Disposiciones Generales
- Legislación aplicable
Este manual fue elaborado teniendo en cuenta las disposiciones contenidas en la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales de protección de datos personales” y el Decreto 1377 de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012” y el Decreto 886 de 2014 “Por el cual se reglamente el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos”. A estas Políticas le serán aplicables todas las demás normas que complementen o sustituyan las anteriores.
- Definiciones
Base de datos personales. Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere su forma o modalidad de creación, almacenamiento, organización y acceso.
Base de datos automatizada. Es todo conjunto organizado de datos de carácter personal, que son creados, tratados y/o almacenados a través de programas de ordenador o Software.
Base de datos no automatizada. Es todo conjunto organizado de datos de carácter personal, que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software.
Dato personal. Es cualquier dato y/o información que identifique a una persona física o la haga identificable. Pueden ser datos numéricos, alfanumérico, gráficos, visuales, biométricos, auditivos, perfiles o cualquier otro tipo.
Dato personal sensible. Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse a aquellos concernientes a salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que hacen parte del haber íntimo de la persona y pueden ser recolectados únicamente con consentimiento expreso e informado de su titular y en los casos previstos por la Ley.
Encargado del Tratamiento. Es la persona física o jurídica, pública o privada, que por si misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable.
Fuentes Accesibles al Público. Se refiere a aquellas bases contentivas de los datos personales cuya consulta puede ser realizada, por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tiene esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios impresos, diario oficial y demás medios de comunicación
Habeas Data. Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se han recolectado y/o se traten en bases de datos públicas o privadas, conforme a lo dispuesto en la Ley y demás normatividad aplicable.
Procedimiento de análisis y creación de Información. Es la creación de información respecto de una persona, a partir del análisis y tratamiento de los datos personales recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de comportamiento, que tenga valor agregado sobre la información obtenida del titular de cada dato personal.
Procedimiento de Disociación. Hace referencia a todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
Principios para el tratamiento de datos. Son las reglas fundamentales, de orden legal, que inspiran y orientan el tratamiento de datos personales, a partir de los cuales se determinan las acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho a la información.
Propietario de la base de datos. Dentro de los procesos de negocios de DICOPLAST, es propietario de la base de datos del área que tiene bajo su responsabilidad el tratamiento de los mismos y su gestión.
Responsable del tratamiento. Es la persona física o jurídica, de naturaleza pública o privada, que recolecta los datos personales y decide sobre su finalidad, contenido y uso de la base de datos para su tratamiento.
Titular del dato personal. Es la persona física cuyos datos sean objeto de tratamiento. Respecto a las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente.
Tratamiento de datos. Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realicen sobre datos personales, tales como la recolección, grabación almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.
Usuario. Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal.
Violación de datos personales. Es el delito creado por la Ley 1273 de 2009, contenido en el artículo 269 del Código Penal Colombiano. La conducta prohibida es la siguiente: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en la base de datos, archivos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y una multa de 100 a 1000 salarios mínimos legales vigentes”
- Base de Datos
Las políticas y procedimientos contenidos en el presente documento aplican a las Bases de Datos que maneja la compañía, y que serán registradas de conformidad con lo dispuesto en el Decreto 886 de 2014 “Por el cual se reglamenta la Ley 1581 de 2012” y la Circular Externa 002 de 2015 que “Adicionó el Capítulo Segundo en el Título V de la Circular Única de la Superintendencia de Industria y Comercio”, cuyo período de vigencia se contará desde la fecha de autorización hasta el cese de operaciones de la sociedad.
- Objeto
El presente manual tiene como objeto adoptar y establecer las reglas aplicables al tratamiento de los datos de carácter personal tratados y almacenados en DICOPLAST en el desarrollo de su actividad económica, en su calidad de responsable y encargado del tratamiento.
Dichas reglas tiene el fin de proteger y garantizar el derecho fundamental de habeas data reglamentado en la Ley 1581 de 2012, que regula los procedimientos de recolección, manejo y tratamiento de los datos de carácter personal que realiza DICOPLAST.
- Ámbito de aplicación
Este documento se aplicará al tratamiento de los datos de carácter personal que recoja y maneje DICOPLAST, domiciliada en la Calle 8 Sur No.50E-38, en Medellín – Antioquia, con correo electrónico admon@dicoplast.com.co y teléfono 255 5018.
- Principios aplicables al tratamiento de datos personales
La política de protección de datos de carácter personal será sometida a los siguientes principios o reglas fundamentales, con base en los cuales serán determinados los procesos internos relacionados con el tratamiento de datos personales y se interpretarán de manera armónica, integral y sistemática para resolver los conflictos que se susciten en la materia:
- Principio de Fidelidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la constitución y la Ley, la cual debe ser informada al titular.
