Título I. Objeto, ámbito de aplicación, destinatarios y definiciones.

Artículo 1. Objeto. El establecimiento de comercio Inversiones en Línea, registrado a nombre de persona natural en régimen simplificado en cumplimiento de las disposiciones constitucionales y legales (En especial, la Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales y demás normas que la reglamenten o modifiquen) que rigen la protección de datos personales (Derecho al habeas data, de autodeterminación informativa o informática), adopta la presente política para realizar su tratamiento, a fin de garantizar que los titulares puedan conocer, incluir, actualizar, rectificar y excluir la información que sobre ellos se hayan recopilado previa autorización otorgada al respecto, en bases de datos o archivos de la Empresa.

Artículo 2. Ámbito de aplicación. Los procedimientos y directrices establecidos en esta política se aplicarán al tratamiento de cualquier base de datos o archivos creados, administrados y/o custodiados por la Empresa, ya sea como responsable o encargado del tratamiento.

Parágrafo. De igual manera, esta Política será aplicable a todos los destinatarios previstos en el artículo siguiente.

Artículo 3. Destinatarios. La presente Política es de obligatorio cumplimiento para: 

a) El representante legal, miembros de Asamblea General de Accionistas y de Junta Directiva en caso de existir.

b) Todos los trabajadores dependientes de La empresa.

c) Personas naturales o jurídicas vinculadas a través de cualquiera de las modalidades contractuales establecidas en los formatos de contratación de La empresa.

d) Los demás previstos en la normativa o alguna disposición contractual.

Artículo 4. Definiciones. Para efectos de esta política se entiende por:

a) Área: Dependencia que integra la estructura administrativa de La empresa. Cuando en esta Política se imponga una obligación a un área o se solicite contactarla, se entiende que aquella se impone o se solicita al jefe de cada área o quien haga sus veces.

b) Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

c) Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

d) Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

e) Bases de datos automatizadas: Aquellas que se almacenan y administran con la ayuda de herramientas informáticas y/o tecnológicas.

f) Bases de datos manuales: Son los archivos cuya información se encuentra organizada y almacenada de manera física.

g) Cesión de datos. Tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario.

h) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, tales como el nombre, el número de identificación, la dirección, las imágenes que sobre personas se capturan, la huella dactilar, la afinidad política, la pertenencia a organizaciones sindicales, cosmovisión, formación académica, la condición sexual, entre otros.

i) Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

j) Dato público: Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos

públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

k) Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general.

l) Datos sensibles: Es el dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

m) Empresa: Inversiones en Línea, establecimiento de comercio registrado por persona natural en régimen simplificado.

n) Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

o) Fuentes accesibles al público: Se refiere a aquellas bases contentivas de datos personales cuya consulta puede ser efectuada por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación.

p) Habeas data: El derecho fundamental que otorga la facultad al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en la posibilidades de divulgación, publicación o cesión de los mismos, conforme a los principios que informan el proceso de administración de bases de datos personales.

q) Información negativa: Es aquella que refleja una condición que impacta desfavorablemente la imagen y el buen nombre del titular.

r) Información positiva: Es aquella que refleja una condición que impacta favorablemente la imagen y el buen nombre del titular.

s) Información reservada: Es aquella información exceptuada legalmente de acceso a la ciudadanía por cuanto su divulgación es susceptible de producir daños a derechos de personas naturales o jurídicas o a intereses públicos. Se entiende que ocurre lo primero cuando ello afecta la intimidad, el derecho a la vida, a la salud o a la seguridad de personas naturales o cuando se trata de secretos comerciales, industriales y profesionales. La divulgación de información afecta intereses públicos y por tanto es reservada en los casos previstos en el artículo 19 de la ley 1712 de 2014 (cuando afecte la defensa y seguridad nacional; la seguridad pública; las relaciones internacionales; la prevención, investigación y persecución de los delitos y las faltas disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso; el debido proceso y la igualdad de las partes en los procesos judiciales; la administración efectiva de la justicia; los derechos de la infancia y la adolescencia; la estabilidad macroeconómica y financiera del país; la salud pública; así como los documentos que contengan las opiniones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos).

t) Normativa: Hace referencia a la Constitución Política de Colombia, leyes, decretos, resoluciones, ordenanzas, acuerdos, conceptos de la Autoridad Nacional de Protección de Datos Personales y jurisprudencia. 

