MANUAL DE POLÍTICA Y PROCEDIMIENTO DE PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES

 

  1. INTRODUCCIÓN

 

Teniendo en cuenta el contexto actual en que la información que se obtiene de la ciudadanía en general y más importante aún, la información personal de los trabajadores, toma bastante relevancia dado que dicha información goza de protección especializada por regulación nacional y por tanto, las compañías se encuentran comprometidas con la protección de la información solo de carácter personal de nuestros trabajadores, como aquella que sea catalogada como privada y /o confidencial que es obtenida dentro del trato ordinario tanto con clientes como con proveedores en el normal desarrollo de su objeto social.

Por tal motivo BPM ANDINA, entidad privada, constituida como persona jurídica ha decidido adoptar de forma voluntaria el presente Manual, el cual establece las condiciones de organización, obligaciones de las partes implicadas e intervinientes en el tratamiento y uso de la información de carácter personal, régimen de funcionamiento, y procedimientos aplicables al tratamiento de datos personales que en el desarrollo de sus funciones propias, tenga que solicitar, utilizar, almacenar, corregir, ceder o suprimir, en cumplimiento a lo dispuesto por los artículos 15 y 20 de la Constitución Política de Colombia, la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, así como las demás normas que puedan  complementar el tratamiento para la Protección de Datos Personales en Colombia.

 

  1. OBJETIVOS

Establecer las políticas y procedimientos de recolección, almacenamiento, custodia y disposición final, de datos personales y sensibles, de los empleados, clientes y proveedores, en custodia de BPM ANDINA, recolectada al ejercer su objeto social.

  • Capacitar al personal para que conozca los compromisos y obligaciones de que le asisten cada uno como a BPM ANDINA,en materia de protección datos y así como los diferentes conceptos que implican en la materia.
  • Conocer y adoptar por parte del personal las disposiciones adoptadas por BPM ANDINA,para asegurar su cumplimiento.
  • Dar a conocer a nuestros aliados comerciales, proveedores y contratistas que en desarrollo de su labor tengan acceso a datos personales, bien sea porque los hayan suministrado a las compañías o los hayan recibido de ellas, se les exige el cumplimiento de la ley y de esta política.

 

  1. ALCANCE

Las políticas y procedimientos consagrados en este manual se aplicarán a BPM ANDINA, sus sucursales presentes o futuras y todo el personal contratado directamente o por terceros. Los presentes términos y condiciones aplican para cualquier registro de datos personales realizado en forma presencial, no presencial y/o virtual para la vinculación laboral o comercial.

 

Por lo cual BPM ANDINA, se encarga directamente del tratamiento de los datos personales; sin embargo, se reserva el derecho a delegar en un tercero tal tratamiento exigiendo así mismo al encargado, la atención e implementación de los lineamientos y procedimientos idóneos para la protección de los datos personales y la estricta confidencialidad de los mismos.

 

Responsable de Tratamiento de la Información

BPM ANDINA

Domicilio: Bogotá

Dirección: Cra 80 A No. 25B-36

Correo Electrónico: protecciondatos@bpmandina.com

Teléfono: 57 1 5480857

 

 

 

 

 

  1. POLÍTICA HABEAS DATA

 

Para BPM ANDINA, su recurso humano, clientes y colaboradores es de gran importancia la protección de datos personales, sensibles o de menores, por lo cual nos comprometemos a cumplir todas disposiciones legales aplicables para obtener, almacenar, custodiar y realizar la disposición final de dicha información, de tal forma que solo se podrá obtener con previa autorización.

 

Por lo anterior BPM ANDINA, garantiza y exige a toda persona que intervenga en cualquier fase del tratamiento de los datos de carácter personal privado, sensible o de menores, el secreto profesional, respecto de los mismos y al deber de guardarlos, obligaciones que permanecerán aún después de finalizar sus relaciones contractuales con la compañía. El incumplimiento del deber de protección de información, será sancionado de conformidad con lo previsto en el Reglamento Interno de Trabajo y la legislación vigente.

