POLITICA DE PROTECCIÓN DE DATOS
La Presente Política contiene las directrices necesarias para el mantenimiento del Programa Integral de Gestión de Datos Personales, así como sus objetivos y principios aplicados a RAMIREZ JIMENEZ Y CIA SAS, de acuerdo con lineamientos definidos por la ley 1581, emitida el día 17 de octubre de 2012 de forma conjunta entre el Congreso de la República y el Gobierno Nacional y sus decretos reglamentarios; al igual que circulares y guías emitidas por la Superintendencia de Industria y Comercio. RAMIREZ JIMENEZ Y CIA SAS ha establecido el Programa Integral de Gestión de Datos Personales con el fin de aplicar el principio de Responsabilidad Demostrada y contribuir con la responsabilidad del cumplimiento efectivo de las acciones que se implementen respecto de los principios de privacidad y protección de datos. La presente política se implementa, teniendo en cuenta las actividades de RAMIREZ JIMENEZ Y CIA SAS involucrando clientes en el proceso de venta, proveedores, funcionarios y terceros, con los cuales se establece una relación contractual y comercial. En lo sucesivo, cualquier aspecto que sea relevante para el manejo de los datos personales, estará regulado exclusivamente por el presente documento. Por tanto, cualquier tema que se regule al respecto, se entenderá como una ampliación o modificación de la política e indicará la parte que fue objeto de modificación o actualización.
OBJETIVOS FRENTE AL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES
Establecer un marco conceptual y normativo que apoye al Programa Integral de Gestión de Datos Personales, en el desarrollo de los procesos necesarios para su administración y mantenimiento.
Objetivo operativo: Diseñar, implementar y mantener un Programa de Gestión de Datos Personales que se encargue de identificar, prevenir, controlar y mitigar los riesgos relacionados con los principios de responsabilidad demostrada, privacidad y protección de datos personales, en los procesos de la RAMIREZ JIMENEZ Y CIA SAS.
Objetivo de reporte: Generar los reportes a la Superintendencia de Industria y Comercio dentro de los plazos establecidos.
Objetivos de Cumplimiento: Cumplir con la normatividad colombiana y regulaciones vigentes ajustables a la Organización.
ALCANCE
Este documento contiene los principales objetivos, principios, políticas, compromisos de la Organización, responsables del Programa Integral de Gestión de Datos Personales, controles y mantenimiento, rescatando los aspectos generales y particulares que deben ser aplicados por todos los funcionarios e involucrados en los procesos que se llevan a cabo; promoviendo los principios de responsabilidad demostrada, privacidad y protección de datos de la Entidad, a través de los procesos, encaminados al cumplimiento de los objetivos trazados por RAMIREZ JIMENEZ Y CIA SAS. Así mismo, aplica a nuestros aliados comerciales, proveedores y contratistas que en desarrollo de su labor tengan acceso a datos personales de titulares, bien sea porque los hayan suministrado a la Entidad o los hayan recibido de ellas, se les exige el cumplimiento de la ley y de las políticas descritas en el presente documento.
DEFINICIONES
Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos.
Documento físico, electrónico o en cualquier otro formato generado por el Responsable que se pone a disposición del Titular para el tratamiento de sus datos personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales.
Conjunto organizado de datos personales que sea objeto de Tratamiento.
: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales o jurídicas determinadas o determinables. Los datos personales pueden ser públicos, semiprivados o privados.
Es el dato calificado como tal en los mandatos de la ley o de la Constitución Política. Son públicos entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva y los relativos al estado civil de las personas. Ej: Los datos que aparecen en la cédula de ciudadanía y registro civil de nacimiento.
El dato que no tiene naturaleza intima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo al titular sino a cierto sector o grupo de personas o la sociedad en general. Ej: Los datos financieros y crediticios
Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos. El dato sensible puede interpretarse como dato privado; Ej: Historias clínicas, firma, huella, partido político.
En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Solo podrán tratarse aquellos datos que sean de naturaleza pública.
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
En el desarrollo, interpretación y aplicación de la ley 1581, se aplicarán, de manera armónica e integral, los siguientes principios:
▪ PRINCIPIO DE LEGALIDAD: El tratamiento a que se refiere la Ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
▪ PRINCIPIO DE FINALIDAD: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y a la Ley, la cual debe ser informada al Titular.
▪ PRINCIPIO DE LIBERTAD: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
▪ PRINCIPIO DE VERACIDAD O CALIDAD: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos fraccionados o que induzcan a error.
▪ PRINCIPIO DE TRANSPARENCIA: En el tratamiento debe garantizarse el derecho del Titular a obtener del Responsable de tratamiento o del Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
▪ PRINCIPIO DE ACCESO Y CIRCULACIÓN RESTRINGIDA: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley y la Constitución. En este sentido el tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otro medio de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley.
▪ PRINCIPIO DE SEGURIDAD: La información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la Ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración pérdida, consulta, uso o acceso no autorizado o fraudulento.
▪ PRINCIPIO DE CONFIDENCIALIDAD: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada la relación con alguna de las labores que comprende el tratamiento.
