Política de tratamiento de datos
Introducción
La Constitución Política de Colombia establece en su artículo 20 el derecho fundamental de acceso a la información. A su vez consagra, en su artículo 15, derechos y garantías a quienes ostentan la titularidad de dicha información, tales como, la protección a la intimidad personal y familiar, al buen nombre y a conocer, actualizar y rectificar la información que sobre ellas se haya recolectado, almacenado, o haya sido objeto de uso, circulación o supresión de las bases de datos y archivos de entidades públicas y privadas.
En virtud del referido artículo –Art. 15 CP- fue expedida la Ley Estatutaria 1581 del 17 de octubre de 2012, la cual estableció los principios y disposiciones aplicables al tratamiento de datos personales que se encuentren registrados en cualquier base de datos de entidades, tanto de carácter público como privado.
El literal k) del artículo 17 y el literal f) del artículo 18 de la mencionada ley, establecen como deber de los responsables y encargados del tratamiento de los datos, la adopción de un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los titulares.
La presente Política de Tratamiento de Datos Personales es adoptada con el fin de dar aplicación a la mencionada ley y demás Decretos Reglamentarios.
1. NIVEL DE INTERVENCIÓN
Según la naturaleza de la respectiva base de datos, YOKOMOTOR S.A., en adelante el “CONCESIONARIO” y nuestros distribuidores AUTOMOTORES TOYOTA COLOMBIA S.A.S., adelante “ATC” y DISTIRBUIDORA HINO DE COLOMBIA S.A.S., en adelante “DHC”, y cualquier empresa del grupo Inchcape, y/o el(los) fabricante(s) de los vehículos marca Hino[…], en adelante serán conocidos como los “DISTRIBUIDORES”, podrá ostentar la calidad de RESPONSABLE DEL TRATAMIENTO o ENCARGADO DEL TRATAMIENTO de información personal que compongan las BASES DE DATOS relacionadas en la presente política.
2. OBJETIVO
Describir las directrices para el tratamiento de datos personales, con miras a garantizar los derechos de los titulares de la información, conocer, actualizar y rectificar la información recolectada. Asimismo, definir las responsabilidades por parte del CONCESIONARIO y los DISTRIBUIDORES para el tratamiento de los datos personales en cumplimiento de la normatividad vigente.
3. OBLIGATORIEDAD
Esta política es de obligatorio y estricto cumplimiento por parte del CONCESIONARIO y los DISTRIBUIDORES, sus empleados, colaboradores, trabajadores, contratistas, y, en general, cualquier tercero que sostenga vínculo contractual o legal con éste y que, debido a ello, tenga acceso a información de la compañía.
Todos los colaboradores del CONCESIONARIO deben observar y respetar esta política en cumplimiento de sus funciones, si aplica.
4. DEFINICIONES
Definiciones señaladas en la Ley 1581 de 2012, en el Decreto reglamentario 1377 de 2013 y en la presente política[1]:
- Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
- Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
- Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
- Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Dato privado: El dato que por su naturaleza íntima o reservada solo es relevante para el titular.
- Dato semiprivado: El dato que no tiene naturaleza íntima, reservada, ni pública, y cuyo conocimiento de divulgación puede interesar no sólo al titular sino a cierto sector o grupo de personas.
- Dato biométrico: Todos aquellos datos relativos a las características físicas, fisiológicas o comportamentales de una persona que faciliten su identificación.
- Datos sensibles: Aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación. Se entienden como datos sensibles, entre otros: aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, los datos relativos a la salud, a la vida sexual y los datos biométricos.
- Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del tratamiento.
- Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
- Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
- Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable el tratamiento y se encuentra dentro o fuera del país.
- Transmisión: tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
5. PRINCIPIOS
Los principios que se establecen a continuación constituyen los parámetros generales que serán respetados por el CONCESIONARIO y los DISTRIBUIDORES en los procesos de tratamiento de datos personales.[1]
- Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley 1581 de 2012 y la Constitución Política. En este sentido, se entiende que el tratamiento de los datos personales lo realizaran las personas que sean autorizadas por CONCESIONARIO y los DISTRIBUIDORES.
- Los datos personales, a excepción de la información pública, no estarán disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.
- Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento;
- Principio de finalidad: El tratamiento de los datos personales recogidos por el CONCESIONARIO y los DISTRIBUIDORES, obedecerá a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual será informada al titular;
- Principio de legalidad: Durante todas las etapas y actividades de Tratamiento de información por parte del CONCESIONARIO y los DISTRIBUIDORES, o quien este designe como ENCARGADO del tratamiento, se dará aplicación, además de lo establecido en la presente política, a lo dispuesto en la Ley 1581 de 2012 y 1266 de 2008, los decretos reglamentarios 1377 de 2013 y 1727 de 2009, compilados en el Decreto Único 1074 de 2015, y las que se lleguen a desarrollar o modificar;
- Principio de libertad: Las actividades de tratamiento se llevarán a cabo con el consentimiento, previo, expreso e informado del titular. Los datos personales no serán obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
- Principio de transparencia: En sus actividades de tratamiento el CONCESIONARIO y los DISTRIBUIDORES, deberán garantiza el derecho del titular a obtener información acerca de la existencia de datos que le conciernan;
- Principio de seguridad: La información sujeta a tratamiento por parte del CONCESIONARIO y los DISTRIBUIDORES, será resguardada mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, perdida, consulta, uso o acceso no autorizado o fraudulento;
- Principio de veracidad o calidad: el CONCESIONARIO y los DISTRIBUIDORES ejecutarán sus actividades de tratamiento sobre información veraz, completa, exacta, actualizada, comprobable y comprensible. En línea con lo anterior, el CONCESIONARIO y los DISTRIBUIDORES se abstendrán de realizar actividades de tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
6.1. POLÍTICAS
6.1.1. AUTORIZACIÓN OTORGADA POR EL TITULAR
Por regla general, las actividades de tratamiento de información reglamentadas por la presente Política serán ejecutadas sobre datos personales cuyos titulares hayan emitido su autorización de manera previa, expresa e informada, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior mediante el formato de “autorización para el tratamiento de datos personales” o documento similar, de forma oral, o mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. Sin perjuicio de lo anterior, el CONCESIONARIO y los DISTRIBUIDORES, se reservan el derecho a ejecutar actividades de tratamiento, sobre información cuya autorización no sea requerida en virtud de las disposiciones legales que reglamentan la materia, caso en el cual continúan vigentes los deberes del CONCESIONARIO y los DISTRIBUIDORES, frente a los titulares de la información, establecidos en la presente política.
La autorización del titular no será necesaria en los siguientes eventos:
- La información sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Se trate de datos de naturaleza pública.
- Se trate de casos de urgencia médica o sanitaria.
- Cuando el tratamiento de datos personales esté autorizado por la ley para fines históricos, estadísticos o científicos.
- Se trate de datos relacionados con el registro civil de las personas.
Cualquier dato positivo o negativo que repose en la Base de Datos de un Encargado del Tratamiento de la información, sin contar con la Autorización otorgada por su Titular, debe ser eliminado de manera inmediata, una vez se advierta la ausencia de esta como consecuencia de la solicitud del Titular, surtida a través del respectivo reclamo.
6.2. ÁREA RESPONSABLE DEL CUMPLIMIENTO DE LA POLÍTICA
El CONCESIONARIO, ha designado a la JEFATURA ADMINISTRATIVA como responsable de velar por el cumplimiento de la presente política; sin embargo, las respuestas a las consultas y reclamaciones realizadas por los titulares estarán a cargo de las áreas que administran las Bases de Datos, así:
- Base de Datos de empleados y colaboradores. Área de Gestión Humana.
- Bases de Datos de exempleados. Área de Gestión Humana.
- Base de Datos de proveedores. Área de Compras y Suministros.
- Base de Datos de accionistas. Gerencia Jurídica.
- Base de Datos de procesos judiciales. Gerencia Jurídica.
- Base de Datos de Contratos. Gerencia Jurídica.
- Base de Datos de acceso a usuarios a sistemas de información. Área de Sistemas.
- Base de Datos de visitantes. Jefatura Administrativa.
- Bases de Datos de usuarios de demos. Área Comercial
- Bases de Datos de entregas de artículos publicitarios. Área de mercadeo
- Base de Datos de asistentes a capacitaciones y reuniones Área de Gestión Humana.
- Base de Datos general de terceros con los que se cruza correspondencia. Gerencia Jurídica (Gestión documental).
- Base de Datos de hojas de vida. Área de Gestión humana.
- *Base de Datos Videovigilancia. Área TI.
- Base de Datos de exámenes médicos de ingreso y periódicos. Área Gestión Humana (SST).
- *Base de Datos consulta en listas (SAGRILAFT) y gestión de alertas – Oficial de cumplimiento.
- *Bases de Datos de incidentes de seguridad física (hurto de equipos) y/o informática (secuestro de información). Área TI.
7. ACTIVIDADES DE TRATAMIENTO DE LOS DATOS PERSONALES
El CONCESIONARIO es una compañía cuyo objeto es el comercio de vehículos automotores nuevo y usados, mantenimiento y reparación de vehículos automotores, comercio de partes, piezas (autopartes) y accesorios (lujos) para vehículos automotores.
En este sentido, las actividades de tratamiento que ejecuta el CONCESIONARIO y los DISTRIBUIDORES sobre sus bases de datos comprenden la recolección, consulta, recopilación, evaluación, catálogo, clasificación, orden, grabado, almacenamiento, actualización, modificación, aclaración, reporte, informe, análisis, uso, circulación, suministro, supresión, procesamiento, transmisión, transferencia y en general la manipulación de los Datos Personales que le suministre el Titular por cualquier medio.
El tratamiento de los datos personales se podrá realizar a través de medios físicos, automatizados o digitales.
8. TRATAMIENTO DE BASES DE DATOS
El tratamiento que el CONCESIONARIO y los DISTRIBUIDORES darán a las bases de datos relacionadas en el numeral 6.2 anterior, es el que se describe a continuación:
- Recolectar, consultar, recopilar, evaluar, catalogar, clasificar, ordenar, grabar, almacenar, actualizar, modificar, aclarar, reportar, informar, analizar, utilizar, compartir, circularizar, suministrar, suprimir, procesar y en general tratar los Datos Personales que le suministre el Titular por cualquier medio autorizado por este último.
