POLÍTICA PARA EL TRATAMIENTO DE LA INFORMACIÓN DE DATOS PERSONALES
SPATARO NAPOLI S.A.S, empresa de confección y distribución de prendas de vestir del régimen contributivo, identificada con NIT 890.312.535-7, ubicada en la Calle 24 # 3-46 de la ciudad de Cali – Valle del Cauca, teléfono 489 3049, celular 311 764 6856 y correo electrónico spataro@spataro.com.co, (“SPATARO”) en atención a los derecho de habeas data (art. 15 de la C.P.) y el derecho a la información (art. 20 de la C.P.), a la ley estatutaria 1266 de 2008, y en especial, en aplicación de la ley estatutaria 1581 de 2012, sus decretos reglamentarios y demás normas concordantes que la reformen o adicionen, expide la siguiente política para el tratamiento de la información de datos personales.
CAPITULO I
DEFINICIONES, PRINCIPIOS Y CANALES
Al amparo de la ley 1581 de 2012 y el decreto 1377 de 2013, SPATARO acoge los siguientes términos y definiciones:
ARTICULO 1. Definiciones. Para los efectos de la presente política para el tratamiento de datos personales, se entiende por:
- Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de datos personales.
- Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
- Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
- Canal de Comunicación: Toda forma física, verbal, escrita, electrónica o por medio de equipos de comunicación (Teléfono, Fax, correo electrónico), utilizados para la interacción e intercambio de información, permanente u ocasional con los titulares de datos personales.
- Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Dato Privado: Es el dato de naturaleza íntima y reservada, que sólo es relevante para el titular.
- Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Dato semiprivado: Es el dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a un sector de personas; por ejemplo un dato financiero y crediticio de actividad comercial o de servicios.
- Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquello que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
- Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
- Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
- Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
ARTICULO 2. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación y aplicación de la política para el tratamiento de datos personales, SPATARO decide acoger los siguientes principios:
- Principio de legalidad: El tratamiento a que se refiere la presente política, es una actividad reglada, sujeta a lo establecido en ella y a las disposiciones legales y constitucionales.
- Principio de finalidad: El tratamiento de los datos personales obedece a una finalidad legítima de acuerdo con la constitución y la ley, la cual debe ser informada al titular.
- Principio de libertad: El tratamiento de datos personales, sólo se ejercerá con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, en ausencia de mandato legal o judicial que releve el consentimiento.
- Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
- Principio de transparencia: Se garantiza al titular el derecho a obtener de Spataro, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
- Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. SPATARO debe garantizar que el tratamiento sólo se hará por personal autorizado y previsto en la política. Los datos personales, salvo la información pública, no podrán estar a disposición en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a esta política.
- Principio de seguridad: La información sujeta a tratamiento por parte de la empresa, a que se refiere la presente política, se debe manejar con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales, que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente política.
Artículo 3. Canales de Comunicación. SPATARO habrá de garantizar los medios físicos y electrónicos necesarios para mantener una comunicación asertiva y permanente con los titulares de sus bases de datos, debe asegurar por lo menos, un correo electrónico, una línea telefónica de atención al usuario, una persona responsable de la atención personalizada y de la correspondencia física recibida, así como de las peticiones, quejas y reclamos que los titulares de datos personales realicen.
Para efectos de asegurar una correcta atención al usuario de datos personales, en la presente política se orientan las directrices para el suministro de información y la solución a peticiones, quejas o reclamos.
CAPITULO II
TRATAMIENTO DE LOS DATOS PERSONALES
Artículo 4. Tipos de Datos. La empresa SPATARO, para el giro ordinario de sus operaciones, manejará los siguientes tipos de datos:
- Físicos: Los datos en papel almacenados en archivadores, carpetas, AZ y libros empastados, que contienen información de los socios, trabajadores, proveedores y clientes y cualquier otro que contenga datos generales, públicos, sensibles, semiprivados o privados.
- Electrónicos: Datos contenidos en medios magnéticos, o equipos de cómputo y almacenados en servidores propios, o en la nube, y que contienen información de trabajadores, socios, proveedores, clientes y prospectos de clientes, y cualquier otro que contenga datos generales, públicos, sensibles, semiprivados o privados.
Artículo 5. Clases de Datos. Los datos tratados por SPATARO corresponden a dos clases:
- Datos Públicos: Datos relativos a la identificación general del titular, nombre o razón social, número de identificación o NIT, datos de ubicación tales como dirección, teléfonos, correos electrónicos, el estado civil de las personas, a su profesión u oficio y su calidad de comerciante o de servidor público
- Datos semiprivados: cargo, salario, género, fecha de nacimiento, nivel de escolaridad, tipo de vivienda, estrato, teléfono móvil, personas con dependencia económica, Información patrimonial de los socios, números de cuenta bancaria, referencias comerciales, laborales, personales y familiares y las demás requeridas por el sistema general de seguridad social.
