MANUAL DE POLÍTICAS Y PROCEDIMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES

JOSHUA STEVEN MEJIA ALVAREZ, con NIT No  1.010.181.610-6 en cumplimiento de lo dispuesto por la Ley 1581 de 2012 sobre la protección de datos personales, adopta el siguiente Manual de Políticas y Procedimientos para el Almacenamiento y Tratamiento de los Datos de Carácter Personal, los cuales aplican para la página tienda.inport.co”:

I. DEFINICIONES

Base de datos personales. Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. 

Base de datos automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software. 

Base de datos no automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software. 

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Datos personal sensible: Son aquellos datos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que son íntimas de la persona y pueden ser recolectados únicamente con el consentimiento expreso e informado de su titular y en los casos previstos en la ley.

Habeas Data: Es el Derecho fundamental que tiene toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.

Principios para el tratamiento de datos: Son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho a la información.

Usuario. Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal.

Violaciones de las Medidas de Seguridad de los Datos Personales. Se considera violación de las medidas de seguridad de los datos personales, cualquier conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los datos personales en poder de JOSHUA ESTEVEN MEJÍA ÁLVAREZ deberá ser informado a la autoridad de control en la materia.

II. DESTINATARIOS DE LA PRESENTE NORMA.

La presente norma se aplicará y obligará a:

2.1. Representantes Legales y/o administradores societarios.

2.2. Directivos y empleados de  JOSHUA ESTEVEN MEJIA ALVAREZ.

2.3. Contratistas bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice tratamiento de datos de carácter personal.

2.4. Revisores fiscales y aquellas otras personas con las cuales exista una relación legal.

2.5. Personas públicas y privadas en condición de usuarios de los datos personales.

2.6. Las demás personas que establezca la ley.

III PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES

3.1. Consentimiento informado o principio de Libertad.

El tratamiento de datos personales al interior de la empresa de JOSHUA ESTEVEN MEJIA ALVAREZ se hará con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos, tratados o divulgados sin autorización del titular salvo mandato legal o judicial que supla el consentimiento del titular.

3.2. Legalidad.

El tratamiento de datos personales en Colombia es una actividad reglada y por ende los procesos de negocios y destinatarios de esta norma deben sujetarse a lo dispuesto en las leyes.

3.3. Finalidad del Dato.

El tratamiento de datos personales debe obedecer a una finalidad legítima, acorde con la Constitución y la ley, la cual debe ser informada de manera concreta, precisa y previa al titular para que éste exprese su consentimiento informado.

3.4. Calidad o veracidad del dato.

Los datos de carácter personal recolectados deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados. Se prohíbe el tratamiento de datos incompletos o que induzcan a error.

3.5. Transparencia.

En el tratamiento de datos personales se garantizará el derecho del titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.

3.6 Seguridad de la información.

JOSHUA ESTEVEN MEJÍA ÁLVAREZ adoptará las medidas necesarias para garantizar la integridad y confidencialidad de los datos personales que se encuentran bajo su custodia.

3.7 Confidencialidad.

Todas las personas que tengan algún vínculo con JOSHUA ESTEVEN MEJÍA en calidad de comerciante y que intervengan en el tratamiento o almacenamiento de datos personales, tienen la obligación de guardar y mantener la reserva de la información, aún después de terminada la relación o vínculo con la Compañía.

3.8 Protección de datos sensibles.

JOSHUA ESTEVEN MEJÍA ÁLVAREZ, en calidad de comerciante, solamente obtendrá de los titulares, datos sensibles cuando medie autorización expresa del titular. La información personal de carácter sensible que se obtenga será protegida a través de eficientes medidas de seguridad.

IV. DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES

Los titulares de los datos personales que reposen en las bases de datos de JOSHUA ESTEVEN MEJÍA ÁLVAREZ, en calidad de comerciante, tendrán derecho a:

4.1. Acceder a la información personal de la que sean titulares, recibir información sobre el tratamiento que se le dé a sus datos.

4.2. Actualizar sus datos personales.

4.3. Rectificar sus datos personales cuando sean inexactos, incompletos o inexistentes.

4.4. Cancelar sus datos personales o suprimirlos cuando sean excesivos, no pertinentes o su tratamiento vulnere sus derechos.

