polÍticas y procedimientos para la protecciÓn y tratamiento de datos ... … · de datos...

MANUAL INTERNO PROTECCION Y TRATAMIENTO

DE DATOS PERSONALES

CODIGO:MI-CUM-001

VERSION 2 FECHA: 01/12/2015

PAGINA: 1 de 22

POLÍTICAS Y PROCEDIMIENTOS PARA LA PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES

PRESENTACION

La elaboración del presente documento responde como cumplimiento a la disposición prevista en el literal k) del artículo 17 de la Ley Estatutaria 1581 del 17 de octubre de 2012, que regula los deberes que asisten a los responsables del tratamiento de datos personales, dentro de los cuales se destaca el de adoptar un manual Interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley y en especial, para la atención de consultas y reclamos, como también extender el alcance de lo dispuesto en el Código de Ética en los literales a y c del numeral 2 del Capítulo IV del manual interno del SIPLAFT En la actualidad, la tecnología permite a las empresas la gestión y almacenamiento eficiente de la información personal que utiliza para el cumplimiento de sus objetivos corporativos y de negocio, como puede ser en sus procesos de selección y contratación de personal, o los procesos relacionados con el servicio y atención a asociados, usuarios, proveedores y directivos, entre otros. El derecho fundamental al habeas data tiene por objeto precisamente garantizar a los ciudadanos el poder de decisión y control que tienen sobre la información que les concierne, concretamente sobre el uso y destino que se le dan a sus datos personales. En este sentido, el derecho a la protección de datos personales dota al titular de un abanico de facultades para mantener el control sobre su información personal. Estas opciones van desde el derecho a saber quién conserva los datos personales y los usos a los que se están sometiendo los mismos, hasta la definición de quien tiene la posibilidad de consultarlos. La Ley les atribuye incluso el poder de oponerse a esa posesión y utilización. La Ley 1581 de 2012 desarrolla una serie de garantías e instrumentos diseñados para garantizar la vigencia del referido derecho fundamental. En este contexto, el objeto de este manual consiste en cubrir dichas garantías e instrumentos teniendo en cuenta nuestra condición de responsables del tratamiento de datos personales. Este manual permite instrumentar cambios organizativos importantes para sentar los procedimientos de recolección y tratamiento de datos personales a las disposiciones de la Ley. NOTA: Para la elaboración del Manual se han tomado en cuenta algunas de las propuestas reglamentarias que en la actualidad la Superintendencia de Industria y Comercio ha sometido a consulta de los ciudadanos y gremios. En la medida en que el texto definitivo de Decreto(s) incorpore(n) cambios que lo afecten, se ajustará.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 2 de 22

CONTENIDO CAPITULO I DISPOSICIONES GENERALES 1. ÁMBITO DE APLICACIÓN 2. BASE DE DATOS 3. PROTECCIÓN DE DATOS 4. OBJETO 5. DEFINICIONES 6. PRINCIPIOS

CAPÍTULO II AUTORIZACIÓN 1. AUTORIZACIÓN. 2. FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN. 3. AVISO DE PRIVACIDAD

CAPITULO III DERECHOS Y DEBERES 1. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN. 2. DEBERES DE BENEFICIAR ENTIDAD COOPERATIVA (EN ADELANTE BEC) EN

RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES.

CAPÍTULO IV PROCEDIMIENTOS DE ACCESO, CONSULTA Y RECLAMACION 1. DERECHO DE ACCESO. 2. CONSULTAS 2.1 Consulta telefónica: 2.2 Consulta presentada por escrito: 3. RECLAMOS 3.1 ACTUALIZACION O RECTIFICACION DE DATOS 3.2 SUPRESIÓN DE DATOS

CAPITULO V SEGURIDAD DE LA INFORMACIÓN 1. MEDIDAS DE SEGURIDAD. 2. POLITICAS DE SEGURIDAD EN OFICINAS DE BEC 3. PROCEDIMIENTO ANTE UN POTENCIAL EVENTO DE FUGA DE INFORMACIÓN DE

DATOS PERSONALES. 4. CAPACITACIÓN DEL PERSONAL.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 3 de 22

CAPITULO I DISPOSICIONES GENERALES

1. ÁMBITO DE APLICACIÓN El presente documento aplica al tratamiento de los datos de carácter personal que consulte, solicite, suministre, reporte, procese, obtenga, recolecte,, compile, confirme, intercambie, modifique, emplee, analice, estudie, conserve, reciba y envíe BENEFICIAR ENTIDAD COOPERATIVA (BEC), correspondiente a información relacionada al ejercicio de la actividad de la cooperativa y a su objeto social. 2. BASE DE DATOS Las políticas y procedimientos contenidos en el presente manual aplican a las bases de datos que trate BEC, y que serán registradas de conformidad con lo dispuesto en la Ley Estatutaria 1581 del 17 de octubre de 2012.

