POLÍTICA DE PRIVACIDAD TODOESTADÍSTICA

DEFINICIONES SOBRE DATOS

Base de datos: Conjunto organizado de datos personales que son objeto de tratamiento.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

Dato semiprivado: Es aquel cuyo conocimiento o divulgación interesa a su titular y a un determinado grupo de personas o sector social. Por ejemplo, la actividad comercial o profesional.

Dato público: Es dato público todo aquel contenido en documentos públicos, relativo al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Son datos públicos, por ejemplo, los contenidos en la cédula de ciudadanía, en registros públicos, en sentencias judiciales debidamente ejecutoriadas y no sometidas a reserva. Por lo anterior, será también dato público el que no es semiprivado, privado o sensible.

Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Dato reservado: Es aquel que posee una naturaleza confidencial o un alto valor comercial por sí mismo.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos.

Tratantes: Son todas las personas naturales y jurídicas que en el desarrollo y ejecución del contrato tienen acceso y manejo de las bases de datos aportadas por el cliente o recolectadas por el contratista.

POSICIÓN DEL TITULAR FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES:

De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los siguientes son los derechos de los titulares de los datos personales, los cuales los pueden ejercer en cualquier momento:

  1. Acceder, conocer, actualizar y rectificar los datos personales sobre los cuales se está realizando el tratamiento. De igual manera, el titular puede solicitar en cualquier momento, que sus datos sean actualizados o rectificados al encontrar que sus datos se encuentran parciales, incorrectos, inexactos, incompletos, fraccionados, induzcan a error, o aquellos cuyo tratamiento no haya sido autorizado o sea expresamente prohibido.
  2. Ser informado por los tratantes respecto del uso que le ha dado a sus datos personales.
  3. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos, y las garantías constitucionales y legales.
  4. Solicitar prueba de la autorización otorgada a los tratantes para el tratamiento de datos, mediante cualquier medio válido, salvo en los casos en que no es necesaria la autorización.
  5. Presentar ante la Superintendencia de Industria y Comercio, quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, previo trámite de consulta o requerimiento ante los tratantes.
  6. Acceder y consultar de forma gratuita y oportuna a sus datos personales objeto de tratamiento.

POSICIÓN DEL CONTRATISTA Y LOS TRATANTES CON RESPECTO AL TRATAMIENTO DE DATOS:

Dentro de las funciones del responsable del tratamiento de los datos personales, es decir el contratista, se encuentra el nombramiento de una persona o la ejecución personal para el cumplimiento de las siguientes funciones:

  1. Garantizar la elaboración, implementación y promoción de un sistema que permita administrar los riesgos del tratamiento de datos personales.
  2. Comunicar e impulsar una cultura de protección de datos dentro de la organización.
  3. Integrar y enlazar todas las áreas para asegurar una implementación transversal de las Políticas de Protección de Datos Personales.
  4. Verificar y auditar que las Bases de Datos sean registradas en el Registro Nacional de Bases de Datos, y actualizar el reporte según las instrucciones de la Superintendencia de Industria y Comercio.
  5. Programar y garantizar un entrenamiento constante del equipo de trabajo en la protección de datos personales.
  6. Analizar y diagnosticar las responsabilidades de los cargos dentro del equipo de trabajo, para liderar el programa de capacitación en la protección de datos personales.
  7. Garantizar que dentro del proceso de análisis de desempeño de los tratantes, el entrenamiento y uso sobre la protección de datos personales, se encuentre en un nivel superior.
  8. Realizar la capacitación y transmitir la responsabilidad a los nuevos tratantes que por las condiciones de su trabajo, tengan acceso a las Bases de Datos.
  9. Organizar y hacer seguimiento a la implementación de planes de auditoría interna, para verificar el cumplimiento de las políticas de tratamiento de datos personales.
  10. Obtener cuando sea requerido, las declaraciones de conformidad de la Superintendencia de Industria y Comercio.

CONFIDENCIALIDAD Y SEGURIDAD DE LA BASE DE DATOS:

El contratista y en general los tratantes aplicarán las mejores prácticas para la seguridad, discreción, protección, almacenamiento y confidencialidad de los Datos Personales de los titulares. Verificarán cuando corresponda, la procedencia de las excepciones legales para entregar los datos personales a las autoridades y en los casos pertinentes.

