Políticas institucionales

Política de tratamiento de datos sensibles y personales

De acuerdo con lo exigido en la ley 1266 de 2008, Ley 1581 de 2012 y Decreto 1377 de 2013 los cuales reglamentan el manejo y almacenamiento de Datos en General y de Datos Especiales como los Datos Sensibles se estructura la siguiente reglamentación o política para el Tratamiento de esta clase de datos.


Esta política se aplicará a todas las bases de datos tanto físicas como digitales, que contengan datos personales y que sean objeto de Tratamiento por parte de JERDER SOLUCIONES S.A.S., considerado como responsable. Igualmente, en aquellos casos en que operen como encargadas del tratamiento de datos personales.


La política está dirigida a que la ciudadanía en general tenga a su disposición la información necesaria y suficiente sobre los diferentes tratamientos y fines sobre los que serán objeto sus datos, así como los derechos que ellos, como titulares de datos personales, pueden ejercer frente a JERDER SOLUCIONES S.A.S. cuando este tenga el rol de responsable del tratamiento de sus datos personales.


Esta política es de obligatorio conocimiento y cumplimiento por todos para todas las personas naturales o jurídicas responsables de la administración de bases de datos personales de JERDER SOLUCIONES S.A.S., en especial los administradores del manejo de bases de datos y por aquellos trabajadores y contratistas que reciben, atienden y dan respuesta directa o indirectamente a las peticiones (consultas o reclamo) de información relacionadas con la ley de protección de datos personales.


DEFINICIONES:

ACCESO RESTRINGIDO: Nivel de acceso a la información limitado a parámetros previamente definidos. La organización no hará disponibles Datos Personales para su acceso a través de Internet u otros medios de comunicación masiva, a menos que se establezcan medidas técnicas que permitan controlar el acceso y restringirlo solo a las personas Autorizadas.


ÁREA RESPONSABLE DE PROTECCIÓN DE DATOS: Es el área dentro de la empresa, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales y la implementación del Programa Integral de Protección de Datos Personales.


ÁREA RESPONSABLE DE LA ATENCIÓN A PETICIONES, QUEJAS, RECLAMOS Y CONSULTAS: Las peticiones, quejas, reclamos y consultas formuladas por los titulares de datos serán atendidas por SIAU, adscrita a la misma.


AUTORIZACIÓN: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. Para la presente política se desarrollará a través del ACTA DE AUTORIZACIÓN DE TRATAMIENTO DE DATOS SENSIBLES.


BASE DE DATOS: Conjunto organizado de datos personales que sea objeto de Tratamiento.


CALIDAD DEL DATO: El dato personal sometido a tratamiento deberá ser veraz, completo, exacto, actualizado, comprobable y comprensible. Cuando se esté en poder de datos personales parciales, incompletos, fraccionados o que induzcan a error, la empresa deberá abstenerse de someterlo a Tratamiento, o solicitar a su Titular la completitud o corrección de la información.


CIRCULACIÓN RESTRINGIDA: Los datos personales sólo serán tratados por aquel personal de la empresa o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrán entregarse datos personales a quienes no cuenten con autorización o no hayan sido habilitados por la empresa, para tratarlos.


CONFIDENCIALIDAD: Elemento de seguridad de la información que permite establecer quienes y bajo qué circunstancias se puede acceder a la misma.


DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.


DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.


DATO SEMIPRIVADO: Es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales.


DATOS SENSIBLES: Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.


DERECHO DE LOS NIÑOS, NIÑAS Y ADOLESCENTES: En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que sean de naturaleza pública.


INFORMACIÓN DIGITAL: Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.


ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento. Para el caso de la presente política será la JERDER SOLUCIONES S.A.S.


RESPONSABLE DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. Para la presente política será el líder de cada proceso de cada Sucursal.


TITULAR: Persona natural cuyos datos personales sean objeto de Tratamiento. El usuario o paciente de nuestra institución.


TRATAMIENTO: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.


PRINCIPIOS RECTORES:

En el desarrollo, interpretación y aplicación de la ley, regulaciones, y normatividad vigente, se aplicarán, de manera armónica e integral, los siguientes principios:


a) Principio de Legalidad en Materia de Tratamiento de Datos: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 del 17 de octubre de 2012, decretos reglamentarios y demás disposiciones que la desarrollen.

b) Principio de Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

c) Principio de Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de Datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

f) Principio de Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.

g) Principio de Seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de Confidencialidad: Todos los funcionarios y contratistas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. La empresa se compromete a tratar los datos personales de los titulares tal y como lo define el literal.

g) del artículo 3 de la Ley 1581 de 2012 de forma absolutamente confidencial haciendo uso de estos, exclusivamente, para las finalidades indicadas en el apartado anterior, siempre que el titular no se haya opuesto a dicho tratamiento. La empresa informa que tiene implantadas las medidas de seguridad de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos personales y eviten su alteración, pérdida, tratamiento y/o acceso no autorizado.

i) Principio de temporalidad: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de los datos.

j) Interpretación integral de los derechos constitucionales: Los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los derechos constitucionales aplicables.

k) Principio de Necesidad: Los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.