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
: Los Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.
Persona natural cuyos datos personales sean objeto de Tratamiento
Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos.
La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país.
Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
DEFINICIÓN DEL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES
El Programa Integral de Gestión de Datos Personales, es el conjunto de políticas, principios, normas, procedimientos y mecanismos de verificación y evaluación establecidos por la Gerencia, Subgerencia y demás funcionarios de RAMIREZ JIMENEZ Y CIA SAS, con el fin de proporcionar estándares de protección de datos personales y protección de nuestros Titulares, cumpliendo el principio de responsabilidad demostrada. El Artículo 15 de la Constitución establece el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, tanto de entidades públicas como privadas. Asi mismo, este derecho comprende otras facultades como las de autorizar el tratamiento, incluir nuevos datos, excluirlos o suprimirlos de una base de datos o archivo. En el año 2008 se expidió la Ley Especial de Hábeas Data, que regula lo que se ha denominado como el “hábeas data financiero”, es decir, el derecho que tiene todo individuo a conocer, actualizar y rectificar su información personal, comercial, crediticia y financiera contenida en centrales de información públicas o privadas, que tienen como función recopilar, tratar y circular esos datos con el fin de determinar el nivel de riesgo financiero de su titular. Esta ley considera titular de la información tanto a las personas naturales como las jurídicas. En octubre de 2012 se expidió la Ley 1581, “Ley General de Protección de Datos Personales”, que desarrolla el derecho de Hábeas Data desde una perspectiva más amplia que la financiera y crediticia. Así, cualquier titular de datos personales tiene la facultad de controlar la información que se ha recolectado de sí mismo en cualquier base de datos o archivo, sea administrado por entidades privadas o públicas. Bajo esta Ley, es titular la persona natural. Solamente, en ocasiones especiales podría serlo una persona jurídica.
POLÍTICAS Y CONDICIONES DEL FUNCIONAMIENTO DEL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES
GOBIERNO
Necesidad: Creación de un gobierno apropiado de protección de datos que este alineado con el compromiso y seguridad de la información de la Entidad.
Objetivo: Generar cultura, enfocada en las buenas prácticas del programa integral de gestión de datos personales, las cuales hacen parte de RAMIREZ JIMENEZ Y CIA y se ven reflejadas en la conducta de cada funcionario.
CONDICIONES DE FUNCIONAMIENTO
El Gobierno es el fundamento de los demás elementos del Programa Integral de Gestión de Datos Personales, puesto que tiene una influencia notable en la manera como se establecen los objetivos, se valoran los riesgos, se implementan actividades y se monitorean el programa. Las actividades adoptadas por RAMIREZ JIMENEZ Y CIA SAS para lograr un eficiente gobierno del Programa Integral de Gestión de Datos Personales son:
a. Adopción de principios a través del Código de Ética y Conducta en donde se menciona los valores y principio de los funcionarios de la Entidad. Este código es aprobado por la Gerencia y Subgerencia.
b. Políticas y procedimientos para la inducción y capacitación de personal, en donde se realiza la capacitación del Programa Integral de Gestión de Datos Personales.
c. Estructura organizacional que permite soportar el funcionamiento del Programa Integral de Gestión de Datos Personales, que precisa niveles de autoridad y responsabilidad, así como el alcance y límite de los mismos. Esta estructura se detalla en el numeral 11 de esta política.
GESTIÓN DE RIESGOS
Es política de RAMIREZ JIMENEZ Y CIA SAS preservar la eficacia, eficiencia y efectividad de su gestión y capacidad operativa, así como salvaguardar los recursos que administra el Sistema Integral de Gestión de Datos Personales; dentro del cual se gestionan los tipos de incidencias o reclamaciones con base en la normatividad vigente.
Necesidad: Soportar la creación del Sistema Integral de Gestión de Datos Personales, adoptando una metodología basada en las normativas vigentes.
Objetivo: Identificar operaciones que generen riesgo, en cada uno de diferentes procesos de la Compañía.
ACTIVIDADES DE CONTROL
Es política de RAMIREZ JIMENEZ Y CIA SAS establecer actividades de control, es decir, políticas y procedimientos que deben seguirse para lograr que las instrucciones de la administración con relación a los riesgos y controles del Programa Integral de Gestión de Datos Personales se cumplan.
Necesidad: Creación de una serie de actividades obligatorias para todas las áreas, operaciones y procesos, con base en la normatividad vigente y la evaluación de riesgos.
Objetivo: Establecer acciones que permitan el cumplimiento de los objetivos del Programa Integral de Gestión de Datos Personales en RAMIREZ JIMENEZ Y CIA SAS. Condiciones de Funcionamiento basada en la normatividad vigente y la evaluación de riesgos, la RAMIREZ JIMENEZ Y CIA SAS ha dispuesto adoptar entre otras, las siguientes actividades de control:
a. Gestión directa de funciones o actividades: Cada proceso de RAMIREZ JIMENEZ Y CIA SAS, deberá contar con informes de resultados, los cuales deben ser analizados por la Gerencia y Subgerencia, y los Líderes de proceso, lo cual les permitirá no solamente tener seguridad razonable sobre dicho proceso, sino monitorear los resultados, identificando tendencias y debilidades, relacionando los datos con los del mercado, identificando errores, entre otros.
b. Segregación de funciones. Implica dividir la responsabilidad para reducir el riesgo de error.