- Solicitar, consultar, verificar, validar, recopilar, compartir, intercambiar, informar, reportar, procesar, almacenar, modificar, actualizar, aclarar, retirar o divulgar por cualquier medio los Datos Personales del Titular, ante entidades de consulta de bases de datos o ante cualquier otra entidad que maneje o administre bases de datos con los fines legalmente definidos para este tipo de entidades, domiciliadas en Colombia o en el exterior, sean personas naturales o jurídicas, colombianas o extranjeras.
- Solicitar, consultar, recopilar, evaluar, catalogar, clasificar, ordenar, grabar, compartir, intercambiar, informar, reportar, procesar, almacenar, modificar, actualizar, aclarar, retirar o divulgar por cualquier medio los Datos Personales del Titular ante cualquier sociedad en la que ésta tenga participación accionaria directa o indirectamente, con sus proveedores de servicios, aliados comerciales, usuarios de red, redes de distribución y personas que realicen la promoción de sus productos y servicios, incluidos call centers, domiciliados en Colombia o en el exterior, sean personas naturales o jurídicas, colombianas o extranjeras siempre que haya sido autorizado por dicho titular.
- Gestionar trámites (peticiones, solicitudes, quejas, reclamos).
En los casos en que el CONCESIONARIO y los DISTRIBUIDORES realicen el Tratamiento de datos personales, solicitará la autorización al Titular utilizando el formato “Autorización para el tratamiento de datos personales”, el cual se anexa y forma parte integral de la presente Política. La autorización de Tratamiento de Datos Personales debe ser expresa, clara, informada, consentida y previa a la información comercial suministrada. Lo anterior para que la autorización pueda ser objeto de posterior consulta y verificación.
El Tratamiento de Datos Personales podrá ser revocado, si así lo solicita el titular a excepción de que exista alguna disposición legal o contractual. Asimismo, las solicitudes de eliminación de Datos Personales deben ser claras y específicas por parte del titular. De no ser así, se debe solicitar la información faltante para iniciar la gestión de solicitudes.
El Titular tiene derecho a ser informado por el responsable del tratamiento, respecto del uso que se les ha dado a sus datos personales, por lo tanto, el titular tiene derecho a conocer, actualizar o rectificar sus Datos Personales frente al responsable del tratamiento.
9. FINALIDADES DEL TRATAMIENTO
Para el desarrollo de su objeto social y el cumplimiento de diversas obligaciones legales y contractuales, de carácter interno y externo, el CONCESIONARIO y los DISTRIBUIDORES requieran de ciertas Bases de Datos cuyas finalidades de tratamiento varían dependiendo de las características propias y la naturaleza de cada una de éstas. Los datos que se recolecten o almacenen sobre los trabajadores, clientes y/o proveedores del CONCESIONARIO, mediante el diligenciamiento de formatos, correo electrónico o con la entrega de documentos (hojas de vida, anexos) serán tratados para todo lo relacionado con cuestiones laborales de orden legal o contractual. En virtud de lo anterior, el CONCESIONARIO y los DISTRIBUIDORES utilizarán los datos personales para los siguientes fines:
9.1. FINALIDADES COMUNES A TODAS LAS BASES DE DATOS
A excepción de lo expresamente dispuesto para cada una de las Bases de Datos en particular, las siguientes finalidades perseguidas por el CONCESIONARIO y los DISTRIBUIDORES con el tratamiento de información personal, son comunes a todas sus Bases de Datos:
- Dar cumplimiento en lo que le aplique, a las leyes como, entre otras, de derecho laboral, seguridad social, pensiones, riesgos profesionales, cajas de compensación familiar (Sistema Integral de Seguridad Social) e impuestos;
- Cumplir las instrucciones de las autoridades judiciales y administrativas competentes;
- Implementar las políticas y estrategias laborales y organizacionales.
- Establecimiento de canales de comunicación con los titulares de los datos personales y envío de boletines e información de carácter comercial e institucional.
- Cumplimiento de obligaciones legales y/o contractuales relacionadas con el desarrollo de actividades propias del objeto social del CONCESIONARIO y los DISTRIBUIDORES.
- Almacenamiento de información en archivos inactivos, cuando exista un deber legal de mantenimiento de información con posterioridad a la ejecución de las actividades o relaciones que dan origen al tratamiento, de conformidad con lo establecido en las legislaciones específicas que regulan la materia.
- Verificación y consulta de información relacionada con los titulares, en listas y bases de datos de carácter público o privado, tanto nacionales como internacionales, relacionadas directa o indirectamente con (a) antecedentes judiciales, penales, fiscales, disciplinarios, de responsabilidad por daños al patrimonio estatal, (b) inhabilidades e incompatibilidades, (c) lavado de activos, (d) financiación del terrorismo, (e) corrupción, (f) soborno transnacional, (g) buscados por la justicia, y en las demás bases de datos que informen sobre la vinculación de personas con actividades ilícitas de cualquier tipo.
- Adopción de medidas de control y seguridad sobre las diferentes instalaciones del CONCESIONARIO y los DISTRIBUIDORES preste sus servicios, en caso de que aplique.
