POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
1. OBJETIVO
Definir los lineamientos generales para la implementación, aplicación, monitoreo, sostenimiento y mejora continua del Sistema de gestión y cumplimiento del régimen de protección de datos personales en la operación de NTN24.
2. ALCANCE
NTN 24 S.A.S., identificada con el NIT 900.368.651 - 1, con domicilio principal en la dirección Avenida de las Américas No. 65 – 82, Bogotá D.C., Colombia, en su condición de responsable del tratamiento de datos personales, en adelante denominada como La Compañía o NTN24, reconoce la importancia de la seguridad, privacidad y confidencialidad de los datos personales de sus trabajadores, clientes, audiencia, proveedores, socios y en general de todos sus agentes de interés respecto de los cuales ejerce tratamiento de información personal. Por lo que, en cumplimiento a los mandatos constitucionales y legales, presenta el siguiente documento que contiene sus políticas para el tratamiento y protección de los datos personales, para todas sus actividades que involucren tratamiento de información personal en el ámbito nacional, así como el tratamiento de datos personales en el ámbito internacional conforme a la legislación, acuerdos y tratados internacionales.
3. MARCO NORMATIVO
- Constitución Política de Colombia
- Ley 1581 de 2012. Por la cual se dictan las disposiciones generales para la protección de datos personales y se desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.
- Ley 1266 de 2008. Por la cual se dictan disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la provenientes de terceros países y se dictan otras disposiciones.
- Decreto Único 1074 de 2015. Por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
- Decreto único 1072 de 2015: Por medio del cual se expide el Decreto Único Reglamentario del Sector Trabajo.
- Demás normas que lo adicionen, sustituyan y/o modifiquen,
4. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES
- NTN24 promueve la protección de derechos como el Habeas Data, la privacidad, la intimidad, el buen nombre, honra e imagen personal, con tal propósito, todas las actuaciones se regirán por los postulados de la buena fe, la legalidad, la autodeterminación informática, la libertad y la transparencia.
- La Compañía reconoce que su legítimo derecho al tratamiento de los datos personales de los titulares de información debe ser ejercido dentro del marco específico de la legalidad, el consentimiento del titular y las específicas instrucciones impartidas por los Responsables del Tratamiento cuando sea el caso, procurando en todo momento preservar el equilibrio entre los derechos y deberes de titulares, los responsables y otros Encargados del tratamiento vinculados a su operación.
- Quien en ejercicio de su actividad suministre cualquier tipo de información o dato personal a NTN24 en su condición de Encargado o responsable del tratamiento, podrá ejercer sus derechos como titular de la información para conocerla, actualizarla y rectificarla conforme a los procedimientos establecidos en la ley aplicable y la presente política.
- Principio de libertad: El uso, captura, recolección y tratamiento de datos personales sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización o en ausencia de mandato legal, estatutario o judicial que releve el consentimiento.
- Principio de finalidad: El uso, captura, recolección y tratamiento de datos personales a los que tenga acceso y sean acopiados y recogidos en el desarrollo de las actividades de La Compañía, estarán subordinados y atenderán una finalidad legítima, la cual debe serle informada al respectivo titular de los datos personales.
- Principio de confidencialidad: Todas y cada una de las personas que administren, manejen, actualicen o tengan acceso a información de la naturaleza personal, se comprometen a conservar y mantener de manera estrictamente confidencial y no revelar a terceros la información personal, comercial, contable, técnica o de cualquier otro tipo suministrada en la ejecución y ejercicio de sus funciones. Este deber se hace extensivo a todos aquellos terceros aliados, trabajadores o vinculados que se relacionen mediante cualquier vínculo convencional o contractual con La Compañía.
- Principio de veracidad o calidad: La información sujeta a uso, captura, recolección y tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
- Principio de legalidad: En el uso, captura, recolección y tratamiento de datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos fundamentales conexos.
- Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados. Para estos propósitos NTN24 empleará sus mejores recursos para procurar dar un adecuado cumplimiento a la aplicación del principio de acceso y circulación restringida, dentro del marco de las capacidades de La Compañía.
- Principio de transparencia: En el uso, captura, recolección y tratamiento de datos personales debe garantizarse el derecho del Titular a obtener de La Compañía, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.
- Principio de seguridad: Los datos personales e información usada, capturada, recolectada y sujeta a tratamiento en el desarrollo de las actividades de La Compañía, serán objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios físicos y electrónicos, evitando su adulteración, modificación, pérdida, consulta y en general en contra de cualquier uso o acceso no autorizado.
- Incorporación sistemática: Los principios de Protección de Datos Personal se implementarán y reflejarán la interpretación de todos los procesos y procedimientos de La Compañía.
5. TIPOS DE TITULARES DEL TRATAMIENTO DE INFORMACIÓN
Los titulares de información entendidos como las personas naturales y jurídicas representadas por personas naturales, de quienes se predican los datos personales que son objeto de tratamiento, han sido identificados y categorizados a partir de las distintas actividades que definen la operación de La Compañía.
