INTRODUCCIÓN
El presente documento contiene los elementos, etapas y procedimientos orientados a: i) Evidenciar políticas claras, procedimientos y controles adoptados para proporcionar el debido tratamiento de los datos personales de los titulares de la información por parte de RIVA S.A.; ii) Establecer mecanismos idóneos que permitan la observancia de los principios, normas, obligaciones y derechos consagrados en la Ley Estatutaria 1581 de 2012, los decretos: 1377 de 2013, 886 de 2014 y demás normas jurídicas concordantes; iii) Establecer los mecanismos para suministrar y recibir información personal pertinente y adecuada al interior de la organización empresarial; iv) Implementar el procedimiento para la atención del ejercicio de las facultades relacionados con el derecho habeas data v) Favorecer la creación de mecanismos para la debida gestión de nuestras bases de datos personales con el fin de establecer oportunidades de mejoramiento continuo y acciones correctivas.
La presente Política aplicará a todas las actividades, operaciones, y transacciones desarrolladas por RIVA S.A. que se relacionen directamente con la amplitud de este marco normativo. En virtud de las relaciones contractuales o de servicios sostenida en esta empresa, los datos personales de los titulares deberán ser tratados de acuerdo con esta Política de Protección de datos y con el fin principal de gestionar dichas relaciones contractuales.
En este contexto, de acuerdo con el Régimen jurídico de protección de datos en Colombia, RIVA S.A. da cumplimiento a la legislación vigente en esta materia de tratamiento de datos personales, de conformidad con este Manual de políticas y procedimientos para la protección de datos personales, su debida incorporación y cumplimiento.
DEFINICIONES
Mediante el siguiente glosario se definen de manera clara, expresa e inequívoca los términos generales a utilizar en la implementación de esta Política de Protección de datos, con el objeto de dar claridad, precisión, comprensión y rigurosidad a los términos a utilizar en este Manual, teniendo en cuenta el marco normativo del Régimen legal de protección de datos.
- AUTORIZACIÓN: Consentimiento previo, expreso e informado del Titular de la información para llevar a cabo el Tratamiento de datos personales en RIVA S.A.
- TITULAR DE LA INFORMACIÓN: Persona jurídica individual (persona natural) a quien se refiere la información que reposa en el banco de datos de RIVA S.A. y sujeto del derecho de hábeas data.
- AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
- BASE DE DATOS: Conjunto o colección de información organizada de datos personales e información de titulares que sea objeto de tratamiento.
- DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o varias personas jurídicas individuales determinadas o determinables.
- DATO PÚBLICO: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados o sensibles, de conformidad con la Ley 1266 de 2008 y 1581 de 2012. Son públicos, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva, los relativos al estado civil de las personas, entre otros, como: información relativa a la profesión u oficio, a la calidad de comerciante o servidor público.
- DATO PRIVADO: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
- DATO SEMIPRIVADO: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la Ley 1266 de 2008.
- DATO SENSIBLE: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como: aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos
- RESPONSABLE DEL TRATAMIENTO: Persona jurídica individual o estatutaria, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
- ENCARGADO DEL TRATAMIENTO: Persona jurídica individual o estatutaria,, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
- TRATAMIENTO: Es cualquier actividad, operación, diligencia o gestión realizada sobre datos personales tales como: registro, uso, consulta, recolección, entrega, almacenamiento, utilización, transferencia, transmisión y eliminación.
OBJETIVO DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES EN RIVA S.A.
La presente Política de Tratamiento y Protección de datos personales tiene por objeto describir los lineamientos generales y específicos bajo los cuales RIVA S.A. gestiona, administra y realiza las operaciones legales y corporativas para el tratamiento de los datos personales de los titulares de la información que se encuentran en cualquiera de sus bases de datos, bajo las finalidades previamente establecidas y los procedimientos específicos que se establecen para su debida gestión y efectivo ejercicio del derecho de Habeas data.
ÁMBITO DE APLICACIÓN
El presente Manual aplica a todo dato personal, información y archivo registrados en las bases de datos personales de RIVA S.A., susceptibles de tratamiento, en relación con las actividades comerciales o contractuales sostenidas con los titulares de la información y con el objeto principal y exclusivo de: i) Desarrollar las actividades propias de los contratos celebrados con los titulares de la información, ii) utilizar esta información para la debida ejecución de las obligaciones contraídas con el titular, iii) ofrecer servicios y productos conforme el objeto social de la empresa, iv) llevar a cabo actividades de prospección comercial sobre eventos, servicios y productos relacionado con el giro ordinario de los negocios de la empresa y, v) Otras finalidades legales que expresamente se autoricen por parte del titular de la información de manera escrita o a través de cualquier otro medio autorizado por la ley.
PRINCIPIOS
En el desarrollo, interpretación y aplicación de la presente Política de Tratamiento y Protección de Datos personales, se aplicarán los siguientes principios normativos con el objetivo de optimizar las actividades de: registro, consulta, recolección, entrega, almacenamiento, utilización, transmisión y demás acciones relacionadas con el tratamiento de datos personales:
PRINCIPIO DE ACCESO Y CIRCULACIÓN RESTRINGIDA
El tratamiento de los datos personales en RIVA S.A. se sujeta a los límites que se derivan de la característica y naturaleza de los mismos, de acuerdo a la Ley y la Constitución. El tratamiento de esta información sólo podrá ser realizada por personas autorizadas por el titular o por las autoridades y sujetos permitidos en la Ley. En RIVA S.A. se garantiza el acceso limitado y la circulación restringida de la información personal suministrada por los titulares de la información.