- Utilización de la imagen personal y/o videos donde aparezca la imagen personal del titular, capturada por sistemas de monitoreo y/o videovigilancia dispuestos por el CONCESIONARIO en toda su infraestructura, como medio de prueba o evidencia en procesos y procedimientos judiciales, extrajudiciales, o administrativos que surta en los que el CONCESIONARIO y los DISTRIBUIDORES sea parte o esté vinculado de cualquier forma; así como en investigaciones y procedimientos internos ejecutados por el CONCESIONARIO y los DISTRIBUIDORES.
- Transferencia de datos personales de los titulares a las personas naturales o jurídicas que ostenten la calidad de aliados estratégicos del CONCESIONARIO y los DISTRIBUIDORES o con las cuales el CONCESIONARIO y los DISTRIBUIDORES haya celebrado o celebre acuerdos de colaboración o asociación.
- Transferencia de datos personales de los titulares al CONCESIONARIO y los DISTRIBUIDORES.
9.2. BASES DE DATOS SOBRE LAS CUALES EL CONCESIONARIO Y LOS DISTRIBUIDORES ACTUAN COMO RESPONSABLE DEL TRATAMIENTO.
9.2.1. BASE DE DATOS EMPLEADOS Y COLABORADORES DEL CONCESIONARIO
Las actividades de tratamiento sobre las Bases de Datos de empleados y colaboradores, además de las finalidades comunes a todas las Bases de Datos descritas en el presente documento, tendrán las siguientes finalidades:
- Ejecución de procesos de selección, promoción, bienestar laboral, nómina, desempeño y competencias, inducción, entrenamiento, formación, seguridad y salud en el trabajo y ambiente.
- Exámenes médicos periódicos y de ingreso.
- Realización de pruebas de conocimiento, psicológicas y/o técnicas a los titulares de los datos personales.
- Ejecución de programas de formación y capacitación.
- Emisión y validación de referencias laborales y/o comerciales.
- Atención Suministro de información personal para la ejecución de las relaciones contractuales del CONCESIONARIO y los DISTRIBUIDORES con terceros.
- Control efectivo sobre los accidentes laborales reportados a la ARL.
- Seguimiento a los reportes presentados por los trabajadores ante la ocurrencia de un accidente laboral.
- Acceder al número de teléfono celular personal de cada colaborador (quien no tenga a su cargo un teléfono celular institucional para desempeñar sus labores) para que el CONCESIONARIO y los DISTRIBUIDORES remita un mensaje de texto o códigos de seguridad al mismo cada vez que el empleado deba acceder a una de las aplicaciones de la compañía en aras de establecer la doble autenticación del empleado protegiendo así la información almacenada en dichos aplicativos. Lo anterior, previo consentimiento del titular a través de los medios establecidos por la ley para autorizar el tratamiento de sus datos.
9.2.2. BASE DE DATOS EXEMPLEADOS DEL CONCESIONARIO
Las actividades de tratamiento sobre las Bases de Datos de Exempleados y colaboradores del CONCESIONARIO, además de las finalidades comunes a todas las Bases de Datos descritas en este documento, salvo lo dispuesto en el parágrafo de la presente sección, tendrá como finalidad la emisión de certificaciones relativas a la relación del titular del dato con el CONCESIONARIO.
Parágrafo: A la presente Base de Datos no le será aplicable la finalidad establecida en el numeral 9.1, 9.3, 9.4 y 9.8.
9.2.3. BASE DE DATOS PROVEEDORES DEL CONCESIONARIO:
Las actividades de tratamiento sobre las Bases de Datos de Proveedores (incluyendo a los potenciales, actuales y antiguos), además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, tendrán las siguientes finalidades:
- Facilitar los procesos de contratación de servicios y/o suministro de productos.
- Como elemento de análisis para el establecimiento y/o mantenimiento de relaciones contractuales.
- Validación de referencias comerciales y demás información suministrada por el titular.
9.2.4. BASE DE DATOS ACCIONISTAS DEL CONCESIONARIO
Las actividades de tratamiento sobre las Bases de Datos de Accionistas del CONCESIONARIO, además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, tendrán las siguientes finalidades:
- Cumplimiento de obligaciones legales y derivadas de los estatutos sociales frente a los accionistas y/o cualquier otro titular de los datos.
- Suministro de información sobre pago de dividendos o utilidades.
9.2.5. BASE DE DATOS DE PROCESOS JUDICIALES.
Las actividades de tratamiento sobre las Bases de Datos de Procesos Judiciales del CONCESIONARIO, además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, salvo las finalidades establecidas en los numerales 9.1, 9.4, 9.8 y 9.9 tendrán las siguientes:
- Trámite Centralización de información de los diferentes procesos judiciales existentes en los cuales
- El CONCESIONARIO sea parte o tenga algún interés.
- Atención de los requerimientos de las diferentes autoridades administrativas o judiciales.
9.2.6. BASE DE DATOS DE CONTRATOS.
Las actividades de tratamiento sobre las Bases de Datos de Contratos del CONCESIONARIO, además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, salvo las finalidades establecidas en los numerales 9.9 y 9.10 tendrán las siguientes:
- Registro efectivo de los contratos suscritos por el CONCESIONARIO.
9.2.7. BASE DE DATOS DE ACCESO A USUARIOS A LOS SISTEMAS DE INFORMACIÓN.
Las actividades de tratamiento sobre las Bases de Datos de Sistemas de información del CONCESIONARIO además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, salvo las finalidades establecidas en los numerales 9.1, 9.2, 9.3, 9.8 y 9.9, tendrán las siguientes:
- Adecuada gestión técnica y administrativa de los recursos tangibles e intangibles del CONCESIONARIO.
