros.
Evaluación de impacto de privacidad
Gestión del riesgo de privacidad y seguridad de la información personal – Medidas de seguridad básicas
Programa corporativo integral de protección de datos personales:
Uso de la marca de La Compañía para actividades que involucren tratamiento de información personal.
Uso de internet, aplicaciones, páginas web y otros medios digitales de comunicación
Modificaciones a la política
Vigencia
LISTA DE VERSIONES
VERSIÓN | FECHA | RAZON DE LA ACTUALIZACIÓN |
000 | 28/Junio/2017 | |
001 | 19/Septiembre/2019 | Modificación al alcance de las operaciones y responsabilidades conjuntas asociadas al manejo de información de tipo personal entre las sociedades controladas por CARBE S.A.S. |
002 | 01/Septiembre/2020 | Actualización de los canales de ejercicio de derechos en materia de protección de datos personales y datos de ubicación del Responsable del tratamiento, adicionalmente actualización frente a el tratamiento de datos personales de los titulares asociados al Responsable |
003 | 21/Marzo/2023 | Actualización del responsable del tratamiento y sociedades del alcance de la presente política. |
Definir los lineamientos generales para la implementación, aplicación, monitoreo, sostenimiento y mejora continua del Sistema de gestión y cumplimiento del régimen de protección de datos personales en la operación de CARBE S.A.S
o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, etc. (Decreto único 1074 de 2015 Artículo 2.2.2.25.1.3)
Constitución Política de Colombia
Demás normas que lo adicionen, sustituyan y/o modifiquen.
CARBE promueve la protección de derechos como el Habeas Data, la privacidad, la intimidad, el buen nombre, honra e imagen personal, con tal propósito, todas las actuaciones se regirán por los postulados de la buena fe, la legalidad, la autodeterminación informática, la libertad y la transparencia.
CARBE reconoce que su legítimo derecho al tratamiento de los datos personales de los titulares de información debe ser ejercido dentro del marco específico de la legalidad, el consentimiento del titular y las específicas instrucciones impartidas por los Responsables del Tratamiento cuando sea el caso, procurando en todo mo- mento preservar el equilibrio entre los derechos y deberes de titulares, los responsables y otros encargados del tratamiento vinculados a su operación.
Quien en ejercicio de su actividad suministre cualquier tipo de información o dato personal a la Compañía en su condición de encargado o responsable del tratamiento, podrá ejercer sus derechos como titular de la información para conocerla, actualizarla y rectificarla conforme a los procedimientos establecidos en la ley aplicable y la presente política.
CARBE aplicará los siguientes principios específicos que se establecen a continuación, los cuales constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento, almacenamiento, intercambio y supresión de datos personales:
Principio de legalidad: En el uso, captura, recolección y tratamiento de datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos funda- mentales conexos.
Principio de libertad: El uso, captura, recolección y tratamiento de datos personales sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el con- sentimiento.
Principio de finalidad: El uso, captura, recolección y tratamiento de datos personales a los que tenga acceso y sean acopiados y recogidos en el desarrollo de las actividades de CARBE, estarán subordinados y atenderán una finalidad legítima, la cual debe serle informada al respectivo titular de los datos personales.
Principio de veracidad o calidad: La información sujeta a uso, captura, recolección y tratamiento de datos per- sonales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de transparencia: En el uso, captura, recolección y tratamiento de datos personales debe garantizarse el derecho del Titular a obtener de CARBE, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.
Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados. Para estos propósitos la obligación de CARBE, será de medio.
Principio de seguridad: Los datos personales e información usada, capturada, recolectada y sujeta a trata- miento en el desarrollo de las actividades de CARBE, serán objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios físicos y electrónicos, evitando su adulteración, modificación, pérdida, consulta, y en general en contra de cualquier uso o acceso no autorizado.
Principio de confidencialidad: Todas y cada una de las personas que administran, manejen, actualicen o tengan acceso a información de la naturaleza personal, se comprometen a conservar y mantener de manera estricta- mente confidencial y no revelar a terceros, la información personal, comercial, contable, técnica, o de cualquier otro tipo suministrada en la ejecución y ejercicio de sus funciones. Este deber se hace extensivo a todos aque- llos terceros aliados, colaboradores o vinculados que se relacionen mediante cualquier vínculo convencional o contractual con CARBE.
i) Incorporación sistemática: Los principios de Protección de Datos Personal se implementarán e irradiarán la interpretación de todos los procesos y procedimientos de CARBE
En el desarrollo de sus actividades misionales, estratégicas de soporte y conexas, la Compañía realiza actividades de Tratamiento de datos personales frente a las siguientes categorías de titulares y actividades de Tratamiento respecto de las cuales la Compañía ostenta la condición tanto de Responsable como de Encargado del Tratamiento:
Accionistas: Personas naturales o jurídicas que mediante sus aportes de capital conformaron la totalidad del capital suscrito y pagado de la compañía y poseen derechos económicos sobre la misma.
Datos generales referentes a su condición de mayoría de edad.
Datos de Identificación
Datos de ubicación Comercial
Datos socioeconómicos, como datos de naturaleza tributaria.
Finalidad del tratamiento: Los anteriores datos serán tratados conforme a lo contemplado en el numeral octavo “8” de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”
Legitimación: La información recolectada es requerida como requisito legal del responsable del tratamiento para soportar la calidad de accionista de los titulares del tratamiento.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 12.4 de la presente política.
