PUBLICACIÓN: 1/NOV/2016
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
1
Tabla de contenido
INTRODUCCIÓN ................................................................................................................. 3
1. OBJETIVO .................................................................................................................... 5
2. ALCANCE ................................................................................................................... 5
3. DEFINICIONES ............................................................................................................. 5
4. INFORMACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS ...................... 6
4.1. OFICIAL DE PRIVACIDAD ...................................................................................... 6
5. MEDIDAS DE SEGURIDAD .......................................................................................... 8
5.1. TRANSMISIÓN DE DATOS PERSONALES ................................................................ 8
5.2. ACUERDOS DE CONFIDENCIALIDAD ................................................................... 8
5.3. CONTROL DE ACCESO .......................................................................................... 9
5.3.1. FÍSICO ............................................................................................................... 9
5.3.2. AUTOMATIZADO ............................................................................................. 9
5.4. COPIAS DE RESPALDO........................................................................................... 9
5.5. AUDITORÍA ............................................................................................................ 10
5.6. GESTIÓN DE INCIDENTES ..................................................................................... 10
5.7. COPIAS DE BASES DE DATOS .............................................................................. 11
5.8. MEDIDAS PARA EL TRANSPORTE DE INFORMACIÓN PERSONAL .................... 11
5.9. MEDIDAS PARA LA DESTRUCCIÓN DE LA INFORMACIÓN PERSONAL .......... 11
6. VIDEO VIGILANCIA .................................................................................................. 11
7. AUTORIZACIÓN DE LOS TITULARES ......................................................................... 12
7.1. AVISO DE PRIVACIDAD ....................................................................................... 12
8. DERECHOS DE LOS TITULARES................................................................................. 13
8.1. DERECHO DE ACCESO ........................................................................................ 13
8.2. DERECHO DE ACTUALIZACIÓN, RECTIFICACIÓN Y SUPRESIÓN ..................... 14
8.3. DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES. ..................................... 14
9. CANALES DE ATENCIÓN ......................................................................................... 15
10. PROCEDIMIENTOS PARA EL EJERCICIO LOS DERECHOS DE LOS TITULARES ..... 15
10.1. CONSULTAS ....................................................................................................... 15
10.2. RECLAMOS ........................................................................................................ 15
10.3. LEGITIMACIÓN PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR ....... 17
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
2
11. TRATAMIENTO DE DATOS PERSONALES ................................................................. 17
11.1. INVENTARIO DE BASES DE DATOS ................................................................... 17
11.2. DEBERES DE LA COMPAÑÍA ............................................................................ 18
11.3. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO.................................... 19
11.4. TRATAMIENTO DE DATOS SENSIBLES ............................................................... 20
11.5. DERECHOS DE LOS MENORES DE EDAD ........................................................ 20
11.6. SUMINISTRO DE INFORMACIÓN ...................................................................... 21
12. VIGENCIA ................................................................................................................. 21
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
3
INTRODUCCIÓN
INVERSIONES ESPINOSA MILLÁN LIMITADA ha decidido adoptar el presente
documento para establecer las políticas con las que contará la compañía y así
poder velar por el cumplimiento de los deberes de cada una de las partes
involucradas en el tratamiento de información personal y de los derechos de los
titulares de dicha información; lo anterior con el fin de dar pleno cumplimiento a lo
establecido por La Constitución Política de Colombia en el artículo 15, la Ley 1581
de 2012 y demás normatividad que reglamenta y complementa la Protección de
Datos Personales en Colombia.
En esta política se describe la estructura administrativa de la compañía para su
adopción e implementación de acuerdo con la normatividad vigente. Además de
esto, se fijan los procedimientos para la atención y respuesta a consultas, peticiones
y reclamos de los Titulares, los medios a través de los cuales los Titulares pueden
solicitar información con respecto a cualquier aspecto del tratamiento, las
responsabilidades del oficial de privacidad, se indica los derechos de titulares y
deberes de la organización y sus encargados y se establece la fecha de entrada
en vigencia de este documento.
INVERSIONES ESPINOSA MILLÁN LIMITADA, mediante esta política busca que se
apliquen y se cumplan a cabalidad, de manera armónica e integral, los principios
para el Tratamiento de datos personales:
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a
que se refiere la Ley Estatutaria 1581 de 2012 es una actividad reglada que
debe estar sujeta a lo establecido en ella y en las demás disposiciones que
la desarrollen.
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad
legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada
al Titular.
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el
consentimiento, previo, expreso e informado del Titular. Los datos personales
no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia
de mandato legal o judicial que releve el consentimiento.
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe
ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se
prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que
induzcan a error.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
4
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho
del Titular a obtener del Responsable del Tratamiento o del Encargado del
Tratamiento, en cualquier momento y sin restricciones, información acerca
de la existencia de datos que le conciernan.
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los
límites que se derivan de la naturaleza de los datos personales, de las
disposiciones de la Ley Estatutaria 1581 de 2012 y la Constitución. En este
sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el
Titular y/o por las personas previstas en la Ley.