- Principio de Libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o ausencia de mandato legal o judicial que revele el consentimiento.
- Principio de veracidad y calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados que induzcan a error.
- Principio de transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener del responsable en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
- Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.
- Principio de seguridad: La información está sujeta a tratamiento por parte del Responsable, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Principio de Confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
- Derechos y deberes
- Derechos de los titulares de la información
De conformidad con lo establecido en la Ley 1581 de 2012, el titular de los datos personales tiene los siguientes derechos:
- Conocer, actualizar y corregir sus datos personales. Con la facultad de ejercer este derecho, entre otros, en relación con la información parcial, inexacta, incompleta, dividida, información engañosa o cuyo tratamiento sea prohibido o no autorizado.
- Requerir prueba de consentimiento otorgado para la recolección y el tratamiento de los Datos Personales.
- Ser informado por DICOPLAST SAS del uso que se le han dado a los Datos Personales.
- Presentar quejas ante la Superintendencia de Industria y Comercio, en el caso en que haya una violación por parte de DICOPLAST SAS, de las disposiciones contenidas en la Ley 1581 de 2012, el Decreto 1377 de 2013 y otras normas que los modifiquen, adicionen o complementen, de conformidad con las disposiciones sobre el requisito establecido en el artículo 16 de la Ley 1581 de 2012.
- Revocar la autorización otorgada para el tratamiento de los datos personales.
- Solicitar ser eliminado de su base de datos. Esta supresión o eliminación implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular de la base de datos de DICOPLAST S.AS. Es importante tener en cuenta que el derecho de supresión no es absoluto y el responsable puede negar el ejercicio del mismo cuando: El titular tenga legal y/o contractual de permanecer en la base de datos, la supresión de los datos obstaculice actuaciones judiciales o administrativas o la investigación y persecución de delitos, los datos que sean necesarios para cumplir con la obligación legal adquirida por el titular.
- Tener acceso a los datos personales que DICOPLAST SAS haya recolectado y tratado.
- Deberes del responsable de la información
En calidad de responsable del tratamiento de los Datos Personales, y de conformidad con lo establecido en la Ley 1581 de 2012, DICOPLAST SAS se compromete a cumplir con los siguientes deberes:
- Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho al Habeas Data.
- Solicitar y conservar, en las condiciones previstas en al presente Ley, copia de la respectiva autorización y consentimiento otorgado por el titular.
- Informar debidamente al titular sobre la finalidad de la recolección de datos y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar la información comunicando de forma oportuna al encargado del tratamiento todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
- Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento este previamente autorizado de conformidad con lo previsto en la Ley.
- Tramitar las consultas y reclamos formulados por los titulares de la información en los términos señalados por los artículos 14 y 15 de la Ley 1581 de 2012
- Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
- Insertar a la base de datos la leyenda “Información en discusión judicial” una vez notificado por parte de la autoridad competente, sobre procesos judiciales relacionados con la calidad o detalle del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- Permitir el acceso a la información únicamente a las personas autorizadas.
- Informar a través de los medios que considere pertinentes los nuevos mecanismos que implemente para que los titulares
- Autorización y finalidad
- Autorización
DICOPLAST SAS, en su condición de Responsable del Tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares, garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización.
- Finalidad de la Autorización
El tratamiento de los datos personales de los titulares se llevará a cabo por parte de DICOPLAST SAS, con la siguiente finalidad: Medir niveles de satisfacción, Informar campañas de servicio, comunicar campañas promocionales, realizar encuestas, ejecutar campañas de fidelización, enviar invitaciones a eventos, rifas, realizar actualización de datos, ofrecimiento de productos y servicios, comunicar noticias de DICOPLAST y de la red de ventas y servicios.
- Forma y mecanismos para otorgar la Autorización
La autorización será obtenida por alguno de los siguientes medios: a) Solicitud de crédito, b) Facturas de venta, c) Actividades de mercadeo, d) Eventos, e) Medios digitales, en el formato de autorización que ha definido DICOPLAST para la recolección y tratamiento de datos personales.
- Procedimiento para el ejercicio de los deberes del titular de la información
- Procedimiento de habeas data para el ejercicio de los derechos de información, acceso, actualización, rectificación, cancelación y oposición
En el desarrollo de la garantía constitucional de habeas data respecto a los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del titular de datos personales, o el interesado habilitado legalmente, esto es, sus representantes legales, se adopta el siguiente procedimiento:
- El titular del dato y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad.