u) Profesional encargado de la Política de Tratamiento de Datos Personales: Es el profesional designado por la Gerencia Jurídica para desarrollar las funciones relativas a la implementación y cumplimiento de la presente Política.

v) Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

w) Titular: Persona natural cuyos datos personales sean objeto de tratamiento. 

x) Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en la República de Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

y) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

z) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Título II. Principios

Artículo 5. Principios. En el desarrollo, interpretación y aplicación de la presente política, se aplicarán, de manera armónica e integral, los siguientes principios:

a) Principio de legalidad en materia de tratamiento de datos: El tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la normativa vigente.

b) Principio de interpretación integral de derechos constitucionales: Los procedimientos y directrices establecidas en esta política se interpretarán en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables;

c) Principio de finalidad: El tratamiento de datos personales obedecerá a finalidades legítimas de acuerdo con la Constitución y la ley, las cuales serán informadas al titular.

d) Principio de libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

e) Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

f) Principio de transparencia: Se garantizará el derecho del titular a obtener por los medios de consulta establecidos en esta política, información acerca de la existencia de datos que le conciernan.

g) Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones en materia de habeas data y la Constitución. En este sentido, el tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la normativa vigente. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la ley.

h) Principio de seguridad: La información sujeta a tratamiento por parte de la Empresa se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

i) Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la normatividad que desarrolla el derecho al habeas Data.

j) Principio de temporalidad de la información: La información del titular no será suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.

Título III. Derechos y condiciones de legalidad para el tratamiento de datos.

Artículo 6. Derechos de los titulares. El titular de los datos personales tendrá los siguientes derechos:

a) Conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

b) Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito para el tratamiento de conformidad con la ley.

c) Ser informado, previa solicitud, respecto del uso que se le ha dado a sus datos personales.

d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente política y las normas que rigen la materia, cumpliendo para el efecto con el requisito de procedibilidad consistente en haber agotado el trámite de consulta o reclamo ante la Empresa.

e) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento se ha incurrido en conductas contrarias a la ley y a la Constitución.

f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

Artículo 7. Autorización del titular. La Empresa solicitará, a más tardar en el momento de la recolección de los datos, la autorización del titular para el tratamiento de los mismos e informarle los datos personales que serán recolectados así como las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento.

Para tal efecto, todos los trabajadores de La Empresa, en especial, los jefes de área (vicepresidentes, gerentes, directores y jefes) y los responsables de cada proceso en el que se requiera hacer tratamiento de datos personales, tienen la obligación de garantizar que previamente al tratamiento de estos se obtenga la autorización del titular de manera libre, expresa e informada, siguiendo los parámetros establecidos por la normativa colombiana y la presente Política.

La autorización del titular puede darse:

(i) por escrito,

(ii) de forma oral o,

(iii) mediante conductas inequívocas que permitan concluir de forma razonable que se otorgó la autorización.

Garantizando en todo caso que esta sea susceptible de posterior consulta. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

Parágrafo I. Cada área conservará soporte de la autorización para el tratamiento de datos personales.

Artículo 8. Contenido de la autorización. Cualquier autorización para el tratamiento de datos personales en donde la Empresa actúe como responsable o encargada del tratamiento deberá contener por lo menos lo siguiente:

a) El tratamiento al cual serán sometidos los datos personales y la finalidad del mismo.

b) El carácter facultativo de la autorización relativa a datos sensibles y de menores de edad.

c) Los derechos que le asisten al titular.

d) La identificación, dirección física o electrónica y teléfono de la Empresa.

Artículo 9. Casos en que no es necesaria la autorización. La autorización del titular no será necesaria cuando se trate de:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

b) Datos de naturaleza pública.

c) Casos de urgencia médica o sanitaria.

d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

e) Datos relacionados con el registro civil de las personas.

Artículo 10. Autorización para el tratamiento de datos sensibles. La autorización para el tratamiento de datos sensibles deberá obtenerse de manera expresa de forma que contenga además de los requisitos del artículo anterior lo siguiente:

a) Informe al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.

b) Informe al titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.