- Administración de sistemas de información del CONCESIONARIO.
- Gestión de claves y administración de usuarios de los sistemas de información del CONCESIONARIO.
9.2.8. BASE DE DATOS DE VISITANTES
- Las actividades de tratamiento sobre las Bases de Datos de Visitantes del CONCESIONARIO, además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, salvo las finalidades establecidas en los numerales 9.1, 9.2, 9.3, 9.5, 9.7, 9.8 y 9.9, tendrán las siguientes:
- Adopción de medidas de control y seguridad para el ingreso y salida a la sede administrativa del CONCESIONARIO.
- Garantizar la seguridad de las instalaciones del CONCESIONARIO.
- Investigación y reporte de incidentes ocurridos en las sedes del CONCESIONARIO.
9.2.9. BASE DE DATOS ASISTENTES A CAPACITACIONES
Las actividades de tratamiento sobre las Bases de Datos de asistentes a capacitaciones del CONCESIONARIO además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, salvo las finalidades establecidas en los numerales 9.1, 9,2, 9,3, 9.5, 9.7, 9.8, 9.9 y 9.10 tendrán las siguientes:
- Registro de los asistentes a las capacitaciones.
- Diseño y análisis de estadísticas internas relacionado con temas de formación tanto interna (colaboradores) como externa (usuarios) de control y seguimiento de las capacitaciones.
9.2.10. BASE DE DATOS DE TERCEROS CON LOS QUE SE CRUZA CORRESPONDENCIA
Las actividades de tratamiento sobre las Bases de Datos de Correspondencia del CONCESIONARIO, además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, salvo las finalidades establecidas en los numerales 9.1, 9, 2, 9.3, 9,8 y 9.9 tendrán las siguientes:
- Gestionar la correspondencia al interior del CONCESIONARIO dando el trámite previsto en las políticas corporativas de manejo de archivo.
- Dar cumplimiento a la normatividad vigente en materia de archivo.
- Gestionar y tramitar las peticiones, quejas o reclamos recibidos.
9.2.11. BASE DE DATOS HOJAS DE VIDA
Las actividades de tratamiento sobre las Bases de Datos de Hojas de vida del CONCESIONARIO, además de las finalidades comunes a todas las Bases de Datos descritas anteriormente, salvo las finalidades establecidas en los numerales 9.8 y 9.9, tendrán las siguientes:
- Ejecución de procesos de selección, promoción, bienestar laboral, nómina, desempeño y competencias, inducción, entrenamiento, formación, seguridad y salud en el trabajo y ambiente.
- Ejecución de programas de formación y capacitación.
- Emisión y validación de referencias laborales y/o comerciales y experiencia académica.
- Suministro de información personal para la ejecución de las relaciones contractuales del CONCESIONARIO con terceros.
- Realización de exámenes y pruebas de ingreso.
- Estudio del perfil del titular para las vacantes internas
- Adelanto de procesos de selección a que hubiere lugar.
10. TRATAMIENTO DE DATOS PERSONALES SENSIBLES.
El CONCESIONARIO y los DISTRIBUIDORES reconocen que algunos datos sometidos a su tratamiento ostentan la calidad de Datos Sensibles. En este sentido, el CONCESIONARIO y los DISTRIBUIDORES, han adoptado todas medidas necesarias contempladas en la ley tendientes a su protección. Para efectos del tratamiento sobre Datos Sensibles contenidos en cualquiera de las bases de datos relacionadas anteriormente, el CONCESIONARIO y los DISTRIBUIDORES cumplirán con las siguientes obligaciones:
- Informará al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.
- Dará a conocer al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, a fin de obtener su consentimiento.
En este sentido, el CONCESIONARIO y los DISTRIBUIDORES contarán con la autorización expresa, informada, y facultativa de los titulares de dichos datos, antes de la ejecución de actividades de tratamiento.
Los datos personales relacionados con la salud son considerados datos sensibles, razón por la cual es facultativo por parte del Titular gestionar y proporcionar esta información mediante las diferentes herramientas y canales del CONCESIONARIO y los DISTRIBUIDORES, quien sólo tratará estos datos sensibles, con el fin de:
- Ejercer control sobre el estado de salud del personal a su cargo, contratistas o usuarios (cuando aplique) con ocasión de eventos o situaciones específicas que así lo ameriten.
- Para llevar a cabo un trámite específico que así lo requiera, previa autorización expresa del Titular de la información.
- Suministrarlos cuando lo requiera una autoridad competente en ejercicio de sus funciones.
- Dar cumplimiento al protocolo de bioseguridad mandatorio por el Distrito o autoridades administrativas competentes.
- Con respecto del Tratamiento de datos biométricos, el CONCESIONARIO y los DISTRIBUIDORES, podrá recolectar información personal biométrica como huellas, fotografías del rostro (selfie), iris, cadencias, voz, firma, reconocimiento facial o rasgos morfológicos, entre otros, (en adelante los “datos biométricos”) con el fin de permitir la identificación de los Titulares, conforme los parámetros de seguridad establecidos en la regulación, las buenas prácticas y las señaladas por las autoridades. Estos datos biométricos son considerados por la regulación colombiana como datos sensibles.