 

  1. DEFINICIONES

 

Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

 

Autorización: Consentimiento previo, expreso e informado del titular de los datos personales para llevar a cabo el tratamiento de datos personales.

 

Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

 

Dato personal: Como lo describe la Ley 1581 de 2012, es cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).

 

Dato público: Como lo describe la Ley 1581 de 2012, es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas, que no estén sometidas a reserva.

 

Dato personal público: Toda información personal que es de conocimiento libre y abierto para el público en general.

 

Dato personal privado: Toda información personal que tiene un conocimiento restringido, y en principio privado para el público en general.

 

Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general.

 

Dato sensible: Como lo refiere la Ley 1581 de 2012, es aquel dato que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, etc.

 

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del responsable del tratamiento.

 

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el Tratamiento de los datos.

 

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

 

Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

 

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

 

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

 

Oficial de protección de datos: Es la persona designada dentro de BPM ANDINA, e inscrita ante la Cámara de Comercio de Bogotá, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales, bajo la orientación y lineamientos del Comité de Seguridad de la Información. El Comité de Seguridad de la Información designará el Oficial de Protección de Datos.

 

  1. PRINCIPIOS

 

Principio de legalidad en materia de Tratamiento de datos: El tratamiento es una actividad reglada que debe ceñirse a lo establecido en las normas que regulan la materia y en las demás disposiciones que la desarrollen.

 

Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima, la cual se debe informar al Titular.

 

Principio de libertad: El tratamiento de datos exclusivamente se ejercerse con el consentimiento, previo, expreso e informado del Titular.  Por lo tanto, los datos personales no podrán ser obtenidos, recolectados o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que otorgue el consentimiento.

 

Principio de integridad, veracidad o calidad: La información objeto de tratamiento debe tener características como veracidad, integridad, exactitud, actualizada, comprobable y comprensible. Entre tanto, las normas aplicables prohíben el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

 

Principio de transparencia: El tratamiento de datos realizado por el responsable o por el encargado, debe garantizar el ejercicio de los derechos del titular, a obtener información acerca de la existencia de datos que le conciernan en cualquier momento y sin restricciones.

 

Principio de acceso y circulación restringida: El tratamiento debe sujetarse a los límites impuestos en la norma y de forma exclusiva sólo podrá realizarse por las personas autorizadas por el Titular y/o por las personas previstas en la presente ley.  Igualmente, los datos personales no podrán circular en Internet u otros medios de comunicación masiva.

 

Principio de seguridad: La información sujeta a tratamiento se deberá contar con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

 

Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales (a excepción de naturaleza pública), están obligadas garantizar la reserva de la información, inclusive después de finalizada su relación.

 

Principio de la temporalidad: El principio de temporalidad de la información se refiere a la necesidad de que el dato del titular no podrá ser suministrado a los usuarios cuando deje de servir para la finalidad establecida en la base de datos.

 

Principio de la interpretación integral: La interpretación integral de derechos constitucionales, consiste en que las normas que rigen los datos personales se interpretarán en el sentido que se amparen otros derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Asimismo, se refiere a que los derechos de los titulares se interpretarán en armonía con el derecho a la información y demás derechos constitucionales aplicables.

 

  1. DEBERES DE BPM ANDINA

 

BPM ANDINA, tiene presente que los Datos Personales son de propiedad del titular y solamente estos pueden decidir sobre los mismos, por ende, BPM ANDINA, hará uso de dichos datos solamente con los fines para los que se encuentra debidamente facultada y respetando, en todo caso, la normatividad vigente sobre la Protección de Datos Personales, por lo tanto:

 

  1. Garantizar en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

 

  1. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular de la información;

 

  1. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

 

  1. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

 

  1. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

 

  1. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

 

  1. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
  2. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

 

  1. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos;

 

  1. Informar a solicitud del Titular sobre el uso dado a sus datos;

 

  1. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

 

  1. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

  1. DERECHOS DE LOS TITULARES DE LOS DATOS

 

BPM ANDINA, garantiza y reconoce a los titulares de los datos personales contenidos en nuestras bases de datos, los derechos fundamentales mencionados a continuación:

 

  1. Comunicarse con BPM ANDINA, a través del correo electrónico definido para tal fin y solicitar información acerca del tratamiento y protección que tienen los datos personales.

