Estudio Legal Abogados & Consultores S.A.S. (en Adelante Estudio Legal
- DEFINICIONES
Esta lista contiene las definiciones de las abreviaturas y términos utilizados en este documento.
Aviso de Privacidad: Es la comunicación por medio de la cual el responsable informa a los titulares de datos personales sobre la existencia de la política de tratamiento de la información y la forma de acceder a ella y la finalidad que se le pretende dar a los datos personales.
Autorización: Es el consentimiento previo, expreso e informado del Titular de la Información para llevar a cabo el tratamiento de sus datos personales, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior, se entenderá que la autorización cumple con los requisitos cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización.
Esta autorización debe ser solicitada por el Responsable del Tratamiento, a más tardar en el momento de la recolección de los datos, y en ella deberá informar al titular la finalidad con el cual serán recolectados y tratados los datos personales y el tratamiento al cual serán sometidos, los derechos que le asisten como Titular, la información y los canales de comunicación a través de los cuales los Titulares pueden ejercer sus derechos ante el Responsable y/o Encargado del Tratamiento y la facultad que tiene el Titular de dar o no respuesta a preguntas que versen sobre datos sensibles o sobre los datos de menores de edad.
Bases de Datos Automatizadas: Las bases de datos automatizadas son aquellas que se almacenan y administran con la ayuda de herramientas electrónicas o informáticas.
Bases de Datos Manuales: Las bases de datos manuales o archivos son aquellos cuya información se encuentra organizada y almacenada de manera física.
Base de Datos Personales: Es un conjunto organizado de datos personales que se utiliza para llevar el registro y la administración de los mismos, bien sea en medio físico o en medio electrónico e independientemente de la cantidad de datos personales que contenga. Las bases de datos pueden tener tratamiento automatizado o manual, en el territorio colombiano o fuera de él.
Canales de Atención al Titular: Son los distintos medios que ESTUDIO LEGAL como Responsable y/o Encargado del tratamiento de datos personales, ha puesto a disposición de los titulares para el ejercicio de los derechos de conocer, actualizar, rectificar y revocar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y en general a aquellos a los que se refiere la Ley 1581 de 2012 y demás normativa aplicable.
Cesión de Datos: Se entiende como el tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario.
Cliente: Es la persona natural o jurídica a la cual ESTUDIO LEGAL le presta servicios profesionales en virtud de una relación comercial preexistente.
Colaboradores: Se entiende para efectos del presente manual, como colaboradores, los trabajadores de ESTUDIO LEGAL y personas que prestan sus servicios para temas específicos por contrato de prestación de servicios.
Consentimiento: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Dato Biométrico. Dato personal obtenido a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o con firmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
Dato Personal: Es toda aquella información asociada o vinculada a una persona y que permite su identificación. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional. Existe también información más sensible como su estado de salud, sus características físicas, ideología política, vida sexual, etc.
Dato Privado: Es el dato de naturaleza íntima y reservada, que sólo es relevante para el titular.
Dato Público: Es el dato como tal según la ley o la Constitución Política de Colombia denominado como tal y que no sea semiprivado o privado. Por ejemplo: los datos contenidos en documentos públicos, sentencias judiciales ejecutoriadas, etc.
Dato Semiprivado: Es el dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a un sector de personas; por ejemplo un dato financiero y crediticio de actividad comercial o de servicios.
Dato Sensible: Es el dato que puede afectar la intimidad del titular o cuyo uso indebido puede generar su discriminación. A manera de ejemplo se entiende como Dato Sensible entre otros información relacionada con origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como datos relativos a la salud, a la vida sexual y biométricos.
Empleado: Persona natural que presta servicios personales a ESTUDIO LEGAL en virtud de un contrato de trabajo.
Encargado del Tratamiento: Es la persona natural o jurídica, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. Para efectos del marco normativo sobre protección de datos personales, el Encargado del tratamiento es un tercero, ajeno a la empresa, por lo que no debe confundirse con el empleado que al interior de la organización es quien administra o hace uso de la base de datos.
Exempleado: Persona natural que prestó servicios personales a ESTUDIO LEGAL en virtud de un contrato de trabajo que terminó por cualquier causa.
Grupo Empresarial. Grupo constituido por una empresa que ejerce el control y sus empresas controladas.
Habeas Data: Es el derecho que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y que garantiza a todos los ciudadanos poder de decisión y control sobre su información personal.
Oficial de Cumplimiento de Protección de Datos Personales: Es la persona que ha designado ESTUDIO LEGAL para que asuma la función de protección de datos personales, y será quien dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos de conocer, actualizar, rectificar y revocar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada y en general a aquellos a los que se refiere la Ley 1581 de 2012 y demás normativa aplicable.
ESTUDIO LEGAL: Entiéndase ESTUDIO LEGAL ABOGADOS & CONSULTORES S.A.S.
Posible Cliente: Es la persona natural o jurídica de la que ESTUDIO LEGAL recibe datos para efectos de presentar una propuesta de servicios.
Proveedor: Es la persona natural o jurídica que suministra bienes y/o servicios a ESTUDIO LEGAL en virtud de una relación comercial preexistente.
Responsable del Tratamiento: Es la persona natural o jurídica que decida sobre la base de datos y/o el Tratamiento de los datos. Para efectos de este manual, ESTUDIO LEGAL se considerará como el responsable del tratamiento de la información.
RNBD: Registro Nacional de Bases de Datos, es el directorio público de las bases de datos sujetas a tratamiento que operan en el país, el cual será administrado por la Superintendencia de Industria y Comercio y será de libre de consulta.
SIC: Superintendencia de Industria y Comercio, autoridad de control en Colombia sobre datos personales.
Terceros: Se entiende por terceros para efectos de este manual, los proveedores, clientes y cualquier tercero que tenga una relación comercial con ESTUDIO LEGAL.
Titular de la Información: Es la persona natural o jurídica a quien se refiere la información que reposa en un base de datos y sujeto al derecho de Habeas Data.
Transferencia: Se entiende que hay transferencia de datos personales, cuando el Responsable y/o Encargado del tratamiento de datos personales que se encuentre ubicado en el País envíe los datos personales a un receptor que a su vez es Responsable del tratamiento y se encuentra dentro o fuera de Colombia.
Transmisión: La transmisión tiene lugar cuando existe un tratamiento de datos personales que implica la comunicación de estos dentro o fuera del país y que tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
Tratamiento: El Tratamiento es cualquier operación o conjunto de operaciones sobre los datos personales, como la recolección, almacenamiento, uso, circulación o supresión, entre otros.
Usuario: Es la persona natural o jurídica que puede acceder a información personal de uno o varios titulares de la información.
