Política de Datos Personales y Habeas Data
Dando cumplimiento a lo estipulado en la Ley estatutaria 1581 de 2012 y a su Decreto Reglamentario 1377 de 2013, y según lo estipulado en el Reglamento General de Protección de Datos (RGDP) del 25 de mayo de 2018 del Parlamento Europeo y Consejo de la Unión Europea, ANDREA BASCANI (representada por Grupo ABA, S.A.S.) [ABA1] adopta la presente política para el tratamiento de datos personales. Esta política será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan en el desarrollo del objeto social.
ANDREA BASCANI manifiesta que todas sus actuaciones se regirán por los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
I. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO
NOMBRE DE LA SOCIEDAD: GRUPO ABA S.A.S., sociedad comercial por acciones simplificadas, de ahora en adelante se denominará LA EMPRESA, constituida mediante escritura privada No. 02071815 del libro IX de Bogotá D.C. del 15 de Marzo de 2016.
DOMICILIO Y DIRECCIÓN: LA EMPRESA tiene su domicilio en la ciudad de Bogotá y su sede principal se encuentra ubicada en la Calle 152 #9-80, torre 2, apto 602, Bogotá, Colombia.
CORREO ELECTRÓNICO: gerencia@somosgrupoaba.com
TELEFÓNO: +57 (1) 7215249
II. NORMATIVIDAD Y AMBITO DE APLICACIÓN
La presente política será aplicable a los datos personales registrados en cualquier base de datos de LA EMPRESA y es establecida de conformidad a lo estipulado en el siguiente marco legal:
CONSTITUCION ARTICULOS 15 Y 20
LEY 1266 DE 2008
LEY 1581 DE 2012
DECRETO REGLAMENTARIO 1727 de 2009
DECRETO REGLAMENTARIO 2952 de 2010
DECRETO 1377 DE 2013
DECRETO 886 DE 2014
CIRCULAR 2 DE LA SUPERINTENDENCIA DE IN DUSTRIA Y COMERCIO
SENTENCIAS DE CONS TITUCIONALIDAD 1011 DE 2007 Y 748 DE 2011
III . DEFINICIONES
Para los efectos de la presente política y de acuerdo con la normatividad vigente en materia de protección de datos personales, se tendrán en cuenta las siguientes definiciones[1]:
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
Causahabiente: persona que ha sucedido a otra por causa del fallecimiento de ésta (heredero).
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, recabe los datos personales directamente del titular y haga tratamiento de estos.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento. Propietario de los datos personales.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Transferencia: La transferencia de datos tiene lugar cuando el responsable del tratamiento de datos personales, los envía a otro responsable del tratamiento de datos. Puede ser nacional o transnacional, en este último caso es cuando se comunica a un responsable ubicado en un país diferente de Colombia .
Transmisión: La transmisión de datos tiene lugar cuando el responsable del tratamiento de datos personales, los envía a un encargado de tratamiento de datos. Puede ser nacional o transnacional, en este último caso es cuan do se comunica a un encargado ubicado en un país diferente de Colombia.
IV. PRINCIPIOS
Para garantizar la protección de datos personales, LA EMPRESA aplicará de manera integral los siguientes principios, a la luz de los cuales se deberá realizar el tratamiento, transferencia y transmisión de datos personales[2]:
Principio de legalidad en materia de Tratamiento de datos: El tratamiento de datos es una actividad reglada, la cual deberá estar sujeta a las disposiciones legales vigentes y aplicables rigen el tema.
Principio de finalidad: la actividad del tratamiento de datos personales que realice LA EMPRESA o a la cual tuviere acceso, obedecerán a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
Principio de libertad: el tratamiento de los datos personales sólo puede realizarse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el consentimiento.
Principio de veracidad o calidad: la información sujeta a Tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de transparencia: En el tratamiento de datos personales, LA EMPRESA garantizará al Titular su derecho de obtener en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.
Principio de acceso y circulación restringida: El tratamiento de datos personales se sujeta a los límites que se derivan de la naturaleza de éstos, de las disposiciones de la ley y la Constitución. En consecuencia, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley o el contrato. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley. Para estos propósitos la obligación de LA EMPRESA, será de medio.