PRINCIPIO DE LEGALIDAD
El Tratamiento de la información contenida en RIVA S.A. a la que se refiere esta Política de Protección de Datos Personales es una actividad reglada que debe sujetarse a lo establecido en ella y a las demás disposiciones legales y constitucionales que regulan la materia.
PRINCIPIO DE SEGURIDAD
La información sujeta a tratamiento por parte de RIVA S.A. a la que se refiere la presente Política, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
PRINCIPIO DE FINALIDAD
El tratamiento contenido en esta Política de Protección de Datos Personales de RIVA S.A. tiene una finalidad legítima de acuerdo con la Constitución y la Ley, que siempre será informada de manera clara y previa al titular de la información.
PRINCIPIO DE CONFIDENCIALIDAD
Todas las personas en RIVA S.A. que intervengan en el tratamiento de datos personales que no tengan la naturaleza de datos públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley 1581 de 2012 y en los términos de la misma.
PRINCIPIO DE LIBERTAD
El tratamiento de los datos personales contenidos en cada una de las bases de datos de RIVA S.A. sólo podrá ejercerse con el consentimiento libre, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos y divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. El silencio del titular nunca podrá inferirse como autorización del uso de su información.
PRINCIPIO DE CADUCIDAD
No habrá lugar a la supresión total o parcial de los datos administrados por el Responsable y/o Encargado de la administración de las bases de datos o a la revocación de la autorización dada por el titular mientras exista una relación contractual entre el titular y RIVA S.A.
PROHIBICIÓN DE DISCRIMINACIÓN
Se prohíbe RIVA S.A. hacer uso discriminatorio en contra de los derechos de los titulares, a través del tratamiento de la información personal recopilada en las bases de datos.
PRINCIPIO DE VERACIDAD
La información sujeta al tratamiento en RIVA S.A. será veraz, completa, exacta, actualizable, comprobable y comprensible. Se prohíbe el tratamiento de información incompleta, parcial o fraccionada que pueda inducir a error.
PRINCIPIO DE TRANSPARENCIA
En el tratamiento de los datos personales deberá garantizarse el acceso a la información de los datos personales que le conciernan al titular de la información. De acuerdo con este
principio, en RIVA S.A. se deberá suministrar -previa solicitud de su titular- como mínimo, la siguiente información: las finalidades del procesamiento de los datos personales, cuáles son los procedimientos a seguir para que el titular pueda ejercer su derecho al habeas data, demás información necesaria y suficiente que evidencie el debido tratamiento de los datos personales.
PRINCIPIO DE TEMPORALIDAD DEL DATO
Agotada la finalidad del tratamiento de datos personales recolectados por RIVA S.A., se cesará de tratar los mismos y por ende, se adoptará todas las medidas y gestiones pertinentes para tal fin.
TRATAMIENTOS DE DATOS PERSONALES
Tratamiento de datos personales es cualquier operación o conjunto de operaciones, sean o no automatizadas, que se apliquen a datos de carácter personal, en especial su recolección, conservación, utilización, revelación o supresión.
El tratamiento de los datos personales por parte de RIVA S.A. se realiza en cuatro (4) Departamentos o áreas de gestión principales de la empresa las cuales son: i) Departamento de Contabilidad, ii) Departamento de Ventas, iii) Departamento de Asuntos legales, iv) Gestión de Obras, y v) Departamento de Recursos Humanos. Cada uno de estos Departamentos es liderado por una persona encargada al interior de la organización quien dentro de sus funciones realiza tratamiento de los datos personales que se recolectan y administra en cada una de estas dependencias, según finalidades previamente establecidas. La gestión de la información personal que se realiza en cada una de estas dependencias atiende en general al siguiente ciclo de gestión interna:
CICLO INTERNO DE LA GESTIÓN DE DATOS PERSONALES EN LA ORGANIZACIÓN
1. RECOLECCIÓN
La recolección de datos personales es el primer paso en el Ciclo interno de la gestión de la información personal. En este paso, se observan los procedimientos para obtener la autorización por parte del titular y se clasifica e identifica la información personal en función de la tipología de los datos recolectados teniendo en cuenta las finalidades establecidas para su tratamiento.
1.1. SOBRE LA AUTORIZACIÓN DEL TITULAR DE LA INFORMACIÓN DEL TRATAMIENTO DE DATOS PERSONALES
La autorización para el tratamiento de los datos personales es el pilar fundamental para la debida protección del Derecho de Hábeas data. De acuerdo con el principio de libertad, el tratamiento de los datos personales sólo puede ejercerse bajo el consentimiento libre, previo, expreso e informado del titular. El titular tiene derecho a decidir qué datos quiere que sean conocidos, recolectados y administrados por el Responsable y consentir las finalidades previamente definidas para su uso.
