MANUAL DE POLÍTICAS Y PROCEDIMIENTOS PARA PROTECCIÓN DE LOS DATOS PERSONALES
INTRODUCCIÓN
La existencia del derecho constitucional de habeas data y el desarrollo legislativo de las diferentes normas que protegen este derecho, exige a las empresas cumplir a cabalidad con los requerimientos exigidos por la ley para garantizar la protección en el tratamiento de datos personales de diferentes grupos de interés como Clientes, empleados, proveedores entre otros.
De acuerdo con el artículo 15 de la Constitución Nacional todas las personas dentro del Estado Colombiano tenemos derecho a conocer, actualizar y rectificar la información personal y las leyes que los tutelan y que establecen las garantías de protección de los datos.
La finalidad el presente manual es desarrollar el marco normativo y protección del derecho de habeas data en la empresa CREDIFIN DE COLOMBIA S.A.S. (en adelante CREDIFIN).
ALCANCE
El presente manual tiene alcance para los siguientes grupos de interés Clientes, proveedores, empleados y otros terceros, y las siguientes bases de datos: a) Las bases de datos y archivos relacionados con clientes, empleados y proveedores. b) Las bases de datos y archivos que tengan por finalidad la seguridad; c) Las bases de datos y archivos regulados por la Ley 1266 de 2008
MARCO NORMATIVO
-Artículo 15 de la Constitución Política de Colombia.
-Ley Estatutaria 1266 de 2008.
-Ley 1273 de 2009.
-Ley Estatutaria 1581 de 2012.
-Decreto 1377 de 2013.
-Decreto 886 de 2014.
INFORMACIÓN GENERAL DE CREDIFIN COMO RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
1. Razón social: Credifin de Colombia S.A.S.
2. NIT. 901.371.834 – 5
3. Domicilio: Sabaneta
4. Teléfono: +57 (444 2849
5. Correo electrónico: habeasdata@credifin.com.co
6. Página web: credifin.com.co
La Política de Tratamiento de datos personales tiene por objeto desarrollar y dar a conocer al público en general los lineamientos corporativos y de Ley bajo los cuales CREDIFIN realizar el tratamiento de los datos personales, la finalidad del tratamiento, los derechos que le asisten a los titules, así como los procedimientos internos y externos que existen para el ejercicio de tales derechos ante CREDIFIN, entre otros.OBJETO
PRINCIPIOS
-Principio de legalidad: El tratamiento al que se refiere la Ley 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
–Principio de finalidad: Obedece a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular.
-Principio de libertad: El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin autorización previa, o en ausencia de mandato legal o judicial.
-Principio de veracidad o calidad: La información que sea objeto de tratamiento debe ser veraz, completa, actualizada, comprobable y comprensible. Está prohibido el tratamiento de datos, fraccionados o que induzcan a error.
-Principio de transparencia: El titular tiene derecho a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
-Principio de acceso y circulación restringida: El tratamiento está sujeto a los límites derivados de la naturaleza de los datos personales, de lo dispuesto en la ley 1581 de 2012 y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley 1581 de 2012.
–Principio de seguridad: La información sujeta a tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
-Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012 y en los términos de esta.
– Principio de Incorporación sistemática: los principios de Protección de Datos Personal se implementarán en todos los procesos y procedimientos de la actividad comercial de CREDIFIN.
– Principio de límite razonable: se limitará el almacenamiento y procesamiento de datos personales a lo que es esencialmente necesario para cumplir los propósitos previamente especificados de la relación de negocios, así como el cumplimiento de los fines autorizados por el Titular.
DEFINICIONES
-Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
-Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
-Dato personal: Cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse a una persona natural o jurídica.
-Datos sensibles: Datos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
–Responsable del tratamiento: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, decida sobre la base de datos y/o tratamiento de los datos.
-Encargado del tratamiento: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
–Titular de los datos: Persona natural cuyos datos personales sean objeto de tratamiento.
-Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
-Transferencia: Se presenta cuando el responsable y/o Encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país.
-Transmisión: Tratamiento de datos personales que implica el envío de estos dentro o fuera del territorio de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del responsable.