ARTÍCULO 1. CATEGORÍAS ESPECIALES DE DATOS:

• DATOS SENSIBLES

Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.


o TRATAMIENTO DE DATOS SENSIBLES

Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

c) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

d) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.


o AUTORIZACIÓN ESPECIAL DE DATOS PERSONALES SENSIBLES

JERDER SOLUCIONES S.A.S. informará a través de los diversos medios de obtención de la autorización a todos sus titulares, que en virtud de la ley 1581 del 2012 y normas reglamentarias estos no están obligados a otorgar la autorización para el tratamiento de datos sensibles. En caso de tratamiento de datos relativos a la salud, JERDER SOLUCIONES S.A.S. implementará las medidas necesarias para proteger la confidencialidad de la información. Los datos sensibles biométricos tratados tienen como finalidad la identificación de las personas, la seguridad, el cumplimiento de obligaciones legales y la adecuada prestación de los servicios.


• DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES

El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos:


  1. Que respondan y respeten el interés superior de los niños, niñas y adolescentes.
  2. Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.


ARTÍCULO 2. TRATAMIENTO Y FINALIDADES

De acuerdo con lo establecido en la Ley 1581 de 2012 y de conformidad con las autorizaciones impartidas por los titulares de la información, la empresa realizará operaciones o conjunto de operaciones que incluyen recolección de datos, su almacenamiento, uso, circulación y/o supresión. Este Tratamiento de datos se realizará exclusivamente para las finalidades autorizadas y previstas en la presente Política y en las autorizaciones específicas otorgadas por parte del titular. De la misma forma se realizará Tratamiento de Datos Personales cuando exista una obligación legal o contractual para ello, siempre bajo los lineamientos de las políticas de Seguridad de la Información. Por la naturaleza jurídica de la empresa, en todos los casos los datos personales podrán ser tratados con la finalidad de adelantar los procesos de control y auditorías internas y externas y evaluaciones que realicen los organismos de control. Así mismo y en ejecución del objeto social de la empresa, los datos personales serán tratados de acuerdo con el grupo de interés y en proporción a la finalidad o finalidades que tenga cada tratamiento, como se describe a continuación:

a) Gestionar la cadena presupuestal de la empresa: pagos de la empresa, emisión de certificados de ingresos y retenciones (personas naturales y jurídicas) y relaciones de pagos.

b) Gestionar el proceso Contable de la empresa.


PROVEEDORES/CONTRATISTAS

a) Para todos los fines relacionados con el objeto de los procesos de selección, contractuales o relacionados con éstos.

b) Realizar todos los trámites internos y el cumplimiento de obligaciones contables, tributarias y de ley.

c) Gestionar la cadena presupuestal de la empresa: pagos de la empresa, emisión de certificados de ingresos y retenciones (personas naturales y jurídicas) y relaciones de pagos.

d) Gestionar el proceso Contable de la empresa.

e) Realizar todas las actividades necesarias para el cumplimiento de las diferentes etapas contractuales en las relaciones con proveedores y contratistas.

f) Expedir las certificaciones contractuales solicitadas por los contratistas de la empresa o solicitudes de los entes de control.

g) Mantener un archivo digital que permita contar con la información correspondiente a cada contrato.

h) Las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, y en todo caso de acuerdo con la Ley y en el marco de las funciones que lo son atribuibles a JERDER SOLUCIONES S.A.S.


ARTÍCULO 3. TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES

JERDER SOLUCIONES S.A.S. podrá transferir y transmitir los datos personales a terceros con quienes tenga relación operativa que le provean de servicios necesarios para su debida operación, o de conformidad con las funciones establecidas a su cargo en las leyes. En dichos supuestos, se adoptarán las medidas necesarias para que las personas que tengan acceso a sus datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas en la Ley.

En todo caso, cuando JERDER SOLUCIONES S.A.S. transmita los datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia, establecerá cláusulas contractuales o celebrará un contrato de transmisión de datos personales en el que indicará:


  1. Alcances del tratamiento,
  2. Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y,
  3. Las obligaciones del Encargado para con el titular y el responsable.

Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.

Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:


  1. Dar Tratamiento, a nombre del responsable, a los datos personales conforme a los principios que los tutelan.
  2. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales. 3. Guardar confidencialidad respecto del tratamiento de los datos personales.

En caso de transferencia se dará cumplimiento a las obligaciones estipuladas en la Ley 1581 de 2012 y normas reglamentarias.


ARTÍCULO 4. DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS

DERECHOS DE LOS TITULARES