Parágrafo: Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

Artículo 11. Aviso de privacidad. El aviso de privacidad es el documento mediante el cual se da a conocer al titular la información relativa a la existencia de la política de tratamiento de datos personales, la forma de acceder a esta, la finalidad del mismo, los datos de contacto de la Empresa y los canales dispuestos por la misma para que los titulares de la información ejerzan los derechos previstos en la presente política.

El aviso de privacidad se encuentra disponible para ser consultado permanentemente en el sitio web de esta tienda adjudicado por la Empresa: http://www.tiendadelmotero.com

Parágrafo: La Empresa se reserva el derecho de modificar el aviso de privacidad. En este sentido, cualquier cambio será dado a conocer oportunamente en la página web http://www.tiendadelmotero.com

Artículo 12. Tratamiento de los datos personales. La empresa realizará tratamiento consistente en recolectar, almacenar, usar, circular, registrar, administrar, reportar, procesar, emplear, evaluar, analizar, confirmar, actualizar y suprimir, bajo estándares de confidencialidad, seguridad, transparencia, veracidad, temporalidad, acceso y circulación restringida, de conformidad con las disposiciones normativas y en el marco de su objeto social para fines administrativos, operativos, estadísticos, comerciales y para todo aquello que se considere pertinente en desarrollo de las funciones, actividades y operaciones comprendidas dentro del mismo.

Artículo 13. Finalidad. Los colaboradores de La empresa solamente realizarán tratamiento de datos personales para cumplir con una finalidad legítima relacionada con las responsabilidades a su cargo.

 

Por consiguiente, la recolección de datos personales se limitará a aquellos que son pertinentes, adecuados, necesarios y útiles para el (o los) propósito (s) para el (los) cual (es) son recolectados o requeridos de conformidad con el aviso de privacidad.

Título IV. Deberes y obligaciones

Artículo 14. Deberes de la empresa como responsable de tratamiento. La Empresa, como responsable o encargada del tratamiento cumplirá con los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley:

a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

b) Solicitar y conservar copia de la respectiva autorización otorgada por el titular.

c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

d) Informar a solicitud del titular sobre el uso dado o que se dará a sus datos.

e) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

f) Tramitar las consultas y reclamos formulados en los términos señalados en la presente política y realizar oportunamente la actualización, rectificación o supresión de los datos.

g) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

h) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

i) Registrar en la base de datos la leyenda “reclamo en trámite” cuando este sea formulado por parte del titular de la información o “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

j) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

k) Permitir el acceso a la información únicamente a las personas que están legitimadas para acceder a ella.

Artículo 15. Deberes de la empresa frente a los encargados del tratamiento. En los casos en que la Empresa como responsable del tratamiento suministre a un encargado información personal lo hará atendiendo los siguientes deberes:

a) Suministrar, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado.

b) Garantizar que la información suministrada sea veraz, completa, exacta, actualizada, comprobable y comprensible.

c) Exigir en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.

d) Exigir el cumplimiento de las disposiciones previstas en la ley y en la presente política.

e) Informar cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

Artículo 16. Deberes de los encargados del tratamiento. Los encargados del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones normativas que rijan su actividad:

a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la normativa sobre la materia.

d) Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

e) Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la normativa.

f) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los titulares.

g) Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se regula en la normativa.

h) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

i) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. 

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Parágrafo I. En los casos en que concurran en La empresa las calidades de responsable encargado del tratamiento, se cumplirán los deberes previstos para cada uno.

Artículo 17. Obligaciones de las áreas de La empresa. Para el cumplimiento estricto de la normativa sobre protección de datos personales, cada área de La empresa:

1. Debe hacer un inventario de las bases de datos o archivos que hasta el momento administra, indicando el objeto, la finalidad y el tiempo de existencia y reportarlo al Representante Legal, en el término que esta establezca.

2. A partir de la fecha, si requiere crear una base de datos o archivo que contenga información personal, debe previamente establecer el objeto, la finalidad y el tiempo de existencia y reportarlo al Representante Legal para que, en el término de diez días hábiles a partir de la fecha en que se reciba la información, emita concepto motivado estableciendo si es o no favorable su implementación y uso. El concepto negativo del Representante Legal equivale a la prohibición de crear la base de datos o archivo solicitado. Sin embargo, si el área subsana las observaciones expuestas por la Gerencia Jurídica en su concepto, en caso de ser procedente, podrá solicitarse ante esta la reconsideración de la decisión, en forma motivada para que apruebe su constitución.