Violación de datos personales: Se entiende por tal el delito consagrado en el artículo 269 F del Código Penal Colombiano que establece: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en base de datos, archivos, bases de datos o medios semejantes, incurrirá́ en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.
Violación de las Medidas de Seguridad de los Datos Personales: Se entenderá como tal, la situación que implique una violación de las medidas de seguridad adoptadas por ESTUDIO LEGAL para proteger los datos personales entregados para su custodia sea como Responsable y/o Encargado, así́ como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí́ dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los datos personales deberá́ ser informado a la autoridad de control respectiva.
Visitantes: Se entiende para efectos del presente manual, como Visitante, toda persona natural que se encuentre en las instalaciones de ESTUDIO LEGAL y que no tenga la calidad de Empleado. - AUTORIDAD
La Autoridad de Protección de Datos es la Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de datos Personales, quien ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la ley.
Funciones
a) Velar por el cumplimiento de la legislación en materia de protección de datos personales;
b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva;
d) Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementará campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;
e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley;
f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos;
h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento;
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional;
j) Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personajes; - PRINCIPIOS
En el desarrollo, interpretación y aplicación para el Tratamiento de Datos Personales, se aplicarán, de manera armónica e integral, los siguientes principios:
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido a la Ley 1581 de 2012 y en las demás disposiciones que la desarrollen;
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las autoridades; Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados;
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma. - DATOS DE IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO
Razón Social: ESTUDIO LEGAL ABOGADOS & CONSULTORES S.A.S.
NIT. 900.450.030-6
Domicilio: Bogotá – Colombia
Dirección: Calle 113 No. 7-45 Ofc 1014
Correo Electrónico: info@estudiolegal.com.co
Teléfono: 601-7021499
ESTUDIO LEGAL se reserva el derecho de modificar, en cualquier momento, unilateralmente su política de privacidad y de tratamiento de datos personales. No limitaremos sus derechos derivados de la presente Política de Tratamiento de la Información y de uso de datos personales sin su expreso consentimiento. Publicaremos cualquier modificación de la presente Política de privacidad y de uso de datos personales en esta página. Además, conservaremos las versiones anteriores de la presente Política de privacidad y de uso de datos personales. - OFICIAL DE CUMPLIMIENTO DE PROTECCIÓN DE DATOS PERSONALES
En cumplimiento de la normatividad vigente en la materia, ESTUDIO LEGAL ha dispuesto como Oficial de Cumplimiento de Protección de Datos Personales y por tanto encargado del trámite de consultas, peticiones, quejas y/o reclamos, al Coordinador del Área de Derecho Corporativo actualmente en cabeza de ELSA MARGARITA ROJAS OSORIO cuyos datos son los siguientes:
Dirección: Calle 113 No. 7-45 Ofc 1014 de Bogotá
Correo Electrónico: info@estudiolegal.com.co
Teléfono: 601-7021499 - ALCANCE Y OBJETIVOS
El objetivo del presente manual es garantizar el derecho que tienen todas las personas a conocer, actualizar, rectificar y revocar la información que se haya recopilado sobre ellas en las bases de datos o archivos de ESTUDIO LEGAL y entregar a los colaboradores de ESTUDIO LEGAL proveedores y terceros, los lineamientos para el adecuado manejo de la información y datos personales, propendiendo por asegurar la seguridad en el uso de dicha información y el cumplimiento de los estándares legales establecidos en el ordenamiento jurídico colombiano teniendo en cuenta que para el desarrollo de nuestra operación, ESTUDIO LEGAL continuamente está recopilando y efectuando tratamientos de bases de datos que contienen información y datos personales.
Es importante mencionar que en el momento en el que el titular de los datos suministra, entrega o envía cualquier tipo de información personal a ESTUDIO LEGAL, acepta que dicha información sea utilizada de acuerdo con lo establecido en este manual, con la aclaración que dicha información no será utilizada para actividades o propósitos diferentes a los aquí́ previstos, en todo caso, en el evento que dicha información personal sea utilizada para otros propósitos, su utilización deberá́ estar amparada en alguna de las excepciones que sobre el particular prevé́ la normatividad o contar con la autorización expresa del Titular.
Para ESTUDIO LEGAL , es un compromiso constante el propender por el respeto y garantía de los derechos de sus clientes, trabajadores, proveedores y terceros en general, en desarrollo de lo anterior adoptamos el siguiente manual de políticas y procedimientos de manejo de información y tratamiento de datos personales de obligatoria aplicación en todas las actividades que involucre, total o parcialmente, la recolección, el almacenamiento, el uso, la circulación y transferencia de esa información.
Las reglas adoptadas en este Manual se adecúan a los estándares internacionales en materia de protección de datos personales. - AMBITO DE APLICACIÓN Y MARCO NORMATIVO
Este manual aplica a los auditores y/o revisores fiscales en caso de aplicar, los funcionarios y colaboradores de todos los niveles de ESTUDIO LEGAL, representantes legales y administradores, proveedores y terceros en general que presten sus servicios a ESTUDIO LEGAL bajo cualquier modalidad contractual, visitantes, y a todo aquel que se encuentre en condición de usuario de los datos personales y a quien aplique de acuerdo con la normatividad aplicable vigente.
Este manual aplica a todas las bases de datos que se encuentren en poder de ESTUDIO LEGAL y datos personales contenidos en ellas, aplica también para las relaciones entre ESTUDIO LEGAL como responsable y cualquiera de sus encargados.
Se aplicará al tratamiento de datos personales efectuado en territorio colombiano, o cuando le sea aplicable la norma al responsable y/o encargado ubicado fuera del territorio colombiano, en virtud de tratados internacionales, relaciones contractuales, entre otros.
Los principios y disposiciones contenidos en este manual se aplicarán a cualquier base de datos personales que se encuentre en custodia de ESTUDIO LEGAL, bien sea en calidad de responsable y/o como encargado del tratamiento.
Este manual será aplicable a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento y que se encuentre en poder de ESTUDIO LEGAL, y será también para todos los titulares de información personal que sea utilizada y/o se encuentre en las bases de datos de ESTUDIO LEGAL quien actúa en calidad de responsable del tratamiento de los datos personales.
Esta información puede ser obtenida, entre otros, a través de medios como i) relación comercial o profesional con el respectivo cliente, proveedor u otros terceros; ii) relación laboral con los trabajadores y exempleados; iii) aplicación a procesos de selección; iv) asistencia a capacitaciones, seminarios o cursos; y v) remisión de correos electrónicos solicitando información; entre otros.
El manual tiene como base el marco legal regulatorio de protección de datos personales cuyo fin es la salvaguarda de la información que nos ha sido confiada, siendo nuestra intención recolectar exclusivamente aquella información que ha sido suministrada voluntariamente por nuestros clientes, proveedores, trabajadores, exempleados, colaboradores, visitantes, terceros, etc.