 

  1. Conocer el aviso de privacidad establecido por BPM ANDINA, así como las políticas y manuales de protección y tratamiento de datos personales.

 

  1. Conocer y actualizar, los datos personales frente a BPM ANDINA, como responsable del tratamiento de los mismos.

 

  1. Rectificar los datos personales ya sean datos parciales, inexactos, incompletos, fraccionados o erróneos.

 

  1. Eliminar los datos personales que hayan sido recolectados sin autorización por BPM ANDINA, o cuyo tratamiento y finalidad no haya sido expresamente el autorizado.

 

  1. Solicitar prueba de la autorización otorgada a BPM ANDINA, para el almacenamiento y tratamiento de datos personales, salvo en las situaciones en que, por ley no se requiera.

 

  1. Acceder de manera fácil, ágil y gratuita a través del canal dispuesto para tal fin por BPM ANDINA, a los datos personales que sean o hayan sido objeto de tratamiento.

 

  1. Modificar y revocar la autorización y/o solicitar la supresión de los datos personales, cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales vigentes.

 

  1. Presentar queja ante la Superintendencia de Industria y Comercio (SIC) por infracción o violación a los derechos sobre los datos personales, luego de haber ejercido el derecho ante BPM ANDINA.

 

 

  1. PROCEDIMIENTOS

 

9.1 Procedimiento para la obtención de datos personales:

BPM ANDINA, cuenta con la autorización expresa del titular de los datos personales, la cual ha sido recolectada y podrá ser objeto de consulta posterior. No obstante, se presentan excepciones como las previstas en la ley.

 

No se requiere autorización del titular en los siguientes casos:

  1. Datos de naturaleza pública;
  2. Datos relacionados con el Registro Civil de las Personas;
  3. Para proteger al Titular del dato en caso de emergencias médicas o desastres;
  4. En objeto de las actividades propias de una fundación, ONG, asociaciones, etc., de manera exclusiva para sus miembros o quienes tengan contacto regular por razón de su finalidad;
  5. Datos solicitados por un ente judicial o gubernamental y
  6. Cuando exista una finalidad histórica, estadística o científica.

La autorización deberá contener información clara y concisa con respecto a los deberes, derechos y en general las consideraciones de ley incluyendo las excepciones, de manera tal que no haya lugar a confusiones y malos entendidos por parte del titular de los datos personales.

Adicionalmente, se incluirá toda la información relacionada con la finalidad o finalidades, tipo de tratamiento a efectuar o efectuado, canal establecido por BPM ANDINA, para la notificación y solicitud de información sobre los derechos y datos personales, dirección física y teléfono del responsable del tratamiento de datos personales, entre otros.

 

Finalmente, contará con una sección u opción para solicitar no volver a ser contactado por algún o todos los medios registrados con fines comerciales, publicitarios y estadísticos.

La Información se solicita mediante los formatos mencionados a continuación, junto con los soportes necesarios.

FOR-248 ACTUALIZACIÓN DE DATOS PERSONALES

FOR-252 CREACIÓN Y ACTUALIZACIÓN DE DATOS DE CLIENTES Y PROVEEDORES

FOR-261 AUTORIZACIÓN DE TRATAMIENTO DE DATOS PROCESO DE SELECCIÓN

FOR-318 POLITICA HABEAS DATA

 

Con el fin de proteger y garantizar la protección y el tratamiento de datos personales conforme a las directrices legales, contractuales y lo contemplado en la autorización otorgada a BPM ANDINA, se describen a continuación los medios y formas por los cuales los titulares pueden ejercer sus derechos.

 

9.2 Procedimiento de acceso o consulta de información:

 

Los Titulares o sus herederos pueden realizar consultas referentes a su información personal que se encuentre en nuestras bases de datos. La consulta se deberá formular por el medio del correo electrónico que hemos habilitado: protecciondatos@bpmandina.com.