Titulares | Tipología de datos tratados |
Audiencia / Usuarios de contenido |
|
Participantes y/o Concursantes |
|
Clientes |
|
Accionistas |
|
Proveedores |
|
Empleados |
|
Personal vinculado bajo la modalidad de prestación de servicios |
|
Personal vinculado bajo la modalidad de personal en misión |
|
Pasantes, practicantes y/o aprendices |
|
Visitantes |
|
6. CONDICIÓN DE RESPONSABLE Y ENCARGADO DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL DE LA COMPAÑÍA
A continuación, se definen los escenarios en los que obra La Compañía frente a los distintos tipos de titulares de información según la capacidad de decisión frente a los datos personales asociados y su tratamiento:
6.1 Encargado
La Compañía obrará como Encargado del tratamiento de datos personales siempre que para el desarrollo de sus actividades realice uso o tratamiento de información personal por encargo de un tercero que ostente la condición de Responsable sobre los datos tratados.
Si bien La Compañía cuenta con autonomía técnica y operativa para la toma de decisiones sobre la información personal, no podrá decidir ni disponer sobre las bases de datos en sí o la forma de su tratamiento, por ejemplo: eliminar, compartir o divulgar la base de datos sin el consentimiento o autorización previa del Responsable del tratamiento o el titular del dato.
Frente a la información recibida por parte del Responsable, el Encargado no es responsable de recolectar la autorización necesaria para el tratamiento de los datos suministrados, ya que se presume que esta actividad ha sido adelantada por el Responsable de forma previa a la transmisión de la información al Encargado, no obstante lo anterior el Encargado podrá solicitar que el responsable acredite el cumplimiento de esta obligación o podrá gestionar la obtención de autorizaciones cuando así lo requiera la operación.
6.2 Responsable
La Compañía obrará como Responsable del tratamiento de datos personales siempre que para el desarrollo de sus actividades realice uso o tratamiento de información personal de forma directa mediando para ello únicamente la autorización por parte del titular de la información o la expresa autorización legal.
El relacionamiento jurídico existente entre La Compañía y los trabajadores vinculados a su operación, así como de aquellos proveedores asociados a la prestación de servicios propios de La Compañía, permite a La Compañía, contar con la potestad de decidir o disponer sobre la información de las bases de datos asociadas a este tipo de titulares, así como de la forma de su tratamiento, solo quedando supeditada esta potestad al consentimiento del titular de la información y las restricciones legales aplicables.
6.3 Exclusiones
En el marco de las operaciones que realice la compañía se puede generar la consolidación de bases de datos que por su naturaleza no se encuentran bajo el alcance de La Ley de Protección de Datos Personales (Art. 2 de la Ley 1581 de 2012).
El régimen de protección de datos personales que se establece en la ley 1581 de 2012 no será de aplicación:
a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico. Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso los Responsables y Encargados de las bases de datos y archivos quedarán sujetos a las disposiciones contenidas en la presente ley.
b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y la financiación del terrorismo.
c) A las Bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia.
d) A las bases de datos y archivos de información periodística y otros contenidos editoriales, derivados de la operación de la compañía o aportados por agentes de interés a nivel de denuncia o postulación.
e) A las bases de datos y archivos regulados por la Ley 1266 de 2008. Por la cual se dictan disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la provenientes de terceros países y se dictan otras disposiciones.
f) A las bases de datos y archivos regulados por la Ley 79 de 1993. Por la cual se regula la realización de los censos de población y vivienda en todo el territorio nacional.
7. PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL
Los datos personales de los titulares de información se encuentran sujetos al uso y tratamiento que determina en sus distintos procesos y actividades La Compañía, quien a su vez define la forma como se captura, usa, almacena, comparte y dispone la información de naturaleza personal en cada uno de sus procesos, por lo anterior y en función de la naturaleza y objeto misional de La Compañía, a continuación, se describen los principales escenarios que dan lugar al tratamiento de información personal y sus finalidades:
7.1 Compras y adquisiciones
a) Verificar antecedentes comerciales, reputacionales y eventuales riesgos de relacionamientos asociados al Lavado de Activos y Financiación del Terrorismo.
b) Vincular al proveedor jurídica y comercialmente con la Compañía, permitiendo el desarrollo de los procedimientos contables, logísticos y financieros de la operación.
c) Formalizar el relacionamiento contractual con el proveedor, controlando la cabal ejecución de las obligaciones asumidas.
d) Evaluar el desempeño y resultados del proveedor con miras al fortalecimiento de los procedimientos de contratación o abastecimiento.
e) Crear usuarios y contraseñas en los sistemas de información de la compañía que permitan al proveedor el desarrollo del objeto contractual por el cual ha sido vinculado a La Compañía.
f) Permitir el desarrollo de las actividades de promoción y prevención propias del Sistema de Seguridad y Salud en el Trabajo de La Compañía que tienen alcance sobre los proveedores y su personal.
g) Soportar el registro y acceso del personal remitido a las instalaciones de La Compañía por parte de los proveedores, mitigando riesgos asociados a la seguridad física y prevención de emergencias.
h) Remitir información en físico o por correo electrónico y/o contacto telefónico con propósitos comerciales de mercadeo, campañas de seguridad asociadas el Sistema de Gestión de la Seguridad y Salud en el Trabajo, campañas publicitarias, lanzamientos, concursos, eventos, evaluación de la calidad de los productos y servicios, y fines estadísticos, todo a través de sus diferentes canales de contacto.