El marco normativo aplicable al presente manual es el siguiente: Artículo 15 de la Constitución Política de Colombia, Ley 1266 de 2008, Decreto 1727 de 2009, Decreto 2952 de 2010, Ley 1581 de 2012, Resolución 76434 de 2012, Decreto 1377 de 2013, Decreto 886 de 2014, Circular 02 de 2015, Circular Única de la Superintendencia de Industria y Comercio -Título V, Sentencias C – 1011 de 2008, y C – 748 del 2011 de la Corte Constitucional.
El artículo 15 de la Constitución de la República de Colombia establece que cualquier persona tiene derecho a conocer, actualizar y rectificar los datos personales que existan sobre ella en banco de datos o archivos de entidades públicas o privadas. Igualmente, ordena a quienes tienen datos personales de terceros respetar los derechos y garantía previstos en la Constitución cuando se recolecta, trata y circula esa clase de información.
La Ley Estatutaria 1581 del 17 de octubre de 2012 establece las condiciones mínimas para realizar el tratamiento legítimo de los datos personales de los clientes, empleados y cualquier otra persona natural. El literal k) del artículo 18 de dicha ley obliga a los responsables del tratamiento de datos personales a «adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos».
El artículo 25 de la misma ley establece que las normas de tratamiento de datos son de obligatorio cumplimiento y que su desconocimiento acarreará sanciones, dichas normas no pueden garantizar un nivel de tratamiento inferior al establecido en la ley 1581 de 2012.
De conformidad con la ley 1273 de 2009 incurre en el delito de violación de datos personales quien «sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes». - GENERALIDADES DEL TRATAMIENTO DE DATOS PERSONALES
1. El tratamiento de datos personales sólo puede hacerse con el consentimiento, previo, expreso e informado del titular, por lo anterior, los datos personales no podrán ser obtenidos, tratados o divulgados si autorización del titular salvo mandato legal o judicial que supla el consentimiento del titular.
2. Los datos de carácter personal recolectados deben ser veraces, completos, exactos, comprobables, comprensibles y mantenerse actualizados, en consecuencia, se prohíbe el tratamiento de datos parciales, fraccionados, incompletos o que induzcan a error.
3. En el tratamiento de datos personales se garantizará el derecho del titular a obtener y conocer del responsable y/o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
4. Los datos personales que sean recolectados o tratados por ESTUDIO LEGAL, serán usados solo en el ámbito de la finalidad y autorización concedida por el titular del dato personal, por esta razón, no podrán ser accedidos, transferidos, cedidos ni comunicados a terceros.
5. Los datos personales bajo custodia de ESTUDIO LEGAL no podrán estar disponibles en Internet o en cualquiera otro medio de divulgación masiva, salvo que el acceso sea técnicamente controlable y seguro, y para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a lo dispuesto en la ley y los principios que gobiernan la materia.
6. En la recolección de los datos personales se deberá tener en cuenta la finalidad del tratamiento y/o de la base de datos; por tanto deben ser datos adecuados, pertinentes y no excesivos ni desproporcionados en relación con la finalidad. Se prohíbe la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen.
7. Agotada la finalidad para la cual fue recolectado y/o tratado el dato personal, deberá cesar su uso y por ende ESTUDIO LEGAL adoptará las medidas de seguridad pertinentes a tal fin.
8. ESTUDIO LEGAL, en calidad de responsable o encargado del tratamiento de datos personales, según el caso, adoptará las medidas de seguridad físicas, tecnológicas y/o administrativas que sean necesarias para garantizar los atributos de integridad, autenticidad y confiabilidad de los datos personales. ESTUDIO LEGAL, de acuerdo con la clasificación de los datos personales, implementará las medidas de seguridad de nivel alto, medio o bajo, aplicables según el caso, con el fin de evitar la adulteración, pérdida, fuga, consulta, uso o acceso no autorizado o fraudulento.
9. ESTUDIO LEGAL y todas las personas que intervengan en el tratamiento de datos personales, tienen la obligación profesional de guardar y mantener la reserva de tales datos, obligación que subsiste aún finalizada la relación contractual y/o comercial, para este fin, ESTUDIO LEGAL implementará, en sus relaciones contractuales, cláusulas de protección de datos en este sentido.
10. ESTUDIO LEGAL informará a los titulares de los datos personales, así como a los responsables y encargados del tratamiento, del contenido de este manual que incluye las políticas y procedimientos aplicables en materia de protección de datos, así mismo informará sobre la existencia de las bases de datos de carácter personal que custodie, los derechos y el ejercicio del habeas data por parte de los titulares, procediendo al registro que exige la ley. - AUTORIZACIÓN DEL TITULAR
El tratamiento de datos personales en ESTUDIO LEGAL sólo puede hacerse con el consentimiento, previo, expreso e informado del titular, los datos personales no podrán ser obtenidos, tratados o divulgados sin dicha autorización salvo mandato legal o judicial que supla el consentimiento del titular, dicha autorización deberá constar en algún medio que permita su posterior consulta.
Al momento mismo de suministrar, entregar o enviar cualquier tipo de información personal a ESTUDIO LEGAL, el Titular de los datos debe aceptar que dicha información va a ser utilizada de acuerdo con el presente manual para el Tratamiento de Datos Personales.
ESTUDIO LEGAL, no utilizará los datos suministrados para actividades o propósitos diferentes a los aquí previstos, no obstante, en el evento en que dicha información personal sea utilizada para otros propósitos, su utilización deberá estar amparada en alguna de las excepciones que sobre el particular prevé la normatividad o contar con la autorización expresa del Titular, las cuales se relacionan en el presente Manual.
No obstante lo anterior, y de conformidad con la Ley, ESTUDIO LEGAL podrá proceder al Tratamiento de datos personales, sin que se requiera autorización previa, cuando se trate de:
1. Información requerida por una Entidad Pública o Administrativa en ejercicio de sus funciones legales o por orden judicial;
2. Datos de naturaleza pública (de conformidad con la definición legal del término);
3. Casos de urgencia médica o sanitaria;
4. Tratamiento de información autorizado por la Ley para fines históricos, estadísticos o científicos;
5. Datos relacionados con el Registro Civil de las Personas.
Salvo las excepciones anteriormente mencionadas, y dentro de los fines legítimos propios del objeto social de ESTUDIO LEGAL, en ningún caso suministrará, distribuirá, comercializará, compartirá, intercambiará con terceros y, en general, realizará actividad alguna en la cual se vea comprometida la confidencialidad y protección de la información recolectada. - MANEJO DE DATOS SENSIBLES
De acuerdo con lo establecido por la Ley Estatutaria 1581 de 2012, el Tratamiento de datos sensibles se encuentra prohibido, salvo las siguientes excepciones:
a) Cuando el Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
b) Cuando el Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
c) Cuando el Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
d) Cuando el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
e) Cuando el Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
En virtud de lo anterior, ESTUDIO LEGAL no recolectará ni tratará datos personales sensibles, salvo autorización expresa del titular y en aquellos casos de ley en los cuales no se requiera del consentimiento. La información personal de carácter sensible que se pueda obtener de un proceso de selección de personal o en virtud de alguna visita que Usted realice a nuestras instalaciones será protegida a través de medidas de seguridad altas.