Parágrafo 1: los datos a los que hace referencia el presente artículo se solicitan a personas naturales y jurídicas, titulares de la información por ser socios, trabajadores, proveedores, o clientes.
Parágrafo 2: SPATARO, en su actividad ordinaria, no solicitará información sensible, intima o privada para ningún propósito, por tal razón, ningún trabajador o prestador de servicios está autorizado para solicitarla.
Artículo 6. Protección especial para los niños, niñas y adolescentes. La Ley 1581 de 2012 regula el manejo apropiado de los datos personales de los menores de edad, procurando una especial protección y por lo tanto su tratamiento podrá realizarse siempre y cuando no se vulnere o se ponga en riesgo o en peligro alguno de sus derechos fundamentales y se busque la protección de sus intereses y su desarrollo armónico integral.
Artículo 7. Finalidades de las Bases de Datos. La información suministrada por los titulares a SPATARO tendrá las siguientes finalidades:
- Trabajadores y Colaboradores
- Verificación de datos y referencias.
- Verificación de riesgos de salud.
- Información de empleados, control de horario, formación de personal.
- Gestión de nómina, gestión de trabajo temporal, prestaciones sociales, prevención de riesgos laborales, promoción y gestión de personal.
- Declaración y pago de aportes a seguridad social; inspección y control de seguridad y protección social; pensiones, subsidios y otras prestaciones económicas.
- Desarrollo operativo, envío de comunicaciones.
- Campañas de actualización de datos e información de cambios en el tratamiento de datos personales.
- Administración de sistemas de información, gestión de claves, administración de usuarios, etc.
- Proveedores y Contratistas
- Verificación de datos y referencias, verificación de requisitos jurídicos, técnicos y/o financieros.
- Gestión de pagos, gestión de facturación, gestión económica y contable, históricos de relaciones comerciales.
- Campañas de actualización de datos e información de cambios en el tratamiento de datos personales.
- Requerimiento por organismos de control, datos no sensibles; requerimiento por organismos de control, datos privados y/o sensibles; atención y seguimiento de requerimientos de autoridad judicial o administrativa.
- Clientes
- Gestión de cobros, gestión de facturación, gestión económica y contable, históricos de relaciones comerciales, actividades de prevención de fraude.
- Campañas de actualización de datos e información de cambios en el tratamiento de datos personales.
- Realizar actividades de marketing y/o promoción directamente por SPATARO o por terceros.
- Encuestas de opinión, segmentación de mercados, sistemas de ayuda a la toma de decisiones.
- Prospección comercial, Publicidad propia o de terceros.
- Ofrecimiento de productos.
- Gestionar solicitudes, quejas y/o reclamos.
- Transferir y/o transmitir los datos personales de los titulares dentro y/o fuera del país a terceros, como consecuencia de una relación contractual, ley o vínculo lícito que así lo requiera, para la prestación de servicios o en virtud o cumplimiento de acuerdos comerciales, alianzas o relaciones contractuales.
- Imágenes y Videos
- Garantizar la seguridad de bienes o personas que permanecen dentro o fuera de las instalaciones privadas de la empresa, y podrán ser utilizadas como prueba en cualquier proceso jurídico o civil.
- Cumplir con los lineamientos de reconocimiento del cliente, establecidos en el manual interno del sistema de prevención y control adoptado por la empresa.
- Controlar el acceso físico y lógico a las instalaciones y activos de la empresa.
Artículo 8. Recolección: La solicitud de la información se hará verbal o escrita (física o electrónica) directamente al titular o representante, quien autorizará el uso de la información para los fines previstos, y respetando los principios definidos en el artículo 2 de la presente política.
Artículo 9. Autorización. El responsable del tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de los datos, la autorización del titular para el tratamiento de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del tratamiento para las cuales se obtiene su consentimiento.
En caso de haber cambios sustanciales referidos a la identificación del responsable y a la finalidad del tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, el responsable del tratamiento debe comunicar estos cambios al titular antes de, o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del titular una nueva autorización cuando el cambio se refiera a la finalidad del tratamiento.
Artículo 10. Casos en que no es necesaria la autorización. La autorización del titular no será necesaria cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el registro civil de las personas.
Artículo 11. Prueba de la autorización. Los Responsables deberán conservar prueba de la autorización otorgada por los titulares de datos personales para el tratamiento de los mismos.
Artículo 12. Revocatoria de la autorización y/o supresión del dato. Los titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales siempre y cuando no altere la veracidad de la información, la legalidad, o afecte las relaciones comerciales o laborales establecidas; también podrán revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 22 de la presente política.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.