Proveedores: Personas naturales o jurídicas que prestan sus servicios personales o profesionales, acorde con sus competencias y las necesidades de La Compañía
Datos generales referentes a su condición de mayoría de edad.
Datos de Identificación
Datos de ubicación Comercial
Datos socioeconómicos: Información relacionada con los antecedentes académicos, laborales, profesionales, información acerca del tipo de vinculación al Sistema Integral de Seguridad Social, datos de identificación tributaría.
Otros datos: Antecedentes judiciales o disciplinarios.
Finalidad del tratamiento: Los anteriores datos serán tratados conforme a lo contemplado en el numeral octavo “8” de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”
Legitimación: La información recolectada es requerida como requisito legal del responsable del tratamiento para soportar la calidad de proveedor del titular, así como para soportar el consentimiento otorgado por el titular para el tratamiento de datos personales y controlar la ejecución contractual.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 12.4 de la presente política.
Empleados: Corresponde a las personas naturales que formalizan un vínculo jurídico contractual para poner a disposición de la compañía su capacidad laboral y de esta manera colaborar en la consecución de las metas y objetivos de esta, estas personas son parte activa de los procesos misionales y de apoyo de CARBE., la tipología de datos tratados de los mismos es:
Datos generales referentes a su condición de mayoría de edad.
Datos de Identificación incluida la información biométrica.
Datos de ubicación privada y comercial
Datos socioeconómicos: Datos de carácter económico, Información tributaria, datos patrimoniales, datos de carácter laboral, nivel educativo, Información relacionada con el Sistema Integral de Seguridad Social.
Otros datos: Antecedentes judiciales o disciplinarios. Datos asociados a contraseñas y usuarios de sistemas ERP de la compañía
Finalidad del tratamiento: Los anteriores datos serán tratados conforme a lo contemplado en el numeral octavo “8” de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”
Legitimación: La información recolectada es requerida como requisito legal del responsable del tratamiento para soportar la calidad de empelado del titular, así como para soportar el consentimiento otorgado por el titular para el tratamiento de datos personales y adelantar las actividades propias del relacionamiento contractual.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 12.4 de la presente política.
Trabajadores vinculados bajo la modalidad de prestación de servicios y/o personal en misión vinculado para ejecutar labores asociadas a los procesos de apoyo de la compañía, la tipología de datos tratados de los mismos es:
Datos generales referentes a su condición de mayoría de edad.
Datos de Identificación generales
Datos de ubicación privada
Datos socioeconómicos: Datos de carácter económico, Información tributaria, datos patrimoniales, datos de carácter laboral, nivel educativo, Información relacionada con el Sistema Integral de Seguridad Social. Otros datos: Antecedentes e historial judicial.
Otros datos: Antecedentes judiciales o disciplinarios
Finalidad del tratamiento: Los anteriores datos serán tratados conforme a lo contemplado en el numeral octavo “8” de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”
Legitimación: La información recolectada es requerida como requisito legal del responsable del tratamiento para soportar la calidad de proveedor del titular, así como para soportar el consentimiento otorgado por el titular para el tratamiento de datos personales y controlar la ejecución contractual.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 12.4 de la presente política.
Clientes: Grupo de personas naturales o jurídicas que hacen uso directo de los productos y servicios ofrecidos por CARBE en el desarrollo de sus actividades de los que se hace necesario conocer información personal de representantes legales y personal de contacto. La tipología de datos tratados de los mismos es:
Datos generales referentes a su condición de mayoría de edad.
Datos de Identificación
Datos de ubicación privada y comercial
Datos de tipo socioeconómico necesarios para el perfeccionamiento y operación del relacionamiento comercial.
Finalidad del tratamiento: Los anteriores datos serán tratados conforme a lo contemplado en el numeral octavo “8” de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”
Legitimación: La información recolectada es requerida para soportar las actividades de vinculación comercial, conservar evidencia del consentimiento entregado por el titular y realizar las actividades propias de la ejecución comercial convenida.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 12.4 de la presente política.
Visitantes: Grupo de personas naturales que ingresan a las instalaciones de la compañía en calidad de visitantes, los datos tratados de estos titulares son:
Datos generales referentes a su condición de mayoría de edad.
Datos de Identificación
Finalidad del tratamiento: Los anteriores datos serán tratados conforme a lo contemplado en el numeral octavo “8” de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”
Legitimación: La información recolectada es requerida para conservar evidencia del consentimiento entregado por el titular y adelantar las actividades de seguridad física y prevención de emergencias asociadas los visitantes de la compañía.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 12.4 de la presente política.
A continuación se definen los escenarios en los que obra La Compañía frente a los distintos tipos de titulares de información según la capacidad de decisión frente a los datos personales asociados y su tratamiento:
Si bien CARBE cuenta con autonomía técnica y operativa para la toma de decisiones sobre la información personal, no podrá decidir ni disponer sobre las bases de datos en sí o la forma de su tratamiento, por ejemplo: Eliminar, compartir o divulgar la base de datos sin el consentimiento o autorización previa del Responsable del tratamiento o el titular del dato. Por lo anterior será responsabilidad de quien ostente el título de Responsable del Tratamiento, recolectar y suministrar la prueba de autorización necesaria para el tratamiento de los datos suministrados.