ESTUDIO LEGAL prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible sin autorización del titular del dato personal y/o de ESTUDIO LEGAL.
El incumplimiento de esta prohibición por parte de los trabajadores y/o colaboradores de ESTUDIO LEGAL será considerado como falta grave, que podrá dar lugar a la terminación de la relación laboral, civil o comercial según el caso, sin perjuicio de las acciones legales a que haya lugar.
De igual forma, el incumplimiento de esta prohibición por parte de los proveedores y/o terceros de ESTUDIO LEGAL será considerada como causa grave para dar terminación al contrato o relación comercial, sin perjuicio de las acciones legales a que haya lugar.
Los datos sensibles que se identifiquen serán informados al titular de los mismos, con el fin de que si así lo decide proceda a eliminarlos; de no ser posible esta opción, ESTUDIO LEGAL procederá a eliminarlos de manera segura.
ESTUDIO LEGAL prohíbe el acceso, uso, cesión, comunicación, tratamiento, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible que llegaren a ser identificados en un procedimiento de auditoría.
ESTUDIO LEGAL garantiza la responsabilidad reforzada sobre el tratamiento de datos sensibles y no condiciona ninguna actividad al suministro de estos. - TRATAMIENTO Y FINALIDAD DEL TRATAMIENTO DE LOS DATOS PERSONALES
En el tratamiento de datos personales que realiza ESTUDIO LEGAL, la permanencia de los datos en sus sistemas de información estará determinada por la finalidad de dicho tratamiento, de esta manera, agotada la finalidad para la cual se recolectaron los datos, ESTUDIO LEGAL procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado.
Se prohíbe a los destinatarios de este Manual cualquier tratamiento de datos personales que pueda dar lugar a alguna de las conductas descritas en la ley de delitos informáticos 1273 de 2009.
a. Respecto de los Datos Personales suministrados por Clientes
ESTUDIO LEGAL podrá llevar a cabo el Tratamiento de la información personal acerca de sus Clientes para los propósitos de prestar los servicios profesionales por ellos contratados, de conformidad con el objeto social de ESTUDIO LEGAL, en ese sentido, los documentos de naturaleza contractual que se celebren con Clientes se regirán por lo dispuesto en el Manual, e incluirán una cláusula que regule el Tratamiento de la información a la que se acceda en virtud del mismo y en la que se pacte una previsión en relación con los perjuicios que se pueden llegar a ocasionar a ESTUDIO LEGAL como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente y negligente del cliente.
ESTUDIO LEGAL podrá llevar a cabo el tratamiento de la información personal de sus Clientes actuales o futuros (posibles clientes) y de aquellos Clientes con los cuales haya terminado su relación comercial, con la finalidad de enviarles información comercial que a juicio de ESTUDIO LEGAL pueda ser de su interés; así como, entre otros, invitarlos a eventos que organice ESTUDIO LEGAL; remitir boletines o publicaciones y en general, utilizar los datos para el desarrollo de las actividades comprendidas en su objeto social.
Los datos que sean recolectados por ESTUDIO LEGAL podrán, eventualmente, ser compartidos con terceros o autoridades que ejercen supervisión y/o control, con la finalidad de dar cumplimiento con los requerimientos de dichas entidades.
La información personal de terceros, cuyo Responsable sea el Cliente, que deba conocer ESTUDIO LEGAL en razón o con ocasión de la prestación de los servicios contratados por el Cliente, debe contar con autorización por parte del titular y que dicha autorización faculta al Cliente para el Tratamiento de los datos por parte de ESTUDIO LEGAL en virtud del principio de Buena Fe asume que ha sido Tratada en apego estricto a lo dispuesto en la Ley 1581 y el Decreto 1377 de 2013. En todo caso, los datos personales de terceros cuyo Responsable sea el Cliente serán tratados en el marco del objeto de los servicios contratados por el Cliente con la finalidad de dar cumplimiento a la relación contractual que ESTUDIO LEGAL haya entablado con el Cliente.
ESTUDIO LEGAL¸ con ocasión de los eventos, capacitaciones o demás actividades llevadas a cabo por éstas en desarrollo de su objeto social, podrá grabar y tomar audios, videos o fotos de Clientes del desarrollo de éstos, datos que podrán ser utilizados por ESTUDIO LEGAL en general en cualquier actividad que realice en desarrollo de su objeto social.
El Tratamiento de los datos que se recolecten en virtud de lo aquí dispuesto será llevado a cabo y estará vigente mientras se mantenga la finalidad por la cual fueron recolectados los datos respectivos.
b. Respecto de los Datos Personales de Empleados; Contratistas;
ESTUDIO LEGAL y/o el tercero que este contrate para la realización de las actividades relacionadas con la liquidación y pago de nómina (que se entenderá “encargado” y/o “responsable” según las condiciones contractuales que se pacten para este efecto) llevará a cabo el Tratamiento de información personal de los empleados de ESTUDIO LEGAL y su núcleo familiar con la finalidad de cumplir con las obligaciones que emanan de las respectivas relaciones laborales, como pagos de nómina, otorgamiento de beneficios, evaluaciones de desempeño, afiliación y pago al sistema de seguridad social integral, caja de compensación, etc., cumplimiento de políticas internas, entre otros.
Así mismo, ESTUDIO LEGAL y/o el tercero que este contrate para la realización de las actividades relacionadas con contratación de personal (que se entederá “encargado” y/o “responsable” según las condiciones contractuales que se pacten para este efecto) podrá recolectar información personal de aspirantes que se presenten para procesos de selección con la finalidad de poder adelantar los procesos respectivos.
ESTUDIO LEGAL y/o el tercero que este contrate para la realización de las actividades relacionadas con contratación de personal, podrá almacenar indefinidamente la información de quienes se presenten para estos procesos y utilizarla en procesos de selección de personal futuros, para lo cual se entiende que quien someta a consideración su hoja de vida, por cualquier medio, entiende y autoriza el Tratamiento de sus datos personales en estos términos.
