POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES OTAVI S.A.S

1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES

OTAVI S.A.S., con domicilio en la Carrera 17 # 166 – 75, Bogotá – Colombia.Teléfonos de contacto: (1) 528 – 1100

Correo electrónico: protecciondatos@cachivaches.com

2. DISPOSICIONES GENERALES

OTAVI S.A.S., que para efectos de esta política se nombrará “CACHIVACHES ”; identificada con NIT 900.008.215-8, con domicilio en la Carrera 17 # 166 – 75, en Bogotá, en cumplimiento de la Ley 1581 de 2012 y de las normas que la reglamenten, adicionen o modifiquen, adopta las políticas de tratamiento de datos personales de obligatoria aplicación para todos los datos personales recolectados, procesados, almacenados, usados, actualizados y suprimidos por la empresa.

Estas políticas son de obligatorio y estricto cumplimiento para todos los empleados y contratistas que prestan servicios en la empresa. Todos los empleados, contratistas, y en general personas que actúen por motivos fundamentados, en nombre de CACHIVACHES, deben observar y respetar estas políticas en el cumplimiento de sus labores. En caso de que no exista vínculo laboral, se deberán tomar las medidas contractuales pertinentes para que quienes obren en nombre de OTAVI S.A.S., queden obligados a cumplirlas.

El incumplimiento de lo establecido en estas políticas podrá originar la imposición de sanciones de tipo laboral y civil, según corresponda. Lo anterior sin perjuicio de las sanciones establecidas en los artículos 23 y 24 de la Ley 1581 de 2012, así como de las sanciones penales correspondientes a fugas de información y violación de datos personales, consagradas en la Ley 1273 de 2009.

3. OBJETIVO

Las políticas de tratamiento de datos personales de OTAVI S.A.S., tienen como objetivo principal dar cumplimiento a la Ley 1581 de 2012 y al Decreto 1074 de 2015, así como a las demás normas que las modifiquen, adicionen o reglamenten.

El presente documento establece las pautas y procedimientos a llevar a cabo para una adecuada protección de datos personales en los distintos procesos y en general en desarrollo de las actividades relacionadas con tratamiento de datos personales por la empresa.

4. APLICABILIDAD

Las políticas de tratamiento de datos personales de OTAVI S.A.S, cubren todos los aspectos administrativos, organizacionales, culturales, comerciales y de control que deben ser cumplidos por la Alta Gerencia, empleados, contratistas, aliados, proveedores, clientes y terceros que laboren o tengan relación directa con la empresa.

Las políticas de tratamiento de datos deberán ser integradas en los procesos internos de la empresa, en los cuales se recopilen y traten datos personales.

No obstante, en atención a lo dispuesto en la Ley 1581 de 2012, de estas políticas se excluyen las bases de datos de uso personal o doméstico, salvo cuando estas vayan a ser suministradas a un tercero, caso en el cual se deberá contar con la autorización de los titulares de la información que estén dentro de la base de datos, así como las demás exclusiones que sean establecidas en la Ley.

5. MARCO LEGAL O NORMATIVO

Las políticas de tratamiento de datos personales de la compañía se rigen por las siguientes normas de manera interna y externa:

  •  LEY 527 DE 1999

Define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

Así mismo, introduce el concepto de equivalente funcional, firma electrónica como mecanismos de autenticidad, disponibilidad y confidencialidad de la información.

  • LEY 1273 DE 2009

Ley por medio de la cual se crea y se protege el bien jurídico de la información y los datos personales. Así mismo, se tipifican conductas penales como daño informático, violación de datos personales, acceso abusivo a sistema informático, interceptación de datos informáticos, hurto por medios informáticos, entre otras.

  • LEY 1581 DE 2012

Por la cual se dictan disposiciones generales para la protección de datos personales.

  • DECRETO 1074 DE 2015

Por medio del cual se reglamenta la Ley 1581 de 2012, sobre aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los Responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales.

Así mismo se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos Personales, el cual se encuentra a cargo de la Superintendencia de Industria y Comercio, y donde quienes actúen como Responsables del tratamiento de datos personales, deberán registrar sus Bases de Datos siguiendo las instrucciones de este decreto.

