Artículo 1. Objeto. PAVA DÍAZ ARANA S.A.S, (ahora en adelante, PDA) en cumplimiento de las disposiciones constitucionales y legales que rigen la protección de datos personales, esto es, la Constitución Política, la Ley 1581 de 2012 y los Decretos 1733 de 2013 y 886 de 2014 compilados en el Decreto reglamentario 1074 de 2015, adopta la presente política de tratamiento de datos personales (en adelante, Política) con el propósito de garantizar que los titulares puedan autorizar, conocer, incluir, actualizar, rectificar y excluir la información personal que sea objeto de tratamiento en bases de datos o archivos del PDA .
Artículo 2. Ámbito de aplicación. Los procedimientos y directrices establecidos en esta política se aplicarán al tratamiento de cualquier base de datos o archivos creados, administrados y/o custodiados por PDA , ya sea como responsable o encargado del tratamiento.
Artículo 3. Destinatarios. La presente Política es de obligatorio cumplimiento para:
Artículo 4. Definiciones. Para efectos de esta Política se entiende por:
Artículo 5. Principios. Para el tratamiento de datos personales, así como en el desarrollo, interpretación e implementación de la presente política, se aplicarán de manera armónica e integral, los siguientes principios:
a) Principio de legalidad en materia de tratamiento de datos: El tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la normativa vigente.
b) Principio de interpretación integral de derechos constitucionales: Los procedimientos y directrices establecidas en esta política se interpretarán de forma integral en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el habeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución Política de 1991 y con los demás derechos constitucionales aplicables.
c) Principio de finalidad: El tratamiento de datos personales obedecerá a finalidades legítimas de acuerdo con la Constitución y la ley, las cuales serán informadas al titular.
d) Principio de libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
e) Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
f) Principio de transparencia: Se garantizará al Titular obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia y contenido de datos que le conciernen.
g) Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones en materia de habeas data y la Constitución. En este sentido, el tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la normativa vigente. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la ley.
h) Principio de seguridad: La información sujeta a tratamiento por parte de PDA se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
i) Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la normatividad que desarrolla el derecho al habeas Data.
j) Principio de temporalidad de la información: La información del titular no será suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.
k) Principio de Responsabilidad demostrada: PDA implementará el principio de responsabilidad demostrada para lo cual propenderá por tener una alta cultura organizacional en materia de protección de datos personales y el compromiso de la alta dirección sobre la materia, de conformidad con las guías implementadas por la Superintendencia de Industria y Comercio.
Artículo 6. Derechos de los titulares. El titular de los datos personales tendrá los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito para el tratamiento de conformidad con la ley.
c) Ser informado, previa solicitud, respecto del uso que se les ha dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente política y las normas que rigen la materia, cumpliendo para el efecto con el requisito de procedibilidad consistente en haber agotado el trámite de consulta o reclamo ante PDA.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento se ha incurrido en conductas contrarias a la ley y a la Constitución. No obstante, lo anterior, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
Artículo 7. Autorización del titular. PDA solicitará, a más tardar en el momento de la recolección de los datos, la autorización del titular para el tratamiento de estos e informarle los datos personales que serán recolectados, así como las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento. Para tal efecto, todos los miembros de PDA, en especial, el área de Tecnologías de la Información y los responsables de cada proceso en el que se requiera hacer tratamiento de datos personales, tienen la obligación de garantizar que, previamente al tratamiento de estos, se obtenga la autorización del titular de manera libre, expresa e informada, siguiendo los parámetros establecidos por la normativa colombiana y la presente Política.
Para la autorización del titular pueden utilizarse medios técnicos que faciliten la manifestación de su voluntad. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste: (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas que permitan concluir de forma razonable que se otorgó la autorización, garantizando en todo caso que esta sea susceptible de posterior consulta. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
Parágrafo I. Se conservará soporte de la autorización para el tratamiento de datos personales.
Parágrafo II. En todo caso, el tratamiento de los datos personales no se agotará hasta que concurra el tiempo o las causas estipuladas para ello.