Principio de seguridad: la información sujeta a tratamiento por LA EMPRESA, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de confidencialidad: Todas las personas que en LA EMPRESA, administren, manejen, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases de Datos, están obligadas a garantizar la reserva de la información, por lo que se comprometen a conservar y mantener de manera estrictamente confidencial y no revelar a terceros, toda la información que llegaren a conocer en la ejecución y ejercicio de sus funciones; salvo cuando se trate de actividades autorizadas expresamente por la ley de protección de datos.
V. TRATAMIENTO DE LOS DATOS Y FINALIDAD DEL MISMO
El tratamiento de los datos personales de clientes, proveedores, empleados, ex empleados, contratistas o de cualquier persona con la cual LA EMPRESA tuviere establecida o estableciera una relación, permanente u ocasional, será realizado en virtud del marco legal, contractual y/o consentido y podrán ser recolectados y tratados para:
- Desarrollar el objeto social de LA EMPRESA conforme a sus estatutos.
- Enviar información comercial, publicitaria o promocional relacionada con productos, servicios, actividades, noticias, contenidos de interés y demás servicios ofrecidos por LA EMPRESA a través de cualquier medio de comunicación como el correo físico, correo electrónico, mensajes de texto SMS y demás.
- Dar cumplimiento a las obligaciones contractuales adquiridas con clientes, proveedores, contratistas, trabajadores y demás personas relacionadas con LA EMPRESA.
- Realizar encuestas relacionadas con la calidad de los productos y/o servicios prestados por LA EMPRESA, con el fin de alcanzar la mejora continua de los procesos.
- Desarrollar actividades relacionadas con el otorgamiento y aumento de cupos de crédito, así como el cobro de la cartera de clientes.
- Desarrollar procesos de selección, vinculación y evaluación de personal.
- Cumplir las normas aplicables a proveedores y contratistas, incluyendo pero sin limitarse a las tributarias y comerciales.
- Cumplir lo dispuesto por el ordenamiento jurídico colombiano en materia laboral y de seguridad social, entre otras, aplicables a exempleados, empleados actuales y candidatos a futuro empleo.
- Llevar a cabo programas de auditoria interna o externa.
Datos sensibles
Para el caso de datos personales sensibles, LA EMPRESA podrá hacer uso y tratamiento de ellos cuando el titular haya dado su autorización explícita, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
Sin perjuicio de las excepciones previstas en la ley, en el tratamiento de datos sensibles se requiere la autorización previa, expresa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior. El titular no estará obligado a autorizar su tratamiento.
VI. DERECHOS DEL TITULAR DE LA INFORMACIÓN
Los siguientes son los derechos de los titulares de los datos personales teniendo en cuenta lo estipulado en el marco legal:
- Conocer, actualizar, rectificar, oponerse y cancelar sus datos personales frente a LA EMPRESA. Este derecho se podrá ejercer frente a datos parciales, inexactos, incompletos, que induzcan a error o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, al menos una vez cada mes calendario, y cada vez que existan modificaciones sustanciales en la política de tratamiento de la información.
- Ser informado por LA EMPRESA, previa solicitud, respecto del uso que le ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio, o la entidad que hiciere sus veces, quejas por infracciones a lo dispuesto en el marco legal, previo trámite de consulta o requerimiento ante LA EMPRESA.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
- Solicitar prueba de la autorización dada a LA EMPRESA para el tratamiento de datos, con excepción a los casos donde nos es necesaria dicha autorización según el artículo 10 de la ley 1581 de 2012.
Estos derechos podrán ser ejercidos por el titular, causahabiente, representante o apoderado del titular, previa verificación de su identidad y acreditación de la calidad.
En caso de que el titular sea un niño o adolescente, queda proscrito el tratamiento de datos personales, exceptuando aquellos que sean de naturaleza pública. En este último caso el tratamiento se realizará teniendo en cuenta los intereses superiores de los menores y respetando los derechos fundamentales de los menores.
DERECHOS FUNDAMENTALES VINCULADOS CON LA PROTECCION DE DATOS PERSONALES:
Derecho a la intimidad: es aquel que versa sobre la esfera más estrecha de la persona, la cual no se comparte con ninguna otra persona, o solamente con el círculo de personas más cercano o cerrado de cada individuo. (ej: orientación sexual, religión, raza, orientación política, entre otros)
Derecho al habeas data: es aquel que permite al titular de los datos personales conocer, acceder, rectificar oponerse o cancelar sus datos ante los responsables y encargados de los mismos.