- La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, ya sea físico o digital. La solicitud de ejercicio de los derechos mencionados podrá dirigirse a la dirección principal o al correo electrónico habilitado por DICOPLAST para el ejercicio del habeas data.
- La solicitud del ejercicio de cualquiera de los derechos mencionados contendrá la siguiente información:
- Nombre del titular del dato personal y de sus representantes de ser el caso
- Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revocatoria del consentimiento. En casa caso, la petición deberá estar razonablemente fundamentada para que DICOPLAST proceda como responsable de la base de datos a dar respuesta.
- Dirección física o electrónica para notificaciones
- Documentos que soportan la solicitud
- Firma de la solicitud por parte del titular del dato personal
Si faltaré alguno de los requisitos mencionados, DICOPLAST así lo comunicará al interesado dentro de los 5 días siguientes a la recepción de la solicitud, para que los mismos sean subsanados, procediendo entonces a dar respuesta a la solicitud de habeas data presentada. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que ha desistido de la solicitud, DICOPLAST podrá disponer de formatos físicos y/o digitales para el ejercicio de este derecho y en ellos indicará si se trata de una consulta o de un reclamo del interesado. Dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud, DICOPLAST indicará que se trata de un reclamo en trámite. En la respectiva base de datos se deberá consignar una casilla en la que indique las siguientes leyendas “Reclamo en trámite” y “Reclamo resuelto”.
Dicoplast cuando sea responsable de la base de datos personales contenidos en sus sistemas de información, dará respuesta a la solicitud en el término de diez (10) días si se trata de una consulta, y de quince (15) días si se trata de un reclamo. En igual término se pronunciará DICOPLAST cuando verifique que sus sistemas de información no tienen datos personales del interesado que ejerce alguno de los derechos indicado.
En caso de reclamo, si no fuere posible dar respuesta dentro de los quince (15) días, se informará al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso será superior a ocho (8) días hábiles siguientes al vencimiento de los primeros 15 días.
DICOPLAST, en los casos que depende la condición de encargado del tratamiento informará tal situación al titular o interesado en el dato personal, y comunicará al responsable del dato personal la solicitud, con el fin de este de respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio del derecho.
DICOPLAST documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas tales solicitudes. Esta información será tratada conforme a las normas aplicables a la correspondencia de la obligación.
Para acudir a la Superintendencia de Industria y Comercio en ejercicio de las acciones legales contempladas para los titulares de datos o interesados, se deberá agotar previamente el trámite de consultas y/o reclamos aquí descrito.
- Registros central de bases de datos
DICOPLAST, como responsable del tratamiento de datos personales bajo su custodia, en desarrollo de su actividad empresarial, así como respecto a aquellos en los cuales tenga la calidad de encargado del tratamiento, dispondrá de un registro central en el cual relacionará cada una de las bases de datos contenidas en su sistema de información.
El registro central de bases de datos personales permitirá:
- Inscribir toda base de datos personales contenida en los sistemas de información de DICOPLAST.
- La inscripción de la base de datos personales indicará: a) El tipo de dato personal que contiene, b) la finalidad o uso previsto de la base de datos; c) Sistema de tratamiento empleado (automatizado o manual) en la base de datos; d) Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene; e) La condición de DICOPLAST como responsable o encargado del tratamiento de las bases de datos; f) Autorización de comunicación o cesión de la base de datos, si existe; g) Procedencia de los datos y procedimiento en la obtención del consentimiento; h) Funcionario de DICOPLAST encargado de la custodia de la base de datos; i) Los demás requisitos que sean aplicables conforme a la Ley que llegare a expedirse.
- De manera mensual se registrará, para efectos de cumplimiento, los cambios surtidos en la base de datos personales en relación con los requisitos antes enunciados. En caso de no haber cambios o modificaciones que requieran actualización así se dejara constancia por la persona encargada de su custodia.
- La concurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales bajo la custodia de DICOPLAST, serán documentados en este registro central.
- El registro indicará las sanciones que llegaren a imponerse respecto del uso de la base de datos personales, indicando el origen de la misma.
- La cancelación de la base de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por DICOPLAST para hacer efectiva la cancelación.
- Tratamiento de datos personales
Las operaciones que constituyen tratamiento de datos personales por parte de DICOPLAST, en calidad de responsable o encargado del mismo, se regirá por los siguientes parámetros:
- Datos personales relacionados con la gestión del recurso humano
- Tratamiento de datos antes de la relación contractual.
DICOPLAST tratará los datos personales de sus empleados, contratistas, así como respecto a aquellos que se postulen para vacantes, en dos momentos a saber: durante y después de la relación laboral y/o de servicios.