3. PROTECCIÓN DE DATOS

BEC está comprometida a proteger la veracidad, confidencialidad, transparencia, integridad y seguridad de la información personal que los asociados nos confían. BEC informa a sus asociados mediante un aviso de privacidad en la página web, www.beneficiar.com.co, que la Cooperativa no comparte información personal con terceros, excepto en lo que concierne al correcto desarrollo de los contratos y negocios jurídicos celebrados con ellos, así como para las finalidades que autoricen y para los casos permitidos por la Ley. Así mismo, la Cooperativa divulga y da a conocer a sus asociados las políticas para la Protección de Datos Personales, al momento en que la relación comercial es establecida y la misma se mantiene en la página web de la Cooperativa para libre consulta. 4. OBJETO.

Por medio del presente manual se da cumplimiento a lo previsto en el literal k) del artículo 17 de la Ley 1581 de 2012, que regula los deberes que asisten a los responsables del tratamiento de datos personales, dentro de los cuales se encuentra el de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley y en especial, para la atención de consultas y reclamos. Así mismo tiene la finalidad de regular los procedimientos de recolección, manejo y tratamiento de los datos de carácter personal que realiza BEC, a fin de garantizar y proteger el derecho fundamental de habeas data en el marco de lo establecido en la misma Ley.

http://www.beneficiar.com.co/


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 4 de 22

5. DEFINICIONES De acuerdo con lo establecido en el artículo 3 de la Ley Estatutaria 1581 del 17 de octubre de 2012 y para efectos de la aplicación de las reglas contenidas en el presente manual se entiende por: a. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el

Tratamiento de datos personales.

b. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

c. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

d. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

e. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

f. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

g. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

h. Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el Responsable que se pone a disposición del Titular para el tratamiento de sus datos personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales.

i. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular

j. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 5 de 22

6. PRINCIPIOS En los procesos de recolección, uso y tratamiento de datos personales, BEC dará aplicación a los principios rectores establecidos en el artículo 4 de la Ley 1581 de 2012, así: a. Principio de finalidad: El Tratamiento de los datos personales recogidos por BEC debe

obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

b. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

c. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

d. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener de BEC, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

e. Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.

f. Principio de seguridad: La información sujeta a Tratamiento por parte de BEC, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

g. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 6 de 22

CAPÍTULO II AUTORIZACIÓN 1. AUTORIZACIÓN. La recolección, almacenamiento, uso, circulación o supresión de datos personales por parte de BEC requiere del consentimiento libre, previo, expreso e informado del titular de los mismos. BEC, en su condición de responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización. 2. FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN. La autorización puede constar en un documento físico, electrónico, en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo mediante el cual se pueda concluir de manera inequívoca, que de no haberse surtido una conducta del titular, los datos nunca hubieren sido capturados y almacenados en la base de datos. La autorización será emitida por BEC y será puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad con lo que establece la Ley 1581 de 2102. Con el procedimiento de autorización se garantiza que se ha puesto en conocimiento del titular de los datos personales, tanto el hecho que su información personal será recogida y utilizada para fines determinados y conocidos, como que tiene la opción de conocer cualquier alternación a los mismos y el uso específico que de ellos se ha dado. El formato de autorización para que el Asociado permita que BEC maneje sus datos personales se adjunta en el presente manual como Anexo 1. 3. AVISO DE PRIVACIDAD

El Aviso de Privacidad es el documento físico, electrónico o cualquier otro formato, que es puesto a disposición del Titular para el tratamiento de sus datos personales. A través de este documento se informa al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales. BEC conservará el modelo del aviso de privacidad que se transmitió a los Titulares mientras se lleve a cabo tratamiento de datos personales y perduren las obligaciones que de éste deriven. El formato de aviso de privacidad se adjunta en el presente manual como Anexo 2.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 7 de 22

CAPITULO III DERECHOS Y DEBERES 1. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN. De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012 el titular de los datos personales tiene los siguientes derechos: a) Conocer, actualizar y rectificar sus datos personales frente a BEC en su condición de

responsable del tratamiento. b) Solicitar prueba de la autorización otorgada a BEC en su condición de Responsable del

Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012.

c) Ser informado por BEC, previa solicitud, respecto del uso que le ha dado a sus datos

personales.