  • CIRCULAR 005 DE 2017. SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

Por la cual se regula lo relacionado con transferencias internacionales de datos personales

  • GUÍAS DE RESPONSABILIDAD DEMOSTRADA

Guías establecidas por la Superintendencia de Industria y Comercio con el fin de cumplir el principio de responsabilidad demostrada o Accountabilty.

  • ISO 27001-2013

Establece buenas prácticas en seguridad de la información para garantizar la integridad, confidencialidad y disponibilidad de la información.

6. DEFINICIONES

Las siguientes definiciones, además de las establecidas en el régimen de protección de datos personales, se tendrán en cuenta tanto para las presentes políticas como para el tratamiento de datos personales en la Empresa.

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
  • Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
  • Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  • Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
  • Oficial de privacidad o de protección de datos: Es la persona o dependencia dentro deLa Empresa, la cual tendrá como función la vigilancia y control de la presente política bajo el control y supervisión de la Alta Gerencia.
  • Implementación: Proceso para la implementación y ejecución de las políticas de privacidad y protección de datos como de la implementación de un sistema integral de protección de datos personales basado en el principio de responsabilidad demostrada o Accountabilty.
  • Medidas Técnicas: Son las medidas técnicas y tecnológicas, como firmas digitales, cifrado de información, firmas electrónicas, políticas de seguridad de la información, para garantizar la protección de la información y los datos en La Empresa.
  • Procesos Organizacionales: Los procesos internos son un conjunto de pasos que se deben llevar a cabo y forman parte de La Empresa para lograr fines y objetivos definidos por la Empresa, los cuales se deben mantener documentados.
  • Transferencia de datos: Tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  • Transmisión de datos: Implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia y tiene por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
  • Sistema Integral de Protección de datos SIPD: Es un sistema integral basado en temas de calidad como en el principio de responsabilidad demostrada o Accountabilty. El sistema contiene indicadores, riesgos, responsables, canales, compromiso de la organización, procesos, alcances, como lo necesario para implementar un sistema integral basado en temas de calidad con sus componentes técnicos y jurídicos.

7. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES

El manejo y tratamiento de datos personales y sensibles, dentro de la empresa, deberá estar enmarcado bajo los siguientes principios, además de los previstos legal y jurisprudencialmente que resulten aplicables:

  • Finalidad: El tratamiento de datos personales debe obedecer a una finalidad legítima de acuerdo a la ley, la cual debe ser informada previamente al titular. CACHIVACHESrecolecta datos personales con la finalidad de procesos vinculados a selección, contratación, comercialización, fidelización y/o distribución y demás procesos realizados por la empresa, las cuales se informan en la presente Política y/o el Aviso de Privacidad y/o en el respectivo formato de autorización en el momento de la recolección de datos personales.
  • Veracidad o Calidad: La Información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Transparencia: Garantía del Titular para conocer información acerca de la existencia de datos de su propiedad.
  • Acceso y Circulación Restringida: Acorde con la naturaleza del dato y con las autorizaciones dadas por el Titular o demás personas previstas en la ley.
  • Seguridad: Son las Medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Confidencialidad: Reserva de la información, durante y después de terminadas las actividades de tratamiento de los datos personales por parte de la empresa.

8. POLÍTICA DE TRATAMIENTO DE DATOS

Para dar cumplimiento a las políticas de tratamiento de datos y a las obligaciones de la Ley 1581 de 2012, sus Decretos Reglamentarios y las demás normas que la complementen, adicionen o modifiquen, se debe tener en cuenta lo siguiente para el manejo de información y datos personales en la empresa.

La empresa comprende que la información personal de sus empleados, usuarios, clientes y proveedores y terceros en general responde al derecho de hábeas data y en consecuencia, el tratamiento de esta información se realiza con sumo cuidado y atendiendo, en todo caso, lo establecido por la ley para garantizar a las personas el pleno ejercicio y respeto por su derecho de Habeas Data.