Los datos personales, salvo la información pública, no podrán estar
disponibles en Internet u otros medios de divulgación o comunicación
masiva, salvo que el acceso sea técnicamente controlable para brindar un
conocimiento restringido sólo a los Titulares o terceros autorizados conforme
a la Ley Estatutaria 1581 de 2012.
g) Principio de seguridad: La información sujeta a Tratamiento por el
Responsable del Tratamiento o Encargado del Tratamiento a que se refiere
la Ley Estatutaria 1581 de 2012, se deberá manejar con las medidas técnicas,
humanas y administrativas que sean necesarias para otorgar seguridad a los
registros evitando su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
h) Principio de confidencialidad: Todas las personas que intervengan en el
Tratamiento de datos personales que no tengan la naturaleza de públicos
están obligadas a garantizar la reserva de la información, inclusive después
de finalizada su relación con alguna de las labores que comprende el
Tratamiento, pudiendo sólo realizar suministro o comunicación de datos
personales cuando ello corresponda al desarrollo de las actividades
autorizadas en la Ley Estatutaria 1581 de 2012 y en los términos de la misma.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
5
1. OBJETIVO
Establecer las políticas y procedimientos de tratamiento de la información personal
con el fin de permitir a los titulares el ejercicio del derecho de Hábeas Data y de
dar cumplimiento a la ley estatutaria 1581 de 2012 y demás normatividad
relacionada, en donde se desarrolla el derecho constitucional que tienen los
titulares a conocer, actualizar y rectificar los datos personales registrados en las
bases de datos o archivos de INVERSIONES ESPINOSA MILLÁN LIMITADA, en su
calidad de responsable del tratamiento de los datos personales.
2. ALCANCE
Las disposiciones de este documento se aplican a las bases de datos objeto de
responsabilidad del tratamiento de INVERSIONES ESPINOSA MILLÁN LIMITADA, así
como a los sistemas de información, soportes y equipos empleados en el
tratamiento de los datos, que deban ser protegidos de acuerdo con la normativa
vigente, a las personas que participan en el tratamiento y a los locales donde se
ubican dichas bases de datos.
3. DEFINICIONES
? Autorización: Consentimiento previo, expreso e informado del Titular para
llevar a cabo el Tratamiento De datos personales.
? Aviso de privacidad: Comunicación verbal o escrita generada por el
Responsable, dirigida al Titular para el Tratamiento de sus datos personales,
mediante la cual se le informa acerca de la existencia de las políticas de
Tratamiento de información que le serán aplicables, la forma de acceder a
las mismas y las finalidades del Tratamiento que se pretende dar a los datos
personales.
? Base de Datos: Conjunto organizado de datos personales que sea objeto de
Tratamiento.
? Dato personal: Cualquier información vinculada o que pueda asociarse a
una o varias personas Naturales determinadas o determinables.
? Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima,
reservada, ni pública y cuyo conocimiento o divulgación puede interesar no
sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en
general, como el dato financiero y crediticio de actividad comercial o de
servicios.
? Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es
relevante para el titular.
? Dato público: Es el dato que no sea semiprivado, privado o sensible. Son
considerados datos públicos, entre otros, los datos relativos al estado civil de
las personas, a su profesión u oficio y a su calidad de comerciante o de
servidor público. Por su naturaleza, los datos públicos pueden estar
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
6
contenidos, entre otros, en registros públicos, documentos públicos, gacetas
y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que
no estén sometidas a reserva.
? Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la
intimidad del Titular o cuyo uso indebido puede generar su discriminación,
tales como aquellos que revelen el origen racial o étnico, la orientación
política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos o que promueva intereses
de cualquier partido político o que garanticen los derechos y garantías de
partidos políticos de oposición, así como los datos relativos a la salud, a la
vida sexual, y los datos biométricos.
? Encargado del Tratamiento: Persona natural o jurídica, pública o privada,
que por sí misma o en asocio Con otros, realice el Tratamiento de datos
personales por cuenta del Responsable del Tratamiento.
? Responsable del Tratamiento: Persona natural o jurídica, pública o privada,
que por sí misma o en Asocio con otros, decida sobre la base de datos y/o
el Tratamiento de los datos.
? Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
? Transferencia: La transferencia de datos tiene lugar cuando el Responsable
y/o Encargado del Tratamiento de datos personales, ubicado en Colombia,
envía la información o los datos personales a un receptor, que a su vez es
Responsable del Tratamiento y se encuentra dentro o fuera del país.
? Transmisión: Tratamiento de datos que implica la comunicación los mismos
dentro o fuera del territorio de la República de Colombia cuando tenga por
objeto la realización de un Tratamiento por Encargado por cuenta
Responsable.
? Tratamiento: Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la Recolección, almacenamiento, uso, circulación o
supresión.
4. INFORMACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS
El responsable del tratamiento de datos es INVERSIONES ESPINOSA MILLÁN LIMITADA
identificada con NIT 830116000-0, cuyos datos relacionamos a continuación:
? Dirección: Carrera 113 # 74b 06, BOGOTÁ D.C.
? Correo electrónico: direccioncalidad@gcrb.edu.co
? Teléfono: 4424545
4.1. OFICIAL DE PRIVACIDAD
INVERSIONES ESPINOSA MILLÁN LIMITADA ha definido a su DIRECTOR DE CALIDAD
como Oficial de Privacidad, el cual tiene como función la planeación e
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
7
implementación efectiva del Programa Integral de Gestión de Datos Personales y
de las Políticas de Tratamiento de Datos Personales, además de esto, dará trámite
a las solicitudes de los titulares para el ejercicio de todos sus derechos, los cuales
pueden ser consultados en el presente documento o en la normatividad en
Protección de Datos Personales.
Entre sus funciones principales encontramos las siguientes:
? Coordinar la definición e implementación de los controles del Programa
Integral de Gestión de Datos Personales.
? Servir de enlace y coordinador con las demás áreas de la organización para
asegurar una implementación transversal del Programa Integral de Gestión
de Datos Personales.
? Impulsar una cultura de protección de datos dentro de la organización.
? Mantener un inventario de las bases de datos personales en poder de la
organización y clasificarlas según su tipo.
? Registrar las bases de datos de la organización en el Registro Nacional de
Bases de Datos y actualizar el reporte atendiendo a las instrucciones que
sobre el particular emita la SIC.
? Obtener las declaraciones de conformidad de la SIC cuando sea requerido.
? Revisar y actualizar los contenidos de los contratos de transmisión que se
suscriban con los encargados, dentro y fuera de Colombia.
? Revisar y actualizar los contenidos de los acuerdos de confidencialidad que
se suscriban con los empleados de la compañía.
? Analizar las responsabilidades de cada cargo de la organización, para
diseñar un programa de entrenamiento en protección de datos específico
para cada uno de ellos.
? Realizar un entrenamiento general en protección de datos para todos los
empleados de la compañía.
? Realizar el entrenamiento necesario a los nuevos empleados, que tengan
acceso por las condiciones de su empleo, a datos personales gestionados
por la organización.
? Integrar las políticas de protección de datos dentro de las actividades de las
demás áreas de la organización.
? Medir la participación, y calificar el desempeño, en los entrenamientos de
protección de datos.
? Requerir que dentro de los análisis de desempeño de los empleados, se
encuentre haber completado satisfactoriamente el entrenamiento sobre
protección de datos personales.
? Vela por la implementación de planes de auditoría interna para verificar el
cumplimiento de sus Políticas de Tratamiento de Datos Personales.
? Acompañar y asistir a la organización en la atención de las visitas y los
requerimientos que realice la Superintendencia de Industria y Comercio.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
8
? Realizar seguimiento al Programa Integral de Gestión de Datos Personales.
5. MEDIDAS DE SEGURIDAD
Con el fin de velar por la seguridad de la información contenida en las Bases de
Datos, INVERSIONES ESPINOSA MILLÁN LIMITADA ha implementado las siguientes
medidas de seguridad:
5.1. TRANSMISIÓN DE DATOS PERSONALES
INVERSIONES ESPINOSA MILLÁN LIMITADA establecerá contratos de transmisión de
datos personales con los Encargados del tratamiento, en el cual se indicará el
objetivo y finalidades del tratamiento, así como las actividades y obligaciones de
cada una de las partes.
Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las
obligaciones de INVERSIONES ESPINOSA MILLÁN LIMITADA, bajo la política de
Tratamiento de la información fijada por este documento y a realizar el Tratamiento
de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las
leyes aplicables.
Además de las obligaciones que impongan normas aplicables dentro del citado
contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo
encargado:
1. Dar Tratamiento, a nombre del Responsable, a los datos personales
conforme a los principios que los tutelan.
2. Salvaguardar la seguridad de las bases de datos en los que se contengan
datos personales.
3. Guardar confidencialidad respecto del tratamiento de los datos personales
5.2. ACUERDOS DE CONFIDENCIALIDAD
INVERSIONES ESPINOSA MILLÁN LIMITADA establecerá acuerdos de
confidencialidad con los empleados, contratistas y partes interesadas que por
diferentes razones requieran conocer o intercambiar información personal
clasificada y reservada. En estos acuerdos se especificarán las responsabilidades
para el intercambio de la información para cada una de las partes y se deberán
firmar antes de permitir el acceso o uso de dicha información.
Los supervisores de los contratos y jefes inmediatos son los responsables de
asegurarse que todos los activos propios de la organización sean devueltos, la
información pertinente sea transferida y tenga la disposición final adecuada.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
9
5.3. CONTROL DE ACCESO
5.3.1. FÍSICO
Las locaciones en las que se almacena información personal deben contar con las
medidas de seguridad que propendan por la integridad, disponibilidad y
confidencialidad de la información allí contenida.