7.2 Gestión del Talento humano y relaciones laborales
a) Evaluar el perfil laboral de los aspirantes con miras a la selección y formalización de la vinculación laboral, supliendo las vacantes o requerimientos de personal de las distintas áreas y funciones de La Compañía.
b) Verificar antecedentes académicos, laborales, personales, familiares, y otros elementos socioeconómicos significativos del aspirante laboral, según los requerimientos del cargo a proveer.
c) Gestionar ante las autoridades administrativas, la vinculación, afiliación o reporte de novedades asociadas al sistema general de seguridad social, así como las demás obligaciones asistenciales y prestacionales de índole laboral.
d) Registrar al trabajador en los sistemas informáticos de gestión de La Compañía, permitiendo el desarrollo de las actividades contables, administrativas y financieras propias del vínculo laboral.
e) Gestionar las novedades laborales con incidencia en la liquidación y pago de nómina.
f) Promover el desarrollo de actividades de bienestar y desarrollo integral del trabajador y su entorno laboral y familiar.
g) Gestionar los programas de capacitación y formación acorde con los requerimientos del cargo y lineamientos Corporativos.
h) Administrar el sistema de gestión de seguridad y salud en el trabajo, propendiendo por la mitigación de riesgos.
i) Evaluar el desempeño y analizar las competencias funcionales de los trabajadores con miras a la determinación del plan de carrera y desarrollo integral.
j) Gestionar los procedimientos de desvinculación laboral, así como el cumplimiento de las obligaciones económicas correspondientes.
k) Gestionar el desarrollo y cumplimiento de las labores operativas y funcionales asociadas al perfil del cargo.
l) Gestionar actividades que incentiven el crecimiento y desarrollo del empleado en La Compañía.
m) Publicar en medios internos los logros y reconocimientos de los trabajadores de La Compañía.
n) Permitir la gestión logística de desplazamientos y hospedaje del personal de la compañía que así lo requiera para el desarrollo de sus actividades.
7.3 Gestión de Clientes
a) Verificar antecedentes comerciales, reputacionales y eventuales riesgos de relacionamientos asociados al Lavado de Activos y Financiación del Terrorismo.
b) Soportar el relacionamiento comercial con los clientes y prospectos, permitiendo su registro en los sistemas de gestión de La Compañía para el desarrollo de los procedimientos contables, logísticos, comerciales y financieros de la operación.
c) Gestionar actividades de comunicación y fidelización de clientes, así como la atención oportuna de Peticiones, Quejas, Reclamos y Sugerencias PQRS, que permitan evaluar la calidad de los productos y servicios ofertados por La Compañía
d) Desarrollar actividades de marketing e inteligencia de mercados, procurando el fortalecimiento de la gestión comercial de La Compañía.
e) Convocar, patrocinar u organizar la participación de clientes actuales o potenciales en los eventos o actividades comerciales o de promoción de marcas y productos de La Compañía o sus aliados, conservando eventualmente el registro de los titulares asistentes mediante grabación, fotografía o cualquier otro medio físico o automatizado.
f) Divulgar con fines comerciales las producciones o servicios de La Compañía de forma directa o a través de aliados o trabajadores.
7.4 Gestión de Audiencia / Usuarios de Contenido
a) Desarrollar las diferentes actividades logísticas y administrativas que permitan su participación en las diferentes actividades o concursos creados por La Compañía
b) Gestionar actividades de comunicación y fidelización de audiencia, así como la atención oportuna de Peticiones, Quejas, Reclamos y Sugerencias PQRS, que permitan evaluar la calidad de los productos y servicios ofertados por La Compañía
c) Desarrollar actividades de marketing e inteligencia de mercados, procurando el fortalecimiento de la gestión comercial de La Compañía.
7.5 Gestión administrativa y cumplimiento
a) Registrar y controlar el acceso a las instalaciones de las diferentes sedes de La Compañía mitigando los riesgos de seguridad física y de la información.
b) Verificar, controlar y monitorear el desarrollo de los procesos, actividades y productos audiovisuales conforme a los lineamientos y objetivos trazados.
c) Gestionar el cumplimiento de las obligaciones y requisitos legales asociados al desarrollo de la operación de La Compañía.
d) Gestionar las denuncias asociadas a las malas prácticas corporativas o que afecten la ética o transparencia empresarial.
e) Soportar el desarrollo de la operación mediante el otorgamiento, gestión y mantenimiento de las herramientas y aplicaciones informáticas de La Compañía.
f) Gestionar el desarrollo de acciones o actuaciones jurisdiccionales o extraprocesales asociadas a mecanismos alternativos de resolución de conflictos.
g) Gestionar el cumplimiento de las obligaciones de naturaleza corporativa y societarias frente a los órganos internos y autoridades externas.