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, una vez haya agotado el trámite de consulta o reclamo ante BEC

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se

respeten los principios, derechos y garantías constitucionales y legales.

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento. 2. DEBERES DE BEC EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS

PERSONALES BEC tendrá presente, en todo momento, que los datos personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. En este sentido, hará uso de ellos sólo para aquellas finalidades para las que se encuentra facultado debidamente, y respetando en todo caso lo previsto en la Ley. De conformidad con lo establecido en los artículos 17 y 18 de la Ley 1581 de 2012, BEC se compromete a cumplir en forma permanente con los siguientes deberes en lo relacionado con el tratamiento de datos personales: a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas

data.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 8 de 22

b. Solicitar y conservar, en las condiciones previstas en la presente Ley, copia de la respectiva autorización otorgada por el Titular.

c. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le

asisten por virtud de la autorización otorgada.

d. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley 1581 de 2012, o cualquier norma que la modifique.

e. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

f. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

g. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

h. Tramitar las consultas y reclamos formulados por los Titulares en los términos señalados en el artículo 14 de la Ley 1581 de 2012, o cualquier norma que la modifique.

i. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente Ley y en especial, para la atención de consultas y reclamos.

j. Informar a solicitud del Titular sobre el uso dado a sus datos.

k. Informar a la superintendencia de industria y comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

l. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

m. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

n. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 9 de 22

CAPÍTULO IV PROCEDIMIENTOS DE ACCESO, CONSULTA Y RECLAMACION

1. DERECHO DE ACCESO.

El poder de disposición o decisión que tiene el titular sobre la información que le compete, conlleva necesariamente el derecho de acceder y conocer si su información personal está siendo objeto de tratamiento, así como el alcance, condiciones y generalidades de dicho tratamiento. De esta manera, BEC debe garantizar al titular (asociado) su derecho de acceso en tres vías: a. La primera implica que el titular (asociado) pueda conocer la efectiva existencia del

tratamiento a que son sometidos sus datos personales.

b. La segunda, que el titular (asociado) pueda tener acceso a sus datos personales que están en posesión de BEC.

c. La tercera, supone el derecho a conocer las circunstancias esenciales del tratamiento, lo cual se traduce en el deber de BEC de informar al titular sobre el tipo de datos personales tratados y todas y cada una de las finalidades que justifican el tratamiento.

2. CONSULTAS

De conformidad con lo establecido en el artículo 14 de la Ley 1581 de 2012 los titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos. En consecuencia, BEC garantizará el derecho de consulta, suministrando a los titulares, toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. El Titular puede consultar tanto el contenido de sus datos personales, como la evidencia de la autorización dada para su tratamiento, así como ser informado del uso que BEC le ha dado a sus datos personales, esta consulta puede ser: 2.1 Consulta telefónica:

Se dará trámite a la solicitud de conocimiento de los datos cuando ella se reciba vía telefónica siempre que se valide la identificación de quien la solicita, de acuerdo con el siguiente procedimiento: Se debe verificar que la persona que está llamando es el Titular (asociado) a través de la formulación de preguntas de validación, tales como la fecha exacta del nacimiento o la fecha de expedición del documento de identidad. Debe quedar constancia escrita de haberse adelantado este procedimiento.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 10 de 22

Como prueba de la gestión telefónica, BEC conservará la grabación de la llamada y el funcionario que dio respuesta a la solicitud dejará el comentario en el sistema de la atención prestada y el registro de la entrega de esta información.

2.2 Consulta presentada por escrito:

Se dará trámite a la solicitud por escrito siempre que la misma sea recibida:

a. Directamente en la oficina de BEC, con firma y huella del solicitante.

b. Solicitud enviada desde la dirección de correo electrónico registrada por el Titular (asociado)

dirigida a: [email protected] Recibida la solicitud, BEC contará con diez (10) días hábiles contados desde la fecha de la petición para darle respuesta. De no ser posible, se deberá informar al solicitante las razones y se indicará que en un término máximo de cinco (5) días hábiles contados desde la fecha de vencimiento del primer término, se atenderá la consulta. La copia de la autorización para el tratamiento de datos personales se entregará, excepto en aquellos casos en los que la Ley exceptúe contar con dicha autorización como requisito para el tratamiento de los datos personales (Articulo 10 Ley 1581 de 2012).