3. Debe elaborar un inventario detallado de terceros encargados del tratamiento de datos personales existentes a la fecha, en el que explique las actividades que desarrolla y analice las condiciones del tratamiento y lo remitirá al Representante Legal junto con el contrato u orden, para que el Representante Legal estudie las estipulaciones contractuales que reglamentan el vínculo jurídico con La empresa en los términos de la normativa, así como los criterios y la metodología que empleará La empresa para realizar una adecuada supervisión del cumplimiento de la normativa sobre protección de datos personales por parte de los terceros encargados. El Representante Legal dará a conocer el resultado del estudio dentro de los quince días hábiles siguientes.

4. A partir de la fecha, si requiere encargar el tratamiento de datos personales a un tercero, debe previamente comunicar al Representante Legal las actividades a desarrollar, las condiciones en que se ejecutará el tratamiento, la metodología para tal fin, los manuales y políticas de protección de datos personales obtenidos en sondeos de mercados, para que el Representante Legal determine que existe un nivel adecuado de protección de datos personales y se avale su invitación.

5. Cada vez que requiera modificar el objeto, la finalidad, el tipo de datos, y el tiempo de existencia de una base de datos o archivo, deberá justificarlo razonadamente a través de comunicación escrita o correo electrónico que dirigirá al Representante Legal con el propósito de que, en el término de diez días hábiles a partir de la fecha en que se reciba la comunicación, emita concepto favorable o desfavorable a su implementación. El concepto negativo del Representante Legal equivale a la prohibición de modificar la base de datos o archivo. Sin embargo, si el área subsana las observaciones expuestas por al Representante Legal en su concepto, en caso de ser procedente, podrá solicitarse ante este la reconsideración de su decisión en forma motivada para que apruebe su modificación.

6. Debe definir el (o los) trabajador (es) que de forma exclusiva podrá (n) realizar tratamiento de atos personales y lo informará al Representante Legal o el área que haga sus veces para que, en el término de diez días hábiles a partir del recibo de la comunicación, elabore el contenido de las obligaciones a incluir en el perfil del cargo. A su vez, al Representante Legal remitirá al área solicitante el contenido de las obligaciones para que esta gestione la actualización del perfil del cargo y responsabilidades.

7. Deberá garantizar que no se implementarán bases de datos o archivos que contengan únicamente información negativa o adversa.

8. Deberá dar a conocer al titular de la información el contenido del aviso de privacidad antes de tomar la autorización, para garantizar que conozca todas las finalidades de la información.

9. Deberá revisar de manera oficiosa y oportuna el aviso de privacidad elaborado por la Gerencia Jurídica y proponer las inclusiones o ajustes que considere pertinentes. 

10.Debe remitir al Representante Legal los formatos en los que se recopilan datos personales que hasta la fecha existen, indicando la finalidad de los mismos y de la información a recopilar, para que el Representante Legal, en el término de diez días hábiles contados a partir del recibo de la comunicación, determine si es necesario o no la inclusión de la autorización para el tratamiento de los mismos.

11. A partir de la fecha, cada vez que vaya a crear formatos en los que se recolecta información personal, debe remitir al Representante Legal el proyecto de dicho formato indicando la finalidad de los mismos y de la información a recopilar, para que el Representante Legal, en el término de diez días hábiles contados a partir del recibo de la comunicación, determine si es necesario o no la inclusión de la autorización para el tratamiento de los mismos.

12. Debe adoptar todas las medidas que impidan el acceso no autorizado a terceros, para proteger la información, evitando su manipulación, alteración o supresión y tener en cuenta que la información personal recopilada en bases de datos o archivos es de circulación restringida, por lo cual, por regla general, solamente se divulgará a terceros autorizados por el titular de acuerdo a las finalidades autorizadas o a legitimados para solicitar tal información. 

13. Coadyuvar en la implementación y consolidación de la Política de Tratamiento de Datos Personales que lidera el Representante Legal.

Artículo 18. Obligaciones de los oferentes y contratistas. Todos los oferentes y contratistas de La empresa garantizarán en todas las etapas del tratamiento que realicen, un nivel adecuado de protección de los datos personales.