Artículo 13. Actualización y Rectificación: En desarrollo del principio de veracidad o calidad, en el tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el titular o cuando el responsable haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del tratamiento.
Artículo 14. Responsable de la Información. SPATARO NAPOLI S.A.S. es el ente jurídico responsable del uso y tratamiento de la información, que reposa en las bases de datos de la empresa, en cabeza de su representante legal, y desde aquí se definen las políticas para la recolección, almacenamiento, circulación, actualización, uso, suministro y supresión de la información y revocatoria de la autorización.
Artículo 15. Encargados de la información. SPATARO NAPOLI S.A.S. encarga para el tratamiento de datos personales a:
- Trabajadores y Colaboradores: Jefe de Gestión Humana y Asistente de Nómina
- Proveedores y contratistas: Jefe de Bodega y contador
- Clientes: asistente de cartera y auxiliar contable,
- Redes y medios: Mercadeo y Comunicaciones.
Parágrafo: El director de cada área, se responsabiliza por el manejo que los operarios den a la información, tales como recolección, almacenamiento, actualización, uso, circulación o supresión.
Artículo 16. Personas a las que se les puede suministrar información. Conforme a lo definido en el artículo 13 de la ley 1581 de 2012, la información que reúna las condiciones establecidas podrá suministrarse a las siguientes personas:
- A los titulares, sus causahabientes o sus representantes legales.
- A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
- A los terceros autorizados por el titular o por la ley.
CAPITULO III
DERECHOS DE LOS TITULARES
Artículo 17. Derechos de los Titulares. El titular de los datos personales tendrá los siguientes derechos:
- Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 del 2012.
- Ser informado por el responsable del tratamiento o el encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
Artículo 18. Legitimación para el ejercicio de los derechos del Titular. Los derechos de los Titulares establecidos en la Ley 1581 del 2012, podrán ejercerse por las siguientes personas:
- Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.
- Por sus causahabientes, quienes deberán acreditar tal calidad.
- Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
- Por estipulación a favor de otro o para otro.
Artículo 19. Del derecho de Acceso. Todo titular de la información tiene derecho a consultar sus datos de manera gratuita una vez al mes, o cuando existan modificaciones sustanciales en la política para el tratamiento de la información, que motiven su consulta.
Artículo 20. Consultas. Los titulares o sus causahabientes podrán consultar la información personal del titular que repose en las bases de datos. El encargado del tratamiento deberá suministrar toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.
La consulta se formulará por medio escrito dirigido al responsable o encargado del Tratamiento, a la dirección calle 24 # 3-46, en la ciudad de Cali – Valle del Cauca o a la dirección de correo electrónico info.data@spataro.com.co, siempre y cuando se pueda mantener prueba de ésta.
La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Parágrafo. Las disposiciones contenidas en leyes especiales o los reglamentos expedidos por el Gobierno Nacional podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal.
Artículo 21. Medios para ejercer los derechos. SPATARO designa al área de HSEQ, como responsable de recepcionar y gestionar las quejas, peticiones o reclamos que tenga el titular de la información, y asegurar así el ejercicio de sus derechos.
Artículo 22. Procedimiento para Reclamos, Quejas o Peticiones. El titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la presente política, podrán presentar un reclamo ante el responsable del tratamiento, el cual será tramitado bajo las siguientes reglas:
- El reclamo se formulará mediante solicitud dirigida a la empresa SPATARO o a la dirección de correo electrónico data@spataro.com.co indicando: la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañado de los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
- En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
- Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
- El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
CAPITULO IV
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS DEL TRATAMIENTO
Artículo 23. Deberes de los Responsables del Tratamiento. Los responsables del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:
- Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
- Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el titular.
- Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
- Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado.
- Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
- Tramitar las consultas y reclamos formulados en los términos señalados en la presente política y en la ley 1581/2012.
- Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.
- Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
- Informar a solicitud del titular sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Artículo 24. Deberes de los Encargados del Tratamiento. Los encargados del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:
- Garantizar al titular, en todo tiempo el pleno y efectivo ejercicio del derecho de hábeas data.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.
- Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
- Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente política.
- Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de política para el tratamiento de datos personales y, en especial, para la atención de consultas y reclamos por parte de los titulares.
- Registrar en la base de datos la leyenda “reclamo en trámite” cuando el titular o sus causahabientes lo hayan solicitado conforme a lo definido en el literal c del artículo 22 de la presente política.
- Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
- Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Parágrafo. En el evento en que concurran las calidades de responsable del tratamiento y encargado del tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.
CAPÍTULO V
POLÍTICA PARA EL TRATAMIENTO DE DATOS PERSONALES EN REDES SOCIALES Y PAGINAS WEB
Artículo 25. Del manejo de la información en Redes Sociales. SPATARO define para el tratamiento de la información en las redes sociales de Facebook e Instagram y cualquier otra donde tenga una cuenta institucional:
- La información que se divulgue en las redes sociales será exclusivamente de carácter institucional.