En RIVA S.A., conforme la tipología de datos personales que se solicitan y las finalidades específicas que se describen para su tratamiento, se solicita autorización por parte del titular de la información para el tratamiento de sus datos personales, la cual debe presentar las siguientes cualidades:
- Ser previa, es decir, debe ser suministrada en una etapa anterior al tratamiento, ii) expresa, es decir, suministrada mediante un consentimiento expreso e inequívoco, iii) informada, es decir, el titular debe ser consciente de los efectos de su autorización, iv) cualificada, es decir, la autorización debe versar sobre un uso específico (finalidad concreta), no puede ser abierta y no específica, y v) se debe poder consultar posteriormente, es decir, se conservará prueba de la autorización de acuerdo con el artículo 8 de la ley 1581 de 2012.
De acuerdo con el artículo 7 del Decreto 1377 de 2013, la autorización puede manifestarse por (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización.
A efectos de conservar prueba escrita de la autorización, en RIVA S.A. se podrán adoptar formas para conservar la prueba de la autorización, a través de la inclusión de una cláusula adicional en los contratos, elaboración de un documento específico –formato, formulario, registro- o se podrán establecer mecanismos predeterminados a través de medios técnicos que faciliten al titular su manifestación automatizada.
Con el objeto de cumplir con el deber de informar al titular de la información acerca del tratamiento al cual serán sometidos sus datos personales cuando no se cuente con una autorización escrita del titular, se implementarán mensajes y avisos de privacidad expresos donde se permita el pleno conocimiento del interesado sobre el tratamiento de sus datos personales, las finalidades del mismo, los derechos que le asisten al titular, la identificación y datos de contacto del Responsable del tratamiento y los canales de acceso para ejercer sus derechos.
CASOS EN LOS QUE NO SE REQUIERE LA AUTORIZACIÓN
La autorización del Titular no será necesaria cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos de naturaleza pública. De acuerdo con el artículo 3 del Decreto 1377 de 2013, se consideran datos públicos, entre otros: los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
- Casos de urgencia médica o sanitaria
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS SENSIBLES
Si los datos personales a recolectar presentan sensibilidad, es decir, son clasificados legalmente como datos sensibles en los términos del artículo 5 de la Ley 1581 de 2012 como:
Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
En este caso, la autorización del titular de la información para su tratamiento siempre deberá estar por escrito, tener las mismas cualidades generales de la autorización para la recolección de cualquier dato personal y además, exponer de manera clara y explícita lo siguiente: i) Las finalidades específicas del tratamiento de los datos personales sensibles,
- Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento, iii) No condicionar ninguna actividad a que el titular suministre datos sensibles.
En el evento en el que se solicite información personal de menores de edad, se informará al representante legal sobre su tratamiento, las finalidades explícitas para su tratamiento – las cuales no pueden ser contrarias a los intereses y derechos superiores del menor-, el carácter facultativo de suministrar esta información por parte del representante legal y se velará por garantizar, antes de obtener la autorización, el derecho del menor a ser escuchado, opinión que se tendrá en cuenta según la madurez, autonomía y capacidad para entender el asunto.
1.2. CLASIFICACIÓN DE LAS BASES DE DATOS
De acuerdo a la identificación, finalidades, riesgos y tipología de datos personales sobre los que se realiza la recolección y posterior tratamiento al interior de la empresa, en RIVA
S.A. se han clasificado las Bases de datos como pasa a enumerarse. No se limita a que en el futuro puedan suprimirse o adicionarse nuevas bases de datos.
BASES DE DATOS DE LOS CLIENTES
Son las bases de datos manuales o automatizadas que comprenden datos de naturaleza pública y semiprivada de los titulares de la información en calidad de clientes de RIVA S.A.
cuyo tratamiento tiene como finalidad principal el cumplimiento de las obligaciones derivadas de los contratos suscritos con el titular de información y la realización de actividades de mercadeo, contacto y prospección comercial para informar sobre eventos, servicios y productos de la empresa, relacionadas con el giro ordinario de sus negocios.
La información personal que se llegare a recolectar en esta base de datos será almacenada -sea en un formato físico o digital- por parte del área encargada en RIVA S.A. en un archivo central de documentación para su tratamiento de acuerdo a las finalidades descritas, aplicando a ésta las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los registros.
BASES DE DATOS DE LOS EMPLEADOS
Son las bases de datos manuales o automatizadas que contienen datos de naturaleza pública, semiprivada y sensible de las personas naturales que se vinculan laboralmente para trabajar en RIVA S.A. cuyo tratamiento tiene como finalidad cumplir con las disposiciones contractuales, legales y reglamentarias derivadas de la relación laboral.
El tratamiento de los datos personales de los empleados de RIVA S.A., se realizará en tres
(3) momentos, a saber: antes, durante y después de la relación laboral.
Antes de la relación laboral, mientras se agota el proceso de selección de las personas que estén interesadas en participar del mismo, los titulares de la información autorizarán de manera verbal, por conducta concluyente o por escrito, el tratamiento de sus datos con la única finalidad de evaluar la selección de las mismas. La información obtenida de aquellos participantes que no resulten seleccionados en RIVA S.A. será eliminada una vez finalice el proceso de selección.
Durante la relación laboral, de aquellas personas que fueron seleccionadas para laborar en RIVA S.A. , el área o persona encargada en la empresa del tratamiento de esta base de datos almacenará, en formato físico o virtual, en un archivo central de documentación, de manera independiente a las demás bases de datos, la información suministrada por sus empleados, aplicando a éste medidas de seguridad para su protección, como son: exclusividad en el uso y manejo por el personal encargado y autorizado por la empresa, claves de acceso a la información, implementación de bancos físicos de almacenamiento en un lugar de acceso privado, bajo llave, y otras medidas técnicas, humanas y administrativas que se consideren necesarias para garantizar la seguridad y confidencialidad de los registros.