El tratamiento de datos antes de la relación laboral o contractual, estará sujeta a la custodia de la información en forma segura durante el tiempo establecido en el procedimiento, a partir de este momento se limitará a su destrucción; los datos a los que se refiere comprenden: para contratistas el nombre, identificación, ubicación y teléfono de contacto y para aspirantes a vacantes, será su hoja de vida o Curriculum Vitae durante un periodo no mayor a 6 meses.
- Tratamiento de datos durante la relación contractual.
DICOPLAST almacenará los datos personales e información personal obtenida del proceso de selección de los empleados en una carpeta identificada por el nombre de cada uno de ellos. Esta carpeta física o digital solo será acreditada y tratada por el área de Recursos Humanos y con la finalidad de administrar la relación contractual entre DICOPLAST y el empleado.
El uso de la información de los empleados para fines diferentes a la administración de la relación contractual, está prohibido en DICOPLAST. El uso diferente de los datos e información personal de los empleados solo procederá por orden de autoridad competente, siempre que en ella radique tal facultad. Corresponderá a la Gerencia o a quien este designe, evaluar la competencia y eficacia de la orden de la autoridad competente, con el fin de prevenir una cesión de no autorizada de datos personales.
- Tratamiento de datos después de terminada la relación contractual.
Terminada la relación laboral, cualquiera que fuere la causa, DICOPLAST procederá a almacenar los datos personales obtenidos del proceso de selección y documentación generada en el desarrollo de la relación laboral, en un archivo central, sometiendo tal información a medidas y niveles de seguridad altas en virtud de la potencialidad de que la información laboral pueda contener datos sensibles.
DICOPLAST tiene prohibido ceder tal información a terceras partes, pues tal hecho puede configurar una desviación en la finalidad para la cual fueron entregados los datos personales por sus titulares. Lo anterior, salvo autorización previa y escrita que documente el consentimiento por parte del titular del dato personal.
- Tratamiento de datos personales de Accionistas
Los datos e información personal de las personas físicas que llegaren a tener la condición de accionistas de DICOPLAST, se considerará información reservada, pues la misma será registrada en los libros de accionistas, según normas vigentes y tiene el carácter de reserva por disposición legal. En consecuencia, el acceso a tal información personal se realizará conforme las normas contenidas en el Código de Comercio que regulan la materia. DICOPLAST sólo usará los datos personales de los accionistas para las finalidades derivadas de la relación estatutaria existente.
- Tratamiento de datos personales de proveedores
DICOPLAST sólo recaudará de sus proveedores los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que haya lugar. Cuando se le exija a DICOPLAST por naturaleza jurídica la divulgación de datos del proveedor persona física consecuencia de un proceso de contratación, ésta se efectuará con las previsiones que den cumplimiento a lo dispuesto en esta norma y que prevengan a terceros sobre la finalidad de la información que se divulga.
DICOPLAST recolectará de sus proveedores los datos personales de los empleados de éste que sean necesarios, pertinentes y no excesivos, que por motivos de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor.
Los datos personales de los empleados de los proveedores recolectados por DICOPLAST, tendrá como única finalidad verificar la idoneidad moral y competencia de los empleados; por lo tanto, una vez verificado este requisito, DICOPLAST podrá devolver tal información al proveedor, salvo cuando fuere necesario preservar estos datos.
Cuando DICOPLAST entregue datos de sus empleados a sus proveedores, estos deberán proteger los datos personales suministrados, conforme lo dispuesto en esta norma. Para tal efecto se incluirá el documento que legitima la entrega de datos personales. DICOPLAST verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto a la finalidad que fundamente la solicitud de acceso a los mismos.
- Tratamiento de datos personales en proceso de contratación
Los terceros que en proceso de contratación, alianzas y acuerdos de cooperación con DICOPLAST, accedan, usen, traten y/o almacenen datos personales de empleados de DICOPLAST y/o terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta norma, así como las medidas de seguridad que le indique DICOPLAST según el tipo de dato de carácter personal tratado.
Para tal efecto se incluirá la revisión respectiva al contrato o documento que legitima la entrega de datos personales. DICOPLAST verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto a la finalidad del tratamiento.
- Tratamiento de datos personales de la comunidad general
La recolección de datos de personas físicas de DICOPLAST en desarrollo de acciones relacionadas con la comunidad, bien sea consecuencia de responsabilidad social, empresarial o de cualquiera otra actividad, se sujetará a los dispuesto en esta norma. Para el efecto, previamente DICOPLAST informará y obtendrá la autorización de los titulares de los datos en los documentos e instrumentos que utilice para el efecto y relacionados con estas actividades.