INVERSIONES ESPINOSA MILLÁN LIMITADA establecerá los niveles y permisos de
acceso de acuerdo a las funciones del personal, el cual debe ser informado sobre
sus responsabilidades en protección de datos personales y los controles y
protocolos con los que debe cumplir para preservar las bases de datos físicas con
las que cuente la organización.
5.3.2. AUTOMATIZADO
INVERSIONES ESPINOSA MILLÁN LIMITADA establecerá las condiciones, permisos y
niveles de acceso a las Bases de datos que se encuentran automatizadas de
acuerdo a los perfiles de cargo de cada uno de ellos y de las funciones que
realizará.
Así mismo, se debe encargar de modificar los permisos, inactivar o suspender el
acceso, previa comunicación y autorización, a los usuarios que sean trasladados,
promovidos, entren en periodo de vacaciones o licencias, o aquellos que sean
retirados temporal o definitivamente de la compañía.
5.4. COPIAS DE RESPALDO
INVERSIONES ESPINOSA MILLÁN LIMITADA implementará los procedimientos y
facilitará los recursos que sean requeridos para realizar, al menos una vez cada
mes, copias de respaldo de todas las Bases de Datos que sean exactas y
recuperables, las cuales se almacenarán mediante mecanismos y controles
adecuados que garanticen la confidencialidad, integridad y disponibilidad de la
información allí contenida.
Así mismo, INVERSIONES ESPINOSA MILLÁN LIMITADA establecerá e implementará
los procedimientos para la recuperación total o parcial de la información, los
cuales deben ser probados y ajustados cada 6 meses, velando siempre por que la
restauración de la información sea completa y segura.
El almacenamiento de las copias de respaldo se realizará en una ubicación
diferente a donde se encuentran las bases de datos originales, esta locación debe
ser segura y contar con el apropiado control de acceso.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
10
5.5. AUDITORÍA
El Programa Integral de Gestión de Datos Personales y las bases de datos que
contengan datos personales con las que cuente la organización serán objeto de,
al menos, una auditoría interna o externa anual, en la cual se verificará el estado
del Programa y el cumplimiento de las Políticas de Tratamiento de Datos Personales.
Para esto se realizará un plan de auditoría en el cual se deben incluir revisiones de
las instalaciones físicas, sistemas de información, asignación de permisos, manejo
de autorizaciones y soporte de las mismas y evaluar las actualizaciones o
modificaciones que se requieran.
Toda auditoría debe concluir con un informe en el cual se debe describir el estado
actual de la compañía en protección de datos personales, se deben detallar las
labores realizadas, los datos y hallazgos de las mismas, las observaciones que
surgieron, las recomendaciones propuestas y fechas para su implementación.
5.6. GESTIÓN DE INCIDENTES
INVERSIONES ESPINOSA MILLÁN LIMITADA, comprometida con la mejora continua
del Programa Integral de Gestión de Datos Personales, establecerá y ejecutará un
procedimiento para identificar, analizar, valorar, tratar y aprender de los incidentes
en protección de datos personales que se presenten en la organización.
Todos los usuarios de activos de información de la compañía deben reportar los
eventos o incidentes que se presenten, según el procedimiento descrito a
continuación:
1. Identificación: Cuando un miembro de la organización identifique un evento
que genere o pueda generar inconvenientes a la seguridad de la
información contenida en las bases de datos debe comunicarlo
inmediatamente al Oficial de Privacidad indicando:
? Fecha y hora de Ocurrencia del incidente
? Fecha y hora de identificación del incidente
? Descripción del incidente
? Área o Departamento involucrado
? Posibles personas involucradas
2. Análisis y valoración: Una vez llega el informe de incidente, el Oficial de
Privacidad debe ingresarlo en una matriz de incidentes, posteriormente
debe revisar, investigar y clasificar el caso para así evaluar el impacto en la
organización o en los titulares de la Información.
3. Tratamiento: El oficial de privacidad debe establecer un plan de acción
para mitigar el impacto del incidente y prevenir que ocurra nuevamente.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
11
4. Retroalimentación: Evaluar los incidentes presentados semestralmente y
establecer planes de acción para prevenir futuras recurrencias en incidentes
y realizar constantes mejoras al Programa Integral de Gestión de Datos
Personales.
5.7. COPIAS DE BASES DE DATOS
Las copias totales o parciales que se realicen a las bases de datos para efectuar
actividades temporales o auxiliares deben cumplir con los mismos requerimientos
de seguridad y contar con los mismos niveles de acceso establecidos para las
bases de datos originales y deben ser borradas o destruidas una vez dejen de ser
utilizadas.
5.8. MEDIDAS PARA EL TRANSPORTE DE INFORMACIÓN PERSONAL
Cuando se requiera el traslado físico de documentos o soportes, se deben
implementar los controles pertinentes que velen por la disponibilidad,
confidencialidad e integridad de la información allí contenida, impidiendo su
acceso por parte de personal no autorizado, sustracción, manipulación o pérdida.