La información que se encuentra en las bases de datos y sistemas de información de la empresa ha sido obtenida en desarrollo de sus actividades, y en todo caso, su recopilación se realiza atendiendo los criterios del marco jurídico colombiano.

9. REGLAS GENERALES PARA LA PROTECCIÓN DE LOS DATOS PERSONALES EN OTAVI S.A.S.

Además de la implementación y búsqueda del cumplimiento de las políticas de tratamiento de datos personales, dentro de CACHIVACHES se observarán las siguientes reglas generales.

  • La empresa, tomará todas las medidas técnicas, culturales y jurídicas necesarias para garantizar la protección de la información en las bases de datos existentes.
  • Se realizarán auditorías y controles jurídicos para garantizar la correcta implementación de la Ley 1581 de 2012 así como de las políticas de tratamiento de datos personales.
  • Los Sistemas de Información de la empresa, deberán garantizar la confidencialidad, integridad y disponibilidad de la información.
  • Es responsabilidad de los empleados, contratistas, proveedores, y clientes de la empresa, reportar cualquier incidente de fuga de información, daño informático, violación de datos personales, comercialización de datos, uso de datos personales de niños, niñas o adolescentes, suplantación de identidad, o conductas que puedan vulnerar la intimidad de una persona.

La empresa, implementará de forma gradual el principio de responsabilidad demostrada o Accountabilty, en donde se creará un sistema integral de protección de datos personales, 

basado en controles, procesos, procedimientos, indicadores, riesgos, como en la implementación de las presentes políticas de protección de datos personales.

CACHIVACHES tomará todas las medidas técnicas y jurídicas para asegurarse de la implementación de la presente política, como de la creación de un sistema integral de protección de datos personales integrado a las políticas de seguridad de la información

La formación y capacitación de los empleados, contratistas, proveedores, y personas que por algún motivo fundamentado deban realizar actividades en nombre de o para la empresa, será un complemento fundamental de esta política.

La empresa, estará atenta a las distintas instrucciones en protección de datos como los mecanismos que se creen por parte de la Delegatura de Protección de datos personales de la Superintendencia de Industria y Comercio.

CACHIVACHES, informará debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

CACHIVACHES, tramitará las consultas y reclamos formulados en los términos señalados en la Ley.

10. RECOLECCIÓN DE INFORMACIÓN PERSONAL Y AUTORIZACIÓN DEL TITULAR CACHIVACHES hará saber al titular del dato de manera expresa y previa a la autorización del tratamiento de sus datos personales, sobre la existencia y aceptación de las condiciones particulares del tratamiento de sus datos en cada caso, informándole los mecanismos y procedimientos que tiene para conocerlos actualizarlos, rectificarlos o eliminarlos de las bases de datos con información personal.Las personas que, dentro de la empresa, en desarrollo de sus funciones o actividades, participen en la recolección de datos personales deben informar de manera clara y expresa al titular, con el fin de obtener la autorización para el tratamiento de sus datos personales, acerca de la finalidad del mismo y el carácter voluntario de la autorización, conservando y realizando una adecuada gestión documental ya sea en soporte electrónico, o físico de la prueba de dicha autorización.

10.1 REVOCATORIA DE LA AUTORIZACIÓN

Los titulares de los datos personales podrán, en cualquier momento solicitar a la empresa, la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos.

La solicitud de supresión de la información no es procedente cuando el Titular tenga un deber legal o contractual de conservarla.

El Titular tiene dos opciones para revocar su consentimiento:

  1. Revocando la totalidad de las finalidades consentidas: CACHIVACHES a partir de esa solicitud y hacia el futuro no podrá volver a tratar los datos personales del titular, a menos que el titular en un futuro autorice nuevamente el tratamiento de los mismos.
  2. Revocando parcialmente el consentimiento: CACHIVACHES a partir de esa solicitud, y hacia el futuro podrá seguir tratando los datos para la finalidad o finalidades que no fueron revocadas por el Titular.

Teniendo en cuenta lo anterior, es necesario que el titular al momento de solicitar la revocatoria indique de manera clara y expresa si la revocación que requiere es total o parcial.