Artículo 8. Contenido de la autorización. Cualquier autorización para el tratamiento de datos personales en donde PDA actúe como responsable o encargada del tratamiento deberá contener por lo menos lo siguiente:
a) El tratamiento al cual serán sometidos los datos personales, finalidad de este, período de almacenamiento de la información; b) El carácter facultativo de la autorización relativa a datos sensibles y de menores de edad; c) Los derechos que le asisten al titular; d) La identificación, dirección física o electrónica y teléfono de PDA ; e) Indicación de que el tratamiento de los datos no es de carácter indefinido.
Artículo 9. Casos en que no es necesaria la autorización. La autorización del titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, b) Datos de naturaleza pública, c) Casos de urgencia médica o sanitaria, d)Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos, e) Datos relacionados con el estado civil de las personas y f) Demás excepciones contempladas por nuestro ordenamiento jurídico.
Artículo 10. Autorización para el tratamiento de datos sensibles. La autorización para el tratamiento de datos sensibles deberá obtenerse de manera expresa de forma que contenga además de los requisitos del artículo anterior lo siguiente:
a) Informe al titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad de este.
Parágrafo: Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.
Artículo 11. Aviso de privacidad. En los casos en los que no sea posible poner a disposición del Titular las políticas de tratamiento de la información, el Responsable, a través del aviso de privacidad dará a conocer al Titular la información relativa a la existencia de la política de tratamiento de datos personales; la forma de acceder a ésta; la finalidad de la misma; los datos de contacto de PDA ; los canales dispuestos por ésta para que los titulares de la información ejerzan los derechos previstos en la presente Política; los derechos que le asisten al titular; los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información así como los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente, y cómo acceder o consultar la política de Tratamiento de información.
El aviso de privacidad se encuentra disponible para ser consultado permanentemente en el sitio web de PDA: www.pavadiazarana.com
Parágrafo: PDA se reserva el derecho de modificar el aviso de privacidad. En este sentido, cualquier cambio será dado a conocer oportunamente en la página web www.pavadiazarana.com
Artículo 12. Tratamiento de los datos personales. PDA realizará tratamiento consistente en recolectar, almacenar, registrar, administrar, actualizar y suprimir, bajo estándares de confidencialidad, seguridad, transparencia, veracidad, temporalidad, acceso y circulación restringida, de conformidad con las disposiciones normativas y en el marco de su objeto social para fines administrativos, operativos, estadísticos, comerciales y para todo aquello que se considere pertinente en desarrollo de las funciones, actividades y operaciones comprendidas dentro del mismo.
Eventualmente, los datos personales contenidos en las bases de datos de PDA podrán ser compartidos con otras empresas asociadas a PDA y con terceros. En tal evento, se contará con el consentimiento y la autorización previa del titular de la información antes de compartir dicha información.
Artículo 13. Finalidad del tratamiento de datos. Los colaboradores de PDA solamente realizarán tratamiento de datos personales para cumplir con una finalidad legítima relacionada con las responsabilidades a su cargo.
Por consiguiente, la recolección de datos personales se limitará a aquellos que son pertinentes, adecuados, necesarios y útiles para el (o los) propósito (s) para el (los) cual (es) son recolectados o requeridos de conformidad con el aviso de privacidad.