5.9. MEDIDAS PARA LA DESTRUCCIÓN DE LA INFORMACIÓN PERSONAL
En los casos en los que se requiera destruir o eliminar documentos o archivos en los
cuales se cuente con información personal, se deben implementar las medidas
necesarias para impedir que los datos allí contenidos sean recuperados o
restaurados.
6. VIDEO VIGILANCIA
INVERSIONES ESPINOSA MILLÁN LIMITADA realizará video vigilancia con el fin de
mantener la seguridad de las personas que ingresan a sus instalaciones y supervisar
el cumplimiento de las funciones y deberes de los empleados, mediante la
grabación de imágenes captadas por las cámaras de video instaladas en lugares
determinados para ello.
Al momento de acceder a estas imágenes, se deberá respetar y velar por el
cumplimiento de los derechos de las personas de acuerdo a lo estipulado por la
Ley, por lo cual, los empleados realizarán la vigilancia bajo la mayor
responsabilidad, confidencialidad, ética y legalidad.
Las cámaras de video se encuentran instaladas en oficinas e instalaciones de los
colegios, las cuales conforman un sistema cerrado de televisión con grabaciones
en tiempo real que guarda imágenes.
La transmisión de estas imágenes a terceros se realizará de acuerdo en lo
establecido en el numeral 11.6 del presente documento y en los casos en los cuales
estos videos sean solicitados por medios de comunicación con el fin de identificar
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
12
y difundir la imagen de personas que hayan incumplido con la Ley o de dar a
conocer su modus operandi, se debe proteger la identidad de las personas no
relacionadas con los hechos y que se encuentren en estas imágenes.
7. AUTORIZACIÓN DE LOS TITULARES
Cuando se trate de datos diferentes a los de naturaleza pública, definidos
previamente, INVERSIONES ESPINOSA MILLÁN LIMITADA solicitará la autorización
para el tratamiento de datos personales por cualquier medio que permita ser
utilizado como prueba.
Según sea el caso, dicha autorización puede ser parte de un documento más
amplio como por ejemplo, de un contrato, o de un documento específico
(formato, formulario, otrosí, etc.), en el informará al titular de los datos lo siguiente:
a) El tratamiento al que serán sometidos sus datos personales y las finalidades
del mismo.
b) Ubicación del documento de Políticas de Tratamiento de Datos Personales.
c) Los canales de atención a través de los cuales pueden ejercer sus derechos.
La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio
de sus funciones legales o por orden judicial.
b) Datos de naturaleza pública.
c) Casos de urgencia médica o sanitaria.
d) Tratamiento de información autorizado por la ley para fines históricos,
estadísticos o científicos.
e) Datos relacionados con el Registro Civil de las Personas.
7.1. AVISO DE PRIVACIDAD
En los casos en los que no sea posible poner a disposición del Titular las políticas de
tratamiento de la información, INVERSIONES ESPINOSA MILLÁN LIMITADA informará
mediante un aviso de privacidad al titular sobre:
? Información básica de la organización
? El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
? Los derechos que le asisten
? La existencia del presente documento y la forma de acceder al mismo, de
manera oportuna y en todo caso a más tardar al momento de la
recolección de los datos personales.
En los casos en que la compañía recolecte datos personales sensibles, el aviso de
privacidad señalará expresamente el carácter facultativo de la respuesta a las
preguntas que versen sobre este tipo de datos.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
13
8. DERECHOS DE LOS TITULARES
El Titular de los datos personales tendrá los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a la compañía
o uno de sus Encargados. Este derecho se podrá ejercer, entre otros frente
a datos parciales, inexactos, incompletos, fraccionados, que induzcan a
error, o aquellos cuyo Tratamiento esté expresamente prohibido o no
haya sido autorizado.
b) Solicitar prueba de la autorización otorgada a INVERSIONES ESPINOSA
MILLÁN LIMITADA salvo cuando expresamente se exceptúe como
requisito para el Tratamiento.
c) Ser informado por INVERSIONES ESPINOSA MILLÁN LIMITADA, previa
solicitud, respecto del uso que le ha dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por
infracciones a lo dispuesto en la Ley Estatutaria 1581 de 2012 y las demás
normas que la modifiquen, adicionen o complementen.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el
Tratamiento no se respeten los principios, derechos y garantías
constitucionales y legales. La revocatoria y/o supresión procederá
cuando la Superintendencia de Industria y Comercio haya determinado
que en el Tratamiento INVERSIONES ESPINOSA MILLÁN LIMITADA o uno de
sus Encargados han incurrido en conductas contrarias a esta ley y a la
Constitución.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto
de Tratamiento.
8.1. DERECHO DE ACCESO
INVERSIONES ESPINOSA MILLÁN LIMITADA ha establecido canales de atención
mediante los cuales los Titulares pueden acceder a los datos personales que estén
bajo el control de la organización y ejercer sus derechos.
