SMART-ST S.A.S POLITICA DE TRATAMIENTO DE DATOS PERSONALES
La empresa SMART-ST S.A.S, identificada con número de identificación tributaria 900.849.195-7 para efectos del presente contrato se denominará; EL LICENCIANTE quien posee todos los derechos de explotación y la titularidad completa del software SMART-ST, con domicilio en la ciudad de Manizales, Caldas, Colombia.
En cumplimiento de las directivas de la Ley 1581 de 2012 y la reglamentación contenida en el Decreto 1377 de 2013, la empresa ha establecido las políticas de tratamiento de datos personales y se regula la base de datos de clientes y proveedores, ofreciendo mediante estas políticas las garantías necesarias para la protección del habeas data, la vigilancia de la información por parte de las personas naturales o jurídicas que encuentren sus datos en las bases de datos de la empresa y las políticas para el ejercicio del derecho al olvido, correcciones y modificaciones de esta información.
GLOSARIO
En el desarrollo, interpretación y aplicación de la ley, regulaciones, y normatividad vigente, se aplicarán, de manera armónica e integral, las siguientes definiciones:
ACCESO RESTRINGIDO: Nivel de acceso a la información limitado a parámetros previamente definidos. La Superintendencia de Industria y Comercio no hará disponibles Datos Personales para su acceso a través de Internet u otros medios de comunicación masiva, a menos que se establezcan medidas técnicas que permitan controlar el acceso y restringirlo solo a las personas Autorizadas.
ÁREA RESPONSABLE DE PROTECCIÓN DE DATOS: Es el área dentro de la empresa, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales y la implementación del Programa Integral de Protección de Datos Personales.
ÁREA RESPONSABLE DE LA ATENCIÓN A PETICIONES, QUEJAS, RECLAMOS Y CONSULTAS: Las peticiones, quejas, reclamos y consultas formuladas por los titulares de datos serán atendidas por el área de soporte en conjunción con la dependencia jurídica de la empresa.
BASE DE DATOS: Conjunto organizado de Datos Personales que sean objeto de tratamiento. Incluye archivos físicos y electrónicos.
CALIDAD DEL DATO: El dato personal sometido a tratamiento deberá ser veraz, completo, exacto, actualizado, comprobable y comprensible. Cuando se esté en poder de datos personales parciales, incompletos, fraccionados o que induzcan a error, La empresa deberá abstenerse de someterlo a Tratamiento, o solicitar a su Titular la completitud o corrección de la información.
CIRCULACIÓN RESTRINGIDA: Los datos personales sólo serán tratados por aquel personal de la empresa o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrán entregarse Datos Personales a quienes no cuenten con autorización o no hayan sido habilitados por la empresa para tratarlos.
CONFIDENCIALIDAD: Elemento de seguridad de la información que permite establecer quienes y bajo qué circunstancias se puede acceder a la misma.
DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).
DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos o documentos oficiales.
DATO SEMIPRIVADO: Es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales
DATO SENSIBLE: Aquel dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
INFORMACIÓN DIGITAL: Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.
RESPONSABLE DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
TITULAR: Persona natural cuyos datos personales son objeto de Tratamiento.
TRATAMIENTO: Es cualquier operación o conjunto de operaciones sobre Datos Personales que realice la empresa o los Encargados del Tratamiento, tales como la recolección, almacenamiento, uso, circulación o supresión.
Con base en lo anteriormente enunciado, la empresa ha adoptado las políticas contenidas en el siguiente clausulado:
TITULO PRIMERO
GENERALIDADES
PRIMERO: OBJETO. La presente política tiene como objeto dar la información necesaria y suficiente a los diferentes grupos de interés, así como establecer los lineamientos que garanticen la protección de datos personales que sean objeto de tratamiento a través de los procedimientos descritos en este documento, con el fin de dar cumplimiento a la ley en consideración a la protección y atención de los derechos de los titulares, almacenamiento, uso, circulación y supresión que se darán a los datos personales.
SEGUNDO. DEFINICIONES. Para los efectos de estas políticas se adoptarán las definiciones contenidas en al Ley 1581 de 2012 y el Decreto 1377 de 2013 así:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
h) Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
i) Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
j) Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
k) Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
l) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
TERCERO. PRINCIPIOS. Bajo la misma óptica que las definiciones, se adoptarán como principios para el tratamiento de datos personales aquellos contenidos en las precitadas normas:
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le concierne;
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
CUARTO. FINALIDADES DEL TRATAMIENTO: Los datos personales que sean recopilados por parte de la empresa sólo serán usados para los fines estipulados en estas políticas, por lo que la empresa se abstendrá de realizar reportes a terceros sin la autorización del titular de los datos personales y se abstendrá de compartir, divulgar o proporcionar cualquier tipo de información a personas no autorizadas y para fines que no se encuentren descritos en nuestras políticas de tratamiento de datos personales. Por lo anterior toda la información que la empresa adquiera de sus clientes, proveedores, aliados comerciales o empleados estará sujeta a reserva.