 

9.3 Procedimiento para reclamos por rectificación, modificación, actualización, supresión y eliminación de datos y revocar autorización

 

El titular de los datos o sus herederos pueden presentar reclamación, con el fin de solicitar corrección, actualización o supresión, de la información contenida en una de nuestras bases de datos o cuando adviertan del posible incumplimiento de cualquiera de los deberes contenidos en la ley o incluso la revocación de autorización previamente entregada.

El reclamo se formulará mediante solicitud dirigida al correo electrónico (protecciondatos@bpmandina.com). con la siguiente información:

  • Identificación del Titular;
  • La descripción de los hechos que dan lugar al reclamo;
  • La dirección de notificación; y
  • Los documentos que se tengan como soporte o se quiera hacer valer, en caso de tenerlos.

 

9.4 Procedimiento para atender reclamaciones por parte del responsable

 

BPM ANDINA, como responsable del tratamiento de datos personales y sensibles contenidas en nuestras bases de datos, atenderá las reclamaciones en el tema bajo los siguientes postulados.

Si se recibe un reclamo incompleto, se le solicitará al interesado la información faltante dentro de los cinco (5) días siguientes a la recepción del reclamo. En caso que esta no se reciba dentro de los dos (2) meses siguientes a la fecha del requerimiento, se entenderá que ha desistido.

 

  • El funcionario, encargado o contratista, que reciba un reclamo y no sea el competente para dar respuesta, lo debe remitir a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

 

  • Recibida la reclamación y si contiene la información pertinente para dar respuesta, se incluirá en la base de datos en un término no mayor a dos (2) días hábiles, la leyenda que diga “reclamo en trámite” y su motivo. Esta leyenda permanecerá hasta tanto se decida el reclamo.

 

9.4.1 Términos de respuesta

 

Las peticiones de acceso o consulta serán atendidas en un término máximo de diez (10) días hábiles, contados estos a partir de la fecha de recibo de la misma, en caso de no ser posible atender la consulta dentro de dicho término, se le informará, así como los motivos de la demora y la fecha de respuesta; sin embargo, este tiempo adicional no superará los cinco (5) días hábiles siguientes al primer vencimiento.

El término máximo para dar respuesta a una reclamación en cuanto a rectificación, modificación, actualización o supresión de información, será de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. En caso de no ser posible atenderla en el término, se debe informar los motivos de la demora y la fecha en que se atenderá esta, pero no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

 

  1. BASES DE DATOS

 

Para el desarrollo de las actividades propias de su objeto social BPM ANDINA, cuenta con las siguientes bases de datos:

  1. Socios, Empleados o Gestión Humana: Se ingresa la información la información solicitada al personal que labora para BPM ANDINA, a la base de datos PROGRAMA DE FORMACIÓN BPM ANDINA, el cual se encuentra bajo custodia del Director de Gestión Humana.
  2. Información Contable: Comprende toda la información contable de la compañía discriminada por terceros. Su responsable es el Asistente Contable.
  3. Bitácora(s) de Registro de Eventos: Bases de Datos registro de peticiones o información de los clientes. Encargado de la validación y control es el Director Técnico y de Aseguramiento y Calidad.
  4. Clientes – Cuadros de Control: Contra este se ingresa la información correspondiente a las órdenes de compra de los clientes, su diagnóstico para la posterior realización del servicio; y se asigna el personal para que realice el servicio. Responsable del manejo y asignación de la información es el Director de Planeación y Director de Laboratorio.
  5. Cuadros Integrales: Listado de las cotizaciones, pero con el correspondiente seguimiento realizado por los comerciales, así como las modificaciones que puedan tener estas. Quienes alimentan este son el Asistente Comercial y el Asesor Comercial.
  6. Contactos: Información relacionada con posibles proveedores, cuya finalidad es la evaluación del servicio y/o producto suministrado para futuras y actuales compras, el responsable de la validación y control es el Asistente Contable.