El enfoque de esta actividad de control deberá ser considerado en aquellos momentos en que se lleven a cabo la evaluación de riesgos de los procesos, la descripción de funciones de cada empleado, así como la descripción de los procedimientos para cada proceso.
c. Acuerdos de confidencialidad. RAMIREZ JIMENEZ Y CIA SAS, debe velar para que la información que guarde el carácter de confidencialidad no sea revelada, divulgada y/o entregada a terceros bajo ningún medio o modalidad por quienes la conocen, en virtud de un contrato o acuerdo comercial. Para tal efecto se tiene reglamentado la firma de acuerdos de confidencialidad para los funcionarios, proveedores y demás entidades con las cuales se comparta información de carácter personal.
d. Difusión de las actividades de control. Para la difusión de las actividades de control, RAMIREZ JIMENEZ Y CIA SAS, ha previsto el desarrollo de capacitaciones periódicas a todos los funcionarios de la Entidad.
INFORMACIÓN Y COMUNICACIÓN
Es política de RAMIREZ JIMENEZ Y CIA SAS, en lo que concierne al Programa Integral de Gestión de Datos Personales, mantener una comunicación eficaz, clara y precisa, que contribuya a lograr los objetivos y metas en cada una de las áreas de la Entidad. Necesidad: Implementación de normas y procedimientos con un sistema de información sólido, que permitan dar cabal cumplimiento a requerimientos que se relacionen con el Programa Integral de Gestión de Datos Personales. Objetivo: Adoptar elementos que permitan una adecuada administración de la comunicación dentro del Programa Integral de Gestión de Datos Personales.
CONDICIONES DE FUNCIONAMIENTO
Con base en la normativa vigente, la RAMIREZ JIMENEZ Y CIA SAS adopta las siguientes actividades en relación con el sistema de información:
a. Se implementó la adopción de procesos para la atención y respuesta a consultas, peticiones y reclamos de los Titulares, con respecto a cualquier aspecto del Tratamiento de Datos Personales a través de la página https://www.plateriaramirez.com/store/, en donde personas tanto internas como externas pueden informar cualquier situación. b. Entre la Subgerencia y los dueños de los procesos de RAMIREZ JIMENEZ Y CIA SAS se implementó una comunicación estrecha que permite diseñar y dar atención oportuna a los Titulares.
FUNCIONES Y RESPONSABILIDADES DE QUIENES PARTICIPAN EN LA ADMINISTRACIÓN DEL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES
Las funciones de la Gerencia o Subgerente:
•Aprobar el Programa Integral de Gestión de Datos Personales de RAMIREZ JIMENEZ Y CIA SAS. 11.2GERENTE y SUBGERENTE Es responsabilidad del Gerente y Subgerente de RAMIREZ JIMENEZ Y CIA SAS:
•Definir políticas del Programa Integral de Gestión de Datos Personales, para mitigar los riesgos de Tratamiento de Datos Personales en la entidad.
•Aprobar la política de de Protección de Datos Personales y sus actualizaciones.
•Verificar que en los procedimientos establecidos se desarrollen todas las políticas aprobadas.
•Garantizar que las bases de datos y la plataforma tecnológica cumplan con los criterios y requisitos establecidos por la Superintendencia de Industria y Comercio.
•Designar a la persona o el área que asume las funciones de protección de datos dentro de la Entidad. •Aprobar y monitorear el Programa Integral de Gestión de Datos Personales.
•Destinar los recursos suficientes que le permitan al área o persona encargada diseñar e implementar el Programa Integral de Gestión de Datos Personales.
Es responsabilidad del Oficial de Cumplimiento de:
•Velar por la implementación efectiva de las políticas y procedimientos adoptados por RAMIREZ JIMENEZ Y CIA SAS para dar cumplimiento con las normas relacionadas al Programa Integral de Gestión de Datos Personales.
• Implementación de buenas prácticas de gestión de datos personales dentro de la Entidad.
•Estructurar, diseñar y administrar el Programa que permita a la Entidad cumplir las normas sobre Protección de Datos Personales.
•Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
•Coordinar la definición e implementación de los controles del Programa Integral de Gestión de Datos Personales.
•Servir de enlace y coordinar con las demás áreas de la Entidad para asegurar una implementación transversal del Programa Integral de Gestión de Datos Personales.
• Impulsar una cultura de Protección de Datos dentro de la Entidad.
• Mantener un inventario de las bases de datos personales en poder de RAMIREZ JIMENEZ Y CIA SAS y clasificarlas según su tipo.
•Obtener las declaraciones de conformidad de la Superintendencia de Industria y Comercio cuando se sea requerido.