PDA efectuará el tratamiento de datos personales, en desarrollo de su objeto social y del giro ordinario de sus negocios, con base en las siguientes finalidades: 1) Desarrollar relaciones comerciales con terceros; 2) Ejercer contacto por cualquier medio (correo electrónico, teléfono fijo, celular, con el fin de optimizar y mejorar la comercialización de sus productos y servicios; 3) Facilitar la correcta ejecución en la prestación de los servicios; 4) Garantizar la gestión del servicio, su optimización y la toma de estadísticas; 5) Adelantar campañas de comunicación, divulgación y promoción u oferta de productos y servicios ofertados; pautas publicitarias; 6) Gestionar tareas básicas de administración y gestión de servicio al cliente y mercadeo para el estudio del comportamiento del usuario frente a las ofertas y con ello mejorar su contenido; 7) Informar por cualquier medio las promociones, novedades, productos y servicios relacionados con aquellos comercializados por la empresa; 8) Proveer los servicios y/o productos de la empresa; 9) Conservar registros históricos de la compañía; 10) Hacer perfilamientos de bases de datos o generar perfiles básicos con los datos suministrados para ofrecer un mejor servicio; 11) Cumplir con los procesos internos de la compañía en materia de administración de proveedores y contratistas; 12) Dar cumplimiento a los contratos de servicios celebrados con los clientes; 13) Celebrar alianzas comerciales y compartir con ellas, previa autorización del titular de la información, sus bases de datos; 14) Presentar reportes ante las autoridades de inspección, vigilancia y control, y tramitar los requerimientos realizados por entidades administrativas o judiciales; 15) Realizar encuestas de satisfacción o calificar el servicio; 16) Dar cumplimiento a las obligaciones contraídas con nuestros clientes y proveedores; 17) Las demás finalidades que PDA en su calidad de responsable del tratamiento de datos determine.
Artículo 14. Deberes de PDA como responsable de tratamiento. PDA , como responsable o encargada del tratamiento cumplirá con los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley, debe:
Artículo 15. Deberes de PDA frente a los encargados del tratamiento. En los casos en que PDA como responsable del tratamiento suministre a un encargado información personal lo hará atendiendo los siguientes deberes:
Artículo 16. Deberes de los encargados del tratamiento. Los encargados del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones normativas que rijan su actividad:
Parágrafo I. En los casos en que concurran en PDA las calidades de responsable encargado del tratamiento, se cumplirán los deberes previstos para cada uno.
Artículo 18. Legitimación para el ejercicio de los derechos del titular. Los derechos del titular podrán ejercerse por las siguientes personas:
Parágrafo I. El titular, sus causahabientes o el legitimado deberán anexar con la consulta o reclamo copia de su documento de identidad y los demás que considere necesarios para sustentar su requerimiento.
Parágrafo II. Si la consulta o reclamo se refiere a un titular fallecido, el cónyuge, compañero permanente y/o causahabientes, deben presentar la solicitud, anexando copia auténtica del registro civil de defunción del titular de la información y copia auténtica del registro civil que acredite el parentesco (de matrimonio, de nacimiento, etc.) o declaración extra-juicio en casos de unión marital de hecho.
Artículo 19. Consultas. La consulta se formulará por el medio habilitado por el Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta. El legitimado al efecto realizará las consultas a través de comunicación escrita o por medio de correo electrónico, en la que: i) determine su identidad (nombre completo y número de identificación personal); ii) precise de manera clara, específica, detallada y fundamentada el objeto de la consulta; iii) establezca y acredite el interés legítimo con el que actúa, anexando siempre los soportes del caso, por ejemplo, poder con nota de reconocimiento de contenido y firma ante notario público e, iv) informe dirección física y/o electrónica para recibir comunicaciones.
Las principales materias objeto de consulta son:
Parágrafo: La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular, de forma que la misma sea de fácil lectura, sin barreras técnicas que impidan su acceso y corresponda en un todo a aquella que repose en la base de datos.
Artículo 20. Reclamos. El reclamo se formulará mediante solicitud dirigida al responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. El titular, sus causahabientes u otra persona con un interés legítimo podrán presentar un reclamo por escrito o por medio de correo electrónico ante el área responsable, el cual contendrá: i) la determinación de la identidad (nombre completo y número de identificación personal; ii) una precisión clara, específica, detallada y fundamentada del objeto del reclamo; iii) la manifestación del interés legítimo con el que actúa así como su acreditación, anexando siempre los soportes del caso, por ejemplo, poder con nota de reconocimiento de contenido y firma ante notario público y, iv) la dirección física y/o electrónica para recibir comunicaciones.
Las principales materias objeto de reclamo son:
Artículo 21. Corrección o actualización de datos personales del titular. El reclamo consistente en la corrección de datos personales deberá contener además de los requisitos establecidos en el artículo anterior, la especificación de las correcciones a realizar y acompañarse de la documentación que avale su petición.