Los datos personales e información obtenida del proceso de selección respecto de las personas seleccionadas para trabajar en ESTUDIO LEGAL, serán almacenados en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible. En este sentido, ESTUDIO LEGAL almacenará los datos personales e información personal de los trabajadores en una carpeta identificada con el nombre de cada uno de ellos, esta carpeta que puede ser física o digital solo podrá será accedida y tratada por el Área de Recursos Humanos y con la finalidad de administrar la relación contractual entre ESTUDIO LEGAL y el trabajador.
ESTUDIO LEGAL, con ocasión de los eventos, capacitaciones o demás actividades llevadas a cabo en desarrollo de sus actividades, podrá grabar y tomar audios, videos o fotos de los empleados, estos datos podrán ser utilizados por ESTUDIO LEGAL en publicaciones y en general en cualquier actividad de ESTUDIO LEGAL, incluso una vez el empleado se retire de ESTUDIO LEGAL y se considere un exempleado.
El uso diferente de los datos e información personal de los trabajadores solo procederá́ por orden de autoridad competente, siempre que en ella radique tal facultad, para lo cual corresponderá́ al Área Legal de ESTUDIO LEGAL, evaluar la competencia y eficacia de la orden de la autoridad competente, con el fin de prevenir una cesión no autorizada de datos personales.
Los datos personales e información obtenida del proceso de selección, serán almacenados en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible.
El Tratamiento de los datos que se recolecten en virtud de lo aquí dispuesto será llevado a cabo y estará vigente mientras se mantenga la finalidad por la cual fueron recolectados los datos respectivos. - DERECHOS DE LOS TITULARES DE DATOS PERSONALES
Los titulares o sus causahabientes debidamente acreditados de acuerdo con lo establecido en la Ley, respecto de los datos personales tendrán los siguientes derechos:
1. El derecho a obtener toda la información respecto de: (i) sus propios datos personales, sean parciales o completos, (ii) del tratamiento aplicado a los mismos, (iii) de la finalidad del tratamiento, (iv) la ubicación de las bases de datos que contienen sus datos personales, (v) y sobre las comunicaciones y/o cesiones realizadas respecto de ellos, sean éstas autorizadas o no. Para este fin podrán consultar, mediante solicitud escrita gratuita, sus datos que reposen en cualquier base de datos cuyo Responsable sea ESTUDIO LEGAL.
2. El derecho de actualizar o modificar sus datos personales cuando éstos hayan tenido alguna variación o cuando la información resulte ser incompleta o inexacta o inexistente.
3. El derecho a cancelar sus datos personales o suprimirlos cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas, salvo en aquellos casos contemplados como excepciones por la ley.
4. El derecho de revocar el consentimiento o la autorización que fue entregada a ESTUDIO LEGAL para realizar el tratamiento con determinada finalidad, salvo en aquellos casos contemplados como excepciones por la ley y/o que sea necesario en un marco contractual o legal específico.
5. El derecho de oponerse al tratamiento de sus datos personales, salvo los casos en que tal derecho no proceda por disposición legal o por vulnerar intereses generales superiores al interés particular, en este sentido ESTUDIO LEGAL revisará desde el punto de vista legal los argumentos del titular con la finalidad de determinar si prevalece el interés general sobre el particular o si por el contrario hay una preeminencia del derecho particular del titular del dato.
6. El derecho a presentar ante ESTUDIO LEGAL por medio de los canales que están destinados para este fin y que se mencionan en el presente Manual, así como ante la Superintendencia de Industria y Comercio, o la entidad que fuera competente; peticiones, quejas y reclamos, así como instaurar las acciones que resulten pertinentes para la protección de sus datos.
7. El derecho de presentar una queja ante la Superintendencia de Industria y Comercio cuando considere que se ha incumplido este Manual o la normatividad vigente sobre la protección de datos personales.
8. El derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para que ESTUDIO LEGAL pueda realizar el tratamiento de sus datos personales. Si bien dicha autorización no será requerida en los siguientes casos, el tratamiento de los mismos debe darse atendiendo los principios y disposiciones establecidas en la legislación vigente para protección de datos personales:
a. Cuando la información sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.
b. Cuando se trate de datos de naturaleza pública.
c. En casos de emergencia médica o sanitaria.
d. Cuando el tratamiento de la información sea autorizado por la ley para fines históricos, estadísticos o científicos.
e. Cuando se trate de datos personales relacionados con el Registro Civil de las personas.
9. El derecho a solicitar a ESTUDIO LEGAL, prueba de la aceptación dada para el tratamiento de sus datos personales, siempre que no se trate de aquellos casos en los cuales la Ley exceptúa de obtener la Autorización del Titular, o aquellos casos en los cuales la recolección de dato se dio con anterioridad al 27 de junio de 2013. Para los datos recolectados con anterioridad a la expedición del Decreto 1377 del 27 de Junio de 2013 deberá procederse de acuerdo con lo establecido en el presente Manual. - PROCEDIMIENTOS
A. PROCEDIMIENTOS QUE DEBEN LLEVAR A CABO LOS TITULARES PARA EJERCER LOS DERECHOS RELACIONADOS CON SUS DATOS PERSONALES:
i. Cuando se trate de Consultas y/o inquietudes:
Cuando el titular o sus causahabientes quieran presentar consultas relacionadas con los datos personales que reposen en cualquier base de datos que se encuentre en poder de ESTUDIO LEGAL, deberá presentar mediante petición escrita a la dirección y/o correo electrónico ya mencionados, en la cual deberá incluir toda la información que esté vinculada con la identificación del titular de dicho dato, de igual forma cuando dicha consulta tenga como finalidad elevar inquietudes sobre el contenido del presente manual y/o sobre el Tratamiento que ESTUDIO LEGAL le ha dado a sus datos. En el evento en el cual la solicitud se haga mediante correo físico, el Titular deberá indicar la dirección a la cual desea que le sea enviada la respuesta.
La solicitud deberá estar acompañada de la dirección a la cual quiere que le sea remitida la información, de su número de identificación, de una copia de su cédula de ciudadanía, extranjería o pasaporte y deberá estar firmada por el titular de los datos personales. Esta documentación podrá ser suministrada por medio físico o digital. En los casos en que el titular este representando por un tercero, este debera allegar el respectivo poder con reconocimiento de firma ante Notario, en estos casos el apoderado deberá también adjuntar copia de su documento de identificación como se indicó anteriormente.
La solicitud deberá contener la petición concreta y precisa de información la cual deberá estar adecuadamente fundamentada y adjuntar los documentos que la soportan.
En caso de faltar alguno de los requisitos antes señalados, el Área Encargada lo comunicará al interesado dentro de los cinco (5) días siguientes a la recepción de la solicitud, para que esta situación sea subsanada, una vez realizado este procedimiento se continuará entonces a dar respuesta a la solicitud. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud.