•Analizar las responsabilidades de cada familia de cargos de RAMIREZ JIMENEZ Y CIA SAS para diseñar un Programa de entrenamiento en Protección de Datos Personales específico por familias de cargos.
•Realizar un entrenamiento general en Protección de Datos para todos los empleados de RAMIREZ JIMENEZ Y CIA SAS.
•Realizar entrenamientos necesarios a los nuevos empleados, particularmente aquellos que tengan acceso por las condiciones de su empleo, a datos personales gestionados por la Entidad.
• Integrar las policías de Protección de Datos dentro de las actividades de las demás áreas de la Entidad.
• Medir la participación, y calificar el desempeño en los entrenamientos de protección de datos.
• Implementar planes de auditoría interna para verificar el cumplimiento de las políticas de tratamiento de datos personales y señalar el procedimiento a seguir en caso de que se presenten violaciones a sus códigos de seguridad o detecten riesgos en la administración de la información de los Titulares.
•Acompañar y asistir a RAMIREZ JIMENEZ Y CIA SAS en la atención de las visitas y los requerimientos que realice la Superintendencia de Industria y Comercio.
•Generar reportes para la Gerencia y Subgerencia de manera periódica, e informar en estos el estado del Programa Integral de Gestión de Datos Personales.
La Jefatura de Operaciones y Tecnología tiene la responsabilidad de apoyar la puesta en marcha del Programa Integral de Gestión de Datos Personales de RAMIREZ JIMENEZ Y CIA SAS especialmente con las áreas que dependen de esta:
•Desarrollar los mecanismos necesarios para realizar el registro nacional de las bases de datos de la RAMIREZ JIMENEZ Y CIA SAS y realizar las actividades necesarias para tener el control de las autorizaciones para el tratamiento de los datos de todos los titulares y su alcance.
•Dar apoyo durante el registro de las bases de datos de RAMIREZ JIMENEZ Y CIA SAS en el registro Nacional de Bases de Datos.
•Apoyar permanentemente al Oficial de Cumplimiento en el control y administración de las bases de datos personales.
• Implementar el sistema de Seguridad de la información a través de la ejecución de Políticas Internas.
Es responsabilidad de los dueños de proceso:
•Brindar el apoyo y soporte necesario al Oficial de Cumplimiento en la implementación y mantenimiento del Programa Integral de Gestión de Datos Personales.
•Establecer actividades de control de tratamiento de datos personales en los procesos a su cargo (preventivos y detectivos).
• Monitoreo continuo.
Es deber de todos los funcionarios de RAMIREZ JIMENEZ Y CIA SAS:
• Velar por el cumplimiento de las políticas y prácticas contempladas en el presente documento.
• Informar al Oficial de Cumplimiento los incidentes o eventos relacionados con el Tratamiento de los Datos de los Titulares.
• Cumplir con las disposiciones de ley y disposiciones emitidas por la Superintendencia de Industria y Comercio en todo lo relacionado con la Protección de los Datos Personales, Seguridad de la Información; así como con la regulación interna de RAMIREZ JIMENEZ Y CIA SAS. Sin perjuicio de lo anterior, es responsabilidad del funcionario velar por la integridad de la información registrada en las Bases de Datos de la Entidad, de ahí que la clave y usuarios asignados son de uso personal e intransferible.
PROCEDIMIENTOS DEL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES
La Ley General se interpreta en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el Hábeas Data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se deben interpretar en armonía y en un plano de equilibrio con el derecho a la información previsto en el Artículo 20 de la Constitución y con los demás derechos constitucionales aplicables.
RAMIREZ JIMENEZ Y CIA SAS debe velar porque los datos sean adquiridos, tratados y manejados de manera lícita. Esto incluye que en desarrollo de sus actividades sólo recaudaran los datos necesarios para la actividad, servicio o producto a ser prestado o desarrollado.
Así mismo, cuando se actúe como responsables del tratamiento, es decir cuando estén frente a un titular que va a adquirir la calidad de usuario o ya la tiene, se le informará previamente, de manera clara y suficiente, acerca de la finalidad de la información a ser solicitada. En el evento en que la finalidad cambie o se modifique de tal manera que el titular razonablemente no lo espere, se le informará con anticipación, con el fin de obtener de nuevo su consentimiento.
En desarrollo del principio de razonabilidad y proporcionalidad, RAMIREZ JIMENEZ Y CIA SAS debe recaudar sólo los datos estrictamente necesarios para llevar a cabo su finalidad, y los conservará por el tiempo necesario para cumplirla, observando en todo momento los términos especiales establecidos por la ley para datos médicos e historia clínica.
Igualmente, respetará la libertad que tiene el titular para autorizar o no el uso de sus datos personales; en consecuencia, los mecanismos que se utilicen para obtener su consentimiento le permitirán al titular manifestar de manera inequívoca que otorga tal autorización.