4.5. Revocar el consentimiento o autorización dada a JOSHUA ESTEVEN MEJÍA ÁLVAREZ para un tratamiento con una finalidad específica, salvo en los casos exceptuados por la ley o cuando sea necesario en virtud de alguna relación jurídica entre las partes.

4.6. Autorizar el tratamiento de sus datos, excepto cuando no se requiera de autorización, como en los siguientes casos:

a) cuando sea requerida por entidad pública.

b) cuando sean datos de naturaleza pública.

c) cuando sean requeridos por la ley.

d) Cuando se trate de datos del Registro Civil de las personas.

V. DEBERES DE JOSHUA ESTEVEN MEJÍA ÁLVAREZEN CALIDAD DE RESPONSABLE DEL TRATAMIENTO

I JOSHUA ESTEVEN MEJÍA ÁLVAREZ deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en las leyes.

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular;

c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;

h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado;

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

j) Tramitar las consultas y reclamos formulados;

l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;

m) Informar a solicitud del Titular sobre el uso dado a sus datos;

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

VI. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO.

JOSHUA ESTEVEN MEJÍA ÁLVAREZ cuando sea el encargado del tratamiento cumplirá a cabalidad con los siguientes deberes:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

c) Realizar oportunamente la actualización, rectificación o supresión de los datos;

d) Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

e) Tramitar las consultas y los reclamos formulados por los Titulares;

f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;

g) Registrar en la base de datos la leyenda "reclamo en trámite";

h) Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

VII. PROCEDIMIENTO PARA LA PROTECCIÓN DE LOS DATOS PERSONALES Y PARA EL EJERCICIO DE LOS DERECHOS DERIVADOS DEL HABEAS DATA.

El titular de los datos personales o quien actúe en representación de otro titular de datos personales, podrá ejercer sus derechos en desarrollo de la garantía constitucional de Habeas Data teniendo en cuenta el siguiente procedimiento:

  1. Quien desee elevar cualquier solicitud relacionada con sus datos personales almacenados en las bases de datos de JOSHUA ESTEVEN MEJÍA ÁLVAREZ, en calidad de comerciante, deberá acreditar su condición de titular o representante o apoderado por medio físico o digital ante la Compañía.
  2. Cualquiera que sea la solicitud relacionada con los datos personales almacenados en las bases de datos de JOSHUA ESTEVEN MEJÍA ÁLVAREZ deberán hacerse por escrito, dirigidas a la dirección del domicilio principal de JOSHUA ESTEVEN MEJÍA ÁLVAREZ, cr 65 Número 4G-41 o al correo electrónico info@inport.co.
  3. La solicitud deberá contener mínimo la siguiente información: 

Solicitud concreta y clara sobre información, acceso, actualización, rectificación, cancelación, oposición, o revocatoria de consentimiento.

Fundamentos de la petición.

Dirección física o de correo electrónico en la que el solicitante recibirá notificaciones.

Documentos anexos que soportan la solicitud (en caso que haya lugar a éstos).

Firma del solicitante.

Si llegare a faltar algún dato de los mencionados, JOSHUA ESTEVEN MEJÍA ÁLVAREZ procederá a notificarle al solicitante la aclaración o complemento de la información.

Si luego de realizarse el requerimiento de complemento o aclaración por parte de JOSHUA ESTEVEN MEJÍA ÁLVAREZ, sin que se obtenga respuesta alguna durante el mes siguiente, se entenderá que el solicitante (titular de la información, representante o apoderado) ha desistido de su petición. Dentro de los tres (3) días hábiles luego de la recepción de la solicitud completa o de la respuesta en la que se complementa la misma, JOSHUA ESTEVEN MEJÍA ÁLVAREZ indicará que se trata de un reclamo en trámite, dentro de la respectiva base de dato, incluyendo las leyendas “reclamo en trámite” o “reclamo resuelto” según sea el caso.