Una vez recibida la comunicación respectiva, el Área Encargada si se trata únicamente de una consulta contará con un término máximo de diez (10 ) días hábiles para dar respuesta. Cuando no sea posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Los términos mencionados para efectos de las consultas se contarán a partir de la fecha de recibo de la consulta, en el caso de reclamos a partir del día siguiente a la fecha de su recibo.
El Área Encargada enviará la respuesta respectiva al correo electrónico desde el cual se envió la inquietud y/o reclamo, o a la dirección que se señale en la solicitud. Toda solicitud que carezca de dirección física o electrónica para responder no se estudiará, y será descartada.
El Área Encargada dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud indicará que se trata de una consulta en trámite y en la respectiva base de datos de Peticiones, Quejas y/o Reclamos (PQR) se deberá consignar una casilla en la que se indique las siguientes leyendas: “Consulta en trámite” y “Consulta resuelta” a fin de que conste el status actualizado de la misma según sea el caso.
Cuando ESTUDIO LEGAL ostente la calidad de Encargado del tratamiento, deberá informar tal situación al titular o interesado en el dato personal, y comunicar al responsable del dato personal la solicitud, con el fin de que éste de respuesta a la solicitud de consulta presentada. Copia de esta comunicación deberá ser dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de sus derechos y por tanto dar oportuna respuesta a su solicitud.
ESTUDIO LEGAL documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes, información que será tratada conforme a la política de correspondencia y gestión documental de ESTUDIO LEGAL.
ii. Cuando se trate de Reclamos:
El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.
Cuando el Titular o sus causahabientes soliciten que se corrija, actualice y/o se supriman sus datos de las bases de datos cuyo Responsable sea ESTUDIO LEGAL, deberá enviar una solicitud por escrito a la dirección y/o correo electrónico antes señalado, que deberá contener de acuerdo con lo establecido en el Artículo 15 de la Ley 1581 de 2012, la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección a la cual se debe responder o notificar y los documentos que se quieran hacer valer y soporten la solicitud, entre los cuales deberá anexar una copia de su cédula de ciudadanía, extranjería o pasaporte.
La solicitud deberá estar acompañada de una copia de su cédula de ciudadanía, extranjería o pasaporte y deberá estar firmada por el titular de los datos personales. Esta documentación podrá ser suministrada por medio físico o digital. En los casos en que el titular este representando por un tercero, este debera allegar el respectivo poder con reconocimiento de firma ante Notario, en estos casos el apoderado deberá también adjuntar copia de su documento de identificación como se indicó anteriormente.
La solicitud debe contener la petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revocatoria del consentimiento y en cada caso deberá estar razonablemente fundamentada.
Cuando lo que se solicite sea la actualización o corrección de un dato, el Titular deberá declarar que la nueva información que está entregando a ESTUDIO LEGAL es cierta.
En caso de faltar alguno de los requisitos antes señalados, el Área Encargada lo comunicará al interesado dentro de los cinco (5) días siguientes a la recepción de la solicitud, para que esta situación sea subsanada, una vez realizado este procedimiento se continuará entonces a dar respuesta a la solicitud. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud.
Una vez recibida la solicitud respectiva, el Área Encargada tendrá quince (15) días hábiles para dar trámite a su solicitud, en caso de no ser posible atender la solicitud dentro del término antes señalado, se informará al Titular los motivos de la demora y la fecha en que se atenderá́ la misma, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Los términos mencionados para efectos de reclamos se contarán a partir del día siguiente a la fecha de su recibo.
El Área Encargada enviará la respuesta respectiva al correo electrónico desde el cual se envió la inquietud y/o reclamo, o a la dirección que se señale en la comunicación. Toda comunicación que carezca de dirección física o electrónica para responder no se estudiará, y será descartada.
El Área Encargada dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud indicará que se trata de un reclamo en trámite y en la respectiva base de datos de Peticiones, Quejas y/o Reclamos (PQR) se deberá consignar una casilla en la que se indique las siguientes leyendas: “Reclamo en trámite” y “Reclamo resuelto” a fin de que conste el status actualizado de la misma según sea el caso.
Para todos los efectos, en lo no establecido en este aparte, se dará cumplimiento a lo establecido en el Artículo 15 de la Ley 1581 de 2012.
Cuando ESTUDIO LEGAL ostente la calidad de Encargado del tratamiento, deberá informar tal situación al titular o interesado en el dato personal, y comunicar al responsable del dato personal la solicitud, con el fin de que éste de respuesta a la solicitud de reclamo presentada. Copia de esta comunicación deberá ser dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de sus derechos y por tanto dar oportuna respuesta a su solicitud.
ESTUDIO LEGAL documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes, información que será tratada conforme a la política de correspondencia y gestión documental de ESTUDIO LEGAL.
B. SEGURIDAD DE LA INFORMACIÓN:
ESTUDIO LEGAL está comprometida en proteger a sus usuarios como a nosotros mismos del acceso no autorizado o cualquier modificación, divulgación o destrucción no autorizada de la información que poseemos.
La transmisión de datos a través de Internet o cualquier red inalámbrica no puede garantizarse que sea 100% segura, por lo tanto asumen y conocen que a partir de su uso hay un riesgo probable de vulnerabilidad. Sin embargo, contamos con protocolos de seguridad y acceso a nuestros sistemas de información, almacenamiento y procesamiento.
Como resultado de ello, al mismo tiempo que tratamos de proteger su información personal, no podemos asegurar o garantizar la seguridad de cualquier información que usted transmita a ESTUDIO LEGAL, por lo que usted lo hace bajo su riesgo. En particular:
• Poseemos controles sobre nuestros sistemas de información que nos permite mantener una mejor calidad de su información.
• Revisamos nuestras prácticas de recopilación, almacenamiento y procesamiento de información, incluidas nuestras medidas de seguridad físicas, para protegernos frente al acceso no autorizado a los sistemas.
• ESTUDIO LEGAL ha desplegado una serie de procedimientos internos para garantizar el correcto funcionamiento de los esquemas de seguridad técnica. No obstante ESTUDIO LEGAL no se responsabiliza por cualquier consecuencia derivada del ingreso indebido o fraudulento por parte de terceros a la base de datos y/o por alguna falla técnica en el mantenimiento.
• Restringimos el acceso a la información personal que poseemos de nuestros clientes y/o usuarios, a los empleados y contratistas que necesiten conocer tal información para procesarla por nosotros, y que estén sujetos a estrictas obligaciones contractuales de confidencialidad y puedan ser sancionados o despedidos si no cumplen con estas obligaciones.
MEDIDAS DE SEGURIDAD. En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012, ESTUDIO LEGAL. adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
IMPLEMENTACIÓN DE LAS MEDIDAS DE SEGURIDAD. ESTUDIO LEGAL mantendrá protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.