DERECHOS DEL TITULAR
Los Titulares de la RAMIREZ JIMENEZ Y CIA SAS tienen los siguientes derechos:
•Dirigirse a la Entidad, a través de los canales establecidos por ésta (ver Aviso de Privacidad adjunto) para conocer, actualizar y rectificar sus datos personales. Este derecho se puede ejercer frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
•Solicitar prueba de la autorización otorgada a RAMIREZ JIMENEZ Y CIA SAS salvo cuando, de acuerdo con la ley, el tratamiento que se está realizando no lo requiera. •Ser informado por la Entidad, previa solicitud efectuada a través de los canales dispuestos, respecto del uso que se les ha dado a sus datos personales. •Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley y sus decretos reglamentarios.
• Revocar la autorización en los casos que no se enmarcan en la Ley Especial de Hábeas Data y en los que no se refieren a datos esenciales o propios del contrato. Igualmente, solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
• Acceder en forma gratuita, a través de los canales dispuestos por RAMIREZ JIMENEZ Y CIA SAS a sus datos personales que hayan sido objeto de tratamiento. A través de su Aviso de Privacidad (Anexo 1).
AUTORIZACIÓN
Sin perjuicio de las excepciones previstas en la ley, en el tratamiento se requiere la autorización previa, expresa e informada del titular, la cual deberá ser obtenida por RAMIREZ JIMENEZ Y CIA SAS por cualquier medio que pueda ser objeto de consulta posterior. La autorización del titular no es necesaria cuando se trate de:
• Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
•Datos de naturaleza pública. •Casos de urgencia médica o sanitaria.
•Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
•Datos relacionados con el registro civil de la persona.
•Cuando un colaborador se encuentre frente a alguna de las anteriores situaciones, RAMIREZ JIMENEZ Y CIA SAS lo dejará claramente revelado y, en todo caso, cumplirán con las demás disposiciones contenidas en la ley.
• Las autorizaciones puestas a disposición de los titulares de los datos deben tener textos claros, precisos e indicar los requisitos establecidos por la Ley.
En el aparte de la Autorización correspondiente a la inclusión de los aspectos señalados por la Ley, se indicarán:
• La finalidad que se busca con el tratamiento de los datos. • El tipo de tratamiento que tendrán éstos.
• La identificación y la dirección (física o electrónica) a la que podrá dirigirse.
• Los derechos que le asisten, en particular el de revocar su consentimiento.
• El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o datos de las niñas, niños y adolescentes.
FINALIDADADES
RAMIREZ JIMENEZ Y CIA SAS le informa las finalidades que se buscan con el tratamiento de sus datos.
Para efectos de la presente política, se entiende por “Datos Personales ”la información personal que suministre por cualquier medio, incluyendo, pero sin limitarse a, aquella de carácter financiero, comercial, profesional, sensible (tales como huellas, imagen, voz, entre otros), técnico y administrativo, privada, semiprivada o de cualquier naturaleza, pasada, presente o futura, contenida en cualquier medio físico, digital o electrónico, entre otros y sin limitarse a documentos, fotos, memorias USB, grabaciones, datos biométricos, correos electrónicos, y videograbaciones”.
Así mismo, se entiende por “Tratamiento” el recolectar, consultar, recopilar, evaluar, catalogar, clasificar, ordenar, grabar, almacenar, actualizar, modificar, aclarar, reportar, informar, analizar, procesar, solicitar, verificar, retirar, en medios físicos, digitales, electrónicos o por cualquier otro medio.
a. Los datos personales de las personas naturales serán tratados por RAMIREZ JIMENEZ Y CIA SAS y sus aliados para las siguientes finalidades: I) El trámite de solicitudes de vinculación como consumidor, deudor, contraparte contractual. II) El proceso de adquisición de un producto por medios físicos, electrónicos, III) La ejecución y el cumplimiento de los contratos que celebre. IV) El control y la prevención del fraude. V) Conformar bases de datos para invitar a eventos organizados con ocasión de la misión corporativa VI) Mantener grabaciones en el circuito de cámaras instaladas a lo largo de nuestras instalaciones VI) El cumplimiento de requisitos para acceder al Sistema General de Seguridad Social Integral. VII) Información de posibles sujetos de tributación a la Dirección de Impuestos y Aduana Nacionales de Colombia (DIAN), VIII) La prevención y control del lavado de activos, la financiación de terrorismo y proliferación de armas de destrucción masiva. IX) Consulta, almacenamiento, administración, transferencia, procesamiento y reporte de información a las Centrales de Información o bases de datos debidamente constituidas referentes al comportamiento financiero y comercial. X) Para cumplir normas legales y dar cumplimiento a sus obligaciones contractuales, XI) Enviar mensajes¸ notificaciones o alertas a través de cualquier medio para remitir extractos, divulgar información legal, de seguridad, promociones, campañas comerciales, publicitarias, de mercadeo, concursos, eventos u otros beneficios e informar al titular acerca de las innovaciones efectuadas en los productos y/o servicios, dar a conocer las mejoras o cambios en sus canales de atención, así como dar a conocer otros servicios y/o productos ofrecidos por RAMIREZ JIMENEZ Y CIA SAS o sus aliados comerciales, a través de cualquier medio o canal, o para complementar, optimizar o profundizar el portafolio de productos y/o servicios actualmente ofrecidos.