3. RECLAMOS De conformidad con lo establecido en el artículo 15 de la Ley 1581 de 2012, el Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante BEC, el cual será tramitado bajo las siguientes reglas:

a. Si el reclamo recibido no cuenta con información completa que permita darle trámite, esto

es, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer, se requerirá al interesado dentro de los cinco (5) días siguientes a su recepción para que subsane las fallas. Este requerimiento será enviado a través del correo electrónico que se tiene registrado del Titular (asociado) con el fin de agilizar el proceso, en caso de no tener el registro de una dirección de correo electrónico se enviara notificación por escrito al lugar de residencia del Titular.

b. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente

la información requerida, se entenderá que ha desistido del reclamo. c. Si por alguna circunstancia se recibe un reclamo que en realidad no debería ir dirigido contra

mailto:[email protected]


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 11 de 22

BEC, éste dará traslado, en la medida de sus posibilidades, a quien corresponda en un término máximo de dos (2) días hábiles, e informará de la situación al interesado.

d. El término máximo para atender esta solicitud será de quince (15) días hábiles contados a

partir del día siguiente a la fecha de su recibo completo. Cuando no fuere posible atenderla en ese plazo, se informará al solicitante el motivo y la fecha en la que se atenderá, la que en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

En cualquier momento y de manera gratuita el titular o su representante podrán solicitar a BEC la rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad. Los derechos de rectificación, actualización o supresión únicamente se podrán ejercer por: El titular o sus causahabientes, previa acreditación de su identidad, o a través de

instrumentos electrónicos que le permitan identificarse.

Su representante, previa acreditación de la representación. Cuando la solicitud sea formulada por persona distinta del titular y no se acredite que la misma actúa en representación de aquél, se tendrá por no presentada. La solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por BEC señalados en el aviso de privacidad y contener, como mínimo, la siguiente información: a. El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta.

b. Los documentos que acrediten la identidad o la personalidad de su representante.

c. La descripción clara y precisa de los datos personales respecto de los cuales el titular busca

ejercer alguno de los derechos.

d. En caso dado otros elementos o documentos que faciliten la localización de los datos personales.

3.1 ACTUALIZACION O RECTIFICACION DE DATOS BEC tiene la obligación de corregir y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, al respecto se tendrá en cuenta lo siguiente: En las solicitudes de rectificación y actualización de datos personales el titular debe indicar

las correcciones a realizar y aportar la documentación que avale su petición.

BEC tiene plena libertad de habilitar mecanismos que le faciliten el ejercicio de este


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 12 de 22

derecho, siempre y cuando éstos beneficien al titular. En consecuencia, se podrán habilitar medios electrónicos u otros que considere pertinentes.

BEC podrá establecer formularios, sistemas y otros métodos simplificados, éstos deben ser informados en el aviso de privacidad y se pondrán a disposición de los interesados en la página web.

Para éstos efectos, BEC podrá utilizar los mismos servicios de atención o servicio al asociado que tiene en operación, siempre y cuando los plazos de respuesta no sean mayores a los señalados por el artículo 15 de la Ley 1581 de 2012. Cada vez que BEC ponga a disposición una herramienta nueva para facilitar el ejercicio de sus derechos por parte de los titulares de información o modifique las existentes, lo informará a través de su página web. 3.2 SUPRESIÓN DE DATOS

El titular tiene el derecho, en todo momento, de solicitar a BEC la supresión (eliminación) de sus datos personales cuando: a. Considere que los mismos no están siendo tratados conforme a los principios, deberes y

obligaciones previstas en la Ley 1581 de 2012, o cualquier norma que la modifique.

b. Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron obtenidos.

c. Se haya superado el periodo necesario para el cumplimiento de los fines para los cuales fueron obtenidos.

Esta supresión implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en los registros, archivos, bases de datos o tratamientos realizados por BEC. Es importante tener en cuenta que el derecho de cancelación no es absoluto y el responsable BEC puede negar el ejercicio del mismo cuando: a. El titular tenga un deber legal o contractual de permanecer en la base de datos

b. La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a

obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas

c. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.