La recolección de esta información se hace en cumplimiento de obligaciones legales como la señalada en el artículo 2.2.17.6.6 del Decreto 1413 de 20173, en donde regula lo concerniente a las medidas efectivas que deben ser adoptadas por el CONCESIONARIO y los DISTRIBUIDORES, en cuanto a propender por la seguridad de la información.
El CONCESIONARIO y los DISTRIBUIDORES sostiene que no toda fotografía o huella es considerada como un dato biométrico y sensible en coherencia con el Concepto número de radicación 17-299565-23 de la Superintendencia de Industria y Comercio en donde explica que deben implementarse mecanismos y medios que permitan la autenticación unívoca del Titular, por lo que la recolección y tratamiento de huellas o imágenes que no sean consideradas como datos biométricos serán tratados conforme las finalidades generales señaladas en esta política y no le serán aplicables las disposiciones específicas sobre datos sensibles.
11. TRATAMIENTO DE DATOS DE MENORES DE EDAD.
El CONCESIONARIO y los DISTRIBUIDORES, se abstendrá de manipular datos cuyo titular sea un menor de conformidad con lo dispuesto en el artículo 7 de la Ley 1581 de 2012. No obstante, en el evento en que se requiera someter a tratamiento de datos personales a un menor de edad, éste se regirá por las siguientes reglas:
- El CONCESIONARIO garantizará el respeto del interés superior del menor Titular del Dato.
- El CONCESIONARIO velará por el respeto de los derechos fundamentales del menor Titular del Dato.
- El representante legal del menor Titular del Dato otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado.
12. DEBERES DEL CONCESIONARIO EN CALIDAD DE RESPONSABLE DEL TRATAMIENTO.
El CONCESIONARIO, como responsable del tratamiento cumplirá los siguientes deberes:
- Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del Derecho de Hábeas Data.
- Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el titular.
- Informar debidamente al titular sobre la finalidad de la recolección de la autorización y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Velar porque la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
- Rectificar de oficio o a petición del titular la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
- Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
- Exigir a quienes tengan la calidad de encargados del tratamiento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
- Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
- Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
- Informar a solicitud del titular sobre el uso dado a sus datos.Informar al Superintendente Delegado para la Protección de Datos Personales, o quien haga sus veces, cuando tenga evidencia de que se han presentado violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
- Adoptar un manual interno de procedimientos para garantizar el adecuado tratamiento de los datos personales.
- Tratándose de información objeto de controversia ante una autoridad administrativa o judicial, o que este siendo objeto de reclamo por parte del Titular, o cuyo bloqueo haya sido ordenado por la autoridad competente, el CONCESIONARIO se compromete a tomar todas las medidas pertinentes para impedir que dicha información continúe siendo tratada, salvo lo referente al almacenamiento de esta, hasta que se tome una decisión de fondo.
13. DEBERES DEL CONCESIONARIO O DE TERCEROS EN CALIDAD DE ENCARGADO DEL TRATAMIENTO.
Las obligaciones que se describen a continuación serán aplicables (i) cuando por razones de conveniencia, el CONCESIONARIO delegue la realización de ciertas actividades relacionadas con el tratamiento de datos a un tercero; o (ii) cuando el CONCESIONARIO realice actividades de tratamiento en calidad de encargado, según fue definido en la sección 4 del presente documento:
- Permitir al titular, en todo tiempo, el pleno y efectivo ejercicio del Derecho de Hábeas Data.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley 1581 de 2012 o la norma que lo sustituya o complemente.
- Solicitar la certificación al Responsable del tratamiento, de la existencia de la autorización otorgada por el titular.
- Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
- Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la Ley 1581 de 2012 o la norma que lo sustituya o complemente.
- Registrar en la base de datos la leyenda “RECLAMO EN TRÁMITE” en la forma en que se regula en la Ley 1581 de 2012 o la norma que lo sustituya o complemente.
- Insertar en la base de datos la leyenda “INFORMACIÓN EN DISCUSIÓN JUDICIAL” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
- Adoptar unas políticas de tratamiento de datos que aseguren el debido tratamiento de datos personales.
- Suministrar políticas de tratamiento de datos personales descritas en el literal anterior al responsable del tratamiento.
- Conservar la información por el término legal a que haya lugar.
14. DERECHOS DE LOS TITULARES
El titular de los datos personales tendrá los siguientes derechos:
- Conocimiento: El titular del dato está facultado para solicitar, en cualquier momento y de manera gratuita, información sobre los datos que sobre él estén siendo manipulados por el CONCESIONARIO, así como el uso que se les dé a éstos.
- Rectificación: El titular podrá solicitar en cualquier momento, la corrección de la información inexacta que repose en las BASES DE DATOS DEL CONCESIONARIO.
- Actualización: El titular se encuentra facultado para solicitar que, por motivos diferentes a la corrección de datos, la información que las BASES DE DATOS DEL CONCESIONARIO sea completa y actualizada, en este orden de ideas, podrá solicitar el ingreso o supresión de todo tipo de información que considere pertinente.
- Solicitud de copia de la autorización: Solicitar prueba de la autorización otorgada al responsable, salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10° de la Ley 1581 de 2012 o la norma que lo sustituya o complemente.