En los casos en que la JOSHUA ESTEVEN MEJÍA ÁLVAREZ sea responsable de la base de datos personales, dará respuesta a las solicitudes dentro de los diez (10) días siguientes si se trata de una consulta y dentro de los quince (15) días siguientes si se trata de una reclamación. En igual término se dará respuesta cuando se verifique que en los sistemas de información de JOSHUA ESTEVEN MEJÍA ÁLVAREZ  no se tienen datos personales del solicitante o consultante.

Cuando se trate de un reclamo, y no se pueda dar respuesta dentro del término de quince (15) días previsto en el presente manual, JOSHUA ESTEVEN MEJÍA ÁLVAREZ procederá a informar al interesado los motivos de la demora y la fecha exacta en la que se dará una respuesta de fondo, término que en ningún caso podrá ser superior a ocho (8) días hábiles siguientes al vencimiento de los quince (15) días previstos para dar respuesta en condiciones normales.

Las solicitudes y reclamaciones con sus respectivas respuestas serán archivadas por JOSHUA ESTEVEN MEJÍA ÁLVAREZ.

VIII. TRATAMIENTO DE DATOS PERSONALES

Temporalidad de los datos personales:

La permanencia de los datos personales en las bases de datos de JOSHUA ESTEVEN MEJÍA ÁLVAREZ  estará determinada por la finalidad de la información y su tratamiento. Así las cosas, una vez se extinga la finalidad para la cual se recolectaron y no se requiera de ningún acto o procedimiento posterior, se procederá a su destrucción o devolución, según sea el caso o a su conservación cuando la ley así lo disponga o cuando así haya sido autorizado por su titular.

Tratamiento de datos personales de los Proveedores de JOSHUA ESTEVEN MEJÍA ÁLVAREZ en virtud de las relaciones comerciales con sus proveedores, o quienes hayan presentado ofertas, almacenará los datos necesarios con el fin de seleccionar proveedores, evaluar, ejecutar los contratos, invitarlos a ofertar, enviar correspondencia relacionada con los contratos entre las partes y los demás asuntos a que haya lugar con ocasión de las relaciones comerciales que surjan.

Los datos personales de los empleados de los proveedores serán utilizados con el fin de contactarlos para asuntos relacionados con los contratos, ofertas comerciales, invitaciones a ofertar y órdenes de servicios.

Todos los proveedores de JOSHUA ESTEVEN MEJÍA ÁLVAREZ deberán cumplir lo dispuesto en la Ley 1581 de 2012 y las normas que lo reglamenten.

La información suministrada por JOSHUA ESTEVEN MEJÍA ÁLVAREZ a los proveedores es confidencial y deberá estar protegida por las medidas que corresponden según la ley de protección de datos personales.

Cualquier consulta o reclamación sobre los datos personales específicamente de los proveedores podrá dirigirse a la dirección del domicilio principal de JOSHUA ESTEVEN MEJÍA ÁLVAREZ o al correo indicado en el presente manual.

Tratamiento de datos personales relacionados con clientes:

JOSHUA ESTEVEN MEJÍA ÁLVAREZ  en virtud de los contratos civiles y comerciales con sus clientes, almacenará los datos de los mismos en la base de datos que se encuentra a cargo del Departamento Comercial de la Compañía con el fin de contactarlos con ocasión de los contratos, ofertas y demás relaciones jurídicas que surjan entre las partes.

Así mismo, se utilizarán los datos con el fin de enviar facturas o comunicaciones relacionadas con el objeto de los contratos celebrados entre las partes.

Los datos personales de los proveedores y sus empleados solo serán accesibles y utilizados para los fines mencionados.

Tratamiento de datos personales de la comunidad en general:

JOSHUA ESTEVEN MEJÍA ÁLVAREZ en desarrollo de sus actividades comerciales accederá a datos personales siempre que se cuente con la autorización de los titulares de los mismos.

IX. RESPONSABILIDAD EN EL CUMPLIMIENTO DE LAS POLÍTICAS PARA LA PROTECCIÓN DE DATOS PERSONALES

Todos los empleados y administradores de JOSHUA ESTEVEN MEJÍA ÁLVAREZ encuentran obligados a cumplir lo previsto en el presente reglamento y en las normas que regulan la materia.

Todas las áreas que manejen los procesos que involucren el almacenamiento y tratamiento de datos personales, deberán cumplir con las reglas y procedimientos del presente manual.