La reserva no será aplicable cuando se trate de órdenes emanadas por autoridades administrativas o judiciales.
QUINTO. RESPONSABILIDAD Y COMUNICACIÓN DE LAS POLÍTICAS. Todos los titulares de datos personales de la empresa podrán consultar los mismos a través de los portales web y se comunicará esta información en la suscripción de los contratos, para lo cual se dispondrá con autorizaciones firmadas por cualquier medio (digital, escrito o clickwrapping) para el tratamiento de datos personales por parte de la empresa. La empresa será responsable del tratamiento de datos personales de los clientes y por tanto garantizará la seguridad de sus bases de datos.
SEXTO. SEGURIDAD DE LA INFORMACIÓN: Los datos almacenados son protegidos en los diferentes sistemas de acuerdo con la Seguridad de la información definido por la compañía mitigando el acceso no autorizado que permita divulgar, conocer, modificar, eliminar o destruir información almacenada en nuestras bases de datos. La empresa únicamente suministra información a los titulares, causahabientes o representantes legales, entidades públicas o administrativas ya sea por funciones legales o por orden judicial, a los terceros autorizados por el titular o la ley. La compañía cuenta con un Encargado de Protección de Datos Personales, el cual es responsable de validar de forma periódica el cumplimiento de la política y procedimientos de tratamiento de datos personales, en cada uno de los procesos relacionados de la compañía.
TÍTULO SEGUNDO
DERECHOS DEL TITULAR Y DESTINATARIOS
SÉPTIMO. DERECHOS DEL TITULAR: Los derechos que le asisten como titular de los datos son:
a) Actualizar, conocer, rectificar, conocer sobre el uso que le darán a sus datos;
b) Ser informado por la empresa, previa solicitud, respecto del uso que se le ha dado a los datos.
c) Solicitar prueba de la autorización otorgada y/o revocar la misma, o cualquier otra que suscriba el titular de los Datos Personales para el efecto, salvo cuando expresamente se exceptúe como requisito para el Tratamiento de datos de conformidad con la ley.
d) Acceder en forma gratuita a los Datos Personales que hayan sido objeto de Tratamiento
e) Las demás contempladas en La Ley 1581 de 2012 en su artículo 8°.
f) Revocar la autorización y/o supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales colombianas. La revocatoria y/o supresión procederá siempre y cuando no exista obligación legal o contractual de conservar el dato personal.
PARÁGRAFO PRIMERO. Sin perjuicio de las excepciones previstas en la ley, en el tratamiento se requiere autorización previa e informada del titular, la cual podrá ser obtenida en la página web de la empresa. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste bien sea, por escrito, de forma oral o mediante conductas inequívocas del titular, que permitan concluir de forma razonable que otorgó la autorización.
PARÁGRAFO SEGUNDO. Los derechos aquí enunciados podrán ser ejercidos a través del canal de comunicación smartstsas@gmail.com según corresponda el contrato o relación comercial o jurídica con la Empresa dirigida al Encargado de Protección de datos personales.
OCTAVO. DEL TRATAMIENTO DE LOS DATOS DE CLIENTES: La información que sea entregada por parte de los clientes a la empresa solo será utilizada para los fines enunciados en los siguientes puntos:
PARÁGRAFO: Los datos sensibles tales como identificación biométrica, imágenes, fotografías, datos de localización, direcciones ip, teléfonos, correos electrónicos y celulares, solo podrán ser usados con fines de autenticación del titular de la información en las operaciones con la empresa. La información que sea considerada sensible deberá ser resguardada bajo seguridad especial y acceso limitado a personal administrativo de la empresa. El titular de la información no estará obligado en ningún caso a proporcionar datos sensibles mientras estos no sean vitales para la ejecución del objeto contractual.
NOVENO. TRATAMIENTO DE DATOS DE LOS PROVEEDORES: La información que sea entregada por parte de los proveedores solo podrá ser utilizada siguiendo los siguientes parámetros:
PARÁGRAFO: Los datos sensibles tales como identificación biométrica, imágenes, fotografías, datos de localización, direcciones ip, teléfonos, correos electrónicos y celulares, solo podrán ser usados con fines de autenticación del titular de la información en las operaciones con la empresa. La información que sea considerada sensible deberá ser resguardada bajo seguridad especial y acceso limitado a personal administrativo de la empresa. El titular de la información no estará obligado en ningún caso a proporcionar datos sensibles mientras estos no sean vitales para la ejecución del objeto contractual.
DÉCIMO. TRATAMIENTO DE LA INFORMACIÓN DE EMPLEADOS: La información relativa a los empleados de la empresa y que sea otorgada por estos o terceros solo podrá ser utilizada para los siguientes fines:
PARÁGRAFO: Los datos sensibles tales como identificación biométrica, imágenes, fotografías, datos de localización, direcciones ip, teléfonos, correos electrónicos y celulares, solo podrán ser usados con fines de autenticación del titular de la información en las operaciones con la empresa. La información que sea considerada sensible deberá ser resguardada bajo seguridad especial y acceso limitado a personal.