b. Transmitir y transferir los datos a terceros países siempre que se cumpla con las finalidades descritas o se encuentren estipuladas en el artículo 26 de la ley 1581 de 2012.
a. Informar de la existencia de la política de protección de datos en la página https://www.plateriaramirez.com/store/
b. Que como titular de la información le asisten los derechos previstos en la ley 1266 de 2008 y 1581 de 2012. En especial le asiste el derecho a conocer, actualizar, rectificar, revocar y suspender la información que haya entregado a RAMIREZ JIMENEZ Y CIA SAS y sus aliados, Autorizar de manera expresa e informada a RAMIREZ JIMENEZ Y CIA SAS y a cualquier sociedad controlada directa o indirectamente, que tenga participación accionaria, aliados estratégicos para el ejercicio del negocio, con domicilio en Colombia y/o en el exterior, para:
c. Recolectar, solicitar, consultar, verificar, almacenar, compartir, enviar, reportar, modificar, transferir, transmitir, actualizar, usar, grabar y conservar sus datos personales, financieros, crediticios, así como aquella información derivada de la relación contractual, siempre y cuando sea para las siguientes finalidades: I) Desarrollar las actividades propias del contrato establecido con RAMIREZ JIMENEZ Y CIA SAS , II) Ofrecer productos y servicios III) Enviar mensajes¸ notificaciones o alertas a través de cualquier medio para remitir extractos, divulgar información legal, de seguridad, promociones, campañas comerciales, publicitarias, de mercadeo, concursos, eventos u otros beneficios e informar al titular acerca de las innovaciones efectuadas en sus productos y/o servicios, dar a conocer las mejoras o cambios en sus canales de atención, así como dar a conocer otros servicios y/o productos ofrecidos por RAMIREZ JIMENEZ Y CIA SAS o sus aliados comerciales, a través de cualquier medio o canal, o para complementar, optimizar o profundizar el portafolio de productos y/o servicios actualmente ofrecidos, i. Evaluar riesgos derivados de la relación contractual potencial, vigente o concluida, ii. Realizar, validar, autorizar o verificar transacciones incluyendo, cuando sea requerido, la consulta y reproducción de datos sensibles tales como la huella, imagen o voz. iii. Transmitir y transferir sus datos personales a terceros países siempre y cuando se requiera cumplir con las finalidades descritas o se encuentre estipulada por el artículo26 de la ley 1581 de 2012 y demás normas reglamentarias.
USUARIOS DE LA INFORMACION: Los datos podrán ser compartidos, transmitidos, entregados, transferidos o divulgados para las finalidades mencionadas a: I) Las personas jurídicas que tienen la calidad de pertenecer a RAMIREZ JIMENEZ Y CIA SAS y sus aliados estratégicos. II) Los operadores necesarios para el cumplimiento de derechos y obligaciones derivados de los contratos celebrados con RAMIREZ JIMENEZ Y CIA SAS y sus aliados. III) Personas jurídicas que administran bases de datos para efectos de prevención y control de fraudes, la selección de riesgos, y control de requisitos para acceder al Sistema General de Seguridad Social Integral, así como la elaboración de estudios estadísticos actuariales.
TRANSFERENCIA INTERNACIONAL DE INFORMACION A TERCEROS PAISES: En ciertas situaciones es necesario realizar trasferencias internacionales de los datos para cumplir las finalidades del tratamiento.
BASES DE DATOS
Las bases de datos de clientes y usuarios tienen por finalidad utilizar esta información para la comercialización del producto o servicio adquirido por el titular tanto en la modalidad presencial como en la modalidad digital.
En desarrollo de esta relación contractual, RAMIREZ JIMENEZ Y CIA SAS buscará informar al titular acerca de las innovaciones efectuadas en sus productos y servicios, con el fin de profundizar o ampliar su portafolio actual, así como darle a conocer las mejoras o cambios en sus canales de atención y en los servicios ofrecidos por la Entidad. Así mismo, buscarán enviarle información sobre las ofertas que ha desarrollado con aliados comerciales.
La base de datos de potenciales clientes busca tener un contacto con el titular para presentarse como entidad e informarle sobre sus productos y servicios.
La base de datos de proveedores busca tener información actualizada, consistente y suficiente acerca de las personas que tienen la calidad de proveedores o quisieran tenerla.
La base de datos de los colaboradores mantiene actualizada la información de los funcionarios para que la relación laboral se desarrolle de manera adecuada.
Mediante la base de datos de exempleados ponemos a disposición de las autoridades y de los mismos titulares su información durante el término establecido en la ley laboral.
VIGENCIA
Los datos personales y la autorización se conservan mientras dure el Tratamiento de los clientes.
Una vez termine el Tratamiento, los datos y autorizaciones deben cumplir los principios de necesidad y razonabilidad, de caducidad y temporalidad, según lo dispuesto en las normas de cada proceso.