7.6 Gestión Contable
a) Permitir el control de los movimientos económicos de La Compañía mediante el registro de comprobantes de contabilidad y causabilidad.
b) Facilitar la toma de decisiones y conocimiento de la situación económica de La Compañía a los directivos gracias a la elaboración y revisión de estados de financieros.
c) Dar cumplimiento a las disposiciones legales que obligan a La Compañía a presentar ante la autoridad competente informes y estados financieros.
d) Establecer e implementar mecanismos de control asociados a la validación de pago a proveedores
8. DERECHOS, DEBERES Y OBLIGACIONES DEL TRATAMIENTO
8.1 Derechos de los titulares
Conforme a las disposiciones normativas aplicables, el Titular de información ostenta los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento.
b) Solicitar prueba de la autorización otorgada.
c) Ser informado, previa solicitud, respecto del uso que se les dará a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en las normas sobre datos personales cuando sus consultas o reclamos presentados directamente al responsable por el titular, no hayan sido atendidos de forma completa u oportuna.
e) Solicitar la supresión de los datos personales.
f) Revocar la autorización mediante la presentación de una solicitud y/o reclamo. Esta no procede cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
g) Solicitar a la Superintendencia de Industria y Comercio (SIC) que ordene la revocatoria de la autorización y/o la supresión de los datos.
h) Consultar de forma gratuita sus datos personales, al menos una vez cada mes calendario y cada vez que existan modificaciones sustanciales de las políticas de Tratamiento de la información.
8.2 Deberes de la compañía
Como responsable del tratamiento de la información, La Compañía asume los siguientes deberes:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
b) Solicitar y conservar copia de la respectiva autorización otorgada por el titular.
c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información, comunicando de forma oportuna al Encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del tratamiento.
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado.
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
j) Tramitar las consultas y reclamos formulados.
k) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
l) Informar a solicitud del Titular sobre el uso dado a sus datos.
m) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
Como Encargado del tratamiento de información personal, La Compañía asume los siguientes deberes:
a) Informar a los Responsables del tratamiento cualquier situación o requerimiento que implique o requiera disponer sobre la base de datos o su tratamiento.
b) Informar y apoyar al responsable en la gestión de consultas o reclamos recibidas directamente de titulares de información o canalizadas a través del responsable.
c) Informar y apoyar el responsable en la gestión de incidentes de seguridad de la información que comprometan información personal de los cuales tenga conocimiento o que sean informados por el responsable.
d) Apoyar al responsable con el suministro de la información para la realización del Registro Nacional de Bases de Datos personales, brindando la información requerida para facilitar este proceso de cumplimiento legal.
8.3 Obligaciones de terceros (proveedores)
Sin perjuicios de las disposiciones específicas pactadas en cada caso en particular, aquellos terceros Encargados del tratamiento con vínculo contractual o convencional con La Compañía, se encuentran sujetos al cumplimiento de las siguientes obligaciones en materia de protección de datos personales:
a) Adoptar, acatar y mantener vigente una política de tratamiento de información personal aplicable al desarrollo de su operación.
b) Adoptar, acatar y mantener vigente un manual de políticas y procedimientos internos para el tratamiento de la información personal, incluyendo los elementos para la efectividad de la política descritos en el artículo 2.2.2.25.6.2 del Decreto 1074 de 2015.
c) Definir y mantener habilitados los canales para la oportuna y completa atención de las eventuales consultas y reclamos de los titulares de información en materia de protección de datos personales, para lo cual dispondrá al menos de una dirección física, una línea telefónica fija o móvil y un correo electrónico.
8.4 Obligaciones de los trabajadores
Sin perjuicios de las obligaciones pactadas en cada caso en particular, los trabajadores directos e indirectos de La Compañía, deberán dar cumplimiento a las siguientes obligaciones:
a) Conocer y acatar la presente política de protección de datos personales, así como las demás condiciones, limitaciones, finalidades y derechos que le asisten como titular de información personal, entre los que se encuentra el derecho a realizar solicitudes, quejas o reclamos frente al tratamiento de sus datos personales realizado por la Compañía, derechos que podrá ejercer a través de los medios, mecanismos y procedimientos descritos en el numeral 11.3 de la presente política.
b) Salvaguardar la seguridad de los datos personales objeto de tratamiento, el cual se realizará a nombre de La Compañía conforme a los principios que lo tutelan.
8.5 Derechos de los niños, niñas y adolescentes
La información personal de los niños, niñas y adolescentes se encuentra sujeta a una especial protección por parte de La Compañía. El tratamiento de este tipo especial de datos requerirá el desarrollo y divulgación por parte de La Compañía de los términos y condiciones específicos de la respectiva actividad, definiendo entre otros, los requisitos, condiciones y restricciones para el tratamiento de información de niños, niñas y adolescentes, tomando en consideración en todo momento el interés superior y el respeto a los derechos prevalentes de los menores. Ante la ausencia de términos y condiciones específicos para el desarrollo de un determinado programa o actividad que involucre tratamiento de datos especiales de menores, aplicarán las disposiciones de la presente política y las normas especiales pertinentes.
Siempre que sea necesario el tratamiento de los datos personales de niños, niñas y adolescentes, se tendrá en cuenta la opinión del menor conforme a la razonable determinación de su nivel de madurez y entendimiento del caso específico, lo que se entenderá surtido para todos los efectos legales, con el otorgamiento de la autorización del tratamiento por parte del representante legal.
