Política de Tratamiento de Datos Personales
POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES
Dando cumplimiento a lo dispuesto en la Ley estatutaria 1581 de 2012 y a su Decreto Reglamentario 1377 de 2013, CONEXUSIT SAS adopta la presente política para el tratamiento de datos personales, la cual será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan en el ejercicio de las actividades comerciales o laborales.
De esta manera, CONEXUSIT SAS manifiesta que garantiza los derechos de la disponibilidad, privacidad, la intimidad, el buen nombre y la autonomía organizacional, en el tratamiento de los datos personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
Todas las personas que, en desarrollo de diferentes actividades contractuales, comerciales, laborales, entre otras, sean permanentes u ocasionales, llegaran a suministrar a CONEXUSIT SAS cualquier tipo deinformación o dato personal, podrá conocerla, actualizarla y rectificarla.
1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO
- Nombre o razón social: CONEXUSIT SAS
- NIT: 901.180.226-7
- Domicilio y Dirección: Edificio Empresarial Green Gold Oficina 1206, Cra 27 # 37-33 Bucaramanga- Santander Colombia
- Correo electrónico: facturacionelectronica@conexusit.com
2. MARCO LEGAL
- Ley 1266 de 2008
- Ley 1581 de 2012
- Decretos Reglamentarios 1727 de 2009 y 2952 de 2010,
- Decreto Reglamentario parcial 1377 de 2013
- Sentencias C – 1011 de 2008, y C – 748 del 2011, de la Corte Constitucional
3. ÁMBITO DE LA APLICACIÓN
La presente política será aplicable a los datos personales registrados en cualquier base de datos de CONEXUSIT SAS cuyo titular sea una persona natural.
4. DEFINICIONES
- Dato Personal Público: Son aquellos datos personales que las normas y la Constitución han determinado expresamente como públicos y, para cuya recolección y tratamiento, no es necesaria la autorización del titular de la información. (Ej. Dirección, teléfono, datos contenidos ensentencias judiciales ejecutoriadas, datos sobre el estado civil de las personas, entre otros.)
- Dato Personal Semi privado: Son datos que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de personas o a la sociedad en general. Para su tratamiento se requiere la autorización expresa del titular de la información. (Ej. Dato financiero y crediticio).
- Dato Personal Privado: Es un dato personal que por su naturaleza íntima o reservada solo interesa a su titular y para su tratamiento requiere de su autorización expresa. (Ej. Nivel de escolaridad)
- Dato Personal Sensible: Es aquel dato personal de especial protección, por cuanto afecta la intimidad del titular y su tratamiento puede generar discriminación. NO puede ser objeto de tratamiento a menos que sea requerido para salvaguardar un interés vital del titular o este se encuentre incapacitado y su obtención haya sido autorizada expresamente. (Ej. Origen racial o étnico, orientación política, convicciones religiosas, datos biométricos, relativos a la salud, entre otros.)
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
- Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o enasocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
- Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
5. PRINCIPIOS
- Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
- Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
- Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
- Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
- Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtenerdel responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
- Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
- Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamientoo Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidastécnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
- Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en lostérminos de la misma.
6. Sobre quienes tratamos información : Accionistas, Clientes, Representes legales, referencias, trabajadores, aspirantes a trabajadores, ex – trabajadores, aprendices sena, oferentes, proveedores,visitantes
7. Los terceros intervinientes como sujetos que tratan datos personales: Listados de empresas
8. DERECHOS DEL TITULAR DE LA INFORMACIÓN
De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los siguientes son los derechos de los titulares de los datos personales:
Conocer, actualizar y rectificar sus datos personales frente a CONEXUSIT SAS en su condición de Responsable del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;
Solicitar prueba de la autorización otorgada a CONEXUSIT SAS para el tratamiento de datos personales mediante cualquier medio valido salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley;
Ser informado por CONEXUSIT SAS, previa solicitud, respecto del uso que le ha dado a sus datos personales;
Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento al menos una vez al mes calendario, y cada vez que existan modificaciones sustanciales de la presente política que motiven nuevas consultas.