En todo caso, la empresa no podrá exceder los plazos establecidos en el artículo 15 de la Ley 1581 de 2012 para dar trámite y respuesta al respectivo ejercicio de derechos.

11. TRATAMIENTO AL QUE ESTARÁN SUJETOS LOS DATOS PERSONALES EN PODER DE OTAVI S.A.S.

A los datos personales que reposen en bases de datos, físicas o electrónicas, se les realizará un tratamiento, el cual consiste en las siguientes actividades:

11.1 RECOLECCIÓN DE INFORMACIÓN

CACHIVACHES recolecta la información de los Titulares, a partir de la implementación y diligenciamiento de formatos y documentos de recolección de datos personales en los cuales se informa al titular acerca de: la finalidad de la recolección, canales y mecanismos para quejas y reclamos, políticas de tratamiento de datos, entre otros aspectos previstos en la Ley.

11.2 OTRAS ACTIVIDADES DE TRATAMIENTO

CACHIVACHES realizará igualmente las actividades: almacenamiento, uso, administración, circulación y supresión de los datos personales.

Las finalidades del tratamiento de datos personales por parte de OTAVI S.A.S. son informadas en el AVISO DE PRIVACIDAD.

Las bases de datos objeto de tratamiento son las siguientes:

  • Base de datos Clientes
  • Base de datos Proveedores
  • Base de datos Empleados
  • Base de datos Expedientes laborales
  • Base de datos Biométrico
  • Base de datos Videovigilancia

 12. PROCEDIMIENTO PARA EL EJERCICIO DEL DERECHO DE HABEAS DATA

Los titulares cuya información se encuentre en bases de datos de propiedad de OTAVI S.A.S. , o los terceros legitimados por ley o autorizados expresamente y por escrito por parte del titular, para el ejercicio de sus derechos de Actualización, Rectificación, Conocimiento o Supresión de su información personal podrán utilizar los siguientes mecanismos para el envío de su petición:

  • Enviar un correo manifestando de manera expresa su solicitud (conocer, actualizar, rectificar o suprimir sus datos personales) al correo electrónico protecciondatos@cachivaches.com

Independientemente del medio utilizado para enviar la petición en ejercicio de los derechos aquí contemplados, la petición será atendida dentro de los diez (10) días hábiles siguientes a la recepción de la petición por parte del Área Competente en los casos que se trate de una consulta, mientras que en los casos que se trate de reclamo se atenderá dentro de los quince (15) días hábiles siguientes a la recepción. El área competente informará al titular sobre la recepción de la petición.

Cuando no fuere posible atender el reclamo dentro de dicho termino, se informara al interesado los motivos de la demora y la fecha en que se atendera su reclamo, la cual en ningun caso podra superar los ocho (8) dias habiles siguientes al vencimiento del primer termino.

Si el reclamo o consulta del titular resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción de la petición para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

13. ÁREA O PERSONA RESPONSABLE DEL CARGO DE OFICIAL DE PRIVACIDAD – PROTECCIÓN DE DATOS

La responsabilidad de velar por la adecuada protección de datos personales, como del cumplimiento normativo frente al tema en OTAVI S.A.S. estará en cabeza del OFICIAL DE PRIVACIDAD, vinculado a la Alta Gerencia, ante la cual los titulares de datos personales tratados por La Empresa pueden ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización.

El oficial de privacidad tendrá las siguientes funciones:

  • Informar a la Alta Gerencia y a la Junta directiva sobre el manejo de datos personales en la empresa.
  • Realizar auditorías con las distintas áreas para revisar la aplicación de la Política de tratamiento de Datos Personales.
  • Informar si alguna conducta se relaciona con los delitos de la Ley 1273 de 2009.
  • Revisar la implementación de políticas de seguridad informática y seguridad de la información.
  • Verificar la integración de las políticas de tratamiento de datos con el manual o políticas de seguridad de la información.
  • Verificar los derechos de los titulares de datos personales
  • Identificar y establecer riesgos para el manejo de datos personales en los servicios de la empresa.
  • Crear formatos y distintos procedimientos con el fin de aplicar dentro de la compañía la Ley 1581 de 2012 y el Decreto 1074 de 2015.
  • Revisar que el desarrollo del modelo de negocio y los servicios ofrecidos cumplan con la política de tratamiento de datos personales.
  • Informar a los empleados, usuarios, proveedores, contratistas, aliados, y terceros en general, los deberes para el cumplimiento fundamental del Habeas Data.
  • Trabajar junto al departamento jurídico, de Tecnología y de Calidad, en búsqueda de una cultura de la protección de datos y privacidad.
  • Establecer procesos para la recolección de autorizaciones por parte del titular de la información personal contenida en las bases de datos de la empresa, para que se involucren en una correcta protección de datos personales.
  • Realizar las actividades propias del Registro Nacional de Bases de Datos ante la Superintendencia de Industria y Comercio, así como estar pendiente de su actualización.
  • Realizar lo señalado en la ley para el cumplimiento de las obligaciones empresariales en la protección de datos.
  • Establecer procesos de formación y capacitación en temas de datos personales y privacidad de la información.

14. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN

De acuerdo a lo establecido en la Ley estatutaria 1581 de 2012, sobre protección de datos personales y su decreto reglamentario 1074 de 2015, los derechos que le asisten a los titulares de la información sobre los cuales CACHIVACHES debe velar para su cumplimiento y garantizar su ejercicio, son:

  1. Conocer, actualizar y rectificar sus datos personales frente a la empresa (Responsable y/o Encargados del Tratamiento). Este derecho podrá ser ejercido igualmente por el Titular frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
  2. Solicitar prueba de la autorización otorgada a OTAVI S.A.S. para el tratamiento de los datos personales, salvo en los casos exceptuados por la ley (Artículo 10 de la Ley 1581 de 2012).
  3. Ser informado por OTAVI S.A.S. (Responsable y/o Encargado del Tratamiento) previa solicitud, respecto del uso dado a sus datos personales.
  4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la normatividad vigente para la protección de datos personales.
  5. Revocar la autorización y/o solicitar la supresión del dato a OTAVI S.A.S. cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la Ley y a la Constitución.
  6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
  7. Conocer los cambios sustanciales en la política de tratamiento de datos concernientes a la finalidad e identificación del responsable del tratamiento, a más tardar al momento de la entrada en vigencia de las nuevas políticas.
  8. Para los titulares cuya recolección de datos se realizó con anterioridad a la expedición del Decreto 1074 de 2015, poner en conocimiento las políticas de tratamiento expedidas bajo la regulación de éste.
  9. Acceso a la información personal, para lo cual los encargados y responsables deberán implementar los mecanismos sencillos y ágiles para que se garantice el acceso permanente.
  10. Ejercer el derecho de acceso para actualizar, rectificar, eliminar datos personales.

15. ROL EN EL TRATAMIENTO Y OBLIGACIONES PARA LA PROTECCIÓN DE DATOS PERSONALES

OTAVI S.A.S. expide las presentes políticas de tratamiento de información, en cumplimiento de la Constitución y la Ley 1581 de 2012, así como su Decreto Reglamentario 1074 de 2015; de igual forma se manifiesta que la empresa de acuerdo a los diversos procesos que maneja tanto con sus empleados, contratistas, clientes, usuarios y proveedores ostenta una calidad de Responsable del tratamiento de los datos personales y como tal debe cumplir los deberes impuestos por la legislación para estos roles dentro del tratamiento de datos personales, contemplados en el artículo 17 de la Ley 1581 de 2012.

Además de las obligaciones establecidas en los artículos citados anteriormente, la empresa deberá asegurarse de adoptar todas las medidas técnicas, jurídicas y organizacionales para cumplir esta política.

16. VIGENCIA Y ACTUALIZACIÓN

La fecha de entrada en vigencia de la presente actualización a la Política es el 01 de enero de 2018. Así mismo su actualización dependerá de las instrucciones del oficial de privacidad deOTAVI S.A.S. en concordancia con los lineamientos de la Alta Gerencia, así como de las regulaciones posteriores en materia de protección de datos personales que modifiquen, adicionen, supriman o reemplacen la normatividad en materia de protección de datos personales.