9. SOLICITUD DE AUTORIZACIÓN Y CONSENTIMIENTO DEL TITULAR
Para aquellos casos en que la información personal sea recolectada por La Compañía en su condición de responsable del tratamiento, se tendrán en cuenta los aspectos citados a continuación:
9.1 Medio y manifestaciones para otorgar la autorización
La autorización para el tratamiento de la información personal requerida es obtenida a través de las solicitudes y avisos de privacidad puestos a disposición del titular en cada uno de los canales o puntos de captura de información física, verbal o digital, los cuales han sido dispuestos mediante formularios, avisos o declaraciones que informan al titular sobre la captura y posterior tratamiento de sus datos personales, sus finalidades, derechos, canales para el ejercicio de sus derechos y de ser procedente, la forma de acceder a la presente política.
La autorización del titular para el tratamiento de los datos será otorgada de forma expresa y su manifestación podrá darse bajo las distintas modalidades establecidas en la ley, tomando en consideración la naturaleza de cada uno de los canales de recolección de información, siendo esta escrita, verbal o mediante actuaciones o conductas inequívocas del titular.
9.2 Prueba de la autorización
La autorización del tratamiento de los datos recolectados en el desarrollo de las actividades descritas en la presente política dependerá de la naturaleza del canal o punto de recolección de información. El medio de prueba para acreditar la efectiva autorización del tratamiento dependerá del tipo de mecanismo utilizado para obtener la autorización, siendo ejemplo de ello el formato suscrito, el registro de aceptación o ingreso a la página web, la grabación de la conversación, entre otros. En los eventos de aceptación por medio de conductas inequívocas, se tomará como suficiente prueba de la aceptación por parte del titular, el conjunto integrado de los siguientes elementos:
a) El modelo de solicitud de autorización puesto a disposición del titular al momento de capturar sus datos.
b) La indicación expresa en el modelo de solicitud de autorización, de la conducta inequívoca del titular que constituye autorización del tratamiento.
c) La evidencia de la realización de la conducta inequívoca por parte del titular, siendo factible acreditar la información suministrada por el titular u otro tipo de evidencia de aceptación expresa según la naturaleza del canal.
9.3 Casos en los que NO es necesaria la autorización
La compañía acogiéndose a lo expresado en el Art. 10 de la Ley 1581 de 2012 identifica las siguientes situaciones como casos en los cuales se podrá realizar tratamiento de datos personales sin que para ello medie una autorización previa.
Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.
La autorización NO será necesaria en los siguientes casos:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
e) Datos relacionados con el Registro Civil de las Personas.
10. PROCEDIMIENTOS PARA LA ATENCIÓN DE CONSULTAS, RECLAMOS, RECTIFICACIONES Y ACTUALIZACIONES
10.1 Procedimiento para la realización de consultas
a) En cualquier momento y de manera gratuita el titular o su representante podrán realizar consultas respecto de los datos personales que son objeto de tratamiento por parte de La Compañía, previa acreditación de su identidad.
b) Cuando la consulta sea formulada por persona distinta del titular, deberá acreditarse en debida forma la personería o mandato para actuar.
c) La consulta debe contener como mínimo, la siguiente información:
- El nombre y dirección de contacto del titular o cualquier otro medio para recibir la respuesta.
- Los documentos que acrediten la identidad y capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
- Padres de familia: Registro civil de nacimiento y documento de identidad.
- Tutores: Sentencia judicial que confiere representación legal.
- Representante autorizado por el titular: Poder autenticado.
- La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer el derecho de consulta.
- La descripción clara y precisa de la consulta que realiza el titular de información, sus causahabientes o representantes.
- Aportar la documentación que avale su petición en caso de que por la naturaleza del dato sea procedente.
- En caso dado, otros elementos o documentos que faciliten la localización de los datos personales.
d) Si la consulta realizada por el titular del dato resulta incompleta, La Compañía requerirá al interesado dentro de los cinco (5) días siguientes a la recepción de la consulta para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de su consulta.
e) En el caso de consultas presentadas de forma completa, La Compañía dará respuesta a los peticionarios dentro del término de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
10.2 Procedimiento para la realización de reclamos (Corrección, actualización, supresión)
a) En cualquier momento y de manera gratuita el titular o su representante podrán realizar reclamos asociados a correcciones, actualizaciones o supresión de los datos personales que son objeto de tratamiento por parte de La Compañía, previa acreditación de su identidad.
b) Cuando el reclamo sea formulado por persona distinta del titular, deberá acreditarse en debida forma la personería o mandato para actuar.
c) La solicitud de revocatoria de la autorización, rectificación, actualización o supresión debe contener como mínimo, la siguiente información:
- El nombre y dirección de contacto del titular o cualquier otro medio para recibir la respuesta.
- Los documentos que acrediten la identidad y capacidad de su representante. Tal como se indica para los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
- Padres de familia: Registro civil de nacimiento y documento de identidad.
- Tutores: Sentencia judicial que confiere representación legal.
- Representante autorizado por el titular: Poder autenticado.
- Por estipulación a favor de otro: Manifestación en este sentido.
- La descripción clara y precisa del tipo de reclamo que realiza el titular de información (solicitud parcial o total de la revocatoria de la autorización del tratamiento, corrección, actualización o supresión de datos personales).