Derecho de protección de datos: es aquel que permite al titular de los datos mantener la titularidad o “propiedad” de los mismos, así como el tratamiento de éstos por parte de los responsables y encargados.
Derecho a la libre expresión: permite a las personas decir, manifestar y difundir de manera libre lo que piensan sin por ello ser hostigadas, en ejercicio de sus libertades civiles en el ámbito social, propio de la democracia y necesario para el desarrollo de los demás derechos.
VII. DEBERES DE LA EMPRESA
LA EMPRESA utilizará los datos personales para el cumplimiento de las finalidades autorizadas expresamente por el titular o por la normatividad vigente y deberá:
- Garantizar al titular ejercicio del derecho de hábeas data.
- Solicitar y conservar, copia de la respectiva autorización otorgada por el titular para el tratamiento de datos personales.
- Informar al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar oportunamente la información, atendiendo de esta forma todas las novedades respecto de los datos del titular. Adicionalmente, se deberán implementar todas las medidas necesarias para que la información se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
- Respetar las condiciones de seguridad y privacidad de la información del titular.
- Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
- Identificar cuando determinada información se encuentra en discusión por parte del titular.
- Informar a solicitud del titular sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.
- Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012.
- Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes, en aquellos casos en que se entra autorizado el tratamiento de sus datos.
- Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se regula en la ley.
- Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio
- Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- Usar los datos personales del titular sólo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.
VIII. AUTORIZACIÓN Y CONSENTIMIENTO DEL TITULAR
LA EMPRESA requiere del consentimiento previo e informado del titular de los datos personales para el tratamiento de los mismos, excepto en los casos expresamente autorizados en la Ley 1581 de 2012 .
La autorización a LA EMPRESA para el tratamiento de los datos personales será otorgada por el titular, causahabiente, representante o apoderado del titular, previa verificación de su identidad y acreditación de la calidad.
Esta autorización podrá ser obtenida mediante diferentes canales transaccionales, entre ellos, de forma oral, documentación física, electrónica, SMS, página web o en cualquier otro medio y será solicitada por la empresa antes del tratamiento de los datos personales.
Como prueba de la autorización, LA EMPRESA conservará el documento pertinente y será almacenado en archivo físico o electrónico según corresponda.
Siempre que no haya impedimento legal o contractual, los titulares podrán revocar de manera total o parcial la autorización otorgada o solicitar la supresión de los mismos.
I X. AVISO DE PRIVACIDAD
El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato que tiene como fin informarle al titular sobre el tratamiento de sus datos personales, allí se menciona la existencia de las políticas y el medio para acceder a estas.
X . EJERCICIO DEL DERECHO DE HABEAS DATA: ATENCIÓN DE CONSULTAS, RECLAMOS, PETICIONES DE RECTIFICACIÓN, ACTUALIZACIÓN Y SUPRESIÓN DE DATOS
En ejercicio de sus derechos el titular podrá consultar, actualizar, rectificar, oponerse o cancelar sus datos personales frente a LA EMPRESA. Este derecho se podrá ejercer frente a datos parciales, inexactos, incompletos, que induzcan a error o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
a. Consultas:
Los titulares, causahabientes, representantes o apoderados, podrán consultar la información personal del titular que repose en LA EMPRESA , quien suministrará la información registrada que esté vinculada con la identificación del Titular.
Para atender la solicitud de consulta, LA EMPRESA habilitar á medios de comunicación electrónica u otros que considere pertinentes, los cuales serán informados en el aviso de privacidad.
Las consultas deberán ser atendidas en un término máximo de (10) días hábiles contados a partir de la fecha de recibido. Si la solicitud no puede ser resuelta en el término señalado anteriormente, LA EMPRESA informará al interesado expresando las razones y definiendo una fecha límite para su resolución, que no podrá ser mayor a (5) días hábiles siguientes al primer vencimiento. Las consultas podrán ser radicadas al correo gerencia@somosgrupoaba.com
b. Reclamos
Si el titular, causahabiente, representante o apoderado considera que la información registrada en la base de datos es incorrecta y debe ser objeto de corrección, actualización o supresión, podrá presentar un reclamo ante LA EMPRESA a través del correo
gerencia@somosgrupoaba.com o comunicación escrita dirigida LA GERENCIA, indicando la información de contacto, hechos que originan la reclamación y documentos adicionales que considere pertinente como medio probatorio.