El relacionamiento jurídico existente entre La Compañía y los trabajadores o colaboradores vinculados a su operación, así como de aquellos proveedores asociados a la prestación de servicios propios de La Compañía, permite a CARBE., contar con la potestad de decidir o disponer sobre la información de las bases de datos asociadas a este tipo de titulares, así como de la forma de su tratamiento, solo quedando supeditada esta potestad al consentimiento del titular de la información y las restricciones legales aplicables.
En el marco de las operaciones conjuntas que puedan surgir entre las compañías y sociedades relacionadas o subordinadas de CARBE S.A.S llamadas de manera conjunta e indistinta como CARBE, las mismas reconocen que es necesario el desarrollo de operaciones transaccionales que involucran el tratamiento de datos personales de los distintos titulares de información personal asociados a las unidades o servicios compartidos con miras a un mejor aprovechamiento de los recursos y optimización de los procesos.
Por lo anterior las sociedades relacionadas que gestionan este esquema de servicios, se encuentran sujetas a los siguientes lineamientos frente al tratamiento de sus datos personales:
Reconocen la importancia de la privacidad, seguridad y adecuado tratamiento de los datos personales para el desarrollo de sus operaciones.
Las transacciones, operaciones y en general cualquier tratamiento de información personal, implica una responsabilidad conjunta de Las Sociedades, por lo que todas manifiestan y asumen el compromiso de alcanzar y sostener niveles adecuados del cumplimiento de ley de protección de datos.
Cada una de las Sociedades ostenta la condición de Responsable del tratamiento de la información personal de los titulares asociados a su operación, debiendo acreditar el cumplimiento integral de las obligaciones de la ley.
El envío o uso compartido de la información personal se desarrollará a título de transferencia de datos personales.
Las sociedades se comprometen a articular sus canales de atención y procedimientos internos para el tratamiento de la información personal, así como a participar de manera activa en su ejecución de conformidad con los postulados establecidos en la presente política y demás disposiciones internas.
Los datos personales de los titulares de información se encuentran sujetos al uso y tratamiento que determina en sus distintos procesos y actividades La Compañía quien a su vez define la forma como se captura, usa, almacena, comparte y dispone la información de naturaleza personal en cada uno de sus procesos, por lo anterior y en función de la naturaleza y objeto misional de la Compañía, a continuación, se describen los principales escenarios que dan lugar al tratamiento de información personal y sus finalidades:
Proveedores / compras y adquisiciones:
Verificar antecedentes comerciales, reputacionales y eventuales riesgos de relacionamientos asociados al La- vado de Activos y Financiación del terrorismo.
Vincular al proveedor jurídica y comercialmente con la Compañía, permitiendo el desarrollo de los procedimien- tos contables, logísticos y financieros de la operación.
Formalizar el relacionamiento contractual con el proveedor, controlando la cabal ejecución de las obligaciones asumidas.
Evaluar el desempeño y resultados del proveedor con miras fortalecimiento de los procedimientos de contrata- ción o abastecimiento.
Gestión del Talento humano y relaciones laborales:
Verificar antecedentes comerciales, reputacionales y eventuales riesgos de relacionamientos asociados al La- vado de Activos y Financiación del terrorismo.
Evaluar el perfil laboral de los aspirantes con miras a la selección y formalización de la vinculación laboral, supliendo las vacantes o requerimientos de personal de las distintas áreas y funciones de La Compañía.
Verificar antecedentes académicos, laborales, personales, familiares, y otros elementos socioeconómicos sig- nificativos del aspirante laboral, según los requerimientos del cargo a proveer.
Gestionar ante las autoridades administrativas, la vinculación, afiliación o reporte de novedades asociadas al sistema general de seguridad social, así como las demás obligaciones asistenciales y prestacionales de índole laboral.
Registrar al trabajador en los sistemas informáticos de gestión de La Compañía, permitiendo el desarrollo de las actividades contables, administrativas y financieras propias del vínculo laboral.
Gestionar las novedades laborales con incidencia en la liquidación y pago de nómina.
Promover el desarrollo de actividades de bienestar y desarrollo integral del trabajador y su entorno laboral y familiar.
Gestionar los programas de capacitación y formación acorde con los requerimientos del cargo y lineamientos Corporativos.
Administrar el sistema de gestión de seguridad y salud en el trabajo, propendiendo por la mitigación de riesgos, así como la adecuada atención de incidentes.
Evaluar el desempeño y analizar las competencias funcionales de los trabajadores con miras a la determinación del plan de carrera y desarrollo integral.
Gestionar los procedimientos de desvinculación laboral, así como el cumplimiento de las obligaciones econó- micas correspondientes.
Gestionar el desarrollo y cumplimiento de las labores operativas y funcionales asociados al perfil del cargo.
Gestión de Clientes:
Verificar antecedentes comerciales, reputacionales y eventuales riesgos de relacionamientos asociados al La- vado de Activos y Financiación del terrorismo.
Soportar el relacionamiento comercial con los clientes, permitiendo su registro en los sistemas de gestión de La Compañía para el desarrollo de los procedimientos contables, logísticos y financieros de la operación.
Gestionar las labores logísticas para la prestación de los bienes y servicios de La Compañía tales como control de acceso, disponibilidad de materias primas.
Gestión administrativa y cumplimiento:
Registrar y controlar el acceso a las instalaciones de La Compañía mitigando los riesgos de seguridad física y de la información.