- La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer el derecho de reclamo, así como los hechos que dan lugar al mismo.
- Aportar la documentación que avale su petición en caso de que por la naturaleza del dato sea procedente.
- En caso dado, otros elementos o documentos que faciliten la localización de los datos personales.
d) Si el reclamo realizado por el titular resulta incompleto, La Compañía requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de su reclamo.
e) En el caso de reclamos (correcciones, actualizaciones y supresiones), La Compañía dará respuesta a los titulares de información dentro del término de (15) días hábiles contados a partir de la fecha de recibo del reclamo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su reclamación la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
10.3 Procedimiento de Relacionamiento con terceros
La Compañía tendrá en cuenta el siguiente procedimiento general para el relacionamiento con terceros en el marco de su “diligencia demostrada” en materia de protección de los datos personales, el detalle de dicho procedimiento se encuentra descrito en el Manual de Protección de Datos Personales:
a) El responsable del respectivo escenario de tratamiento en coordinación con el oficial de privacidad realizará la clasificación del tercero en alto, medio o bajo de manera previa al relacionamiento con dicho tercero que implique tratamiento de información personal Tratamiento alto o intensivo.
b) Una vez definida la categoría del tercero, el delegado de privacidad del área en coordinación con el oficial de privacidad, procede a la realización de las verificaciones y controles aplicables según la categoría correspondiente.
c) Según la categoría asignada al momento de clasificar al tercero, la verificación de los anteriores aspectos se realiza soportes de verificación documental, listados de chequeos, visita a instalaciones, declaraciones juramentadas entre otros.
d) Verificado el adecuado cumplimiento de la ley de protección de datos personales por parte del tercero, la Compañía procede a realizar los trámites de formalización del vínculo contractual, estableciendo las respectivas coberturas legales asociadas con:
e) Si como resultado de las verificaciones y controles previos de debida diligencia se evidencia que el tercero no cumple con un adecuado nivel de cumplimiento de la ley de protección de datos personales, el oficial de privacidad en coordinación con el responsable de escenario, podrán definir un plan de acción conjunto con el tercero con miras a alcanzar un adecuado nivel de cumplimiento, siempre y cuando la naturaleza de la operación y el tipo de tratamiento de datos involucrado lo permita. En el evento en que no sea posible establecer un plan de acción para el cumplimiento del régimen de protección de datos personales por parte del tercero sin exponer a la Compañía a riesgos de incumplimiento de la ley a afectar la seguridad de la información personal, la Compañía desistirá del relacionamiento jurídico con este tercero.
f) Una vez formalizado el vínculo jurídico o contractual con el tercero, la Compañía define la metodología y periodicidad de la supervisión del cumplimiento de la ley de protección de datos durante el tiempo que dure la vinculación o nexo jurídico o comercial con el tercero. Si durante el periodo de supervisión se evidencia que el tercero no alcanza niveles adecuados del cumplimiento de la ley de protección de datos o realiza prácticas inseguras para el adecuado tratamiento de los datos personales, la Compañía define el plan de mejora respectivo o la terminación del vínculo con el tercero según proceda en los términos expuestos en literal precedente.
g) Culminado el vínculo jurídico o comercial con el tercero, el responsable de escenario junto con el oficial de privacidad procede a solicitar la eliminación o devolución de la información personal que aún pueda conservar el tercero, tomando en consideración el principio de necesidad, vigencia y legalidad del dato.
Las actividades específicas, controles y formatos aplicables al procedimiento de relacionamiento con terceros se encuentran en el Anexo No. 8 – Lineamientos para el relacionamiento con terceros y el Anexo No. 9 – Lineamientos para la supervisión de terceros Encargados del tratamiento de datos personales.
10.4 Canal de protección de datos y medios de contacto
Para el ejercicio del derecho a realizar consultas, reclamos, correcciones, actualizaciones o supresión de datos personales, el titular podrá contactar al Encargado de la protección de datos personales de La Compañía u Oficial de Privacidad, a través de los siguientes medios de contacto:
- Correo electrónico: serviciodatospersonales@ntn24.1eye.us
- Dirección física: Avenida de las Américas No. 65 – 82, Bogotá D.C., Bogotá - Ventanilla de Radicación de Correspondencia
- Teléfono: +57(1) 4269292
Frente al eventual uso de otros canales de contacto por parte de los titulares de información para el ejercicio de sus derechos en materia de protección de datos personales, La Compañía gestiona internamente la respectiva consulta o reclamo a través de los canales previamente descritos, lo anterior sin perjuicio de informar al titular de la existencia de los canales previamente descritos para facilitar la gestión de la consulta o reclamo de manera oportuna y completa.
11. DISPOSICIONES ESPECIALES PARA EL TRATAMIENTO DE DATOS PERSONALES Y ACREDITACIÓN DEL PRINCIPIO DE “ACCOUNTABILITY” (DEBIDA DILIGENCIA)
11.1 Identificación y actualización del ciclo de la información personal
Para el adecuado cumplimiento del régimen de protección de datos personales, La Compañía identificará y mantendrá actualizado el entendimiento del ciclo de vida de la información personal de su operación. Dicha metodología se encuentra descrita en el Manual de Protección de Datos Personales.