Finalizada la relación laboral, sea por cualquier causa, el área o persona encargada en la empresa mantendrá –sea en formato físico o digital- la información suministrada por el tiempo que sea necesario mientras existan finalidades de ley o contractuales que permitan su tratamiento, de acuerdo con el principio de temporalidad de los datos personales, garantizando el mismo grado de confidencialidad y seguridad que se garantizó en vigencia de la relación laboral.
BASES DE DATOS DE LOS EMPLEADOS DE LOS CONTRATISTAS
Son las bases de datos manuales o automatizadas que contienen datos de naturaleza pública y semiprivada de las personas naturales que se encuentran vinculadas laboralmente por Contratistas de RIVA S.A. cuyo tratamiento tiene como única finalidad permitir y facilitar la individualización, contacto, ubicación e identificación del personal que labora para los contratistas de RIVA S.A. en las obras o instalaciones de la empresa.
La información personal que se llegare a recolectar en esta base de datos será almacenada -sea en un formato físico o digital- por parte del área encargada en RIVA S.A. en un archivo central de documentación para su tratamiento de acuerdo a las finalidades descritas, aplicando a ésta las medidas técnicas, humanas y administrativas necesarias para garantizar su acceso limitado y su circulación restringida.
BASES DE DATOS DE CONTRATISTAS Y PROVEEDORES
Son las bases de datos manuales o automatizados que contienen datos de las personas naturales o jurídicas que mantienen un vínculo contractual y comercial con RIVA S.A. cuyo tratamiento tiene como finalidad cumplir con las disposiciones contractuales estipuladas en cada contrato suscrito. Esta base de datos puede contener datos personales públicos y semiprivados, los cuales tienen como finalidad el desarrollo y ejecución de relaciones contractuales.
La información personal que se llegare a recolectar en esta base de datos será almacenada -sea en un formato físico o digital- por parte del área encargada en RIVA S.A. en un archivo central de documentación para su tratamiento, aplicando a ésta las medidas de seguridad suficientes para su protección, teniendo en cuenta que sólo se realiza tratamiento de datos de contacto comercial, relativos a la profesión u oficio del proveedor o contratista y a su calidad de comerciante.
BASES DE DATOS DEL SISTEMA DE VIDEOVIGILANCIA
Al interior de las instalaciones de RIVA S.A. se dispone de un sistema de videovigilancia a través de cámaras fijas o móviles con la finalidad de garantizar la seguridad de los bienes y de las personas al interior de nuestra empresa así como verificar el cumplimiento por parte de los trabajadores de sus obligaciones y deberes laborales.
Este sistema permite la captura, grabación y registro de información personal de personas identificadas o identificables a través de imágenes así como la creación y almacenamiento de un fichero el cual es administrado directa y exclusivamente por la Gerencia de la empresa a través de un acceso restringido, que puede ser directo o remoto, a través de un usuario y contraseña, garantizando siempre la seguridad y confidencialidad de los registros.
El plazo máximo de cancelación de las imágenes capturadas es de 30 días y únicamente podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes laborales o sirvan de prueba para un posterior proceso de investigación por parte de las autoridades competentes.
Derivado de las especiales características que se presentan en la videovigilancia, se adoptó en RIVA S.A. un procedimiento específico para informar a los titulares de información cuyas imágenes se capturen. Este procedimiento consiste en la incorporación de un distintivo informativo que se exhibe en cada uno de los accesos a las zonas vigiladas mediante el cual se le informa al titular de información que sus imágenes serán capturadas al acceder a la zona videovigilada con el objeto de facilitar el control laboral y garantizar la seguridad de los bienes y las personas, y que podrá ejercer sus derechos como titular de la información ante la oficina de administración del establecimiento.
No se instalarán cámaras fijas o móviles en espacios protegidos por el derecho a la intimidad como: baños, zonas de descanso, vestuarios ni espacios donde se pueda afectar la intimidad de las personas, ni tampoco se grabarán conversaciones privadas mediante este sistema. El uso de videocámaras con fines de control empresarial, de persuasión y seguridad de las personas y los bienes al interior de la empresa se limitará a las finalidades previstas en este Manual y sólo se instalará en los lugares estrictamente necesarios para satisfacer las finalidades descritas.
2. MANTENIMIENTO Y USO DE LOS DATOS PERSONALES
El tratamiento de los datos personales se realizará exclusivamente por el personal autorizado de la empresa en ejercicio de sus funciones. En este sentido, el uso y administración de cada una de las bases de datos identificadas y clasificadas al interior de la empresa es restringido, reglado y limitado en el acceso.
El tratamiento de la base de datos de empleados así como base de datos de empleados de los contratistas, corresponderá al Departamento de Recursos Humanos de empresa quien velará por su administración conforme a las finalidades previamente establecidas, teniendo en cuenta el presente Manual de Políticas y Procedimientos, garantizando la circulación restringida y la confidencialidad de los datos, en especial, de aquellos que sean de carácter privado, sensible y sólo deban ser conocidos por el personal autorizado para la debida ejecución de las obligaciones legales y reglamentarias derivadas de la relación laboral.