Los Titulares podrán consultar de forma gratuita sus datos personales al menos una
vez mes calendario, y cada vez que existan modificaciones sustanciales de las
Políticas de Tratamiento de la información que motiven nuevas consultas.
Para consultas cuya periodicidad sea mayor a una por cada mes calendario,
INVERSIONES ESPINOSA MILLÁN LIMITADA cobrará al titular los gastos de envío,
reproducción y, en su caso, certificación de documentos.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
14
8.2. DERECHO DE ACTUALIZACIÓN, RECTIFICACIÓN Y SUPRESIÓN
En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos
personales, INVERSIONES ESPINOSA MILLÁN LIMITADA implementará las medidas
necesarias para que los datos personales que reposan en las bases de datos sean
precisos y suficientes y, cuando así lo solicite el Titular o cuando la compañía haya
podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que
satisfagan los propósitos del tratamiento.
8.3. DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES.
Dando cumplimiento al artículo 7 de la Ley 1581 de 2012, en el tratamiento de datos
personales realizado por INVERSIONES ESPINOSA MILLÁN LIMITADA se asegurará el
respeto a los derechos prevalentes de los niños, niñas y adolescentes.
Ei Tratamiento de datos personales de niños, niñas y adolescentes está prohibido,
excepto cuando se trate de datos de naturaleza pública y cuando dicho
Tratamiento responda y respete el interés superior de los niños, niñas y adolescentes
o asegure el respeto de sus derechos fundamentales.
De acuerdo a lo establecido por la ley en cuanto a la autorización del tratamiento
de datos personales de menores de edad, esta debe ser otorgada por el
representante legal del niño, niña o adolescente otorgará, previo ejercicio del
menor de su derecho a ser escuchado, opinión que será valorada teniendo en
cuenta la madurez, autonomía y capacidad para entender el asunto.
INVERSIONES ESPINOSA MILLÁN LIMITADA, como Responsable del tratamiento y
aquellos encargados involucrados en el Tratamiento de los datos personales de
niños, niñas y adolescentes, velarán por el uso adecuado de los mismos. Para este
fin deberán aplicarse los principios y deberes establecidos en la Ley 1581 de 2012 y
decretos que la reglamenten.
La familia y la sociedad en general, deben velar porque los Responsables y
Encargados del Tratamiento de los datos personales de los menores de edad
cumplan las obligaciones establecidas en la Ley 1581 de 2012 y el presente
decreto.
INVERSIONES ESPINOSA MILLÁN LIMITADA informará y capacitará a los
representantes legales y tutores de los menores sobre:
? Los eventuales riesgos a los cuales que se enfrentan los niños, niñas y
adolescentes respecto del Tratamiento indebido de sus datos personales
? El uso responsable y seguro por parte de niños, niñas y adolescentes de sus
datos personales
? Su derecho a la privacidad y protección de su información personal y la de
los demás.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
15
9. CANALES DE ATENCIÓN
INVERSIONES ESPINOSA MILLÁN LIMITADA ha establecido los siguientes canales de
atención, a través de los cuales los titulares de la información pueden ejercer sus
derechos a conocer, actualizar, rectificar y suprimir sus datos personales contenidos
en bases de datos y revocar la autorización que haya otorgado.
? Teléfono: 4424545
? Correo electrónico: direccioncalidad@gcrb.edu.co
10. PROCEDIMIENTOS PARA EL EJERCICIO LOS DERECHOS DE LOS TITULARES
10.1. CONSULTAS
Los Titulares de los datos personales cuya información personal está contenida en
las bases de datos de la compañía, podrán solicitar información sobre la misma, a
lo cual INVERSIONES ESPINOSA MILLÁN LIMITADA debe proporcionar únicamente al
titular la información requerida. Los usuarios pueden solicitar dicha información a
través de los canales de atención habilitados por la compañía para el ejercicio de
sus derechos, mencionados en el numeral 9 del presente documento.
En caso de realizar la consulta vía correo electrónico, se debe enviar el mensaje
con el asunto: Habeas Data, Nombres y Apellidos del solicitante, especificando la
solicitud requerida en el cuerpo del mensaje y adicionando los soportes necesarios
para la validación de la identidad del titular, los cuales se pueden encontrar en el
numeral 10.3 del presente documento. Dicha solicitud tendrá respuesta por parte
de INVERSIONES ESPINOSA MILLÁN LIMITADA a través del correo electrónico
suministrado por el titular.
La consulta tendrá un tiempo de respuesta máximo de diez (10) días hábiles
contados a partir de la fecha de recibo la solicitud. En el caso se no poder
responder a la solicitud de información en el tiempo establecido, al solicitante se le
informará el motivo de la demora y señalando la fecha en que se atenderá su
consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes
al vencimiento del primer término. INVERSIONES ESPINOSA MILLÁN LIMITADA,
suministrará la información de la consulta en los siguientes medios:
? Carta dirigida al titular con la información radicada en la compañía.