Verificar, controlar y monitorear el desarrollo de los procesos, actividades y productos conforme a los linea- mientos y objetivos trazados por la auditoría corporativa.
Verificar, controlar y monitorear el desarrollo de los procesos, actividades y productos conforme a los linea- mientos ambientales y la gestión de la calidad.
Gestionar el cumplimiento de las obligaciones y requisitos legales asociados al desarrollo de la operación de La Compañía.
Gestionar las denuncias asociadas a las malas prácticas corporativas o que afecten la ética o transparencia empresarial.
Soportar el desarrollo de la operación mediante el otorgamiento, gestión y mantenimiento de las herramientas y aplicaciones informáticas de La Compañía.
Gestionar el desarrollo de acciones o actuaciones jurisdiccionales o extraprocesales asociadas a mecanismos alternativos de resolución de conflictos, ya sea en causa propia o como representante legal.
Gestionar el cumplimiento de las obligaciones de naturaleza corporativa y societarias frente a los órganos in- ternos y autoridades externas.
Gestión Contable
Permitir el control de los movimientos económicos de La Compañía mediante el registro de comprobantes de contabilidad y causabilidad.
Facilitar la toma de decisiones y conocimiento de la situación económica de la organización a los directivos gracias a la elaboración y revisión de estados de financieros.
Dar cumplimiento a las disposiciones legales que obligan a La Compañía a presentar ante la autoridad competente informes y estados financieros.
Establecer e implementar mecanismos de control asociados a la validación de pago a proveedores
Gestionar las buenas relaciones entre La compañía y las entidades del estado con quienes está obligada a mantener constante comunicación
DERECHO DE LOS TITULARES.
Conforme a las disposiciones normativas aplicables, el Titular de información ostenta los siguientes derechos:
Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento.
Solicitar prueba de la autorización otorgada.
Ser informado, previa solicitud, respecto del uso que se les dará a sus datos personales.
Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en las normas sobre datos personales cuando sus consultas o reclamos presentados directamente al titular no hayan sido atendidos de forma completa u oportuna.
Solicitar la supresión de los datos personales.
Revocar la autorización mediante la presentación de una solicitud y/o reclamo. Esta no procede cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
Solicitar a la Superintendencia de Industria y Comercio (SIC) que ordene la revocatoria de la autorización y/o la supresión de los datos.
Consultar de forma gratuita sus datos personales, al menos una vez cada mes calendario y cada vez que existan modificaciones sustanciales de las políticas de Tratamiento de la información.
DEBERES DE CARBE.
Como responsable del tratamiento de la información, CARBE asume los siguientes deberes:
Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
Solicitar y conservar, copia de la respectiva autorización otorgada por el titular.
Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, ac- tualizada, comprobable y comprensible.
Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado.
Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
Tramitar las consultas y reclamos formulados.
Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
Informar a solicitud del Titular sobre el uso dado a sus datos.
Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
Como encargado del tratamiento de información personal, CARBE asume los siguientes deberes:
Informar a los Responsables del tratamiento cualquier situación o requerimiento que implique o requiera dispo- ner sobre la base de datos o su tratamiento.
Informar y apoyar al responsable en la gestión de consultas o reclamos recibidas directamente de titulares de información o canalizadas a través del responsable.
Informar y apoyar el responsable en la gestión de incidentes de seguridad de la información que comprometan información personal de los cuales tenga conocimiento o que sean informados por el responsable.
Apoyar al responsable con el suministro de la información para la realización del Registro Nacional de Bases de Datos personales, brindando la información requerida para facilitar este proceso de cumplimiento legal.
OBLIGACIONES DE TERCEROS PROVEEDORES: Sin perjuicios de las disposiciones específicas pactadas en cada caso en particular, aquellos terceros encargados del tratamiento con vínculo contractual o convencional con CARBE, se encuentran sujetos al cumplimiento de las siguientes obligaciones en materia de protección de datos personales:
Adoptar, acatar y mantener vigente una política de tratamiento de información personal aplicable al desarrollo de su operación.
Adoptar, acatar y mantener vigente un manual de políticas y procedimientos internos para el tratamiento de la información personal, incluyendo los elementos para la efectividad de la política descritos en el artículo 2.2.2.25.6.2 del Decreto 1074 de 2015.
Definir y mantener habilitados los canales para la oportuna y completa atención de las eventuales consultas y reclamos de los titulares de información en materia de protección de datos personales, para lo cual dispondrá al menos de una dirección física, una línea telefónica fija o móvil y un correo electrónico.
OBLIGACIONES DE LOS TRABAJADORES: Sin perjuicios de las obligaciones pactadas en cada caso en particu- lar, los trabajadores o colaboradores directos e indirectos, deberán dar cumplimiento a las siguientes obligaciones:
Conocer y acatar la presente política de protección de datos personales, así como las demás condiciones, limitaciones, finalidades y derechos que le asisten como titular de información personal, entre los que se en- cuentra el derecho a realizar solicitudes, quejas o reclamos frente al tratamiento de sus datos personales rea- lizado por la Organización, derechos que podrá ejercer a través de los medios, mecanismos y procedimientos descritos en el numeral 11.3 de la presente política.
Salvaguardar la seguridad de los datos personales objeto de tratamiento, el cual se realizará a nombre CARBE conforme a los principios que lo tutelan.
Para aquellos casos en que la información personal sea recolectada por CARBE en su condición de responsable del tratamiento se tendrán en cuenta los aspectos citados a continuación
Medio y manifestaciones para otorgar la autorización.