-Aviso de Privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
REQUISITOS DEL TRATAMIENTO DE DATOS PERSONALES
TRATAMIENTO DEL DATO SENSIBLE
-El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
En estos eventos, se procederá de la siguiente forma:
CREDIFIN informará a los Titulares de la información: (1) que, por tratarse de este tipo de datos, no está obligado a autorizar su tratamiento e (2) informará cuales datos son sensibles y la finalidad del tratamiento.
-El Tratamiento sea necesario para salvaguardar el interés vital del titular y este se
encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
-El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro
organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del titular.
-El Tratamiento se refiere a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
-El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
TRATAMIENTO DE DATOS PERSONALES DE NIÑOS Y NIÑAS Y ADOLESCENTES:
El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad DECRETO NÚMERO 1377 de 2013 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:
- Que responda y respete el interés superior de los niños, niñas y adolescentes.
- Que se asegure el respeto de sus derechos fundamentales. Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto. Todo Responsable y Encargado involucrado en el Tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y el presente Decreto. La familia y la sociedad deben velar porque los responsables y Encargados del Tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente decreto.
AUTORIZACIÓN Y SU FINALIDAD
Todo tratamiento de datos personales debe contar con la autorización previa, expresa, informada y debidamente otorgada por el Titular de los datos personales.
CREDIFIN actuando como Responsable del Tratamiento ha adoptado procedimientos para solicitarle, a más tardar en el momento de la recolección de sus datos personales, su autorización para el Tratamiento de los mismos e informarle cuáles son los datos personales que serán recolectados así como todas las finalidades específicas del Tratamiento para las cuales se obtiene su consentimiento.
Se entenderá que el Titular ha otorgado a CREDIFIN Autorización para el Tratamiento de sus datos personales cuando ésta se manifieste: (i) por escrito; (ii) de forma oral; o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que éste otorgó a CREDIFIN la autorización respectiva. En ningún caso el silencio será entendido como una conducta inequívoca.
No obstante lo anterior, la autorización del Titular no será necesaria cuando se trate de: (i) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; (ii) Datos de naturaleza pública; (iii) Casos de urgencia médica o sanitaria; (iv) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; y (v) Datos relacionados con el Registro Civil de las Personas
En cualquier actividad que pretenda ser adelantada por CREDIFIN, se deberán tener en cuenta las siguientes consideraciones:
-La autorización deberá ser solicitada en los siguientes casos: (1) en toda situación que involucre el tratamiento de datos personales se requerirá la autorización previa y expresa del Titular, la cual deberá ser obtenida por medio físico o electrónico en virtud de los establecido en la ley 527 de 1999 y sus decretos reglamentarios que pueda ser objeto de consulta posterior; (2) cuando sea necesario proceder con la transferencia internacional de datos personales y el país receptor no proporcione el nivel adecuado de protección de datos. En ese caso el titular debe haber otorgado su autorización expresa e inequívoca para la transferencia; (3) cuando sea necesario proceder con la transmisión de datos personales, y la misma no corresponda al contrato establecido en el artículo 25 del Decreto 1377 de 2013; (4) cuando haya candidatos en proceso de reclutamiento y selección; y (5) cuando se suscriba un contrato laboral o de prestación de servicios.
-Cuando proceda, la autorización deberá ser solicitada al titular a más tardar al momento de la recolección de sus datos personales. Los mecanismos y la manifestación de la aceptación serán a través de medios físicos, electrónicos u señales inequívocas que manifiesten la aceptación.
Los medios electrónicos y virtuales se acogerán a la ley 527 de 1999 y sus decretos reglamentarios.
La autorización tiene las siguientes finalidades.
Para los Clientes:
-Implementar programas de fidelización con los clientes.
-Realizar estudios de mercado.
-Realizar actividades de Telemercadeo.
-Desarrollar campañas de publicidad y mercadeo.
-Realizar estudios de crédito.
-Estudiar y aprobar operaciones de crédito.
-Estudiar y valorar el riesgo crediticio
-Realizar actividades de cobranzas
-Realizar alianzas, convenios comerciales.
-Verificar la información en base de datos públicas y en centrales de información.
-Enviar información sobre diferentes actividades comerciales o de crédito.
-Responder a requerimientos legales de autoridades administrativas.
-Compartir con terceros la información que sea necesaria para el cumplimiento de
sus funciones, aliados estratégicos, como por ejemplo empresas de cobranza,
agencias de publicidad, empresas encargadas de suministrar el servicio de finanza (aval), garantías, empresas de seguros y otros terceros.