? Correo electrónico dirigido al titular con la información de consulta.
10.2. RECLAMOS
Cuando el Titular o sus causahabientes que consideren que la información
contenida en una base de datos bajo la responsabilidad de INVERSIONES ESPINOSA
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
16
MILLÁN LIMITADA, debe ser objeto de corrección, actualización o supresión, o que
la autorización de uso sea revocada o cuando adviertan el presunto
incumplimiento de cualquiera de sus deberes legales. El titular podrá presentar un
reclamo a través de los canales de atención habilitados por la compañía para el
ejercicio de sus derechos, mencionados en el numeral 9 del presente documento.
El reclamo se formulará mediante solicitud dirigida a INVERSIONES ESPINOSA MILLÁN
LIMITADA, con la identificación del Titular, la descripción de los hechos que dan
lugar al reclamo, la dirección, y acompañando los documentos que se quiera
hacer valer y los soportes necesarios para la validación de la identidad del titular,
los cuales se pueden encontrar en el numeral 10.3 del presente documento. Si el
reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días
siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos
(2) meses desde la fecha del requerimiento, sin que el solicitante presente la
información requerida, se entenderá que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará
traslado a quien corresponda en un término máximo de dos (2) días hábiles e
informará de la situación al interesado.
Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda
que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos
(2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea
decidido.
El término máximo para atender el reclamo será de quince (15) días hábiles
contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible
atender el reclamo dentro de dicho término, se informará al interesado los motivos
de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso
podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de
Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante
INVERSIONES ESPINOSA MILLÁN LIMITADA.
Para casos específicos existen las siguientes consideraciones:
? El personal con historia laboral en INVERSIONES ESPINOSA MILLÁN LIMITADA,
no podrá realiza solicitud de supresión de su Hoja de vida ni de su historia
laboral.
? En caso de Actualización de la Hoja de Vida, el titular debe adjuntar la Hoja
de vida con la información actualizada en el e-mail mencionado
anteriormente.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
17
? La supresión de datos personales o revocación de la autorización para el uso
de los mismos únicamente se realizarán para titulares que no tengan relación
contractual con INVERSIONES ESPINOSA MILLÁN LIMITADA.
10.3. LEGITIMACIÓN PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR
Los derechos de los Titulares establecidos en la Ley, podrán ejercerse por las
siguientes personas:
1. Por el Titular, quien deberá acreditar su identidad adjuntando fotocopia de
su documento de identidad.
2. Por sus causahabientes, quienes deberán acreditar tal calidad mediante
un poder o documento que lo acredite como tal, fotocopia de su
documento de identidad y del documento del titular.
3. Por el representante y/o apoderado del Titular, quienes deberán acreditar
tal calidad mediante un poder o documento que lo acredite como tal,
fotocopia de su documento de identidad y del documento del titular.
4. Por estipulación a favor de otro o para otro, para lo cual deberá acreditar
su identidad adjuntando fotocopia de su documento de identidad y el
documento de identidad del interesado.
Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que
estén facultadas para representarlos.
11. TRATAMIENTO DE DATOS PERSONALES
11.1. INVENTARIO DE BASES DE DATOS
INVERSIONES ESPINOSA MILLÁN LIMITADA ha realizado un inventario de las bases de
datos con información personal bajo su control con el fin de conocer qué datos
personales almacenan, cómo son utilizados y validar si son necesarios, teniendo en
cuenta la finalidad para la cual los recolectan.
En los casos en los que recolecten datos personales sensibles o datos de niños, niñas
y adolescentes, se indicarán las medidas de seguridad adicionales implementadas
para estas bases de datos.
Las bases de datos almacenadas y tratadas por INVERSIONES ESPINOSA MILLÁN
LIMITADA, se recogen en el documento “Inventario de Bases de datos”, en el cual
se presentan las siguientes características de cada una de ellas:
? Nombre de la Base de Datos
? Número de titulares
? Finalidades
? Información contenida
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
18
? Nivel de Seguridad
? Tipo y lugar de almacenamiento
? Procedencia de los datos
? Categoría de Titulares
? Encargados del tratamiento
? Controles Físicos adicionales
? Controles Lógicos adicionales
? Acceso a la Base de Datos
11.2. DEBERES DE LA COMPAÑÍA
INVERSIONES ESPINOSA MILLÁN LIMITADA deberán cumplir los siguientes deberes,
sin perjuicio de las demás disposiciones previstas en la Ley Estatutaria 1581 de 2012
y en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del
derecho de Hábeas Data.
b) Solicitar y conservar, en las condiciones previstas en la Ley Estatutaria 1581
de 2012, copia de la respectiva autorización otorgada por el Titular.
c) Informar debidamente al Titular sobre la finalidad de la recolección y los
derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias
para impedir su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.
e) Garantizar que la información que se suministre al Encargado del
Tratamiento sea veraz, completa, exacta, actualizada, comprobable y
comprensible.
f) Actualizar la información, comunicando de forma oportuna al Encargado
del Tratamiento, todas las novedades respecto de los datos que
previamente le haya suministrado y adoptar las demás medidas
necesarias para que la información suministrada a éste se mantenga
actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente
al Encargado del Tratamiento.