La autorización para el tratamiento de la información personal requerida es obtenida a través de las solicitudes y avisos de privacidad puestos a disposición del titular en cada uno de los canales o puntos de captura de información física, verbal o digital, los cuales han sido dispuestos mediante formularios, avisos o declaraciones que informan al titular sobre la captura y posterior tratamiento de sus datos personales, sus finalidades, derechos, canales para el ejercicio de sus derechos y de ser procedente, la forma de acceder a la presente política.
La autorización del titular para el tratamiento de los datos será otorgada de forma expresa y su manifestación podrá darse bajo las distintas modalidades establecidas en la ley, tomando en consideración la naturaleza de cada uno de los canales de recolección de información, siendo esta escrita, verbal o mediante actuaciones o conductas inequívocas del titular.
Prueba de la autorización.
La autorización del tratamiento de los datos recolectados en el desarrollo de las actividades descritas en la presente política dependerá de la naturaleza del canal o punto de recolección de información. El medio de prueba para acreditar la efectiva autorización del tratamiento dependerá del tipo de mecanismo utilizado para obtener la autorización, siendo ejemplo de ello el formato suscrito, el registro de aceptación o ingreso a la página web, la grabación de la conversación entre otros. En los eventos de aceptación por medio de conductas inequívocas, se tomará como suficiente prueba de la aceptación por parte del titular, el conjunto integrado de los siguientes elementos:
El modelo de solicitud de autorización puesto a disposición del titular al momento de capturar sus datos.
La indicación expresa en el modelo de solicitud de autorización, de la conducta inequívoca del titular que cons- tituye autorización del tratamiento.
La evidencia de la realización de la conducta inequívoca por parte del titular, siendo factible acreditar la infor- mación suministrada por el titular u otro tipo de evidencia de aceptación expresa según la naturaleza del canal.
CONSULTAS.
Los titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos de CARBE. En consecuencia, La Compañía garantizará el derecho de consulta, suministrando a los titulares toda la información vinculada con la identificación del Titular.
Las consultas deberán ser presentadas a través de los canales de Protección de datos personales utilizando alguno de los medios de contacto descritos en la presente política y siguiendo el procedimiento que se describe a conti- nuación;
Procedimiento para la realización de consultas:
En cualquier momento y de manera gratuita el titular o su representante podrán realizar consultas respecto de los datos personales que son objeto de tratamiento por parte CARBE previa acreditación de su identidad.
Cuando la consulta sea formulada por persona distinta del titular, deberá acreditarse en debida forma la per- sonería o mandato para actuar.
Las consultas recibidas directamente por algún tercero encargado del tratamiento de la información deberán ser remitidas al La Compañía a más tardar al día hábil siguiente a su recepción a través del correo electrónico descrito en el numeral 11.3 de la presente política.
La consulta debe contener como mínimo, la siguiente información:
El nombre y dirección de contacto del titular o cualquier otro medio para recibir la respuesta.
Los documentos que acrediten la identidad y capacidad de su representante, tal como se indica en los siguientes casos:
Titular: Documento de identificación.
Causahabiente: Registro civil y documento de identificación.
Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y documento de identidad.
Tutores: Sentencia judicial que confiere representación legal.
Representante legal autorizado por el titular: Poder autenticado.
La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer el derecho de consulta.
La descripción clara y precisa de la consulta que realiza el titular de información, sus causahabientes o representantes.
Aportar la documentación que avale su petición en caso de que por la naturaleza del dato sea procedente.
En caso dado, otros elementos o documentos que faciliten la localización de los datos personales.
Si la consulta realizada por la titular resulta incompleta, CARBE requerirá al interesado dentro de los cinco (5) días siguientes a la recepción de la consulta para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desis- tido de su consulta.
En el caso de consultas presentadas de forma completa, CARBE dará respuesta a los peticionarios dentro del término de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
De ser requerido, el Titular del dato podrá comunicarse a través de los canales de protección de datos de CARBE, a fin de solicitar el formato para la realización de su consulta, el cual debe considerarse como una ayuda o soporte al titular, mas no como un requisito obligatorio para el ejercicio de los derechos.
El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley, podrán presentar su reclamo a través de los canales de protección de datos personales de CARBE utilizando alguno de los medios de contacto definidos en la presente Política:
Procedimiento para la realización de reclamos:
En cualquier momento y de manera gratuita el titular o su representante podrán realizar reclamos asociados a correcciones, actualizaciones o supresión de los datos personales que son objeto de tratamiento por parte CARBE, previa acreditación de su identidad.
Cuando el reclamo sea formulado por persona distinta del titular, deberá acreditarse en debida forma la per- sonería o mandato para actuar.
Los reclamos recibidos directamente por algún tercero encargado del tratamiento de la información deberán ser remitidas a La Compañía a más tardar al día hábil siguiente a su recepción a través del correo electrónico descrito en el numeral 11.3 de la presente política.
La consulta, rectificación, actualización o supresión debe contener como mínimo, la siguiente información:
El nombre y dirección de contacto del titular o cualquier otro medio para recibir la respuesta.
Los documentos que acrediten la identidad y capacidad de su representante. Tal como se indica para los siguientes casos:
Titular: Documento de identificación.
Causahabiente: Registro civil y documento de identificación.
Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y documento de identidad.