En caso de resultar procedente la cancelación de los datos personales, BEC debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 13 de 22

CAPITULO V SEGURIDAD DE LA INFORMACIÓN

1. MEDIDAS DE SEGURIDAD. En desarrollo del principio de seguridad establecido en el artículo 4 literal g) de la Ley 1581 de 2012, BEC adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 2. POLITICAS DE SEGURIDAD EN OFICINAS DE BEC a. Política de escritorio limpio. Los documentos con información personal del Asociado

solamente se mantendrán en los escritorios mientras el funcionario está trabajando en ellos; cuando el funcionario termine con su actividad, o se levante, o finalice su jornada , deberá guardarlos en gabinete bajo llave. Cuando otra persona se acerca a hablar con el funcionario, deberá dar vuelta la hoja o cerrar el expediente.

b. Política de bloqueo de pantalla. Cuando el funcionario que maneje datos personales de

asociados se levante de su escritorio, alguien se acerque a su puesto de trabajo, o se retire al final del día, debe dar CTRL+ALT+DELETE y seleccionar bloquear pantalla o apagar el computador. En todo caso, transcurridos cinco (5) minutos sin actividad en el computador, se ha programado su bloqueo automático.

c. Declaración de privacidad al pie de los correos electrónicos. Los correos electrónicos de

los funcionarios de BEC, deben incluir una nota automática que indique que cualquier información contenida en el mismo tiene carácter privilegiado y confidencial. (Si bien este tipo de información no tiene en todos los casos protección legal, se incluye a modo preventivo).

d. Protección de información confidencial en Recepción. Cuando se recibe información

confidencial en la Recepción de la Cooperativa, después de colocar sello y radicar en el sistema se debe depositar en el respectivo espacio del área al cual va dirigida en el cajón de correspondencia, para que tal información no pueda ser vista por personas que se acercan a Recepción mientras es recogida o se reparte en el área que corresponde.

e. Revelación de información. Está prohibida la revelación de datos personales para objetivos

de mercadeo, excepto cuando se trata de mercadeo directo con el asociado o cuando el área comercial de la cooperativa organice una campaña para ellos. Así mismo, cuando alguna autoridad administrativa o judicial solicite la revelación de datos personales de Asociados, empleados o proveedores el Coordinador de Riesgo deberá hacer la revisión, previo a su revelación.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 14 de 22

3. PROCEDIMIENTO ANTE UN POTENCIAL EVENTO DE FUGA DE INFORMACIÓN DE

DATOS PERSONALES. Para efectos de este documento se entenderá como un potencial evento de fuga de información como cualquier incidente de adquisición, uso o revelación de información personal de Titulares (asociados), no autorizada y que comprometa la seguridad, integridad y confidencialidad de esa información, creando un riesgo para el Titular (asociado). Por ejemplo:

Un funcionario que accede a la información de un Asociado por fuera del ejercicio de sus funciones laborales.

La pérdida o hurto de un computador que contenga información personal no

encriptada.

Información personal de asociados enviada por error a un fax o dirección de correo. Cualquier potencial evento de fuga de información deberá ser reportado al Coordinador de Riesgos inmediatamente y en todo caso, en un máximo de dos (2) días hábiles contados desde la fecha del descubrimiento de los hechos. Si la fuga involucra una situación de pérdida o hurto de un computador, deberá igualmente ser reportada al Gerente Administrativo y de Sistemas. A juicio del Coordinador de Riesgos, si la posible fuga de información constituye una violación a los códigos de seguridad, deberá informarlo a la Superintendencia de Industria y Comercio.

4. CAPACITACIÓN DEL PERSONAL.

BEC capacitará a su personal por lo menos una vez al año, respecto del contenido de este documento en aras de garantizar la seguridad, confidencialidad, veracidad e integridad de los datos personales de sus Asociados. Cada capacitación contará con un listado de los asistentes así como del contenido programático de las mismas.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 15 de 22

ANEXO 1 AUTORIZACION TRATAMIENTO DE DATOS PERSONALES – LEY 1581 DE 2012

Se adiciono la autorización al tratamiento de datos personales en los formatos de: Solicitud de Afiliación, Solicitud de Crédito, Solicitud de Tarjeta BEC y formato de Actualización de Datos. “Autorizo de manera expresa e irrevocable a BENEFICIAR ENTIDAD COOPERATIVA, a quien represente o a quien ceda sus derechos, o a quien ésta contrate para e l ejercicio de los mismos, sus obligaciones o su posición contractual a cualquier título, en relación con los productos o servicios de los que soy titular, o como representante de éste, para que consulte, solicite, suministre, reporte, procese, obtenga, recolecte, compile, confirme, intercambie, modifique, emplee, analice, estudie, conserve, reciba y envíe mis datos personales, lo que incluye toda la información relativa a mi comportamiento crediticio, financiero, comercial y de servicios, así como los datos personales de los administradores y/o accionistas de la entidad que represento y a los que la entidad tenga acceso en desarrollo de las finalidades previstas en la presente autorización. En los términos de la ley 1581 de 2012, manifiesto de manera expresa, que he sido informado del tratamiento al que serán sometidos mis datos y su finalidad, conforme con el documento que declaro haber recibido de BENEFICIAR ENTIDAD COOPERATIVA. Igualmente autorizo a BENEFICIAR ENTIDAD COOPERATIVA para solicitar y reportar a la Central de Información del Sector Financiero -CIFIN - o a cualquier otra entidad que maneje o administre bases de datos con los mismos fines, toda la información referente a mi comportamiento que surja por cualquier vínculo que posea con la entidad.” Solicitud de Afiliación Solicitud de Afiliación Independientes