11.2 Relacionamiento con terceros
En línea con sus políticas y disposiciones internas en materia de protección de datos personales, La Compañía propenderá por vincularse o relacionarse con aquellos terceros que reflejen su compromiso con la observancia y aplicación del régimen general de protección de datos personales en su respectiva operación, y aplicará todos los procedimientos internos organizacionales, jurídicos y técnicos que permitan el cumplimiento de los mismos, descrito en el Manual de Protección de Datos Personales.
11.3 Evaluación de impacto de privacidad
La Compañía reconoce la importancia de la privacidad y la protección de la información de sus titulares en el marco del desarrollo de sus operaciones. Con miras a promover la sostenibilidad y mejora continua de las actuales coberturas jurídicas, técnicas y organizacionales, La Compañía ha adoptado un procedimiento interno y previo al desarrollo de sus nuevas operaciones o iniciativas con incidencia en el actual ciclo del tratamiento de sus datos personales, a fin de determinar Ex ante o con antelación, las acciones, medidas y coberturas necesarias para la protección de la información y el adecuado tratamiento de los datos personales.
El desarrollo de esta iniciativa de diligencia demostrada es coordinada por el oficial de privacidad, sin perjuicio de la responsabilidad transversal que atañe a la totalidad del recurso humano vinculado a la organización conforme a los procedimientos descritos en el manual interno de políticas y procedimientos para el tratamiento de la información personal de La Compañía.
11.4 Gestión del riesgo de privacidad y seguridad de la información personal
A partir de la identificación del flujo del ciclo de la información personal, La Compañía analiza de manera continua el nivel de criticidad de sus activos de información asociados al manejo, administración o tratamiento de datos personales, desarrollando las actividades que permitan mitigar los riegos. En el Manual de Protección de Datos Personales de describe la metodología y lineamientos a seguir para la administración de los riesgos.
Dichas actividades se desarrollan en el marco de la implementación progresiva y la mejora continua, tomando como criterios de priorización la disponibilidad de recursos, la criticidad de los riesgos y las exigencias de la operación.
12. MODELO DE GESTIÓN Y CUMPLIMIENTO DE PROTECCIÓN DE DATOS PERSONALES
Para la sostenibilidad del modelo de gestión y cumplimiento en materia de protección de datos personales se han integrado como parte de La Compañía los siguientes elementos mínimos:
12.1 Componente orgánico
Comprende la definición de los roles y responsabilidades de toda la estructura administrativa de La Compañía en materia de protección de datos, articulando los distintos procedimientos internos con los deberes y responsabilidad funcionales para sus distintos niveles operativos y administrativos.
Sin perjuicio de la responsabilidad transversal de cada trabajador y directivo de La Compañía, el Oficial de Privacidad asume el rol de coordinación del Modelo Corporativo de Protección de Datos Personales.
El Oficial de Privacidad rendirá informes al Representante Legal u otra instancia que represente a la alta dirección, con el propósito de permitir la planeación estratégica y dirección del gobierno de la información y en particular de la política de protección de datos personales y privacidad.
12.2 Componente programático
Comprende la definición anualizada de los principales programas, actividades e iniciativas a desarrollar por La Compañía para la sostenibilidad del modelo de gestión y cumplimiento en materia de protección de datos personales en el marco del principio de “Accountability” y mejora continua.
El plan anual corporativo de protección de datos personales será presentado por el oficial de privacidad y aprobado por el representante legal o cualquier otra instancia que determine La Compañía para la representación de la alta dirección
Sin perjuicio de la inclusión de otros elementos, el programa anual corporativo de protección de datos personales incluirá y desarrollará las siguientes actividades:
- Capacitación al personal de La Compañía.
- Apoyo a la operación en el análisis de coberturas jurídicas, técnicas y organizacionales asociadas al relacionamiento con titulares, terceros y autoridades.
- Verificación interna, control y medición.
- Formulación de planes y acciones de mejora, así como seguimiento y apoyo a su implementación.
- Cumplimiento de reportes externos y monitoreo al ambiente regulatorio.
- Presentación de reportes internos anuales a la alta Dirección que versen sobre el estado actual del modelo de gestión y cumplimiento de protección de datos personales
13. OTROS ASPECTOS ASOCIADOS AL TRATAMIENTO DE DATOS PERSONALES
13.1 Uso de la marca de la compañía para actividades que involucren tratamiento de información personal.
Los usuarios, trabajadores, proveedores o cualquier tercero con relación directa o indirecta con La Compañía deberán abstenerse de realizar sin autorización previa y por escrito, cualquier iniciativa o actividad que involucre el uso de su nombre, enseña, razón social, símbolo, logo símbolo, marca o cualquier otro signo distintivo de La Compañía, cuya ejecución involucre el tratamiento de información personal. Cualquier actividad o iniciativa que se adelante sin el cumplimiento del presente requisito será responsabilidad exclusiva de su(s) autor(es) y/o promotor(es) y no generará efectos, compromisos o responsabilidad alguna para La Compañía.
13.2 Uso de internet, aplicaciones, páginas web y otros medios digitales de comunicación
La Compañía podrá desarrollar aplicaciones, plataformas, páginas web o en general cualquier tipo de sistema informático de propósito interno o externo con destino a uno o múltiples usuarios, en adelante denominada de forma conjunta o genérica como “Aplicaciones”.