8.1. ESTOS DERECHOS PODRÁN SER EJERCIDOS POR:
El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que ponga a disposición CONEXUSIT SAS.
- Los causahabientes del titular, quienes deberán acreditar tal calidad.
- El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
- Otro a favor o para el cual el titular hubiere estipulado.
9. DEBERES DE CONEXUSIT SAS COMO RESPONSABLE Y ENCARGADO DEL
TRATAMIENTO
CONEXUSIT SAS reconoce la titularidad que de los datos personales se tienen de las personas y en consecuencia ellas de manera exclusiva pueden decidir sobre los mismos. Por lo tanto, CONEXUSIT SAS utilizará los datos personales para el cumplimiento de las finalidades autorizadas expresamente por el titular o por las normas vigentes.
En el tratamiento y protección de datos personales, CONEXUSIT SAS tendrá los siguientes deberes, sin perjuicio de otros previstos en las disposiciones que regulen o lleguen a regular esta materia:
- Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
- Solicitar y conservar, copia de la respectiva autorización otorgada por el titular para el tratamientode datos personales.
- Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asistenen virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir suadulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar oportunamente la información, atendiendo de esta forma todas las novedades respectode los datos del titular. Adicionalmente, se deberán implementar todas las medidas necesarias para que la información se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
- Respetar las condiciones de seguridad y privacidad de la información del titular.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado delTratamiento;
- Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamientoesté previamente autorizados de conformidad con lo previsto en la presente política;
- Adoptar un manual interno de políticas y procedimientos para garantizar el adecuadocumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
- Conservar la información bajo las condiciones de seguridad necesarias para impedir suadulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
- Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
- Identificar cuando determinada información se encuentra en discusión por parte del titular.
- Informar a solicitud del titular sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.
- Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012.
- Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes, en aquellos casos en que se entra autorizado el tratamiento de sus datos.
- Registrar en la base de datos las leyenda «reclamo en trámite» en la forma en que se regula en la ley.
- Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloque o haya sido ordenado por la Superintendencia de Industria y Comercio
- Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- Usar los datos personales del titular sólo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.
10. AUTORIZACIÓN Y CONSENTIMIENTO DEL TITULAR
CONEXUSIT SAS requiere del consentimiento libre, previo, expreso e informado del titular de los datos personales para el tratamiento de los mismos, excepto en los casos expresamente autorizados en la ley.
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el Registro Civil de las Personas
10.1. MEDIOS PARA OTORGAR LA AUTORIZACIÓN.
CONEXUSIT SAS obtendrá la autorización mediante diferentes medios, entre ellos el documento físico, electrónico, mensaje de datos, Internet, Sitios Web, o en cualquier otro formato que en todo caso permita la obtención del consentimiento mediante
conductas inequívocas.La autorización será solicitada por CONEXUSIT SAS de manera previa al tratamiento de los datos personales.
10.2. PRUEBA DE LA AUTORIZACIÓN.
CONEXUSIT SAS conservará la prueba de la autorización otorgada por los titulares de los datos personales para su tratamiento, para lo cual utilizará los mecanismos disponibles a su alcance en la actualidad. En consecuencia, CONEXUSIT SAS, podrá establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin.
10.3. REVOCATORIA DE LA AUTORIZACIÓN.
Los titulares de los datos personales pueden en cualquier momento revocar la autorización otorgada a CONEXUSIT SAS el tratamiento de sus datos personales o solicitar la supresión de los mismos, siempre y cuando no lo impida una disposición legal o contractual. CONEXUSIT SAS establecerá mecanismos sencillos y gratuitos que permitan al titular revocar su autorización o solicitar la supresión sus datos personales.