El procedimiento deberá considerar, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del procedimiento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en la Ley 1581 de 2012
c) Funciones y obligaciones del personal.
d) Estructura de las bases de datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Procedimientos de realización de copias de respaldo y de recuperación de los datos.
g) Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad que se implemente
h) Medidas a adoptar cuando un soporte o documento vaya a ser transportado, desechado o reutilizado.
i) El procedimiento deberá mantenerse actualizado en todo momento y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
j) El contenido del procedimiento deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos personales
ALMACENAMIENTO DE SUS DATOS PERSONALES. Los datos personales de todos nuestros clientes y/o usuarios se almacenarán en una base de datos que se encuentra detrás de un firewall para mayor seguridad. El servidor en donde reposa la base de datos está protegido físicamente en un lugar seguro. Sólo personal autorizado puede acceder a él y por tanto a los datos personales de nuestros clientes y/o usuarios.
C. PROCEDIMIENTO PARA LA ELABORACIÓN Y DILIGENCIAMIENTO DEL REGISTRO CENTRAL DE DATOS PERSONALES:
ESTUDIO LEGAL en relación con los datos personales que tiene bajo su custodia y especialmente en su calidad de responsable del tratamiento de dichos datos o de encargado cuando así fuere, en desarrollo del giro ordinario de sus negocios, dispondrá de un Registro Central de Datos Personales en el cual relacionará cada una de las bases de datos contenidas en sus sistemas de información.
En este registro ESTUDIO LEGAL en cabeza del Área Encargada deberá:
Inscribir toda base de datos personales contenida en sus sistemas de información y le asignará un número de registro.
Al realizar esta inscripción indicar: (i) El tipo de dato personal que contiene; (ii) La finalidad y uso previsto de la base de datos; (iii) Identificación del área que hace el tratamiento de la base de datos; (iv) Forma de tratamiento empleada en la base de datos (automatizada o manual); (v) Nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene; (vi) Ubicación de la base de datos; (vii) La condición que ostenta ESTUDIO LEGAL respecto de esa base de datos ya sea como RESPONSABLE o ENCARGADO del tratamiento; (viii) Status de Autorización por parte de los Titulares de los datos personales que contiene la base, Procedencia de los datos y procedimiento en la obtención del consentimiento; (ix) Autorización de comunicación o cesión de la base de datos, si existe; (x) Situación de Transferencia o Transmisión de Datos Personales (nacional o internacional) (xi) Funcionario que custodia la base de datos; (xii) Consultas y/o Reclamos efectuados sobre los datos personales contenidos en la base y su correspondiente status actualizado; (xiii) Cambios efectuados en la base de datos personales en relación con la información mencionados en este numeral. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia.
Registrar y documentar la ocurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales custodiadas por ESTUDIO LEGAL.
Indicar las sanciones que se impongan respecto del uso de la base de datos personales, indicando el origen de la misma.
Registrar la cancelación de la base de datos de datos personales indicando los motivos y las medidas técnicas adoptadas para este efecto. - DEBERES DE LOS RESPONSABLES Y/O ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES:
a. Deberes de los Responsables del Tratamiento:
Sin perjuicio de las demás disposiciones previstas en la ley, los deberes a cumplir por parte de los Responsables del tratamiento son los siguientes:
Informar al Titular sobre la finalidad de la recolección de sus datos personales y los derechos que le asisten en virtud de la autorización otorgada a ESTUDIO LEGAL para el correspondiente tratamiento.
Garantizar al Titular, el pleno y efectivo ejercicio del derecho de habeas data y todos los derechos mencionados en este Manual y consagrados en la legislación aplicable vigente.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Solicitar y conservar, en las condiciones previstas en este Manual y en la Ley, copia de la respectiva autorización otorgada por el Titular.
Garantizar que la información que suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
Actualizar la información, comunicando de forma oportuna al Encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las medidas necesarias para que la información suministrada se mantenga actualizada.
Rectificar la información cuando sea incorrecta y comunicar en lo pertinente al Encargado del tratamiento.
Suministrar al Encargado del tratamiento, únicamente datos cuyo tratamiento esté previamente autorizado por su titular de conformidad con lo previsto en la ley.
Exigir al Encargado del tratamiento, cumplir con las condiciones de seguridad y privacidad de la información del Titular, como mínimo con las impartidas por ESTUDIO LEGAL como Responsable del tratamiento.
Tramitar las consultas y reclamos formulados en los términos señalados en el presente Manuel y en la ley.
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley en relación con la protección de datos personales y para la atención de consultas y reclamos.
Informar al Encargado del tratamiento en el evento en que determinada información se encuentre en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
Informar a solicitud del titular sobre el uso dado a sus datos personales.
Informar a la autoridad de protección de datos personales cuando se presenten violaciones a los códigos o políticas de seguridad y considere que existan riesgos en la administración de los datos de los titulares.
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
b. Deberes de los Encargados del Tratamiento:
Sin perjuicio de las demás disposiciones previstas en la ley, los deberes a cumplir por parte de los Encargados del tratamiento son los siguientes:
Garantizar al Titular, el pleno y efectivo ejercicio del derecho de habeas data y todos los derechos mencionados en este Manual y consagrados en la legislación aplicable vigente.
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Realizar oportunamente la actualización, rectificación o supresión de los datos personales en los términos de la ley.
Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en el presente Manual y en la ley.
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley en relación con la protección de datos personales y para la atención de consultas y reclamos.
En caso de reclamos en curso, marcar la base de datos con «reclamo en trámite» de la forma prevista en la ley, respecto de aquellas quejas o reclamaciones no resueltas presentadas por los titulares de los datos personales.
Cuando así aplique, marcar la base de datos como «información en discusión judicial», en los casos en que sea notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
Informar a la autoridad de protección de datos personales cuando se presenten violaciones a los códigos o políticas de seguridad y considere que existan riesgos en la administración de los datos de los titulares.
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
c. Deberes conjuntos de los Responsables y Encargados del Tratamiento:
Sin perjuicio de las demás disposiciones previstas en la ley, los deberes que deben cumplir de manera compartida tanto los Responsables como los Encargados del tratamiento son los siguientes:
Regular en los contratos con trabajadores, colaboradores, proveedores, clientes y/o terceros el acceso a las bases que contengan datos de carácter personal.
Llevar un registro completo de las bases de datos que contengan datos personales en el que se incluya el historial desde su creación, tratamiento de la información y cancelación de la base de datos.
Gestionar el acceso, manejo, uso y/o tratamiento de las bases de datos personales bajo custodia, en los que ESTUDIO LEGAL actúe como responsable o encargado del tratamiento de forma segura.