- Se prohíbe a los trabajadores, directivos y cualquier tercero que pueda tener acceso a la red, divulgar información personal o privada que no contribuya al desarrollo de la organización, o que vaya en detrimento de la empresa o de cualquier persona.
- Se prohíbe divulgar fotos de carácter personal, íntimo y privado.
- Se prohíbe circular publicidad ajena a SPATARO sin mediar autorización expresa.
- Solamente se divulgará la información correspondiente a sus actividades empresariales y servicios prestados, sin vulnerar la privacidad personal o empresarial de sus trabajadores, socios, clientes o proveedores.
Parágrafo: Las disposiciones del presente artículo, serán incluidas en el reglamento interno de trabajo de la empresa y su violación o contravención prestará mérito para acciones disciplinarias.
Artículo 26. Del tratamiento de la información en la página web.
- La página web de SPATARO es de carácter institucional.
- Solo se divulgará información relacionada con la actividad productiva y comercial.
- No se divulgará información de clientes y beneficiarios, salvo autorización expresa, siempre y cuando se relacione con las actividades de la empresa.
CAPITULO VI
DISPOSICIONES VARIAS
Artículo 27. Aviso de privacidad. En los casos en los que no sea posible poner a disposición del titular las políticas de tratamiento de la información, SPATARO informará por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.
Artículo 28. Contenido mínimo del Aviso de Privacidad. El aviso de privacidad, como mínimo, deberá contener la siguiente información:
- Nombre o razón social y datos de contacto del responsable del tratamiento.
- El tratamiento al cual serán sometidos los datos y la finalidad del mismo.
- Los derechos que le asisten al Titular.
- Los mecanismos dispuestos por el responsable para que el titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el aviso de privacidad correspondiente. En todos los casos, debe informar al titular cómo acceder o consultar la política de tratamiento de información.
La divulgación del aviso de privacidad no eximirá a SPATARO de la obligación de dar a conocer a los titulares la política de tratamiento de la información, de conformidad con lo establecido en el decreto 1377 de 2013.
Artículo 29. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la información. SPATARO conservara el modelo del aviso de privacidad que utilice para cumplir con el deber que tienen de dar a conocer a los titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo, la empresa SPATARO podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.
Artículo 30. Medios de difusión del aviso de privacidad y de las políticas de tratamiento de la información. Para la difusión del aviso de privacidad, del manual y de la política de tratamiento de la información, SPATARO podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.
Artículo 31. Obligación de Actualizar la información en el RNBD. SPATARO está obligada a revisar y actualizar la información registrada en el registro nacional de bases de datos, por lo menos una vez al año, y mensualmente cuando haya cambios sustanciales en la información; se manejen datos sensibles, privados o semiprivados, o cambie el fin y uso en el tratamiento de datos personales. Cuando esto suceda, la empresa deberá informar a los titulares los cambios realizados, mediante los mecanismos físicos o electrónicos verificables.
Artículo 32. Modificaciones y Reformas a la Política para el tratamiento de datos personales. La empresa se reserva el derecho de revisar, modificar o actualizar la presente política para el tratamiento de datos personales, cuando lo estime necesario y siempre que no vaya en contrario a la legislación vigente. La empresa se obliga a comunicar en forma inmediata los cambios o modificaciones generados en la política para el tratamiento de datos personales, a todos los titulares de sus bases de datos, mediante los medios físicos y/o electrónicos permitidos por la ley.
Artículo 31. Vigencia. La presente política para el tratamiento de datos personales entra en vigencia a partir del 10 de noviembre del 2016. Las bases de datos estarán vigentes el mismo tiempo que dure la relación contractual con el titular y el tiempo requerido por la ley para los casos particulares.
Artículo 32. Utilización y transferencia internacional de datos personales e información personal por parte de SPATARO. El titular de la información autoriza expresamente que la totalidad de su información pueda ser transferida y/o transmitida al exterior, observando la regulación vigente, en desarrollo de las relaciones internacionales de SPATARO cuando esto sea necesario. SPATARO tomará todas las medidas que sean necesarias para que los terceros que conozcan la información de los titulares, sujeto a la obligación de mantener la confidencialidad, conozcan y observen esta Política, bajo el entendido que la información personal que reciban únicamente podrá ser utilizada para asuntos directamente relacionados con la relación que mantienen con SPATARO y para la consecución de los fines de dicha relación, mientras está esté en vigencia
Este documento de Política para el tratamiento de datos personales se pone a disposición de los titulares y los organismos de supervisión del estado.
Dado en la ciudad de Cali, al (*) de diciembre de 2020.
Julio Cesar Spataro Domínguez
Gerente