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 16 de 22

Solicitud de Crédito Solicitud de Tarjeta BEC Solicitud de Crédito Rotativo Formato Actualización de datos.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 17 de 22

ANEXO 2 AVISO DE PRIVACIDAD

El presente documento constituye el “Aviso de Privacidad” de BENEFICIAR ENTIDAD COOPERATIVA (en lo sucesivo la “Cooperativa”), con domicilio y dirección de notificación en la ciudad de Bogotá D.C., Carrera 7 No. 34-22, Oficina 401-402, que se pone a disposición de Usted (el “Titular”) previo a la obtención y tratamiento de sus datos personales. I.- Objeto: Este Aviso de Privacidad regula la forma, términos y condiciones conforme a los cuales la Cooperativa, está facultada y autorizada por el Titular para obtener, tratar y transferir los datos personales (en lo sucesivo los “Datos”) del Titular. II.- Datos Excluidos: El sitio web de la Cooperativa puede incluir enlaces a sitios web de terceros. Si obtiene acceso a dichos enlaces, abandonará el sitio web de la Cooperativa, por lo cual la Cooperativa no asume ninguna responsabilidad en relación con esos sitios web de terceros. Si publica, comenta o comparte información personal, incluidas fotografías, en cualquier foro público, red social, blog u otro foro de este tipo, debe tener en cuenta que cualquier información personal que publique la podrán leer, ver, recabar o utilizar otros usuarios de dichos foros, y se podría utilizar para ponerse en contacto con usted, enviarle mensajes no solicitados o con fines que ni usted ni la Cooperativa puede controlar. La Cooperativa no es responsable de la información personal que decida enviar a estos foros o redes sociales. III.- Consentimiento: El Titular en este acto manifiesta: 1. Que en caso de que este “Aviso de Privacidad” se encuentre disponible a través de una página

electrónica (sitio Web, página de Internet o similar) o algún otro dispositivo electrónico, al hacer “click” en “aceptar” o de cualquier otra forma seguir navegando en el sitio, o bien al proporcionar sus Datos a través del mismo, constituye una manifestación de su consentimiento para que la Cooperativa realice el tratamiento de sus Datos, de conformidad con este “Aviso de Privacidad”.

2. Que en caso de que este “Aviso de Privacidad” esté disponible a través de medios sonoros, audiovisuales o de cualquier otra tecnología, el hecho de proporcionar sus Datos constituye una manifestación de su consentimiento para que la Cooperativa realice el tratamiento de sus Datos, de conformidad con este “Aviso de Privacidad”.

3. Que en caso de que este “Aviso de Privacidad” esté disponible por escrito, su firma, rúbrica, nombre o huella o bien al proporcionar sus Datos en cualquier parte del sitio, constituye una manifestación de su consentimiento para que la Cooperativa realice el tratamiento de sus datos, de conformidad con este “Aviso de Privacidad”.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 18 de 22