Para lo anterior, deberá tenerse en cuenta que la revocatoria del consentimiento puede expresarse, por una parte, de manera total en relación con las finalidades autorizadas, y por lo tanto CONEXUSIT SAS deberá cesar cualquier actividad De tratamiento de los datos; y por la otra de manera parcial en relación con ciertos tipos de tratamiento, en cuyo caso serán estos sobre los que cesarán las actividades de tratamiento, como para fines publicitarios, entre otros.En este último caso, CONEXUSIT SAS podrá continuar tratando los datos personales para aquellos fines en relación con los cuales el titular no hubiera revocado su consentimiento.
11. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES
El tratamiento de los datos personales de clientes, empleados, proveedores, contratistas, o de cualquier persona con la cual CONEXUSIT SAS tuviere establecida o estableciera una relación, permanente u ocasional, lo realizará en el marco legal que regula la materia, y serán todos los necesarios para el cumplimiento de la labor de CONEXUSIT SAS.
11.1. FINALIDAD DEL TRATAMIENTO DE LA INFORMACIÓN
- Realizar comunicación a través de medios telefónicos, electrónicos (SMS, chat, correo electrónicoy demás medios considerados electrónicos), IVR, visitas domiciliarias, físicos y/o personales con el objetivo de hacer la gestión de cobranza de obligaciones financieras propias o de entidadesque le contraten para ello, para fines precontractuales, contractuales, pos contractuales, comerciales, de atención al cliente y mercadeo, procesamiento, investigación, consolidación, organización, actualización, reporte, estadística, atención y tramitación; así como aquella información adicional a la cual llegare a tener acceso en desarrollo de la actividad de CONEXUSIT SAS.
- Tener registro de los empleados y exempleados de CONEXUSIT SAS.
12. GARANTÍAS DEL DERECHO DE ACCESO
Para garantizar el derecho de acceso del titular de los datos, CONEXUSIT SAS pondrá a disposición de éste, previa acreditación de su identidad, legitimidad, o personalidad de su representante, sin costo alguno, los respectivos datos personales a través de todo tipo de medio, incluyendo los medios electrónicos que permitan el acceso directo del titular a ellos. Dicho acceso deberá ofrecerse sin límite alguno.
13. PROCEDIMIENTOS PARA LA ATENCIÓN DE CONSULTAS, RECLAMOS, PETICIONES DERECTIFICACIÓN, ACTUALIZACIÓN Y ELIMINACION DE DATOS
13.1. RECLAMOS
El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante CONEXUSIT SAS, el cual será tramitado bajo el siguiente procedimiento.
No | ETAPA | RESPONSABLE | OBSERVACIONES |
1 | Solicitud de información oreclamo | Titular | El titular debe acreditar su identidad, enviando al correo electrónico facturacionelectronica@conexusit.com la siguiente información:
|
2 | Verificación de información | Oficial de seguridad | Si el reclamo resulta incompleto, serequerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el |
solicitante presente la información requerida, se entenderá que ha desistido del reclamo. | |||
3 | Análisis del reclamo | Oficial de seguridad | En caso de quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de 2 días hábiles e informara la situación al interesado. |
4 | Respuesta al reclamo | Oficial de seguridad |
(2) días hábiles.
primer término. |
5 | Reclamos ante la superintendencia de Industria y Comercio | Titular | El titular o Causahabiente solo podrá elevar la queja ante la superintendencia de industria y comercio una vez haya agotado el trámite de consulta o reclamo ante el responsable del tratamiento o encargado del tratamiento. |
14. REGISTRO NACIONAL DE BASES DE DATOS
CONEXUSIT SAS, se reserva, en los eventos contemplados en la ley y en sus estatutos y reglamentos internos, la facultad de mantener y catalogar determinada información que repose en sus bases o bancosde datos, como confidencial de acuerdo con las normas vigentes y reglamentos.