-Para medir los niveles de satisfacción de los clientes.
-Para él envió de mensajes a través de cualquier medio físico o electrónico con
fines comerciales o de cobranza.
-Para ser consultada, intercambiada o circulada por CREDIFIN con cualquier operador de información y/o banco de datos nacional o extranjero.
-Actualizar la información en las centrales de información.
-Las demás finalidades que llegaré a resultar en desarrollo de las relaciones comerciales entre CREDIFIN y el cliente.
Potenciales clientes:
– Llevar a cabo campañas comerciales, de mercadeo.
– Actualizar y administrar la información de contacto de las personas naturales
– Estudiar estudio sobre interés de consumo de productos de crédito
-Enviar al correo físico, electrónico, celular o dispositivo móvil, vía mensajes de texto (SMS y/o MMS).
Para los proveedores:
-La finalidad es ser usada en la relación comercial o de servicios del proveedor y CREDIFIN.
-Generación y envió de facturas físicas o electrónicas, órdenes de compra y demás documentos necesarios para realizar la actividad.
-Informar sobre diferentes circunstancias que se pueden presentar dentro de la relación.
-Para velar por la seguridad de los proveedores que ingresen a la compañía.
-Para informar sobre capacitaciones y demás eventos.
Para los empleados:
– El objetivo es guardar información sobre la información que se tienen del empleado sobre su hoja de vida, salario, pago de seguridad social, prestaciones sociales, seguridad, enfermedades, condiciones propias de su intimidad a nivel personal y familiar.
-Proteger la seguridad integral del empleado.
La autorización del TITULAR no será necesaria cuando se trate de:
-Entrega de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
-Tratamiento de Datos de naturaleza pública.
-Casos de urgencia médica o sanitaria.
-Tratamiento de información para fines históricos, estadísticos o científicos en los cuales no se vincule la información a una persona específica.
-Datos relacionados con el Registro Civil de las Personas.
RECOLECCIÓN
-Informar claramente, en la autorización, aviso o cláusula contractual, la finalidad de la recolección, así como los derechos del titular. – Conocer que la información personal está siendo recolectada, cómo y para qué. – Recolectar sólo la información que sea necesaria para realizar el propósito de la operación. – Considerar la
necesidad y procedimientos de recolección de datos sensibles. – Sustentar la necesidad de recolección de la información sensible, así como contar con las autorizaciones necesarias para tal fin.
USO, ALMACENAMIENTO Y CIRCULACIÓN
Recomendaciones:
-Informar claramente, en la autorización, aviso o cláusula, las finalidades y el uso de los datos personales que serán objeto de tratamiento.
-Actualizar los datos personales e informar dichos cambios a los Encargados del Tratamiento.
-Adoptar las medidas necesarias para mantener la información actualizada y en las condiciones adecuadas de seguridad.
-Rectificar la información cuando sea incorrecta e informar a los Encargados.
-Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad que comprometan la información almacenada.
-Inscribir las bases de datos en el Registro Nacional de Bases de Datos.
DERECHOS DE LOS TITULARES DE LA INFORMACIÓN
De acuerdo con lo establecido en el art. 8 de la ley 1581 de 2010, estos son los derechos del titular de Información:
-Conocer, actualizar y rectificar sus datos personales frente a los responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
-Solicitar prueba de la autorización otorgada al responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012.
-Ser informado por el responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales.
-Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
-Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
-Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
De acuerdo con el artículo 20 del decreto 1377 de 2013, los derechos antes descritos podrán ser ejercidos por:
-Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.
-Por sus causahabientes, quienes deberán acreditar tal calidad.
-Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
-Por estipulación a favor de otro o para otro. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
Los anteriores derechos pueden resumirse en cuatro bloques:
–Derecho de Acceso: Los titulares de los datos personales tienen derecho a acceder a su información personal que esté en posesión de CREDIFIN,
-Derecho de Rectificación: Los titulares de los datos personales tienen derecho a rectificar su información personal, cuando ésta resulte ser incompleta o inexacta.
-Derecho de Supresión: Los titulares de los datos personales pueden solicitar en cualquier momento, que sus datos sean eliminados, siempre y cuando la información no sea necesaria para el cumplimiento de obligaciones legales o contractuales derivadas de una relación jurídica.