4. Que toda la información que proporcione es veraz y completa. El Titular responderá en todo

momento por los Datos proporcionados. El Titular tiene derecho de acceder, rectificar y cancelar sus Datos, así como de oponerse al tratamiento de los mismos o revocar el consentimiento que para tal fin lo haya otorgado, a través de los procedimientos que se establecen en este Aviso de Privacidad. IV.- Datos sensibles: El Titular declara, que no ha proporcionado y en ningún caso proporcionará a la Cooperativa “datos personales sensibles”, es decir, aquellos datos personales íntimos o cuya utilización debida o indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, el Titular se obliga a no proporcionar a la Cooperativa ningún Dato relativo a origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas o preferencia sexual. V.- Obtención de datos: El Titular proporcionará voluntariamente sus Datos a la Cooperativa, ya sea por escrito, verbalmente, electrónicamente, mediante encuestas, su ingreso directo al sitio de Internet de la Cooperativa o mediante el envío de archivos electrónicos o de cualquier otra naturaleza, incluyendo de forma enunciativa más no limitativa, entrega directa de información, acceso al sitio de Internet de la Cooperativa (en donde se haga referencia a este Aviso de Privacidad), llamadas telefónicas o de telemercadeo, solicitudes por correo electrónico, seminarios, congresos o eventos, etc. En caso de uso o acceso a nuestro sitio de Internet u otros medios electrónicos, le informamos que es posible que nuestros sistemas recopilen Datos del Titular tales como tipo de navegador, sistema operativo, páginas de Internet visitadas, dirección IP, etc., a través de “cookies” o “web beacons”, entre otros. Las cookies son archivos de texto que son descargados automáticamente y almacenados en el disco duro del equipo de cómputo del usuario al navegar en una página de Internet específica, que permiten recordar al servidor de Internet algunos datos sobre este usuario, entre ellos, sus preferencias para la visualización de las páginas en ese servidor, nombre y contraseña. Por su parte, las web beacons son imágenes insertadas en una página de Internet o correo electrónico, que puede ser utilizado para monitorear el comportamiento de un visitante, como almacenar información sobre la dirección IP del usuario, duración del tiempo de interacción en dicha página y el tipo de navegador utilizado, entre otros. El Titular acepta que la Cooperativa también podrá obtener Datos del Titular de otros medios como información que se obtenga de otras fuentes comercialmente disponibles, como por ejemplo directorios telefónicos, directorios laborales, tarjetas de presentación, bases de datos públicas, etc. Toda la información y Datos que recopilamos sobre el Titular, puede combinarse para los fines permitidos conforme a este Aviso de Privacidad. VI.- Uso de los datos: La Cooperativa podrá utilizar los Datos para alguno de los siguientes fines:


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 19 de 22

1. Mejora del proceso comercial.- En caso de información estadística, datos de tratamiento interno,

promociones comerciales, estudios de mercadotecnia, ofertas comerciales, encuestas, asuntos publicitarios o similares, podremos requerir información general tal como nombre, domicilio (particular y de oficina), números de teléfono, fax y dirección de correo electrónico, información sobre preferencias comerciales o de consumo, rangos de ingresos, rangos de estudios, rangos de edad y/o rangos de nivel socio económico.

2. Estos Datos podrán usarse de forma enunciativa más no limitativa para: (i) Proveerle los bienes y/o servicios que ha solicitado o respecto de los que ha manifestado interés; (ii) procurar un servicio eficiente y proveer una mejor atención, así como para mejorar su experiencia en el uso de ciertos productos y/o servicios; (iii) enviarle y presentarle bienes y/o servicios que puedan resultar relevantes o atractivos, incluyendo su participación en promociones, ofertas y campañas de publicidad; (vi) informar sobre cambios o nuevos productos o servicios que estén relacionados con el contratado o adquirido; (v) dar cumplimiento a obligaciones contraídas; (vi) evaluar la calidad del servicio, o realizar estudios internos sobre hábitos de consumo.

3. Información para operaciones comerciales:- En caso de que los Datos se soliciten para realizar una operación comercial, se podrá solicitar información financiera, incluyendo números de tarjetas y otra información exclusiva, como la identificación de usuario, información de facturación o transaccional, datos bancarios, etc.

La información financiera antes especificada, incluyendo la relativa a número de tarjetas se utilizará exclusivamente para procesar solicitudes de crédito, pagos y/o para la prevención de fraudes. Esta finalidad puede realizarse mediante el tratamiento y uso de los Datos directamente a través de la Cooperativa o de terceros a quienes se transfieran los datos de conformidad con lo establecido en el numeral siguiente. VII.- Almacenamiento, divulgación y transferencia de los Datos: Los Datos pueden transferirse, almacenarse y procesarse en un país distinto de donde se proporcionaron, en cuyo caso transferimos la información de conformidad con las leyes de protección de la información aplicables. El Titular entiende y acepta que la Cooperativa está autorizada para usar, almacenar divulgar, o transferir los Datos. Si usted no manifiesta su oposición para que sus Datos sean transferidos, se entenderá que ha otorgado su consentimiento para ello. Independientemente de lo anterior, la Cooperativa también podrá proporcionar parte de los Datos a proveedores de bienes o servicios que requieren conocer esta información. Entre esos proveedores se incluyen, de forma enunciativa más no limitativa, los procesadores de tarjetas débito o crédito, los proveedores de servicios de correo electrónico, procesadores de datos automatizados, transportistas, compañías de seguros y compañías prestadoras de servicios de salud y otras compañías o personas naturales que presten servicios propios al objeto social de la Cooperativa. Dichos proveedores de servicios están obligados, por contrato, a mantener la confidencialidad de los Datos conforme a este Aviso de Privacidad.