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente
datos cuyo Tratamiento esté previamente autorizado de conformidad
con lo previsto en la Ley Estatutaria 1581 de 2012.
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las
condiciones de seguridad y privacidad de la información del Titular.
j) Tramitar las consultas y reclamos formulados en los términos señalados en
la Ley Estatutaria 1581 de 2012.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
19
k) Adoptar un manual interno de políticas y procedimientos para garantizar
el adecuado cumplimiento de la Ley Estatutaria 1581 de 2012 y en
especial, para la atención de consultas y reclamos.
l) Informar al Encargado del Tratamiento cuando determinada información
se encuentra en discusión por parte del Titular, una vez se haya
presentado la reclamación y no haya finalizado el trámite respectivo.
m) Informar a solicitud del Titular sobre el uso dado a sus datos.
n) Informar a la autoridad de protección (Superintendencia de Industria y
Comercio) de datos cuando se presenten violaciones a los códigos de
seguridad y existan riesgos en la administración de la información de los
Titulares.
o) Cumplir las instrucciones y requerimientos que imparta la
Superintendencia de Industria y Comercio.
11.3. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO
Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin
perjuicio de las demás disposiciones previstas en la Ley Estatutaria 1581 de 2012 y
en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo. el pleno y efectivo ejercicio del derecho
de Hábeas Data.
b) Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración. pérdida, consulta, uso o acceso no autorizado o
fraudulento.
c) Realizar oportunamente la actualización, rectificación o supresión de los
datos en los términos de la Ley Estatutaria 1581 de 2012.
d) Actualizar la información reportada por los Responsables del Tratamiento
dentro de los cinco (5) días hábiles contados a partir de su recibo.
e) Tramitar las consultas y los reclamos formulados por los Titulares en los
términos señalados en la Ley Estatutaria 1581 de 2012.
f) Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la Ley Estatutaria 1581 de 2012 y, en especial,
para la atención de consultas y reclamos por parte de los Titulares.
g) Registrar en la base de datos las leyenda "reclamo en trámite" en la forma
en que se regula en la Ley Estatutaria 1581 de 2012.
h) Insertar en la base de datos la leyenda "información en discusión judicial"
una vez notificado por parte de la autoridad competente sobre procesos
judiciales relacionados con la calidad del dato personal.
i) Abstenerse de circular información que esté siendo controvertida por el
Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de
Industria y Comercio.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
20
j) Permitir el acceso a la información únicamente a las personas que pueden
tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración
de la información de los Titulares.
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia
de Industria y Comercio.
11.4. TRATAMIENTO DE DATOS SENSIBLES
Se prohíbe el Tratamiento de datos sensibles, excepto cuando:
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en
los casos que por ley no sea requerido el otorgamiento de dicha
autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y
éste se encuentre física o jurídicamente incapacitado. En estos eventos, los
representantes legales deberán otorgar su autorización.
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con
las debidas garantías por parte de una fundación, ONG, asociación o
cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política,
filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus
miembros o a las personas que mantengan contactos regulares por razón
de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros
sin la autorización del Titular.
d) El Tratamiento se refiera a datos que sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este
evento deberán adoptarse las medidas conducentes a la supresión de
identidad de los Titulares.
11.5. DERECHOS DE LOS MENORES DE EDAD
En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños,
niñas y adolescentes. Quedará por escrito el Tratamiento de datos personales de
niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.
Es tarea del Estado y las entidades educativas de todo tipo proveer información y
capacitar a los representantes legales y tutores sobre los eventuales riesgos a los
que se enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido
de sus datos personales, y proveer de conocimiento acerca del uso responsable y
seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho
a la privacidad y protección de su información personal y la de los demás.
Política de Tratamiento de Datos Personales |INVERSIONES ESPINOSA MILLÁN LIMITADA
21
11.6. SUMINISTRO DE INFORMACIÓN
INVERSIONES ESPINOSA MILLÁN LIMITADA Suministrará la información que se
encuentre en su base de datos únicamente a las personas que cumplan con las
condiciones establecidas por la ley 1581 de 2012:
? A los Titulares, sus causahabientes o sus representantes legales.
? A las entidades públicas o administrativas en ejercicio de sus funciones
legales o por orden judicial.
? A los terceros autorizados por el Titular o por la ley.
? Al interior de la empresa la información será suministrada a los empleados y
contratistas para el desarrollo de sus funciones teniendo en cuenta que la
misma se encuentre dentro de las finalidades de las bases de datos
previamente establecidas y autorizadas.
12. VIGENCIA
El presente documento ha sido aprobado por INVERSIONES ESPINOSA MILLÁN
LIMITADA, como responsable del tratamiento de datos y empezará a regir a partir
del 1/Nov/2016.