-Derecho de limitación de uso o divulgación de la información: Los titulares de los datos personales pueden limitar el uso o divulgación de sus datos personales, siempre y cuando la información no sea necesaria para el cumplimiento de obligaciones legales o contractuales derivadas de una relación jurídica.
DEBERES DE LOS TITULARES DE LOS DATOS PERSONALES
-Suministrar los datos personales y/o sensibles en forma veraz, exacta, completa y oportuna.
-Ejercer los derechos conferidos por la ley en debida forma, sin abuso alguno.
-Consultar constantemente la información que CREDIFIN publique en los diferentes medios de difusión, en materia de protección de datos personales y temas afines.
-Actualizar los datos personales suministrados.
DEBERES DEL RESPONSABLE DEL TRATAMIENTO
Los responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:
- a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
- b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular;
- c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
- d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
- e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
- f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
- g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
- h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;
- i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
- j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;
- k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
- l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
- m) Informar a solicitud del Titular sobre el uso dado a sus datos;
- n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO
Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:
-Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
-Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
-Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley;
-Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
-Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley;
-Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares;
-Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la presente ley;
-Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
-Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
-Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;
-Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
-Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
En el evento en que concurran las calidades de responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.
ESTRUCTURA ADMINISTRATIVA
Conforme a la Ley 1581 de 2012, los artículos 23, 26 y 27 del Decreto 1377 de 2013 CREDIFIN cuenta con un responsable de gestionar el cumplimiento del derecho de habeas data, de igual forma será el garante del cumplimiento de este manual, que en adelante se llamará OFICIAL DE PRIVACIDAD, el cual tendrá las siguientes funciones:
-Auditar el cumplimiento de este manual, al igual que adaptarlo, ajustarlo y realizar las respectivas modificaciones.
-Adaptar y ajustar la Política General de Tratamiento de Datos Personales, por modificaciones sobre el marco normativo vigente que rige a CREDIFIN.
-Conservar los modelos de avisos de privacidad que se implementen para cumplir con los deberes de CREDIFIN, como responsable del tratamiento de la Información.
-Vigilar el cumplimiento del Manual por parte de todas las áreas de contacto, u otros empleados que deban ceñirse en su labor a las disposiciones aquí contenidas.
-Vigilar el cumplimiento del Manual, por parte de los empleados, proveedores y terceros que estén involucrados en el tratamiento de datos personales de los cuales CREDIFIN sea Responsable y/o Encargado.
-Vigilar la eficiencia de los mecanismos y procesos internos para la atención y respuestas a consultas, peticiones y reclamos de los titulares, con respecto a cualquier aspecto del tratamiento.
-Presentar un reporte anual al ante los directivos de la empresa, a fin de dar a conocer el estado del cumplimiento de las disposiciones de este Manual. El OFICIAL DE PRIVACIDAD debe identificar cuáles áreas de contacto, empleados, proveedores, entre otros deben mejorar y ajustar su desempeño en cuanto a la protección de datos personales.
-Auditar los contratos con terceros que requieran que su conducta se ajuste a este Manual.
-Proceder con el registro de las bases de datos ante la Superintendencia de Industria y Comercio, de conformidad con el Decreto 886 de 2014 y demás normas complementarias.
-Atender, en término, los requerimientos que puedan presentarse por parte de la autoridad de datos, Superintendencia de Industria y Comercio, Delegatura para la Protección de Datos Personales.
-Autorizar aquellos tratamientos de datos personales que impliquen la ausencia de la autorización a causa de excepción por mandato legal.
-Promover la cultura de protección de datos a través de la organización, así como capacitar a empleados nuevos y antiguos en relación con este tema y mantenerlos actualizados de las modificaciones y/o actualizaciones sobrevinientes.
-Tomar las acciones necesarias para la instauración de un Programa de Integral de Gestión de Datos Personales, así como la implementación de la Responsabilidad Demostrada. EL OFICIAL DE PRIVACIDAD tendrá que reportar a las directivas de la empresa el estado de la implementación de los programas.
-Manejar los incidentes y vulneraciones relacionados con los datos personales, así como proceder con su reporte a la autoridad competente, al órgano directivo de la empresa, como al Titular.