CANALES DE SUMINISTRO DE INFORMACIÓN
RAMIREZ JIMENEZ Y CIA SAS establece como canales de comunicación con los titulares:
Página web: https://www.plateriaramirez.com/store/
Correo electrónico: oficialdecumplimiento@plateriaramirez.com
Dirección física: Cra 4ta Norte # 24N 52 Cali - Valle
Numero de contacto: (602) 6605460
La Ley General define como responsable a la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos.
De conformidad con la Sentencia C-748 de 2011, el responsable del tratamiento es “el que define los fines y medios esenciales para el tratamiento del dato, incluidos quienes fungen como fuente y usuario”, pudiendo poner los datos en circulación o utilizarlos de cierta manera.
Sus deberes son:
• Garantizar para los titulares de datos, a través de los canales de atención establecidos en este documento, el pleno y efectivo ejercicio del derecho de Hábeas Data.
• RAMIREZ JIMENEZ Y CIA SAS informará acerca de la finalidad de la recolección, tanto en el texto utilizado para obtener la autorización del titular, como en el Aviso de Privacidad. El titular siempre conocerá el tipo de tratamiento que se le dará a sus datos, si van a circular o a ser compartidos con las entidades vinculadas, o con aliados comerciales, con qué finalidad y la manera de manifestar su voluntad en relación con ese alcance del tratamiento.
• RAMIREZ JIMENEZ Y CIA SAS informará que el uso que hacen de los datos es el correspondiente al desarrollo de sus relaciones contractuales con clientes y usuarios, e indicará que podrá utilizar los datos personales para varios fines. Igualmente solicitarán el consentimiento del cliente para enviarle información comercial referida a sus productos y servicios, así como para que la Entidad pueda enviarle publicidad sobre sus productos y servicios, con el fin de complementar el portafolio de servicios ofrecidos.
• En el evento en que se utilice información de aliados comerciales, se revisará que ésta tenga las autorizaciones correspondientes; en el evento de permitir que aliados comerciales tengan acceso a datos personales de contacto para realizar ofertas, se verificará que los titulares hayan dado su consentimiento previo. En estos casos siempre existirá la opción de revocar el consentimiento, y los datos serán señalizados con el fin de evitar que se vuelvan a utilizar para realizar ese tipo de ofertas.
• Los derechos que le asisten al titular de la información serán incluidos en el Aviso de Privacidad que se publicará en la página web de RAMIREZ JIMENEZ Y CIA SAS, y así se le indicará al momento de obtener el consentimiento.
• Para garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada y comprensible se han establecido controles que permiten determinar la última fecha de actualización de la información, la consolidación de todos los datos existentes correspondientes a un titular y el deber de verificar por parte del área que establece los términos de entrega de la información, que ésta cumpla con tales características.
• Así mismo, los contratos que se celebren con los encargados del tratamiento tendrán mecanismos sencillos pero eficientes de validación de datos, con el fin de procurar en todo momento el uso actualizado y adecuado de la información.
• La colaboración efectiva de los titulares respecto de la actualización de su información en los datos conocidos por ellos es fundamental para el cumplimiento óptimo del deber de informar al encargado sobre todas las novedades de los datos que se le hayan suministrado.
• Se marcará en el sistema los titulares que no desean que se realice tratamiento a sus datos personales. Cuando se entregue al encargado del Tratamiento información que se encuentre bajo uno de estos supuestos, se le informará oportunamente para que efectué la supresión del dato en sus bases.
• Los incidentes de seguridad que puedan poner en peligro la administración de la información de los titulares serán informados a la Superintendencia de Industria y Comercio, con base en el procedimiento establecido en el Procedimiento para el Manejo de Información.
• Las instrucciones y los requerimientos formulados por la Superintendencia de Industria y Comercio estarán relacionados bajo la responsabilidad de la Jefatura de Riesgos y Calidad, responsable del seguimiento en la adopción y cumplimiento de estas políticas.
La ley señala que el encargado del tratamiento es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de los datos personales por cuenta del responsable del tratamiento.
En atención a que la mayoría de las obligaciones establecidas en calidad de encargado coinciden con las señaladas en calidad de responsable, solamente se hará referencia expresa en este Numeral a las que no quedaron listadas en el Numeral anterior.
•Existirán canales eficientes que permitan que las actualizaciones de información realizadas por el responsable se reciban y tramiten en el término de 5 días hábiles previsto en la ley. Éstos estarán referidos a un correo electrónico y al contacto telefónico generado desde el Área competente.
•Cuando exista información que sea controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio, se impartirán las instrucciones correspondientes por parte del Oficial de Cumplimiento con el fin de que ésta no circule.
•Se permitirá el acceso a la información únicamente a personas autorizadas por la ley. Para ello se establecerán los requisitos que deben cumplir las autoridades judiciales y administrativas que soliciten este tipo de información, los cuales se refieren a la identificación de las funciones que les permiten efectuar el requerimiento, además del número de la investigación que se adelanta; asimismo, los requisitos que deben cumplir los titulares, apoderados o causahabientes, en particular la acreditación de su calidad y los debidos soportes.
MEDIDAS DE SEGURIDAD
RAMIREZ JIMENEZ Y CIA SAS cuenta con reglamentaciones internas sobre seguridad de la información para asegurar el cumplimiento de los requisitos exigidos en esta materia.