Artículo 22. Revocatoria parcial o total de la autorización del tratamiento. Los titulares de datos personales tienen derecho a revocar la autorización cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales, lo cual procederá en aquellos casos en los que presentada la solicitud PDA así lo determina o en los cuales, la autoridad de protección de datos personales lo ordene.
No obstante, si PDA considera que no es procedente la revocación así lo informará mediante comunicación motivada, dentro de los términos previstos en el numeral vii del artículo 28 de esta Política. Por su parte, revocada la autorización PDA procederá a eliminar de las bases de datos respectivas las informaciones en ellas contenidas.
Artículo 23. Supresión de datos personales. Los titulares de datos personales tienen derecho a la supresión de estos cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
El reclamo consistente en la solicitud de supresión de datos personales deberá contener además de los requisitos establecidos en el artículo 21 de esta política, la identificación de los datos cuya supresión se pretende y procederá en aquellos casos en los que PDA así lo determine o en los cuales la autoridad de protección de datos personales lo ordene.
Artículo 24. Improcedencia de la solicitud de supresión de los datos o revocatoria de la autorización. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.
Artículo 25. Datos del responsable del tratamiento y Oficial de Protección de Datos Personales. El responsable del tratamiento y oficial de protección de datos personales es Andrés Felipe Díaz Arana con sede en la Calle 77 N° 59-35, teléfono. 353 855679, correo electrónico: info@pavadiazarana.com
Artículo 26. Procedimiento para atender consultas. Cuando se presente una consulta, se actuará así:
i. Gestión Documental entregará en forma física y/o electrónica la consulta al Oficial de Protección de Datos Personales, quien prestará atención la consulta.
ii. El Oficial de Protección de Datos Personales revisará, dentro de los dos días hábiles siguientes, que la consulta se haya presentado por el titular de la información o quien esté legitimado para ello con el cumplimiento de los requisitos establecidos en el artículo 20 de esta política.
iii. Si la consulta no cumple con todos los requisitos establecidos en el artículo 20 de esta política, esta no se atenderá y se informarán los motivos al remitente.
iv. Si la consulta cumple con los requisitos establecidos en el artículo 20 de esta política, se analizará el objeto de esta para determinar si se requiere el suministro de información y/o apoyo de otra área de PDA. De ser así, el Oficial de Protección de Datos Personales remitirá por correo electrónico la consulta al jefe de la respectiva área para que, en el término de dos (2) días hábiles a partir del recibo, se pronuncie de fondo y, si es del caso, allegue la documentación pertinente para atender la consulta.
v. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se resolverá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Artículo 27. Procedimiento para atender reclamos. Cuando se presente un reclamo, se deberá cumplir con el siguiente procedimiento:
i. Gestión Documental entregará en forma física y/o electrónica el reclamo al Oficial de Protección de Datos Personales, quien se la asignará inmediatamente al profesional encargado de la política de protección de datos personales.
ii. El Oficial de Protección de Datos Personales revisará, dentro de los dos días hábiles siguientes, que el reclamo se haya presentado por el titular de la información o quien esté legitimado para ello con el cumplimiento de los requisitos establecidos en el artículo 21 de esta política.
iii. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción de este para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
iv. En caso de que PDA no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de cinco (5) días hábiles e informará de la situación al interesado.
v. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a cinco (5) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
vi. Se analizará el objeto del reclamo para determinar si se requiere el suministro de información y/o apoyo de otra área de PDA. De ser así, el Oficial de Protección de Datos Personales remitirá por correo electrónico el reclamo al jefe de la respectiva área para que, en el término de dos hábiles a partir del recibo, se pronuncie de fondo y, si es del caso, allegue la documentación pertinente para atender la consulta.
vii. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se resolverá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Artículo 28. Temporalidad del tratamiento. El tratamiento de los datos personales por parte de PDA se realizará hasta el cumplimiento de (las) finalidad(es) para la(s) cual(es) se autorizó o hasta cuando resulte procedente por disposición legal o contractual.
Artículo 29. Integración. Hace parte integral de esta Política el aviso de privacidad.
Artículo 30. Vigencia. La presente política para el tratamiento de datos personales rige a partir de la fecha de su publicación.