El tratamiento de bases de datos de clientes, corresponderá principalmente Departamento de ventas de RIVA S.A. -personal delegado para la realización de actividades de prospección y contacto comercial- de acuerdo a las finalidades previamente autorizadas. Teniendo en cuenta que la mayoría de los datos personales que se recolectan en estas bases de datos son información de contacto, de ubicación, directamente relacionadas con la profesión u oficio del titular (datos públicos), la confidencialidad recaerá principalmente sobre datos personales de carácter privado o semiprivado que pueda llegar a suministrar el titular.
La información legal, financiera, crediticia y demás relacionada con los documentos y trámites pertinentes para la celebración y suscripción de contratos de compraventa y demás relacionados con el giro ordinario de los negocios de RIVA S.A. será delegada al Departamento de Asuntos legales de la empresa, quien velará por el cumplimiento efectivo de los contratos suscritos y garantizará el acceso limitado y la circulación restringida de la información necesaria que sea suministrada por el titular para llevar a término las relaciones contractuales que se generen.
El tratamiento de la base de datos de proveedores y contratistas será realizado por el Departamento de Contabilidad quien a su vez podrá solicitar y transferir información a los demás Departamentos de la empresa con el objeto de realizar las actividades conexas y relacionadas con sus funciones principales.
El tratamiento de la base de datos de videovigilancia se realizará conforme a las medidas técnicas, administrativas y humanas que garanticen la confidencialidad y seguridad de los
registros. De acuerdo a las finalidades previamente establecidas, la información personal que se almacene en esta base de datos será tratada exclusivamente por la alta dirección de la empresa o personal expresamente delegado.
GESTIÓN DEL RIESGO EN EL TRATAMIENTO DE DATOS PERSONALES
Con el objeto de preservar la confidencialidad, integridad y disponibilidad de la información personal tratada por RIVA S.A., se realizarán todas las acciones pertinentes para minimizar los riesgos asociados al tratamiento de los datos personales.
En este sentido, el Oficial de protección de datos personales de la empresa documentará un Marco de gestión de riesgos de la información personal de la empresa que contendrá, como mínimo, los siguientes elementos:
- Identificación de vulnerabilidades y amenazas sobre seguridad, acceso y confidencialidad de las bases de datos personales: Consiste en realizar la documentación de los riesgos, amenazas e incidentes que hayan ocurrido en cualquier etapa del ciclo de gestión del tratamiento de la información personal.
- Medición de las amenazas y riesgos asociados: Consiste en determinar la posibilidad de ocurrencia de los riesgos relacionados e identificados en el tratamiento de los datos personales y cuál sería su impacto en caso de materializarse.
- Planes de acción, medidas de tratamiento y control de los riesgos asociados: Consiste en establecer las acciones que se deben tomar para controlar y mitigar los riesgos a que se ven expuestos los datos personales. Los controles pueden ser preventivos, correctivos, técnicos o manuales.
- Monitoreo de riesgos, amenazas o incidentes: Consiste en realizar seguimiento continuo para velar por el cumplimiento de las medidas adoptadas.
De acuerdo con este Marco de gestión de riesgos, el Oficial de protección de datos podrá sugerir a la alta dirección de la empresa realizar cambios, adoptar medidas, implementar tecnologías, entre otros recursos técnicos para la debida gestión y minimización del riesgo asociado. Así mismo, entre sus funciones principales, deberá impulsar una cultura de protección de datos personales al interior de la organización, velar por el cumplimiento del presente Manual de políticas y procedimientos, monitorear y controlar los riesgos identificados, formar y entrenar de manera general a todo el personal de la empresa sobre la materia y de manera complementaria, al personal que dentro de sus funciones realice tratamiento de datos personales.
3. SUPRESIÓN DE LOS DATOS PERSONALES
De acuerdo con el principio de la temporalidad del dato, en RIVA S.A. no se continuará con el tratamiento de los datos personales una vez se agote la finalidad para su tratamiento. En este sentido, el Oficial de protección de datos instruirá al personal encargado para la supresión de la información respectiva, bajo un procedimiento simple donde se garantice la seguridad y efectividad de la actividad.
Cuando exista obligación legal de conservar información personal recolectada, por ejemplo en el caso de los ex empleados, clientes, proveedores y contratistas frente a los cuales se celebró una relación contractual, se conservará la información necesaria bajo medidas técnicas y humanas que permitan la seguridad de los registros por el término que la ley exija su conservación.
El Oficial de protección de datos dejará constancia simple de la supresión de información una vez finalizado el proceso.
DERECHOS DE LOS TITULARES DE LA INFORMACIÓN
En RIVA S.A. se reconoce y garantiza a los titulares de los datos personales los siguientes derechos:
- Acceder, conocer, actualizar y rectificar sus datos personales frente al responsable y/o encargado del Tratamiento.
- Presentar quejas, sugerencias o reclamos directamente sobre la Política de protección de datos personales y la forma de su tratamiento.
- Conocer este Manual de políticas y procedimientos para la protección de datos personales adoptado por RIVA S.A.
- Presentar quejas por infracciones a lo dispuesto en la normatividad vigente ante la Superintendencia de Industria y Comercio
- Modificar y revocar la autorización y/o solicitar la supresión de los datos personales, cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales vigentes.