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 20 de 22

VIII.- Almacenamiento de los datos: Una vez recibidos los datos, éstos serán procesados y almacenados en una base de datos que puede ser administrada por la Cooperativa o por un tercero con el cual la Cooperativa tenga un contrato para dichos efectos. La Cooperativa incorporará mecanismos de protección a fin de evitar en la medida de lo posible desviaciones, adulteración, pérdida, consulta o tratamiento no autorizado de los Datos. IX.- Confidencialidad: La Cooperativa no revelará los datos a terceros no autorizados salvo cuando dicha divulgación sea requerida por ley o mandamiento de autoridad judicial competente. X.- Acceso, rectificación: El Titular tendrá derecho a acceder a su información personal almacenada en la base de datos de la Cooperativa y rectificarla, limitarla o actualizarla cuando lo requiera, para lo cual deberá enviar una solicitud por escrito a la carrera 7 No. 34-22, Oficina 401 o mediante correo electrónico a [email protected] La solicitud de acceso, rectificación, cancelación u oposición deberá contener y acompañar lo siguiente:

El nombre del Titular y domicilio u otro medio para comunicarle la respuesta a su solicitud. Si la solicitud es por medio escrito debe venir debidamente firmada y con huella digital del titular y si es por medio de correo electrónico, este deberá remitirse desde la misma dirección electrónica previamente registrada por el titular a BEC;

Los documentos que acrediten la identidad o, en su caso, la representación legal del Titular; La descripción clara y precisa de los datos personales respecto de los que se busca ejercer

alguno de los derechos antes mencionados, y Cualquier otro elemento o documento que facilite la localización de los datos personales del

Titular.

XI.- Cancelación o Revocación: En caso de solicitudes de cancelación total de Datos o revocación del consentimiento, las mismas deberán realizarse de conformidad con lo señalado en el apartado anterior. Cuando los Datos hubiesen sido transmitidos con anterioridad a la fecha de rectificación o cancelación y sigan siendo tratados por terceros, la Cooperativa deberá poner en su conocimiento dicha solicitud de rectificación o cancelación, sin ninguna otra obligación adicional de su parte. La Cooperativa no estará obligada a cancelar los Datos cuando:

Deban ser tratados por disposición legal; Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la

investigación y persecución de delitos o la actualización de sanciones administrativas;

mailto:[email protected]


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 21 de 22

Sean necesarios para proteger los intereses jurídicamente tutelados del Titular; Sean necesarios para realizar una acción en función del interés público; Sean necesarios para cumplir con una obligación legalmente adquirida.

XII.-Modificaciones: La Cooperativa se reserva el derecho de efectuar en cualquier momento, modificaciones en las presentes políticas de privacidad y adaptarlas a nuevas disposiciones legales o jurisprudenciales. El Titular está de acuerdo y conforme en que cualquier cambio a este “Aviso de Privacidad” o a las políticas de privacidad se notifique mediante su publicación en la página de Internet de la Cooperativa. Es obligación del Titular visitar periódicamente dicho sitio a fin de verificar la versión más actual del Aviso de Privacidad. Para ampliación o mayor detalle, consulte nuestro MANUAL INTERNO PARA LA PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES. CONFIRMO QUE HE LEÍDO, QUE ENTIENDO Y ACEPTO LOS TÉRMINOS Y CONDICIONES DEL PRESENTE AVISO DE PRIVACIDAD.

TABLA DE CONTROL DE CAMBIOS

VERSION MOTIVO DEL CAMBIO FECHA

0 Estructura Inicial del Documento. 11/07/2013

1 Actualización del documento (cambio de imagen corporativa) 17/02/2014

2 Actualización del documento (Revisión General del documento y actualización de los Formatos utilizados para la autorización)

01/12/2015


DE DATOS PERSONALES

CODIGO:MI-CUM-001


PAGINA: 22 de 22

TABLA REVISION Y APROBACIÓN

FECHA DE REVISION: 01/12/2015

FECHA DE APROBACIÓN: 04/12/2015

REVISO: William Malaver Amado.

APROBO: José Orlando Quecano Gómez.

APROBO: Edgar González Barón.

APROBO: William Malaver Amado.

ELABORO: Andrés Guzmán Moreno

polÍticas y procedimientos para la protecciÓn y tratamiento de datos ... … · de datos...

Documents