CONEXUSIT SAS, procederá de acuerdo con la normatividad vigente y la reglamentación que para tal fin expida el Gobierno Nacional Colombiano, a realizar el registro de sus bases de datos, ante El Registro Nacional de Bases de Datos (RNBD) que será administrado por la Superintendencia de Industria y Comercio. El RNBD., es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país; y que será de libre consulta para los ciudadanos, de acuerdo con la normatividad que para tal efecto expida el Gobierno Nacional.
15. SEGURIDAD DE LA INFORMACIÓN Y MEDIDAS DE SEGURIDAD
Dando cumplimiento al principio de seguridad establecido en la normatividad vigente, CONEXUSIT SAS adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros reduciendo el riesgo en su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
16. SEGURIDAD, GRABACIONES DE LLAMADA Y CIRCUITO CERRADO DE TELEVISIÓN O SISTEMA CERRADO DE VIDEO
17. OFICIAL DE SEGURIDAD DE LA INFORMACIÓN
Como prevé el artículo 23 del decreto 1377 de 2013, todo responsable y encargado debe designar a una persona o área que “asuma la función de protección de datos personales” y que “dará tramite a las solicitudes de los titulares, para el ejercicio de los derechos a que se refiera la ley 1581 de 2012 y el presente decreto”, para el caso de CONEXUSIT SAS quien desarrollara esta función será el Departamento de Sistemas.
La función del oficial de protección de datos o el área encargada de protección de datos de la organización es la de velar por la implementación efectiva de las políticas y procedimientos adoptados por ésta para cumplir las normas, así como la implementación de buenas prácticas de gestión de datos personales dentro de la empresa. El oficial de privacidad tendrá la labor de estructurar, diseñar y administrar el programa que permita a la organización cumplir las normas sobre protección de datos personales, así como establecer los controles de ese programa, su evaluación y revisión permanente.
17.1. ACTIVIDADES DEL OFICIAL DE SEGURIDAD DE LA INFORMACIÓN
- Establecer e implementar políticas relacionadas con la seguridad de la información.
- Supervisar el cumplimiento normativo.
- Garantizar la privacidad de los datos.
- Administrar al Equipo de Respuesta ante Incidentes de Seguridad Informática de la empresa.
- Supervisar la administración de identidades y acceso.
- Establecer y supervisar la arquitectura de seguridad de la organización.
- Trabajar con otros ejecutivos de alto nivel para establecer los planes de recuperación de desastres (DR) y continuidad del negocio.
- Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
- Coordinar la definición e implementación de los controles del programa integral de gestión de datos personales.
- Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal del programa integral de datos personales.
- Impulsar una cultura de protección de datos dentro de la organización.
- Mantener un inventario de la base de datos personales en poder de la organización y clasificarlas según su tipo.
- Obtener las declaraciones de conformidad de la SIC cuando sea requerido.
- Revisar los contenidos de los contratos de transmisiones internacionales de datos que se suscriban con encargados no residentes en Colombia.
- Analizar las responsabilidades de cada cargo de la organización para diseñar un plan de entrenamiento en protección de datos personales específico para cada uno de ellos.
- Realizar un entrenamiento general en protección de datos personales para todos los empleados de la compañía.
- Realizar entrenamiento necesario a los nuevos empleados que tengan acceso por las condiciones de su empleo a datos personales gestionados por la organización.
- Integrar políticas de protección de datos dentro de las actividades de las demás áreas de la organización.
- Medir la participación, y calificar el desempeño en los entrenamientos de protección de datos.
- Velar por la implementación de planes de auditoria interna para verificar el cumplimiento de sus políticas de tratamiento de la información personal.
18. Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la SIC.
19. VIGENCIA
La presente política rige a partir del 16 de enero de 2021
20. CONTROL DE CAMBIOS
VERSION | FECHA DE VIGENCIA | DESCRIPCION |
01 | 16/01/2021 | LIBERACION |