GARANTÍAS DE ACCESO AL TITULAR A LOS DATOS PERSONALES:

El contratista garantiza el derecho de acceso al titular de los datos, con previa acreditación de su identidad, legitimidad y sin ningún costo, a sus datos personales a través de diferentes medios, principalmente electrónicos que permitan el acceso directo del titular a ellos. Dicho acceso deberá ofrecerse sin límite alguno y se le debe permitir al titular la posibilidad de conocerlos y actualizarlos en línea.

TRATAMIENTO DE DATOS PERSONALES DE NATURALEZA SENSIBLE:

El Tratamiento de los Datos Personales de naturaleza sensible está prohibido por la ley, salvo que se cuente con autorización expresa, previa e informada del titular, entre otras excepciones consagradas en el Artículo 6º de la Ley 1581 de 2012. Los datos de naturaleza sensible son los relacionados con:

  • Origen racial o étnico.
  • Orientación política.
  • Convicciones religiosas / filosóficas.
  • Pertenencia a sindicatos, organizaciones sociales, organizaciones de derechos humanos o partidos políticos.
  • Vida sexual.
  • Datos biométricos (como la huella dactilar, la firma y la foto).
  • Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

TRATAMIENTO DE DATOS COMERCIALES:

El contratista y los tratantes tramitarán los datos comerciales e información financiera que considere necesaria para el cumplimiento de su objeto social y para toda celebración de contratos con terceros. Los datos de los mismos serán tratados con la intimidad, derechos a la privacidad, el buen nombre de las personas, dentro del proceso del tratamiento de datos personales, y durante todas las actividades que tendrán los principios de confidencialidad, seguridad, legalidad, acceso, libertad y transparencia.

Para tal efecto, se reglamenta la firma del Acuerdo de Confidencialidad para la entrega de Datos con todos los proveedores y quienes participen en el proceso de recolección.

MARCO NORMATIVO Y LEGAL:

LEY 527 DE 1999:

Define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. También  introduce  el  concepto  de  equivalente  funcional,  firma  electrónica  como  mecanismos  de  autenticidad,  disponibilidad y confidencialidad de la información.

LEY 1266 DE 2008:

Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.

LEY 1273 DE 2009:

Ley por medio de la cual se crea y se protege el bien jurídico de la información y los datos personales. Así mismo, se tipifican  conductas  penales  como  daño  informático,  violación  de  datos  personales,  acceso  abusivo  a  sistema informático, interceptación de datos informáticos,  hurto por medios  informáticos, entre otras.

LEY 1581 DE 2012:

Por la cual se dictan disposiciones generales para la protección de datos personales.

DECRETO 1377 DE 2013:

Con  el  cual  se  reglamenta  la  Ley  1581  de  2012,  sobre  aspectos  relacionados  con  la  autorización  del  Titular  de información  para  el  Tratamiento  de  sus  datos  personales,  las  políticas  de  Tratamiento  de  los  Responsables  y  Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales.

DECRETO 886 DE 2014:

Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos Personales, el cual se encuentra a cargo de la Superintendencia de Industria y Comercio, y donde quienes actúen como  Responsables  del  tratamiento  de  datos  personales,  deberán  registrar  sus  Bases  de  Datos  siguiendo  las  instrucciones de este decreto. En específico los siguientes artículos:

“Artículo 9. Nombre y finalidad de la base de datos. El Responsable del Tratamiento identificará cada una de las bases de datos que inscriba, de acuerdo con la finalidad para la cual fue creada.

Artículo 10. Formas de Tratamiento. Los datos personales contenidos en bases de datos podrán ser tratados de manera automatizada o manual. Son bases de datos manuales los archivos cuya información se encuentra organizada y almacenada de manera física y bases de datos automatizadas aquellas que se almacenan y administran con la ayuda de herramientas informáticas.

Artículo 12. Plazo de inscripción. Los Responsables del Tratamiento deberán inscribir sus bases de datos en el Registro Nacional de Bases de Datos dentro del año siguiente a la fecha en que la Superintendencia de Industria y Comercio habilite dicho registro, de acuerdo con las instrucciones que para el efecto imparta esa entidad. Las bases de Datos que se creen con posterioridad a ese plazo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.”

Para consultar por favor dirigirse al portal:https://www.sic.gov.co/registro-nacional-de-bases-de-datos