- Tener conocimiento y acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
DEL DERECHO AL ACCESO A LA INFORMACIÓN
En RIVA S.A. se garantiza el derecho de acceso a la información, previa acreditación de la identidad del titular o debida representación, poniendo a disposición de éste los respectivos datos personales tratados, a través de cualquier medio de comunicación. Dicho acceso, se sujeta a los límites establecidos en el artículo 21 del Decreto Reglamentario 1377 de 2013.
DEL DERECHO DE CONSULTA
Los titulares de los datos personales podrán consultar su información de carácter personal que repose en cualquier base de datos de RIVA S.A. Se garantiza el derecho de consulta en los términos de la Ley 1581 de 2012 y el Decreto 1377 de 2013 de acuerdo al procedimiento señalado en esta Política de protección de datos personales.
DEL DERECHO A RECLAMAR
Cuando el titular de la información considere que sus datos personales almacenados en una de nuestras base de datos puede ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes y principios contenidos en la normatividad sobre Protección de Datos Personales, podrá ejercer el derecho de reclamación en los términos que más adelante se establecen.
DEL DERECHO A LA RECTIFICACIÓN Y ACTUALIZACIÓN DE DATOS
El Responsable y/o Encargado del tratamiento de datos se obliga a rectificar y actualizar a solicitud del Titular, la información de carácter personal que se encuentre en cualquiera de nuestras bases de datos y que resulte incompleta o inexacta, de conformidad con el procedimiento y lo términos que se describen en el siguiente capítulo.
En las solicitudes de rectificación y actualización de datos personales, el Titular debe indicar las correcciones a realizar y aportar la documentación que avale su solicitud.
DEL DERECHO A LA SUPRESIÓN DE DATOS
El titular de la información tiene el derecho en todo momento a solicitar ante el Responsable y/o Encargado del tratamiento de datos la eliminación total o parcial de sus datos personales. Entre las causales que puede argumentar el solicitante se enumeran:
- Que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente sobre Protección de Datos Personales.
- Que hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
- Que se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recogidos.
El derecho de supresión no es un derecho absoluto. El Responsable y/o Encargado del tratamiento de datos puede negar o limitar el ejercicio de este derecho cuando:
- El titular de los datos tenga el deber legal o contractual de permanecer en la base de datos.
- La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.
DEL DERECHO A REVOCAR LA AUTORIZACIÓN
Todo titular de datos personales puede revocar en cualquier momento el consentimiento al tratamiento de sus datos personales, siempre que no lo impida una disposición legal o contractual. Para ello, en RIVA S.A. se han establecido mecanismos que le permiten al titular revocar su consentimiento el cual se atenderá bajo las siguientes modalidades:
- TOTAL: Sobre la totalidad de finalidades consentidas, esto es, que RIVA S.A. se debe dejar de tratar por completo los datos del Titular de datos personales.
- PARCIAL: Sobre ciertas finalidades que fueron consentidas previamente por el titular de la información. En este caso, se deberá suspender parcialmente el tratamiento de los datos del titular en lo que éste expresamente señale. Se mantienen así otros fines del tratamiento que el Responsable/o encargado del tratamiento de datos, de conformidad con la autorización otorgada, puede seguir llevando a cabo.
El derecho de revocatoria no es un derecho absoluto. Los Responsables y/o Encargados del tratamiento de datos personales pueden negar o limitar el ejercicio del mismo cuando:
- El titular de los datos tenga el deber legal o contractual de permanecer en la base de datos.
- La revocatoria de la autorización del tratamiento obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
- Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.
Los datos sean datos de naturaleza pública y correspondan a los registros públicos, los cuales tienen como finalidad su publicidad.
DEBERES DE RIVA S.A. EN CUANTO AL TRATAMIENTO DE LOS DATOS PERSONALES
En RIVA S.A. se atenderá a los deberes previstos para los Responsables y Encargados del Tratamiento, contenidos en los artículos 17 y 18 de la Ley 1581 de 2012, o normas que la reglamenten o modifiquen, a saber:
- Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data
- Solicitar y conservar copia de la respectiva autorización otorgada por el Titular
- Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento
- Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible
- Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento
- Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular
- Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley
- Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo
- Informar a solicitud del Titular sobre el uso dado a sus datos
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio
Secreto de profesionalidad en cuanto a los datos suministrados por los titulares de la información y deber de guarda de confidencialidad incluso después de finalizar su relación contractual con RIVA S.A.
GENERALIDADES
CONOCER, RECLAMAR O REVOCAR SU AUTORIZACIÓN
Para el ejercicio del derecho de consulta, reclamo, rectificación y actualización de datos, supresión de datos o revocación de la autorización, el titular de la información deberá elevar un escrito dirigido a RIVA S.A. donde se exponga de manera clara y detallada la descripción de su petición y los fundamentos o razones para el ejercicio sus derechos, entre ellos, acreditar plenamente su identidad como titular de la información personal solicitada.
Las medidas de seguridad razonables que se tomarán para garantizar que la información personal solicitada o consultada sea suministrada únicamente a los titulares, personas debidamente autorizadas por éstos o a sus causahabientes, implica que se sigan con estricto cumplimiento las siguientes reglas al momento de atender cualquier petición relacionada con esta materia:
- Para verificar que el escrito esté debidamente suscrito por el titular, se comprobará su calidad mediante exhibición simple de cualquier documento idóneo que permita su identificación, en el evento en el que el titular radique personalmente la solicitud, o a través del mismo escrito que contiene la petición, debidamente autenticado mediante diligencia notarial de reconocimiento de contenido y firma.