Los contratos con los encargados incluyen cláusulas que establecen el deber de éstos de garantizar la seguridad y la privacidad de la información del titular.
PROCEDIMIENTOS PARA GARANTIZAR EL EJERCICIO DE LOS TITULARES
En desarrollo del artículo 14 de la Ley, denominado “Consultas”, los titulares o sus causahabientes pueden consultar la información de carácter personal que repose en las bases de datos de la RAMIREZ JIMENEZ Y CIA SAS Para solicitudes de consulta deben acreditar su identidad, así:
•Si la presentan mediante documento escrito, deben adjuntar copia de la cédula de ciudadanía.
• Los causahabientes deben acreditar el parentesco adjuntando copia de la escritura que da apertura a la sucesión y copia de su documento de identidad. Los apoderados deben presentar copia auténtica del poder y de su documento de identidad.
•Si RAMIREZ JIMENEZ Y CIA SAS encuentra de conformidad la solicitud en los documentos, dará su respuesta en un término de diez (10) días hábiles.
•En caso de encontrar inconscientica o falta de información en la consulta, se le informará al interesado expresando los motivos de demora señalando la fecha en que se atenderá la consulta siempre y cuando se compélete la información solicitada.
•Si RAMIREZ JIMENEZ Y CIA SAS requiere un mayor tiempo para responder la consulta, lo informarán al titular y le darán su respuesta en un término que no excederá los cinco (5) días hábiles siguientes al vencimiento del término.
RECLAMOS
El titular o sus causahabientes que consideren que la información contenida en una base de datos administrada por RAMIREZ JIMENEZ Y CIA SAS debe ser corregida, actualizada o suprimida, o que advierten un incumplimiento por parte de éstas o de alguno de sus encargados, pueden presentar un reclamo ante RAMIREZ JIMENEZ Y CIA SAS o el encargado, en los siguientes términos:
•El reclamo se formula ante RAMIREZ JIMENEZ Y CIA SAS o el encargado del tratamiento, acompañado del documento que identifique al titular, la descripción clara de los hechos que originan el reclamo, los documentos que pretenda hacer valer y la dirección donde desea recibir notificaciones (física o electrónica).
•Si el reclamo resulta incompleto se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane la falla.
•Si transcurren dos (2) meses a partir de la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
•Si RAMIREZ JIMENEZ Y CIA SAS o el encargado a quien se dirija la solicitud no puede o no es competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles, e informará al interesado.
•Una vez recibido el reclamo completo, se debe incluir en la base de datos correspondiente la leyenda “Reclamo en trámite” y el motivo de éste, en un término máximo de dos (2) días hábiles.
•El término máximo para responder el reclamo es de quince (15) días hábiles. Si no es posible hacerlo en este término, se informará al interesado el motivo de la demora y la fecha en que se atenderá, que no podrá exceder de ocho (8) días hábiles siguientes al vencimiento del primer término.
QUEJA ANTE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO
El titular, causahabiente o apoderado deberá agotar el anterior trámite de consulta o reclamo antes de dirigirse a la Superintendencia de Industria y Comercio para formular una queja.
PERSONA O DEPENDENCIA RESPONSABLE DE LA ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS
El Oficial de Cumplimiento es responsable de velar por el cumplimiento de estas disposiciones y tiene comunicación directa con los responsables de las áreas al interior de RAMIREZ JIMENEZ Y CIA SAS con el fin de garantizar que todos los aspectos queden debidamente recogidos y que los deberes que estipula la ley se cumplan.
LOS PROCEDIMIENTOS DE CONTROL INTERNO Y REVISIÓN DEL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES
Dando cumplimiento a lo establecido por la normatividad al respecto, es responsabilidad de los Órganos de Control de RAMIREZ JIMENEZ Y CIA SAS el efectuar una evaluación periódica del Programa Integral de Gestión de Datos Personales. Se entienden para RAMIREZ JIMENEZ Y CIA SAS como Órganos de Control la Revisoría Fiscal.
LOS PROGRAMAS DE FORMACIÓN DEL PROGRAMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES
El Oficial de Cumplimiento desarrolla estrategias de Capacitación, dirigida a todos los funcionarios de la Entidad. El objetivo es brindar las herramientas necesarias para que todos los participantes conozcan y apliquen las políticas preventivas de RAMIREZ JIMENEZ Y CIA SAS frente al riesgo de protección de datos personales.
ESTRATEGIA DE CAPACITACIÓN DIRIGIDA A FUNCIONARIOS
Toda persona que se vincule laboralmente con RAMIREZ JIMENEZ Y CIA SAS debe ser capacitada en los aspectos generales del Programa Integral de Gestión de Datos Personales, así como en las políticas internas. Se debe dejar constancia escrita de la asistencia y conocimiento de los puntos propios de la capacitación, así como acta de compromiso para el cumplimiento de las normas para la prevención, detección y control del Programa Integral de Gestión de Datos Personales. El acta debe ser remitida al Oficial de Cumplimiento.