- Presentación de quejas: Presentar ante la Superintendencia de Industria y Comercio – SIC, quejas por infracciones a lo dispuesto en la legislación vigente.
14.1. Revocatoria de la autorización y supresión de los datos personales
Salvo cuando medie una obligación legal o contractual para permanecer en la respectiva base de datos, revocar la autorización y/o solicitar la supresión de sus datos personales.
14.2. Acceso a información
Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
15. PROCEDIMIENTOS PARA EL EFECTIVO EJERCICIO DE DERECHOS
15.1. ASPECTOS GENERALES
El CONCESIONARIO ha adoptado una serie de procedimientos para el adecuado tratamiento de información personal y el ejercicio de los derechos de los titulares reconocidos en la sección 14, estos procedimientos variarán dependiendo del derecho ejercido por el titular, como se observa en las secciones siguientes.
15.1.1. CONSULTA
Para el ejercicio de los derechos de conocimiento, acceso a la información y solicitud de copia de la autorización, consagrados en las secciones 14.1, 14.4 y 14.7; los titulares o las personas legitimadas, de conformidad con lo dispuesto en la sección 15, podrán elevar consultas al área competente, bajo la observancia de las siguientes reglas:
- Mecanismos
Las consultas se elevarán al Responsable local del CONCESIONARIO y Responsable Institucional del DISTRIBUIDOR según corresponda, por cualquiera de los siguientes medios:
Correo electrónico:
Dirección física:
- Yokomotor:
- Bogotá – Carrera 29c # 72-23,
- Medellín – Calle 10 # 50 – 398
- ATC: Carrera 9A No. 99 – 02 Oficina 602, Bogotá.
- DHC: Complejo Logístico Industrial Siberia (CLIS) Vereda Vuelta Grande a 150 Metros de la Glorieta de Siberia/Vía Cota Chía, Bodega 34
Las consultas se realizarán por las personas que se encuentran legitimadas para hacerlo, describiendo brevemente la información sobre la cual desea tener acceso, dirección de correspondencia, datos de identificación y documentos que acrediten la legitimidad para obrar, cuando quien presenta la solicitud no sea el titular.
- Trámite
Recibida la consulta, el área competente la resolverá en la medida de lo posible, dentro de los diez (10) días hábiles siguientes a la fecha de recibo de esta.
Cuando no fuere posible atender la consulta dentro del término indicado en el inciso anterior, se informará al solicitante tal situación, los motivos de la demora y la fecha en la cual será resuelta la solicitud, fecha que en ningún caso superará los cinco (5) días hábiles siguientes al vencimiento del primer término.
- Respuesta
El área competente de los trámites relacionados con el debido tratamiento de los datos personales dará respuesta a los requerimientos de los titulares del dato, dentro de los términos establecidos en la sección anterior, de manera escrita a la dirección física o electrónica suministrada por el solicitante para tal efecto.
Cuando el solicitante suministre una dirección física y una electrónica, o más de una dirección de aquellas o de estas, será a entera discreción del CONCESIONARIO la decisión sobre a cuál dirección enviar la respuesta a la consulta.
15.1.2. RECLAMOS
Para el ejercicio de los derechos de rectificación, actualización, revocatoria de la autorización y supresión de la información, consagrados en las secciones 14.2, 14.3 y 14.6, respectivamente, los titulares o las personas legitimadas de conformidad con lo dispuesto en la sección 15, podrán elevar reclamaciones al área competente, bajo la observancia de las siguientes reglas:
- Mecanismos
Los Reclamos se elevarán al Responsable local del CONCESIONARIO y Responsable Institucional del DISTRIBUIDOR según corresponda, por cualquiera de los siguientes medios:
Correo electrónico:
Dirección física:
- Yokomotor:
- Bogotá – Carrera 29c # 72-23,
- Medellín – Calle 10 # 50 – 398
- ATC: Carrera 9A No. 99 – 02 Oficina 602, Bogotá
- DHC: Complejo Logístico Industrial Siberia (CLIS) Vereda Vuelta Grande a 150 Metros de la Glorieta de Siberia/Vía Cota Chía, Bodega 34
Los reclamos se realizarán por las personas que se encuentran legitimadas para hacerlo, describiendo brevemente los hechos que motivan la petición, la dirección de correspondencia, los datos de identificación, adjuntando los documentos que soporten su solicitud y que acrediten su legitimidad para obrar, cuando quien presenta la solicitud no sea el titular del dato.
- Trámite
- Reclamo incompleto
Cuando el CONCESIONARIO considere que el reclamo presentado por el titular o por quien este facultado para hacerlo es incompleto por falta de los requisitos establecidos en la sección anterior, requerirá, dentro de los cinco (5) días hábiles siguientes a la recepción de la petición, al interesado para que subsane las fallas.
Transcurridos dos (2) meses desde la fecha del requerimiento por parte del CONCESIONARIO al interesado, sin que este último presente la información solicitada, se entenderá que ha desistido del reclamo, sin perjuicio de poder presentar una nueva reclamación en el mismo sentido; caso en el cual los términos para resolver comenzarán a contarse a partir de la nueva petición.