El desarrollo de las aplicaciones podrá realizarse directamente por La Compañía o a través de terceros desarrolladores que suministren, apoyen o asesoren en las distintas fases del desarrollo o en la infraestructura tecnológica para su operación y mantenimiento.
El desarrollo, operación, mantenimiento y actualización de Aplicaciones se realizará tomando en consideración los estándares, procedimientos y controles necesarios para promover la seguridad, privacidad y adecuado tratamiento de los datos personales involucrados.
Cada Aplicación requerirá del desarrollo de los términos y condiciones especiales de uso, incluyendo un acápite específico para las condiciones de privacidad y protección de datos personales. Ante la ausencia de términos de condiciones o acápite específico en materia de protección de datos personales, se dará aplicación a los principios, postulados y demás elementos descritos en la presente política.
La Compañía se abstendrá de publicar o divulgar mediante internet o cualquier otro medio masivo de comunicación, información personal de naturaleza sensible de los titulares respecto de los cuales ejerce tratamiento, excepto en aquellos casos en los que se asegure que el acceso es técnicamente controlable para brindar un conocimiento restringido solo para los Titulares o terceros autorizados conforme a los términos legales.
De igual forma, La Compañía se abstendrá de divulgar o publicar información de carácter discriminatorio, ofensivo o que pueda afectar las particulares condiciones de vulnerabilidad o indefensión del titular de la información.
13.3 Sistema de Video vigilancia
La Compañía para proteger sus intereses patrimoniales y promover la seguridad en sus instalaciones ha diseñado dentro de sus procedimientos un protocolo para la solicitud, acceso, revisión y eventual entrega de información personal capturada por cámaras de vigilancia internas y/o externas.
La compañía velará por la custodia y disponibilidad de las imágenes de video vigilancia de acuerdo a sus capacidades técnicas y a las solicitudes de revisión de imágenes recibidas en cumplimiento del protocolo.
14. GLOSARIO
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. El consentimiento puede otorgarse por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir que otorgó la autorización. (Ley 1581 de 2012)
- Aviso de Privacidad: Comunicación verbal o escrita cuyo fin es informar al titular de los datos sobre la existencia de un manual de políticas de tratamiento que le será aplicable al procesamiento de su información. (Decreto único 1074 de 2015 Artículo 2.2.2.25.1.3)
- Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento (ej. Base de Datos de clientes, entre otras). (Ley 1581 de 2012)
- Causahabiente: Persona que ha sucedido a otra por causa del fallecimiento de ésta (heredero o legatario). (Ley 1581 de 2012)
- Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. (Ley 1581 de 2012 ), tales como nómbre, números de documentos e inclusive fotografías.
- Datos Personales Privados: Aquellos cuyo conocimiento es restringido al público. (Ley 1581 de 2012), tales como información asociada al estado de salud del titular.
- Datos Públicos: Dato que no sea semiprivado, privado o sensible, que puede ser tratado por cualquier persona, sin necesidad de autorización para ello. Son públicos, entre otros, los datos contenidos en el registro civil de las personas (p.ej. si se es soltero o casado, hombre o mujer) y aquellos contenidos en documentos públicos (p.ej. contenidos en Escrituras Públicas), en registros públicos (p.ej. el registro de antecedentes disciplinarios de la Procuraduría), en gacetas y boletines oficiales y en sentencias judiciales ejecutoriadas que no estén sometidas a reserva. (Decreto único 1074 de 2015 Artículo 2.2.2.25.1.3)
- Datos Sensibles: Son aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos, entre otros, la captura de imagen fija o en movimiento, huellas digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano, etc. (Decreto único 1074 de 2015 Artículo 2.2.2.25.1.3)
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. (Ley 1581 de 2012)
- Oficial de privacidad: Encargado de vigilar, controlar y promover la aplicación de la Política de Protección de Datos Personales al interior de La Compañía (Ley 1581 de 2012)
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. (Ley 1581 de 2012)
- Titular de la Información: Persona natural cuyos datos personales sean objeto de Tratamiento. (Ley 1581 de 2012)
- Transferencia: Envío de datos, dentro o fuera del territorio nacional, cuyo remitente y, a su vez, destinatario, es un Responsable del Tratamiento de Datos. (Decreto único 1074 de 2015 Artículo 2.2.2.25.1.3)
- Transmisión: Comunicación de Datos, dentro o fuera del territorio colombiano, cuyo remitente es el Responsable y su receptor es el Encargado del Tratamiento de Datos (Decreto único 1074 de 2015 Artículo 2.2.2.25.1.3)
- Tratamiento de Datos: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. (Ley 1581 de 2012)
15. DISPOSICIONES FINALES Y VIGENCIA
La Compañía, se reserva el derecho de modificar la presente política en cualquier momento. Para el efecto realizará la publicación de un aviso en su página web con (5) días hábiles de antelación a su implementación y durante la vigencia de la política. En caso de no estar de acuerdo con las nuevas políticas de manejo de la información personal, los titulares de la información o sus representantes podrán ejercer sus derechos como titulares de la información en los términos previamente descritos.