TRANSFERENCIAS Y TRANSMISIONES
Cuando los datos personales deban ser compartidos con responsables o Encargados del Tratamiento, deben observarse las siguientes recomendaciones:
-Las autorizaciones, avisos o cláusulas contractuales deben autorizar explícitamente las transferencias y transmisiones nacionales e internacionales de datos personales.
-Definir, de manera clara y explícita, que información será manejada por los terceros y las condiciones para el tratamiento.
-Definir, de manera clara y explícita, las medidas técnicas, tecnológicas, administrativas y legales para proteger la información, incluyendo las suficientes cláusulas de confidencialidad y auditoría.
-En transmisiones internacionales de datos, suscribir contratos con los Encargados que cumplan los parámetros establecidos en el artículo 25 del Decreto 1377 de 2013.
PROCEDIMIENTO PARA REVOCAR LA AUTORIZACION O SUPRESION DEL DATO PERSONAL
Los titulares de los datos personales pueden revocar el consentimiento al tratamiento de sus datos personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Para ello deberán realizar un comunicado, y especificar en este la petición de revocar la autorización de tratamiento de sus datos personales. El término de atención de su petición será máximo de diez (10) días contados a partir de la fecha de recibo de esta. En caso de no ser posible atender la consulta en dicho término, se le informará al Titular, expresando los motivos de la demora y en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del término. En caso de que el Titular de la información considere que su información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de los deberes que establece la ley, se podrá presentar un reclamo (según el procedimiento antes descrito). El reclamo se formulará mediante solicitud dirigida al responsable o encargado del tratamiento; el titular deberá informar su identificación, descripción de los hechos que dan lugar al reclamo, la dirección de notificación (física o correo electrónico) y adjuntar los documentos que soporten el reclamo, cuando aplique. Si el reclamo resulta incompleto, CREDIFIN requerirá al interesado dentro de los cinco (05) siguientes a la recepción del reclamo para que se subsane las fallas. Si transcurridos dos (02) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. Una vez recibido el reclamo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (02) días hábiles. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ochos (08) días hábiles siguientes al vencimiento del término.
PROCESOS PARA EJERCER EL DERECHO LOS TITULARES
El titular puede ejercer sus derechos a través de los siguientes mecanismos:
CONSULTAS
Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.
La consulta se formulará por el medio habilitado por el responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.
La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
El Titular o quien esté autorizado para ello, podrá formular consultas a CREDIFIN sobre la información personal del Titular a través de los siguientes mecanismos según corresponda:
- De manera verbal comunicándose a la Línea de atención al cliente: +57 (4442829)
- Por medio escrito, dirigido a la siguiente dirección: calle 60 sur # 43ª 97
- Correo electrónico a la dirección: _habeasdata@credifin.com.co
RECLAMOS
El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:
- El reclamo se formulará mediante solicitud dirigida al responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
- Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
- El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Es importante anotar que sólo el titular o su causahabiente no podrán elevar queja ante la Súper Intendencia de Industria y comercio, sí se encuentra un reclamo en trámite.
El Titular o quien esté autorizado para ello, podrá formular reclamos a CREDIFIN sobre la información personal del Titular a través de los siguientes mecanismos según corresponda:
- De manera verbal comunicándose a la Línea de atención al cliente: +57 (4) 442829.
- Por medio escrito, dirigido a la siguiente dirección: calle 60 sur número 43ª 97
- Correo electrónico a la dirección: habeasdata@credifin.com.co
SEGURIDAD DE LA INFORMACIÓN
CREDIFIN tienen la obligación de establecer y mantener medidas de seguridad física, técnica, tecnológica y administrativa, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
CONTACTO
Cualquier violación a esta Política, a las regulaciones vigentes, debe ser denunciado a Correo electrónico: habeasdata@credifin.com.co, toda comunicación sobre la política o la protección del derecho de habeas data se comunica al correo anteriormente enunciado.
SANCIONES
Cualquier violación será sancionada en conjunto con el área de Recursos Humanos, de acuerdo con lo establecido en el Reglamento Interno.
VIGENCIA
Esta política entrará en vigor a partir de la fecha de su publicación. La capacitación y certificación anual de esta política es obligatoria para todos los representantes, agentes y/o empleados de cualquier rango de CREDIFIN.
MODIFICACIÓN
Este manual será revisado con el fin de validar la adecuación frente a la normatividad del derecho del habeas data en Colombia y se procurará siempre la adecuación a la normatividad.