- Si el escrito es presentado a través de mandatario, apoderado o persona autorizada, se verificará el respectivo Poder que se encuentre válido y con todas las formalidades de ley.
- Si el escrito es presentado por uno de sus causahabientes se verificará la calidad del mismo con respecto al titular de la información mediante cualquier medio que permita su identificación.
El Titular de la información podrá actuar a través de su representante legal o apoderado cuando aquel se encuentre en situación de incapacidad o minoría de edad o hechos que le imposibiliten el ejercicio personal de sus derechos sobre sus datos personales, en cuyo caso, será necesario que el representante legal o apoderado acredite tal condición.
Cuando la solicitud sea formulada por persona distinta al titular y no se acredite que la misma actúa en representación legitima, se tomará como no presentada.
Para facilitar el acceso, respuesta y trámite de las solicitudes se podrán habilitar los medios de comunicación que se considere pertinente. Se podrán establecer formularios de recepción de consultas los cuales se pondrán a disposición de los interesados en la página web o físicamente de manera visible en las instalaciones del punto de atención personal de la empresa. No se exigirá ningún costo monetario por la recepción, trámite y respuesta del ejercicio de los derechos por parte del titular de la información en RIVA S.A.
PROCEDIMIENTO
FRENTE A LAS CONSULTAS
Para recibir, atender, tramitar y dar respuesta a las consultas que realicen los titulares de la información se tendrán en cuenta los siguientes requisitos:
- Fecha de solicitud
- Fotocopia del documento de identificación
- Dirección de contacto (Física o electrónica)
- Teléfono
- Descripción clara, detallada, legible de los hechos, razones y peticiones concretas de la consulta.
TÉRMINO PARA LA ATENCIÓN DE CONSULTAS
El término máximo para tramitar y dar respuesta a estas consultas es de (10) días hábiles contados a partir de la fecha de su recibo. En el caso en la que una solicitud de consulta no pueda ser tramitada dentro de este término, se informará al interesado antes del vencimiento del mismo exponiendo las razones del retraso en la respuesta a su consulta. En todo caso, el término máximo de respuesta no puede superar los (5) días hábiles al vencimiento del primer término.
FRENTE A LOS RECLAMOS, RECTIFICACIONES, ACTUALIZACIONES O SUPRESIÓN DE DATOS
La solicitud la podrá presentar el titular de la información personal teniendo en cuenta la información señalada en el artículo 15 de la Ley 1581 de 2012 y de acuerdo a los siguientes requisitos mínimos para su trámite y respuesta:
- Fecha de solicitud
- Fotocopia del documento de identificación
- Dirección de contacto (Física o Electrónica)
- Teléfono
- Descripción detallada y clara de los hechos, razones y peticiones de la solicitud.
En las solicitudes de rectificación y actualización de datos personales, el titular debe indicar las correcciones a realizar y aportar la documentación que avale su petición.
TÉRMINO PARA LA ATENCIÓN DE RECLAMOS, RECTIFICACIONES, ACTUALIZACIONES O SUPRESIÓN DE DATOS
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término
Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En el caso de que quien reciba el reclamo no sea competente para resolverlo, se dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. De lo contrario, se dará el trámite como consulta y en su respuesta se indicará al solicitante los requisitos mínimos que se requieran para proceder al trámite y respuesta del mismo.
FRENTE A LA REVOCACIÓN DE LA AUTORIZACIÓN
Todo titular de datos personales puede revocar, en cualquier momento, el consentimiento al tratamiento de éstos siempre y cuando no lo impida una disposición legal o contractual. Existen dos modalidades en las que la revocación del consentimiento puede darse:
La primera, sobre la totalidad de las finalidades consentidas, esto es, que el titular exija que se debe dejar de tratar por completo sus dato personales por parte de RIVA S.A.. La segunda, es la revocación parcial del consentimiento, mediante la cual se mantienen a salvo otras finalidades del tratamiento.
Los requisitos mínimos para la recepción, atención, trámite y respuesta de esta solicitud son:
- Fecha de solicitud
- Fotocopia del documento de identificación
- Dirección de contacto (Física o Electrónica)
- Teléfono
- Descripción detallada y clara de los hechos, razones y peticiones de la solicitud.
- Detallar si es una revocación total o parcial
TÉRMINOS PARA LA ATENCIÓN DE REVOCATORIAS
El término máximo para atenderlo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
OFICIAL DE PROTECCIÓN DE DATOS PERSONALES EN RIVA S.A.
RIVA S.A. es el RESPONSABLE DEL TRATAMIENTO de datos personales y la dependencia, persona o área asignada para velar por la implementación efectiva de las políticas y procedimientos adoptados por RIVA S.A. así como la implementación de buenas prácticas para la gestión de datos personales será el OFICIAL DE PROTECCIÓN DE DATOS PERSONALES.
Los datos del Responsable del tratamiento de datos personales son los siguientes:
NOMBRE O RAZÓN SOCIAL: RIVA S.A. DOMICILIO: LA CEJA (ANT) DIRECCIÓN: CALLE 18 NRO. 20-74
CORREO ELECTRÓNICO: rivasa@une.net.co TELÉFONO: 4440420
FUNCIONES DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES
En principio sólo existirá una persona designada como OFICIAL DE PROTECCIÓN DE DATOS el cual será escogido por la Alta dirección de la empresa. Sus funciones principales son las siguientes:
- Promover la elaboración e implementación de un sistema que permita la gestión de los riesgos del tratamiento de datos personales.