 

10.1 FINALIDAD

 

Las finalidades de la información personal que es tratada en BPM ANDINA S.A.S., es la siguiente, según cada grupo de información:

Socios, Empleados o Gestión Humana: Relación, comunicación, registro, acreditación, consolidación, organización, actualización, aseguramiento, procesamiento, investigación, capacitación, autorización, reporte, estadística, planeación, mejora, análisis, tramitación, auditoría, defensa jurídica, y gestión de actuaciones, información y acciones relacionadas con los trabajadores y sus familiares y/o beneficiarios, y los contratistas prestadores de servicios a BPM ANDINA.

Información Contable: Descripción, registro, consolidación organización, actualización, seguimiento, aseguramiento, procesamiento, investigación y todas las gestiones necesarias para llevar a cabo las actividades propias del área contable de BPM ANDINA.

Bitácoras de Registro de Eventos: Registro, consolidación, procesamiento, reporte, y comunicación de peticiones o información de los clientes, referente a los servicios o actividades llevadas a cabo en los clientes en el desarrollo del objeto del negocio de BPM ANDINA.

Clientes – Cuadros de Control: Relacionamiento, comunicación, registro, acreditación, consolidación, organización, actualización, aseguramiento, atención, tramite, defensa jurídica, comercialización, y gestión de las actuaciones, informaciones y actividades en las cuales se relacionan o vinculan los clientes frente a la prestación y organización del servicio por BPM ANDINA.

Cuadros Integrales: Descripción, relación, comunicación, organización, aseguramiento, actualización, seguimiento, atención, trámite, defensa jurídica, comercialización y gestión de las actuaciones frente a los clientes o prospectos de estos, desde la etapa precontractual.

Contactos: Relacionamiento, comunicación, desarrollo, registro, actualización, evaluación, consolidación, acreditación, formalización, ejecución, difusión, aseguramiento, organización, tramitación, control y gestión de las actuaciones, informaciones y actividades en las cuales se relacionan o vinculan la comunidad específica o general con BPM ANDINA.

 

10.2 VIGENCIA

 

La información contenida en las bases de datos se conservará conforme con los principios de archivística, caducidad, razonabilidad y temporalidad dispuesto por la normativa vigente. Por lo tanto, las autorizaciones tienen por vigencia la duración de la relación contractual y hasta diez (10) años más. Sin perjuicio que durante la vigencia de la autorización o contrato que dio origen a la relación comercial o contractual, alguna norma exija o modifique el tiempo de permanencia de la información contenida o atinente a dicha relación.

 

  1. CANAL DE COMUNICACIÓN

 

Ha establecido como canal único de comunicación para toda solicitud relacionada con la protección y el tratamiento de los datos personales, el siguiente correo electrónico: protecciondatos@bpmandina.com y con el Oficial de Datos.

 

 

11.1 RESPONSABILIDADES DEL OFICIAL DE DATOS

  1. Atender el correo electrónico definido por BPM ANDINA, para la solicitud y ejercicio de los derechos de los titulares de los datos.

 

  1. Velar por el cumplimiento de lo establecido por BPM ANDINA, en las políticas y manuales de protección y tratamiento de datos personales.

 

  1. Actualizar, los datos personales de los titulares de los datos frente a BPM ANDINA, como responsable del tratamiento de los mismos.

 

  1. Rectificar los datos tratados por BPM ANDINA, y/o vigilar porque la persona encargada lo ejecute, sea a solicitud del titular de los datos, o en virtud de actualizaciones requeridas por la empresa.

 

  1. Velar porque el canal dispuesto para la comunicación de los titulares de los datos con BPM ANDINA, permanezca disponible para su fin.

 

  1. Procurar por que las solicitudes de modificación y revocatoria de la autorización y/o solicitud de supresión de los datos personales, sean efectivos y realizados en el tiempo estipulado por las normas vigentes.
  2. Atender los requerimientos de información emanados de la Superintendencia de Industria y Comercio (SIC), acerca de la protección de datos personales.

 

  1. CONFIDENCIALIDAD

La confidencialidad en nuestro Sistema(s) de Gestión, está garantizada mediante Cláusulas de Confidencialidad suscritas en Contratos de Trabajo y Acuerdos de Confidencialidad (laborales y con nuestros proveedores), A su vez el acceso a la Información sensible se encuentra restringido.