Tutores: Sentencia judicial que confiere representación legal.
Representante legal autorizado por el titular: Poder autenticado.
Por estipulación a favor de otro: Manifestación en este sentido.
La descripción clara y precisa del tipo de reclamo que realiza el titular de información (corrección, actuali- zación o supresión).
La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer el derecho de reclamo, así como los hechos que dan lugar al mismo.
Aportar la documentación que avale su petición en caso de que por la naturaleza del dato sea procedente.
En caso dado, otros elementos o documentos que faciliten la localización de los datos personales.
Si el reclamo realizado por la titular resulta incompleto, CARBE requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de su consulta.
En el caso de reclamos (correcciones, actualizaciones y supresiones), CARBE dará respuesta a los titulares de información dentro del término de (15) días hábiles contados a partir de la fecha recibo del reclamo, cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado, expresando los moti- vos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
De ser requerido, el Titular del dato podrá comunicarse previamente a través de los canales de protección de datos de CARBE, a fin de solicitar el formato para la realización de su reclamo, el cual debe considerarse como una ayuda o soporte al titular, mas no como un requisito obligatorio para el ejercicio de los derechos.
Para el ejercicio del derecho a realizar consultas, reclamos, correcciones, actualizaciones o supresión de datos personales, el titular podrá contactar al encargado de la protección de datos personales CARBE u oficial de privacidad, a través de los siguientes medios de contacto:
Dirección física: Carrera 11 # 91 - 42 Piso 7 Edificio FIC 9211
Teléfono: (571) - 6503600
Frente al eventual uso de otros canales de contacto por parte de los titulares de información para el ejercicio de sus derechos en materia de protección de datos personales, CARBE se reserva el derecho de remitir o informar al titular de la existencia de los canales previamente descritos para dar inicio al procedimiento de consulta o reclamo de manera oportuna y completa.
Para el adecuado cumplimiento del régimen de protección de datos personales, CARBE identificará y mantendrá actualizado el entendimiento del ciclo de vida de la información personal de su operación, definiendo y validando especialmente los siguientes elementos:
Actividades o procesos que dan inicio o justifican el tratamiento de datos personales
Canales o puntos de captura de información personal, detallando el tipo de información recolectada, el medio de recolección y su finalidad.
Bases de datos y otros repositorios de información donde se almacene la información personal recolectada, especificando el medio de tratamiento de la información físico o automatizado.
Usuarios o áreas internas de CARBE con acceso a la información de las bases de datos y otros repositorios de información personal, especificando las finalidades del uso o acceso a la información.
Nodos o puntos de salida de la información personal, identificando terceros destinatarios, tipología de respon- sabilidad del tercero, así como el alcance nacional o internacional de la transmisión o transferencia de la infor- mación.
Mecanismos de disposición de la información personal recolectada.
En línea con sus políticas y disposiciones internas en materia de protección de datos personales, propenderá por vincularse o relacionarse laboral y comercialmente con aquellos terceros que reflejen su compromiso con la observancia y aplicación del régimen general de protección de datos personales en su respectiva operación.
Por lo anterior, sin perjuicio del uso de los formatos o modelos de solicitud de autorización del tratamiento, avisos de privacidad y coberturas contractuales procedentes, La Compañía podrá solicitar a sus terceros la información pertinente que le permita verificar el cumplimiento de las disposiciones contenidas en la presente política, así como en las consagradas en sus propias políticas y procedimientos internos en materia de protección de datos personales cuando así lo estime necesario.
Los terceros que con ocasión al desarrollo de su objeto contractual o convencional, incidan en el tratamiento o tengan algún impacto en el ciclo de vida de la información personal de CARBE , deberán acreditar de manera previa al momento de su vinculación, el cumplimiento de los requisitos del régimen de protección de datos, incluyendo pero, sin limitarse a la existencia y aplicación de una política de tratamiento de datos personales, la habilitación de canales para la atención de consultas y reclamos para los titulares de información personal, así como la efectiva realización y actualización del Registro Nacional de Bases de Datos Personales ante la Superintendencia de Industria y Comercio en los términos legales establecidos.
De igual forma, La Compañía se reserva el derecho de supervisar de manera eventual o periódica, el cumplimiento de los requisitos legales y contractuales asociados al régimen de protección de datos personales por parte de sus terceros, para lo cual podrá solicitar evidencias o soportes del cumplimiento, realizar visitas a las instalaciones o
sedes del tercero, entre otras medidas que estime razonables acorde con la criticidad de la operación, el volumen de los datos o la naturaleza del objeto contractual.
Al momento de culminar por cualquier razón el vínculo legal, contractual o comercial entre CARBE y cualquier tercero con incidencia en el tratamiento de datos personales, se aplicarán los procedimientos pertinentes para garantizar la disposición segura y eficaz de la información personal que haya sido objeto de tratamiento, mediante la eliminación, devolución, disociación o cualquier otra actividad que CARBE estime pertinente.
Ante el incumplimiento total o parcial de las disposiciones del régimen de protección de datos personales o de la presente política por parte de los terceros con vínculo contractual o convencional, La Compañía podrá de manera discrecional, dar terminado con justa causa el vínculo contractual o convencional o en su defecto, acodar un plan de acción con miras al alcanzar los niveles mínimos de cumplimiento de la ley, siempre y cuando se adopten las medidas de contingencias necesarias para prevenir una afectación grave a los derechos de los titulares de la información. En el evento de acordar un plan de acción con el tercero con miras al cumplimiento del régimen de protección de datos personales, el mismo se entenderá integrado al contenido del contrato o convención que formaliza el relacionamiento con el tercero.