Igualmente, garantizarán que cualquier información personal de la cual sean responsables y que deban ser suministradas a La empresa con ocasión de la presentación de la oferta o del contrato, es objeto de debido tratamiento de conformidad con la normativa sobre protección de datos personales y cuenta con autorización previa, consentida y susceptible de posterior consulta.

Título V. Procedimiento para la recepción y resolución de consultas y reclamos.

Artículo 19. Legitimación para el ejercicio de los derechos del titular. Los derechos del titular, podrán ejercerse por las siguientes personas: 

1. Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que ponga a disposición el responsable.

2. Por sus causahabientes, quienes deberán acreditar tal calidad.

3. Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.

4. Por estipulación a favor de otro o para otro.

5. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.

Parágrafo I. El titular, sus causahabientes o el legitimado deberán anexar con la consulta o reclamo copia de su documento de identidad y los demás que considere necesarios para sustentar su requerimiento.

Parágrafo II. Si la consulta o reclamo se refiere a un titular fallecido, el cónyuge, compañero permanente y/o causahabientes, deben presentar la solicitud, anexando copia auténtica del registro civil de defunción del titular de la información y copia auténtica del registro civil que acredite el parentesco (de matrimonio, de nacimiento, etc.) o declaración extra juicio en casos de unión marital de hecho.

Artículo 20. Consultas. El legitimado al efecto realizará las consultas a través de comunicación escrita o por medio de correo electrónico, en la que: 

i) determine su identidad (nombre completo y número de identificación personal); 

ii) precise de manera clara, específica, detallada y fundamentada el objeto de la consulta;

iii) establezca y acredite el interés legítimo con el que actúa, anexando siempre los soportes del caso, por ejemplo, poder con nota de reconocimiento de contenido y firma ante notario público e,

iv) informe dirección física y/o electrónica para recibir comunicaciones.

Las principales materias objeto de consulta son:

a) Solicitud de información de acceso a datos personales.

b) Solicitud de prueba o constancia de autorización.

c) Consulta del uso que se le ha dado a la información.

Parágrafo: La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular, de forma que la misma sea de fácil lectura, sin barreras técnicas que impidan su acceso y corresponda en un todo a aquella que repose en la base de datos.

Artículo 21. Reclamos. El titular, sus causahabientes u otra persona con un interés legítimo podrán presentar un reclamo por escrito o por medio de correo electrónico ante el área responsable, el cual contendrá: 

i) la determinación de la identidad (nombre completo y número de identificación personal;

ii) una precisión clara, específica, detallada y fundamentada del objeto del reclamo;

iii) la manifestación del interés legítimo con el que actúa así como su acreditación, anexando siempre los soportes del caso, por ejemplo, poder con nota de reconocimiento de contenido y firma ante notario público y, 

iv) la dirección física y/o electrónica para recibir comunicaciones.

Las principales materias objeto de reclamo son:

a) Corrección o actualización de datos personales del titular.

b) Revocatoria parcial o total de la autorización del tratamiento.

c) Supresión de datos personales.

Artículo 22. Corrección o actualización de datos personales del titular. El reclamo consistente en la corrección de datos personales deberá contener además de los requisitos establecidos en el artículo anterior, la especificación de las correcciones a realizar y acompañarse de la documentación que avale su petición.

Artículo 23. Revocatoria parcial o total de la autorización del tratamiento. Los titulares de datos personales tienen derecho a revocar la autorización cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, lo cual procederá en aquellos casos en los que presentada la solicitud la Empresa así lo determina o en los cuales, la autoridad de protección de datos personales lo ordene.

No obstante, si la Empresa considera que no es procedente la revocación así lo informará mediante comunicación motivada, dentro de los términos previstos en el numeral vii del artículo 28 de esta Política.

Por su parte, revocada la autorización la Empresa procederá a eliminar de las bases de datos respectivas las informaciones en ellas contenidas.

Artículo 24. Supresión de datos personales. Los titulares de datos personales tienen derecho a la supresión de los mismos cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

El reclamo consistente en la solicitud de supresión de datos personales deberá contener además de los requisitos establecidos en el artículo 21 de esta política, la identificación de los datos cuya supresión se pretende y procederá en aquellos casos en los que la Empresa así lo determine o en los cuales la autoridad de protección de datos personales lo ordene.