En caso de que la información recibida se encuentre incompleta, LA EMPRESA notificará al solicitante con el fin de obtener subsanación a más tardar (5) días hábiles después de recibir la solicitud . En caso de no recibir la información en un término de (60) días, se entenderá que el solicitante ha desistido de la reclamación. Una vez que el reclamo cumple con la información mínima solicitada, será catalogado como “reclamo en trámite” detallando el motivo de este en u n término no mayor a (2) días hábiles. Esta leyenda se mantendrá hasta que el reclamo sea decidido, si el receptor del reclamo no es competente para resolverlo, dará traslado a quien corresponda en un término no mayor a (2) días hábiles e informara de tal situación al interesado.
En todo caso, el reclamo deberá ser atendido dentro de los (15) días hábiles contados a partir del día siguiente a la fecha de recepción, Si la solicitud no puede ser resuelta en el término señalado anteriormente, LA EMPRESA informará al interesado expresando las razones y definiendo una fecha límite para su resolución, que no podrá ser mayor a (8) días hábiles siguientes al primer vencimiento.
c. Petición de actualización y/o rectificación
Por solicitud del titular, causahabiente, representante o apoderado, LA EMPRESA actualizará la información de éste que resulte ser incompleta o inexacta. La solicitud deberá ser enviada al correo electrónico gerencia@somosgrupoaba.com o comunicación escrita dirigida a LA GERENCIA indicando la modificación requerida anexando la documentación necesaria para sustentar la petición.
d. Petición de cancelación de datos
El titular, causahabiente, representante o apoderado tiene derecho a solicitar la eliminación parcial o total de los datos personales siempre y cuando:
- Determine que los datos no están siendo tratados de acuerdo a los literales IV, V, VI, VII, contenidos en esta política.
- Dejen de ser necesarios para la finalidad para la que fueron recolectados.
LA EMPRESA podrá negar el ejercicio de este derecho cuando:
- El titular tenga un deber legal o contractual de permanecer en la base de datos.
- La eliminación o cancelación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
- Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.
XI. REGISTRO NACIONAL DE BASE DE DATOS
En ejercicio de las obligaciones consagradas en el marco legal, LA EMPRESA procederá a realizar el registro de sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD) que será administrado por la Superintendencia de Industria y Comercio (SIC).
LA EMPRESA también podrá intercambiar información personal con autoridades gubernamentales o públicas de otro tipo (incluidas, entre otras autoridades judiciales o administrativas, autoridades fiscales y organismos de investigación penal, civil, administrativa, disciplinaria y fiscal), y terceros participantes en procedimientos legales civiles y sus contadores, auditores, abogados y otros asesores y representantes, porque es necesario para cumplir con las leyes vigentes , para cumplir con procesos jurídicos , para responder las solicitudes de las autoridades públicas y del gobierno , para hacer cumplir nuestros términos y condiciones , para proteger nuestras operaciones, para proteger nuestros derechos, privacidad, seguridad o propiedad, los suyos o los de terceros y obtener las indemnizaciones aplicables o limitar los daños y perjuicios que nos puedan afectar.
XI I . RESPONSABLE Y ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES
LA EMPRESA será la responsable del tratamiento de los datos personales.
La EMPRESA podrá tener encargados del tratamiento de los datos personales, los cuales se regirán por ésta misma política de protección de datos personales.
XII I. VIGENCIA
La presente política rige a partir del 1 de julio de 2018. Todos los cambios aplicados serán divulgados a través de los canales físicos y electrónicos que LA EMPRESA considere pertinente.
XIX . MODIFICACIÓN O ACTUALIZACIÓN
La presente política podrá ser modificada de forma unilateral por LA EMPRESA, y para notificarla y darla a conocer a los titulares, responsables y encargados de datos personales, bastará con su publicación en el sitio web de LA EMPRESA, excepto en los casos en que su modificación requiera del consentimiento expreso del titular del derecho.
ANDREA BALLESTEROS ASCANI