CARBE reconoce la importancia de la privacidad y la protección de la información de sus titulares en el marco del desarrollo de sus operaciones. Con miras a promover la sostenibilidad y mejora continua de las actuales coberturas jurídicas, técnicas y organizacionales, CARBE ha adoptado un procedimiento interno y previo al desarrollo de sus nuevas operaciones o iniciativas con incidencia en el actual ciclo del tratamiento de sus datos personales, a fin de determinar con antelación las acciones, medidas y coberturas necesarias para la protección de la información y el adecuado tratamiento de los datos personales.
El desarrollo de esta iniciativa de diligencia demostrada es coordinado por el oficial de privacidad, sin perjuicio de la responsabilidad transversal que atañe a la totalidad del recurso humano vinculado a la organización conforme a los procedimientos descritos en el manual interno de políticas y procedimientos para el tratamiento de la información personal CARBE.
Sin perjuicio de los requerimientos específicos de cada caso en particular, la evaluación de impacto de privacidad deberá tomar en consideración el impacto, implicaciones y coberturas jurídicas, técnicas y organizacionales asociadas a los siguientes elementos centrales:
Titular: Analiza el impacto de la iniciativa o proyecto frente al consentimiento del titular, específicamente frente a aspectos tales como el tipo de dato involucrado, el tipo y finalidades del tratamiento, el medio para obtener la autorización, la necesidad de crear, modificar o suprimir solicitudes de autorización o avisos de privacidad existentes.
Impacto frente a los terceros: Analiza el impacto de determinada operación o iniciativa, específicamente frente a las coberturas técnicas y jurídicas en el relacionamiento con el tercero, así como los mecanismos de verifi- cación previa, durante y posterior al vínculo con CARBE, el tipo de responsabilidad del tercero frente a la
disposición de la información, el alcance nacional o internacional de la eventual transmisión o transferencia de la información. Entre otros.
Impacto frente a la autoridad: Determina las medidas o acciones de cumplimiento frente a las autoridades que ejercen control y vigilancia en materia de protección de datos personales tales como inscripción, reporte o actualización del Registro Nacional de Bases de Datos personales ante la Superintendencia de Industria y Comercio.
Impacto al interior de la organización: Determina las medidas, coberturas o ajustes procedentes al entendi- miento y validación del ciclo de la información de La Compañía, implementando las coberturas y medidas jurídicas, técnicas y organizacionales internas o realizando los ajustes pertinentes a las existentes.
A partir de la identificación del flujo del ciclo de la información personal, analiza de manera continua el nivel de criticidad de sus activos de información asociados al manejo, administración o tratamiento de datos personales, desarrollando al menos las siguientes actividades:
Determinación de bases de datos y otros repositorios con información personal: Implica la determinación del concepto de bases de datos personales conforme a la normatividad aplicable y los estándares internacionales, a fin de determinar y clasificar las distintas bases de datos con información personal y otros activos con datos personales.
Determinación del nivel de riesgo: Implica la determinación y clasificación del nivel de riesgo de cada activo de información en función a su criticidad.
Definición de controles: Implica la determinación, implementación progresiva y evaluación de controles de seguridad de la información con miras a mitigar el riesgo inherente a cada base de datos con información personal.
Las anteriores actividades se desarrollan en el marco de la implementación progresiva y la mejora continua, tomando como criterios de priorización la disponibilidad de recursos, la criticidad de los riesgos y las exigencias de la operación.
Las medidas mínimas de seguridad se encuentran relacionadas en la política de seguridad de la compañía la cual toma en consideración los siguientes lineamientos generales:
Medidas organizativas:
Definición de las funciones del personal según su responsabilidad frente al manejo de información:
Responsable de seguridad
Administrador de sistema,
Usuario
Personal sin tratamiento de datos personales
Obligaciones que afectan a todo el personal de la Compañía:
Obligaciones de confidencialidad
Puestos de trabajo
Salvaguarda y protección de contraseñas personales
Gestión de incidencias
Gestión de soportes
Procedimientos administrativos:
Solicitud telefónica de información personal
Desechado de papel
Envío de correo electrónico
Recepción de hojas de vida
Notificación de incidencias
Criterios de archivo de tratamiento manual,
Entrega de nóminas
Almacenamiento temporal
Políticas de mesas limpias
Envío de información por mailing
Medidas técnicas: Comprende las medidas y definiciones asociadas a los siguientes aspectos:
Centros de tratamientos
Medidas de acceso físico al sistema informático
Sistema antirrobo
Sistema contraincendios
Centro de protección de datos
Suministro eléctrico
Climatización
Medidas de acceso físico al archivador de papel
Destrucción de soportes
Captación de imágenes con cámaras de seguridad
Ubicación de cámaras
Ubicación de monitores
Conservación de imágenes
Deber de información
Medidas respecto al control laboral
Derecho de acceso a las imágenes
Medidas frente a puestos de trabajo
Entorno de sistemas operativos y comunicaciones
Sistema informático o aplicaciones de acceso a los tratamientos
Controles para el uso de servicios cloud
Salvaguarda y protección de contraseñas personales
Gestión de incidencias
Gestión de soportes
Gestión de respaldo y recuperación
Pseudonimización, anonimización y cifrado de la información
La Compañía ha desarrollado un programa corporativo integral para la sostenibilidad del modelo de gestión y cumplimiento en materia de protección de datos personales. El mencionado programa cuenta con los siguientes elementos mínimos:
Componente orgánico:
Comprende la definición de los roles y responsabilidades de toda la estructura administrativa de La Compañía en materia de protección de datos, articulando los distintos procedimientos internos con los deberes y responsabilidad funcionales para sus distintos niveles operativas y administrativos.