- Reclamo completo
Recibido el reclamo completo o subsanados los vicios dentro del término establecido en el párrafo anterior, se incluirá en la respectiva Base de Datos del CONCESIONARIO una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no reposa mayor a dos (2) días hábiles. Dicha leyenda se mantendrá hasta tanto el reclamo sea decidido.
Sin perjuicio de lo anterior, el área competente la resolverá en la medida de lo posible, dentro de los quince (15) días hábiles siguientes a la fecha de recibo de esta.
Cuando no fuere posible atender el reclamo dentro del término indicado en el inciso anterior, se informará al titular sobre tal situación, los motivos de la demora y la fecha en la cual será resuelta la solicitud, fecha que en ningún caso superará los ocho (8) días hábiles siguientes al vencimiento del primer término.
- Decisión
El responsable del cumplimiento de la política de tratamiento de datos personales del CONCESIONARIO dará respuesta a los requerimientos de los titulares del dato, dentro de los términos establecidos en la sección anterior, de manera escrita a la dirección física o electrónica suministrada por el solicitante para tal efecto.
Cuando el solicitante suministre una dirección física y una electrónica, o más de una dirección de aquellas o de estas, será a discreción del CONCESIONARIO la decisión sobre a cuál dirección enviar la respuesta a la consulta.
15.1.3. LEGITIMIDAD
Se encuentran legitimados para ejercer los derechos contemplados en la sección 14 del presente documento, el titular del dato, sus causahabientes y las personas autorizadas por aquel o estos; en los dos últimos casos, se deberá acreditar la calidad cuyo reconocimiento se solicita, a través de mecanismos idóneos.
15.1.4. COMPETENCIA
Para todos los asuntos relacionados con actividades de tratamiento de información personal, solución a consultas y requerimientos, el CONCESIONARIO ha designado como competente, como responsable del cumplimiento de la política de tratamiento de datos personales tomando para este fin, medidas técnicas, humanas y administrativas que garanticen la confidencialidad y seguridad de la información.
15.2. MEDIOS DE COMUNICACIÓN PARA EL EJERCICIO DE LOS DERECHOS Y LA ATENCIÓN DE CONSULTAS Y RECLAMOS DE LOS TITULARES
Para el ejercicio de sus derechos, y la atención de consultas y reclamos, el titular puede utilizar los canales habilitados por el CONCESIONARIO a través del:
Correo electrónico:
O radicándolo directamente en nuestra oficina ubicada en:
Dirección física:
- Yokomotor:
- Bogotá – Carrera 29c # 72-23,
- Medellín – Calle 10 # 50 – 398
- ATC: Carrera 9A No. 99 – 02 Oficina 602
- DHC: Complejo Logístico Industrial Siberia (CLIS) Vereda Vuelta Grande a 150 Metros de la Glorieta de Siberia/Vía Cota Chía, Bodega 34
15.2.1. SEGURIDAD
El CONCESIONARIO adoptará todas las medidas técnicas, físicas, legales, humanas, administrativas y organizativas correspondientes que guarden relación con las leyes de privacidad y seguridad de los datos para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Si los titulares consideran que su interacción con el CONCESIONARIO ya no es segura por considerar que la seguridad de su información personal podría estar comprometida, deberán notificar inmediatamente a el CONCESIONARIO a través de los canales de atención indicados en la presente Política.
15.2.2. VIDEOVIGILANCIA
El CONCESIONARIO utiliza sistemas de videovigilancia instalados en diferentes sitios, internos y externos de sus instalaciones u oficinas, ubicadas en oficinas, parqueadero, zonas de entrega coworking, entrada/salida, vitrina, boutique, almacén. Adicionalmente, informa sobre la existencia de estos anuncios de videovigilancia mediante la difusión, en sitios visibles y de fácil entendimiento.
La información recolectada se utilizará para fines de seguridad de las personas, los bienes e instalaciones, el cumplimiento de disposiciones legales y el cumplimiento de disposiciones contractuales. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante cualquier tipo de autoridad y organización.
15.2.3. VIGENCIA
La presente Política regirá a partir de la fecha de su publicación la cual se dará una vez dicho documento sea aprobado por parte de la Junta Directiva de la compañía y estará vigente durante el tiempo que el CONCESIONARIO ejecute las actividades descritas en la sección 7 y las mismas correspondan con las finalidades de tratamiento que inspiraron la presente política.
Los cambios sustanciales en las políticas de tratamiento que puedan afectar el contenido de la autorización, principalmente los relacionados con la identificación del CONCESIONARIO y/o la finalidad del tratamiento de los datos personales, serán comunicados oportunamente a los titulares de una manera eficiente, antes de implementar las nuevas políticas.
15.2.4. AUTORIDAD NACIONAL DE PROTECCIÓN DE DATOS
El CONCESIONARIO, velando por la efectiva protección de los datos personales de los titulares cuya información componen las bases de datos del CONCESIONARIO, pone a disposición del público en general, información relacionada con la Delegatura para la Protección de Datos Personales, autoridad competente a nivel nacional que ejerce vigilancia sobre las actividades de tratamiento desarrolladas en el territorio nacional, que podrá ser consultada en el siguiente link http://www.sic.gov.co/drupal/protección-de-datos-personales
16. DOCUMENTOS Y REGISTROS REFERENCIADOS
16.1. En requerimientos, quejas y reclamos