TÍTULO TERCERO
DEBERES DE LA COMPAÑÍA
DÉCIMO PRIMERO. DEBERES DE LA COMPAÑÍA: La compañía en cumplimiento de la presente política deberá:
a) Garantizar al titular, en todo momento el derecho al Habeas data.
b) Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
e) Conservar la información bajo condiciones de seguridad necesarias con el fin de controlar accesos no autorizados, pérdida y divulgación de la información, uso o acceso no autorizado o fraudulento..
f) Actualizar o suprimir los datos almacenados siempre garantizando la integridad de los mismos, de acuerdo con lo que estipula la Ley.
g) Tramitar las consultas y reclamos de los titulares de acuerdo con lo estipulado en la ley.
h) Definir un Programa Integral de Gestión de datos personales, el cual está compuesto por políticas y procedimientos que garanticen el cumplimiento de la Ley en cuanto a Protección de datos personales.
i) Hacer el registro de bases de datos, de acuerdo con las definiciones dadas por la Superintendencia de Industria y Comercio.
j) Notificar a la Superintendencia de Industria y Comercio al momento de que la información de los titulares haya sido expuesta por incidentes de seguridad de la Información (Virus, ataques informáticos, entre otros).
k) Asegurarse de que todos los trabajadores de su empresa, al realizar las actividades propias de su cargo, asuman las responsabilidades y las obligaciones que se tienen acerca del manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.
TÍTULO CUARTO
PROCEDIMIENTO PARA ATENDER LOS DERECHOS DE LOS TITULARES
DÉCIMO SEGUNDO. PROCEDIMIENTO DE CONSULTA: El titular podrá radicar las solicitudes de consulta a través del correo electrónico: smartstsas@gmail.com y deberá contener cómo mínimo la siguiente información:
DÉCIMO TERCERO. PLAZO DE RESPUESTA: La Compañía atenderá en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
DÉCIMO CUARTO. PROCEDIMIENTO DE RECLAMOS: Mediante este procedimiento el titular de la información podrá: I) corregir o actualizar su información; II) revocar la autorización o solicitar supresión de los datos personales.
En ambos casos, El titular podrá radicar las solicitudes de consulta a través del correo electrónico: smartstsas@gmail.com y deberá contener cómo mínimo la siguiente información:
En caso de que la reclamación se presente sin el cumplimiento de los requisitos, se solicitará al reclamante dentro de los cinco días hábiles siguientes a la recepción del reclamo, para que subsane las fallas y presente la información o documentación faltante.
PARÁGRAFO PRIMERO. CORRECCIÓN O ACTUALIZACIÓN: La empresa garantizará al titular de los datos personales contenidos en la base de datos, el derecho a corregir o actualizar los datos personales que reposen en su base de datos, mediante la presentación de reclamación, cuando consideren que se cumplen los parámetros establecidos en la ley colombiana o señalados en la presente política para que sea procedente la solicitud de corrección o actualización.
PARÁGRAFO SEGUNDO. REVOCATORIA DE LA AUTORIZACIÓN O SUPRESIÓN DE LOS DATOS PERSONALES: La empresa garantizará a los titulares de los datos personales contenidos en la base de datos, el es solicitar la revocatoria de la autorización o solicitar la supresión de la información contenida en su registro individual o toda aquella que esté vinculada con su identificación cuando consideren que se cumplen los parámetros establecidos por la ley colombiana o los señalados en la presente política de tratamiento de datos personales.
DÉCIMO QUINTO. PLAZO DE RESPUESTA. El término para atender el reclamo será de quince días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los diez días hábiles siguientes al vencimiento del primer término.
DÉCIMO SEXTO. PROCEDIMIENTO DE SUPRESIÓN DE DATOS PERSONALES. En caso de resultar procedente la supresión de datos personales del titular conforme a la reclamación presentada, la empresa deberá realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información. Sin embargo, el titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por el cumplimiento de deberes legales de la organización, por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.
TÍTULO QUINTO
VIGENCIAS
DÉCIMO SÉPTIMO. VIGENCIA DEL DATO: Las Bases de Datos de empresa tendrán el periodo de vigencia que corresponda a la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia. No obstante, lo anterior, los datos personales deberán ser conservados por requerimiento judicial, legal o administrativo que así lo señale.
DÉCIMO OCTAVO. FECHA DE ENTRADA EN VIGENCIA: La presente política de tratamiento de datos personales rige a partir de su firma con vigencia indefinida.
Cualquier cambio sustancial en las políticas de Tratamiento de datos personales, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto. Para los titulares que no tengan acceso a medios electrónicos o aquello