Sin perjuicio de la responsabilidad transversal de cada colaborador y directivo de La Compañía, el oficial de privacidad asume el rol de coordinación del modelo corporativo de protección de datos personales.
El oficial de privacidad rendirá informes al representante legal, Comité de privacidad u otra instancia que represente a la alta dirección, con el propósito de permitir la planeación estratégica y dirección del gobierno de la información y en particular de la política de protección de datos personales y privacidad.
Componente programático:
Comprende la definición anualizada de los principales programas, actividades e iniciativas a desarrollar por La Compañía para la sostenibilidad del modelo de gestión y cumplimiento en materia de protección de datos personales en el marco del principio de “Accountability” y mejora continua.
El programa anual corporativo de protección de datos personales será presentado por el oficial de privacidad y aprobado por el representante legal, comité de privacidad o cualquier otra instancia que determine La Compañía para la representación de la alta dirección
Sin perjuicio de la inclusión de otros elementos, el programa anual corporativo de protección de datos personales incluirá y desarrollará las siguientes actividades:
Capacitación al personal de La Compañía.
Apoyo a la operación en el análisis de coberturas jurídicas, técnicas y organizacionales asociadas al relacionamiento con titulares, terceros y autoridades.
Verificación interna, control y medición.
Formulación de planes y acciones de mejora, así como seguimiento y apoyo a su implementación.
Cumplimiento de reportes externos y monitoreo al ambiente regulatorio.
Presentación de reporte internos anuales a la alta Dirección que versen sobre el estado actual del modelo de gestión y cumplimiento de protección de datos personales
Los usuarios, trabajadores, proveedores o cualquier tercero con relación directa o indirecta con La Compañía, deberán abstenerse de realizar sin autorización previa y por escrito, cualquier iniciativa o actividad que involucre el uso de su nombre, enseña, razón social, símbolo, logo símbolo, marca o cualquier otro signo distintivo de la Compañía, cuya ejecución involucre el tratamiento de información personal. Cualquier actividad o iniciativa que se adelante sin el cumplimiento del presente requisito será responsabilidad exclusiva de su(s) autor(es) y/o promotor(es) y no generará efectos, compromisos o responsabilidad alguna para CARBE.
CARBE podrá desarrollar aplicaciones, plataformas, páginas web o en general cualquier tipo de sistema informático de propósito interno o externo con destino a uno o múltiples usuarios, en adelante denominada de forma conjunta o genérica como “Aplicaciones”.
El desarrollo de las aplicaciones podrá realizarse directamente por La Compañía o a través de terceros desarrolladores que suministren, apoyen o asesoren en las distintas fases del desarrollo o en la infraestructura tecnológica para su operación y mantenimiento.
El desarrollo, operación, mantenimiento y actualización de Aplicaciones se realizará tomando en consideración los estándares, procedimientos y controles necesarios para promover la seguridad, privacidad y adecuado tratamiento de los datos personales involucrados.
Cada Aplicación requerirá del desarrollo de los términos y condiciones especiales de uso, incluyendo un acápite específico para las condiciones de privacidad y protección de datos personales. Ante la ausencia de términos de
condiciones o acápite específico en materia de protección de datos personales, se dará aplicación a los principios, postulados y demás elementos descritos en la presente política.
La Compañía se abstendrán de publicar o divulgar mediante internet o cualquier otro medio masivo de comunicación, información personal de naturaleza sensible de los titulares respecto de los cuales ejerce tratamiento, excepto en aquellos casos en los que se asegure que el acceso es técnicamente controlable para brindar un conocimiento restringido solo para los Titulares o terceros autorizados conforme a los términos legales.
De igual forma, CARBE se abstendrá de divulgar o publicar información de carácter discriminatorio, ofensivo o que pueda afectar las particulares condiciones de vulnerabilidad o indefensión del titular de información.
La Compañía para proteger sus intereses patrimoniales y promover la seguridad en sus instalaciones ha diseñado dentro de sus procedimientos un protocolo para la solicitud, acceso, revisión y eventual entrega de información personal capturada por cámaras de vigilancia internas y/o externas.
La compañía velará por la custodia y disponibilidad de las imágenes de video vigilancia de acuerdo con sus capacidades técnicas y a las solicitudes de revisión de imágenes recibidas en cumplimiento de su protocolo.
CARBE, se reserva el derecho de modificar la presente política en cualquier momento. Para el efecto informara con (5) días hábiles de antelación a su implementación y durante la vigencia de la política. En caso de no estar de acuerdo con las nuevas políticas de manejo de la información personal, los titulares de la información o sus representantes podrán ejercer sus derechos como titulares de la información en los términos previamente descritos.
Las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta política. Una vez se cumpla(n) esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar su información, sus datos serán eliminados de nuestras bases de datos
Vigente desde el 22/Marzo/2023