Aplicar las medidas de seguridad suficientes para salvaguardar los datos personales que se encuentren bajo su custodia e implementar políticas adecuadas de seguridad de la información como por ejemplo la implementación de procedimientos de recuperación de desastres aplicables a los base de datos que contengan datos personales, la adopción de procedimientos de Respaldo o Back Up de los base de datos que contienen datos personales, o disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales. entre otros.
Contar con una infraestructura tecnológica que proteja de manera razonable los datos personales bajo su custodia, limitando el acceso a terceros en la medida de lo posible y realizar esfuerzos para mejorar los estándares de seguridad que protegen la información personal recolectada.
Auditar de forma periódica el cumplimiento del contenido de este Manual por parte de los destinatarios del mismo. - TRANSFERENCIA Y/O TRANSMISIÓN INTERNACIONAL DE BASES DE DATOS
ESTUDIO LEGAL no permitirá la transferencia de datos personales a países que no cumplan con los estándares de Protección de Datos Personales y que no proporcionen niveles adecuados de protección de los mismos de acuerdo con lo indicado por la Superintendencia de Industria y Comercio, salvo por las excepciones que se detallan a continuación:
Cuando el titular del dato haya otorgado su autorización previa, expresa e inequívoca para realizar la transferencia.
Cuando la transferencia sea necesaria para la ejecución de un contrato entre el titular y ESTUDIO LEGAL como responsable y/o encargado del tratamiento o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular;
Cuando se trate de transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.
Cuando se trate de transferencia de datos en el marco de tratados internacionales en los que Colombia haga parte de acuerdo con el principio de reciprocidad
Cuando se trate de Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del Titular por razones de salud o higiene pública;
Cuando se trate de transferencias legalmente exigidas para salvaguardar un interés público o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Al momento de presentarse una transmisión internacional de datos personales, previo envío o recepción de los mismos, ESTUDIO LEGAL deberá suscribir los acuerdos o contratos que regulen en detalle las obligaciones, cargas y deberes que surgen para las partes intervinientes, especialmente en lo siguiente:
1. Alcance del tratamiento por parte del Encargado del tratamiento
2. Actividades que el Encargado realizará por cuenta del Responsable para el tratamiento de Datos Personales.
3. El compromiso del Encargado en cumplir este Manual.
4. Obligarse a dar tratamiento a nombre del Responsable a los datos personales conforme a los principios establecidos en la legislación vigente y a los derechos y deberes consagrados en este Manual y en la ley.
5. Obligarse a salvaguardar la seguridad de las bases de datos en las que se contengan datos personales como mínimo con las mismas medidas que toma ESTUDIO LEGAL.
6. Obligarse a guardar la confidencialidad respeto del tratamiento de los datos personales.
7. Adherirse y obligarse al estricto cumplimiento de este Manual y a las normas colombianas en materia de protección de Datos Personales. (Esta obligación debe hacerse extensiva para sus funcionarios, colaboradores, proveedores y cualquier tercero que pueda participar en el tratamiento).
8. Obligarse a realizar Auditorías Internas para verificar el cumplimiento de este Manual.
9. Incluir las medidas de seguridad tecnológicas o físicas que se implementarán sobre los canales a través de los cuales se realizará la transmisión de los datos.
10. Incluir las finalidades autorizadas por el titular de los datos al Responsable del tratamiento, para que el Encargado solo ejerza tratamiento sobre los datos hasta donde dicha finalidad lo autorice.
11. Incluir las medidas de seguridad a tomar por parte del Encargado sobre la información, para evitar su acceso, adulteración, destrucción no autorizados o fraudulentos, así como para evitar la fuga de información.
12. Incluir los canales establecidos para que los titulares ejerzan sus derechos frente al Encargado.
13. Incluir las medidas a tomar sobre la información objeto de comunicación, una vez se termine la ejecución del contrato, bien sea de destrucción o devolución al Responsable.
14. Detallar las responsabilidades por el incumplimiento del contrato frente al manejo de la información personal, teniendo en cuenta que la materialización de cualquier riesgo sobre estos datos como fuga, alteración o acceso no autorizado, entre otros, puede acarrear sanciones de carácter económico, administrativo e incluso penal.
15. Incluir los mecanismos por medio de los cuales el Encargado reportará periódicamente al Responsable los incidentes de seguridad que se presenten sobre los datos personales.
16. Detallar los planes de capacitación con lo que cuenta el Encargado del Tratamiento para instruir a sus funcionarios en el cumplimiento de las normas relacionadas con Protección de Datos Personales y particularmente de las normas vigentes en la materia en el Ordenamiento Jurídico Colombiano y de este Manual.
Los acuerdos o contratos que se celebren deberán atender lo dispuesto en esta norma, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de datos personales.
Corresponderá al Área Encargada la aprobación de los acuerdos o contratos que impliquen una transmisión internacional de datos personales, atendiendo a las directrices establecidas en este Manual y en la normatividad vigente en la materia, así como hacer las consultas pertinentes ante la Superintendencia de Industria y Comercio para asegurar la circunstancia de “país seguro” en relación con el territorio de destino y/o procedencia de los datos en caso de transferencia. - PROCESO DE REVISION DEL MANUAL
ESTUDIO LEGAL podrá modificar este Manual en el momento que lo considere necesario y de realizarse algún cambio o modificación al mismo, esta circunstancia se podrá evidenciar en el acápite “Control de Cambios” al final del presente documento. Por lo anterior, ESTUDIO LEGAL invita a todos los interesados a que consultar y revisar de manera periódica este Manual, con el objetivo de mantenerse informado respecto de las actualizaciones al mismo.
De llegarse a realizar un cambio en la finalidad del tratamiento de los datos personales, ESTUDIO LEGAL solicitará una nueva autorización a los titulares que se vean afectados por dicho cambio, cualquier cambio sustancial al presente Manual de igual forma será informado de los titulares.
El contenido de este manual deberá ser permanentemente revisado y actualizado por las personas responsables así:
Funcionario Responsabilidad
Gerente General y/o
Representante Legal
Autorizar el manual y cambios o actualizaciones posteriores relevantes al mismo.
Oficial de Protección de Datos Personales Autorizar cambios que no sean considerados sustanciales al manual y para los casos de cambios sustanciales elaborar el proyecto de actualización para llevar dichas propuestas para aprobación de la Gerencia General y/o Representante Legal. - FIRMAS Y AUTORIZACIONES
Cuando usted firma y aprueba este documento, también está aprobando su distribución en las siguientes formas de distribución: impresa, vía email, página de internet, etc.
VIGENCIA. El presente manual reemplaza el existente y que rigió hasta el 6 de octubre de 2020 y rige a partir del 7 de octubre de 2020.
ANDRES FELIPE TORRADO ALVAREZ
Representante Legal