- Servir de enlace y coordinador con las demás áreas de la organización para asegurar la implementación transversal de la Política de tratamiento de datos personales de la organización.
- Impulsar una cultura de protección de datos personales en la organización.
- Mantener un inventario de las bases de datos personales en poder de la organización y clasificarlas según su tipo y finalidades.
- Registrar las bases de datos de la empresa en el Registro Nacional de Bases de Datos Personales y actualizar el reporte según instrucción de la Autoridad Nacional de Protección de Datos, Superintendencia de Industria y Comercio.
- Obtener las declaraciones de conformidad de la SIC cuando sea requerido.
- Analizar las responsabilidades de cada cargo al interior de la organización para valorar los riesgos y diseñar un programa de entrenamiento en protección y tratamiento de datos personales de acuerdo al cargo.
- Realizar un entrenamiento general en protección de datos personales a todo el personal de la empresa.
- Realizar un entrenamiento complementario en protección de datos al personal que por sus funciones, tengan acceso a las bases de datos personales.
- Integrar la presente política de tratamiento de datos personales a las demás políticas internas en la empresa, en especial: talento humano, gestión de clientes, mercadeo, gestión de proveedores.
- Velar por la efectiva implementación de las políticas de tratamiento de la información personal.
VIGENCIA
La presente Política de Tratamiento y Protección de Datos Personales ha sido elaborada en concordancia con todas las normas vigentes del Régimen jurídico de Protección de Datos en Colombia, de acuerdo con el artículo 15 de la Constitución política, Leyes Estatutarias 1266 de 2008, 1581 de 2012, Decretos: 1377 de 2013, 886 de 2014, Sentencias de la Corte Constitucional C–1011 de 2008, y C-748 del 2011, y demás normas jurídicas que le sean concordantes.
Esta política de protección de datos entra en vigencia a partir de su aprobación. Dentro del marco operativo y de ejecución de este Manual de protección de datos se realizarán las acciones pertinentes y necesarias para su correcta incorporación en el normal desarrollo de las actividades de la empresa.
El periodo de vigencia de las bases de datos será aquel acorde con la finalidad para la cual fue autorizado el tratamiento de los datos personales. Una vez agotada la finalidad, no se tratarán los datos personales de la base de datos respectiva y se procederá a la supresión de la información.
PROTECCIÓN DE DATOS PERSONALES EN LOS CONTRATOS
Se incluirá en todos los medios contractuales de la empresa una cláusula de confidencialidad y de manejo de la información, donde se afirme que se conoce el presente Manual interno de políticas y procedimientos para la protección de datos personales, el cual se acepta y se tiene en cuenta para el tratamiento de la información personal.
En los contratos de prestación de servicios externos, cuando el contratista requiera de datos personales para la ejecución de tareas izadas, la empresa suministrará dicha información siempre y cuando exista una autorización por parte del titular de los datos personales y se enuncien las finalidades exclusivas de dicho tratamiento, quedando excluida de esta autorización, el tratamiento de los datos personales de naturaleza pública.
El tercero responsable quedará como Encargado del tratamiento de datos de la información suministrada, velará por todos las obligaciones y deberes que adquiere bajo esta calidad y según las normas establecidas en el Régimen legal de protección de datos, incluyendo las medidas de seguridad necesarias que garanticen en todo momento la confidencialidad, integridad y disponibilidad de la información de carácter personal encargada para su tratamiento.
Por su parte, en RIVA S.A. se verificará al momento de recibir datos de terceros y actuar como Encargado del tratamiento de datos de carácter personal, que la finalidad, o finalidades de los tratamientos autorizados por el titular se encuentran vigentes y que el contenido del motivo, fin o propósito del tratamiento esté relacionado directamente con la causa por la cual se va a recibir dicha información personal de parte del tercero, pues sólo de este modo se podrá recibir y tratar dichos datos personales.
De acuerdo con el deber de informar a los titulares de la información los derechos que el Régimen de protección de datos consagra a su favor y el procedimiento para la atención de peticiones, consultas y reclamos, este Manual se publicará en la página web de RIVA o estará disponible para su consulta en las oficinas de la administración de la empresa.
Es un deber de los empleados y de todo el personal que trabaja en RIVA S.A. conocer esta Política y realizar todos los actos conducentes a su cumplimiento.
Se reserva el derecho a actualizar y modificar los términos de la presente Política cuando así se requiera de acuerdo a los procedimientos internos de RIVA S.A. y según las obligaciones exigidas en el Régimen jurídico de Protección de Datos. Cuando sea actualizada, deberá ser informada a través de medios idóneos a los titulares de los datos contenidos en sus bases de datos, previa a su implementación.
Esta Política de tratamiento y protección de datos personales empezó a desarrollarse en el año 2013 y fue aprobada y publicada tan pronto se conoció el texto del decreto 1377 de 2013.
Los diferentes canales de comunicación habilitados para contactarse con la RIVA S.A. son los siguientes:
- Vía telefónica: 444-04-20
- Vía correo electrónico: rivasa@une.net.co
- Página web: www.constructorariva.com
- Personalmente en: Calle 18 Nro. 20-74, (La Ceja, Ant)