En cada uno de los casos descritos, las áreas de la compañía que desarrollen los procesos de negocios en los que se involucren datos de carácter personal, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectiva la norma aquí adoptada, además de prevenir posibles sanciones legales.
- Seguridad y confidencialidad de la información
En el tratamiento de los datos personales objeto de la regulación de esta norma, DICOPLAST adoptará medida de seguridad físicas, logias y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la relevancia de los datos personales tratados.
En el desarrollo del principio de Seguridad de los datos personales, DICOPLAST adoptará una directriz general sobre estas medidas, que serán de obligatorio cumplimiento por parte de los destinatarios de la norma.
Es obligación de los destinatarios de esta norma informar a DICOPLAST cualquier sospecha que pueda implicar una violación a las medidas de seguridad adoptadas por la organización para proteger los datos personales confiados a ella, así como cualquier tratamiento inadecuado de los mismos, una vez tengan conocimiento de esta situación.
En estos casos, DICOPLAST comunicará a la autoridad de control tal situación y procederá a gestionar el respectivo incidente de seguridad respecto de los datos personales, con el fin de establecer las repercusiones jurídicas del mismo, sean estas a nivel penal, laboral, disciplinario o civil.
- Disposiciones finales
- Prohibiciones
En desarrollo de esta norma de seguridad de la información personal de DICOPLAST, se establecen las siguientes prohibiciones:
- DICOPLAST prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquier otro tratamiento de datos personales de carácter sensible sin autorización del titular del dato personal o registro en centrales de base de datos personales.
El incumplimiento de esta prohibición por parte de los empleados de DICOPLAST, es considerada una falta grave, que podrá dar lugar a la terminación de la relación laboral. Lo anterior, sin perjuicio de las acciones legales a que haya lugar.
El incumplimiento de la prohibición por parte de los proveedores que contraten con DICOPLAST será considerada una falta grave para dar terminación al contrato, sin perjuicio de las acciones a que haya lugar.
En los contratos con los proveedores, donde el objeto contratado tenga relación con datos personales, se pactará una previsión en relación con los perjuicios que se pueden llegar a ocasionar a DICOPLAST como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente y negligente del proveedor.
- DICOPLAST prohíbe la cesión, comunicación o circulación de datos personales, sin el consentimiento previo, escrito y expreso del titular del dato o sin autorización de DICOPLAST. La cesión o comunicación de datos personales, deberá contar con la autorización de la Gerencia o de quien se designe para su custodia.
- Dicoplast prohíbe el acceso, uso, cesión, comunicación, tratamiento, almacenamiento y cualquier de otro tratamiento de datos personales de carácter sensible que llegaren a ser identificados en aplicación de la norma sobre buen uso de recursos informáticos de la organización y/u otras normas expedidas por DICOPLAST para estos fines.
Los datos sensibles que se identifiquen serán informados al titular de los mismos, con el fin de este proceda a eliminarnos, de no ser posible esta opción, DICOPLAST procederá a eliminarlos de manera segura.
- DICOPLAST prohíbe a los destinatarios de esta norma cualquier tratamiento de datos personales que pueda dar alguna de las conductas descritas en la Ley de delitos informáticos 1273 de 2009. Salvo que se cuente con la autorización del titular del dato y/o de DICOPLAST, según el caso.
- DICOPLAST prohíbe el tratamiento de datos personales de niños y adolescentes menores de edad, salvo autorización expresa de sus representantes legales. Todo tratamiento que se llegare a hacer respecto a los datos de los menores, se deberán asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia.
- Designación
La responsabilidad en el adecuado tratamiento de los datos personales al interior de DICOPLAST, está en cabeza de todos sus empleados; en consecuencia, al interior de cada área que maneje los procesos de negocios que involucren tratamiento de datos personales, deberán adoptar las reglas y procedimientos para la aplicación y cumplimiento de la presente norma, dada su condición de responsables de la información personal que contenida en los sistemas de información de DICOPLAST.
- Temporalidad del dato personal
En el tratamiento de los datos personales que realiza DICOPLAST, la permanencia de los datos en sus sistemas de información estará determinada por la finalidad de dicho tratamiento. En consecuencia, agotada la finalidad para la cual se recolectaron los datos, DICOPLAST, procederá a la destrucción o devolución, según el caso o bien a conservarlos según lo dispuesto por la Ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado.
- Entrega de datos personales a autoridades
Cuando las autoridades del estado soliciten a DICOPLAST el acceso y/o entrega de datos de carácter personal contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitado previendo que la misma cumpla con todos los atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los datos personales entregados y los riesgos que conllevan su indebido uso e inadecuado tratamiento.
- Vigencia
El presente manual ha sido aprobado y rige a partir de noviembre de 2016