Artículo 25. Improcedencia de la solicitud de supresión de los datos o revocatoria de la autorización. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

Artículo 26. Datos del responsable del tratamiento y área delegada para la atención de consultas y reclamos. El responsable del tratamiento es el establecimiento de comercio Inversiones en Línea registrado a nombre de persona natural régimen simplificado, quien se encuentra domiciliada en Bogotá D.C. Asimismo, la dependencia delegada para recibir, atender y resolver las consultas y reclamos de titulares de datos personales o personas legitimadas para ello, es el Representante Legal de la Empresa, ubicado en la calle 182 No. 45 - 85 Int 18 de Bogotá D.C., teléfono 300 577 2282, correo electrónico Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Artículo 27. Procedimiento para atender consultas. Cuando se presente una consulta, se actuará así:

i) El Representante Legal recibirá la consulta, quien se la asignará inmediatamente al profesional encargado de la política de protección de datos personales.

ii) El profesional encargado de la política de protección de datos personales revisará, dentro de los dos días hábiles siguientes a la asignación del caso por parte del Representante Legal, que la consulta se haya presentado por el titular de la información o quien esté legitimado para ello con el cumplimiento de los requisitos establecidos en el artículo 20 de esta política. 

iii) Si la consulta no cumple con todos los requisitos establecidos en el artículo 20 de esta política, esta no se atenderá y se informarán los motivos al remitente, 

iv) Si la consulta cumple con los requisitos establecidos en el artículo 20 de esta política, se analizará el objeto de la misma para determinar si se requiere el suministro de información y/o apoyo de otra área de la Empresa. De ser así, el profesional encargado de la política de protección de datos personales remitirá por correo electrónico la consulta al Representante Legal para que, en el término de dos (2) días hábiles a partir del recibo, se pronuncie de fondo y, si es del caso, allegue la documentación pertinente para atender la consulta.

v) La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se resolverá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Artículo 28. Procedimiento para atender reclamos. Cuando se presente un reclamo, se actuará así: 

i) El Representante Legal recibirá en forma física y/o electrónica quien se la asignará inmediatamente al profesional encargado de la política de protección de datos personales.

ii) El profesional encargado de la política de protección de datos personales revisará, dentro de los dos días hábiles siguientes a la asignación del caso por parte del Representante Legal, que el reclamo se haya presentado por el titular de la información o quien esté legitimado para ello con el cumplimiento de los requisitos establecidos en el artículo 21 de esta política. 

iii) Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

iv) En caso de que la Empresa no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de cinco (5) días hábiles e informará de la situación al interesado.

v) Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a cinco (5) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

vi) Se analizará el objeto del reclamo para determinar si se requiere el suministro de información y/o apoyo de otra área de la Empresa. De ser así, el profesional encargado de la política de protección de datos personales remitirá por correo electrónico el reclamo al Representante Legal para que, en el término de dos hábiles a partir del recibo, se pronuncie de fondo y, si es del caso, allegue la documentación pertinente para atender la consulta. 

vii)El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se resolverá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Título VI. Disposiciones finales

Artículo 29. Temporalidad del tratamiento. El tratamiento de los datos personales por parte de La empresa se realizará durante cinco años contados a partir de la fecha de recolección por parte de La empresa y, en todo caso, hasta el cumplimiento de (o las) finalidad (es) para la (s) cual (es) se autorizó o cuando resulte procedente por disposición legal o contractual. 

La información negativa o adversa permanecerá por un lapso de cinco años, salvo que una ley disponga un plazo inferior. Vencido el término máximo de permanencia, el dato negativo será eliminado de la respectiva base de datos o archivo, garantizando el derecho al olvido de los titulares de la información.

Artículo 34. Integración. Hace parte integral de esta Política el aviso de privacidad.

Artículo 35. Vigencia. La presente política para el tratamiento de datos personales rige a partir de la fecha de su expedición.

Bogotá, julio 13 de 2016

Inicia sesión para enviar comentarios

Top
Usamos Cookies en este sitio web. Si continúas navegando aquí, se comprende que nos estás dando tu consentimiento de que dichas cookies sean usadas. More details…