1. OBJETIVO
Las políticas y procedimientos para la protección de datos personales contenida en el presente documento, se aplicará a todas las bases de datos y/o archivos de datos personales que sean objeto de tratamiento por parte de PALLOMARO S.A., en adelante , La Compañía, que en cumplimiento de la Ley 1581 de 2012, “por la cual se dictan las disposiciones generales para la protección de datos personales” y sus decretos y normas reglamentarias, se designa como responsable del tratamiento de datos personales; así mismo, bajo el cumplimiento de la guía de responsabilidad demostrada de la Superintendencia de Industria y Comercio de Colombia.
2. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
PALLOMARO S.A., responsable del tratamiento de datos personales, está ubicada e
dentificada con los siguientes datos:
Nit: 890.317.339-2
Dirección: Carrera 4 No. 21 – 40
Ciudad: Santiago de Cali
Teléfono: (602) 4855511
Correos Electrónicos: servicioalcliente@pallomaro.com
Página Web: www.pallomaro.com
3. DEFINICIONES Y PRINCIPIOS
Para mayor ilustración y de conformidad con lo dispuesto por la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015 y demás normas que le modifiquen, dejamos a disposición algunas de las definiciones legales y principios aplicables al manual
de políticas y procedimientos para la protección de datos personales en La Compañía.
• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
• Aviso de Privacidad: Comunicación verbal o escrita generada por La Compañía, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
• Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato público. Es el dato que no sea semiprivado, privado o sensible. Son
considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
• Datos sensibles. Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta de La Compañía. En los eventos en que La Compañía no ejerza como Encargado de la Base de Datos, se identificará expresamente quién será el Encargado.
• Oficial de protección de datos: Es el colaborador interno o externo que la Compañía designe, con el propósito de que sea el encargado de velar por la implementación efectiva de las políticas y procedimientos para cumplir el régimen de protección de datos personales de Colombia.
• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.
• Términos y Condiciones: marco general en el cual se establecen las condiciones para los participantes de actividades promocionales o afines.
• Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
• Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
• Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
• Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la Ley 1581 de 2012, es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
• Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
• Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
• Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley 1581 de 2012. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley 1581 de 2012.
• Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la Ley 1581 de 2012, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley 1581 de 2012 y en los términos de la misma.
• Principio de responsabilidad demostrada: Se trata del rol del Responsable del Tratamiento de os datos personales, como el llamado a implementar medidas dentro de la Compañía que le permitan cumplir con el resto de principios consagrados en el presente reglamento.
4. TRATAMIENTO
La Compañía, actuando en calidad de Responsable del tratamiento de datos personales, para el adecuado desarrollo de sus actividades comerciales, así como para el fortalecimiento de sus relaciones con terceros, recolecta, almacena, usa, circula y suprime datos personales correspondientes a personas naturales con quienes tiene o ha tenido relación, tales como, y a título de ejemplo, colaboradores y familiares de éstos, accionistas, clientes y proveedores.
5. FINALIDAD
Los datos personales son objeto de tratamiento por parte de La Compañía para las siguientes finalidades:
Accionistas:
• Para el reconocimiento, protección y ejercicio de los derechos y deberes.
• Pago de dividendos.
• Convocatoria a reunión de Asamblea general de accionistas.
• Envió de información de interés.
• Emisión de certificación accionaria.
Colaboradores Activos, Inactivos y Candidatos:
• Con el fin de desarrollar y gestionar procesos de reclutamiento, selección y contratación de personal.
• Afiliación, clasificación y custodia de los datos personales y de familiares vinculados legalmente al colaborador, inclusive los datos básicos de sus hijos menores para vinculación al Sistema de Seguridad en Salud, Cajas de Compensación y el Instituto de Bienestar Familiar.
• Envío de información a terceros Encargados de los procesos de reclutamiento, selección, contratación y retiro de personal.
• Generar los correspondientes pagos de nómina y las prestaciones sociales exigidas por Ley.
• Para el envío de información a los colaboradores y sus familiares, correspondiente a fiestas, capacitaciones y demás eventos realizados por La Compañía.
• Para fines administrativos u operativos como por ejemplo, dotación, expedición de carnets, descuentos, programas de bienestar laboral, entre otros.
• Dar respuesta a peticiones, quejas, reclamos y sugerencias (PQRS).
Clientes Activos e Inactivos:
• Para efectos de evaluar, procesar, comparar y almacenar la información suministrada en la base de datos de La Compañía, con fines administrativos, contables, fiscales e históricos.
• Para expedir la correspondiente facturación por la venta de productos y servicios.
• Para la gestión de cobranza y recaudo.
• Emisión de certificados.
• Dar soporte técnico y garantía de nuestros productos y servicios.
• El fortalecimiento de las relaciones comerciales, mediante el envío de información relevante y de interés para el desempeño de su actividad económica.
• Dar respuesta a peticiones, quejas, reclamos y sugerencias (PQRS).
• Realizar encuesta de satisfacción.
• Realizar a través de cualquier medio, actividades de investigación, mercadeo y publicidad. Para hacer parte de las grabaciones en video y audio realizadas por seguridad, sobre el personal que ingresa a las instalaciones, puntos de venta o cualquier sucursal de La Compañía, para los cuales, se encuentra publicado el AVISO DE AUTORIZACIÓN en las instalaciones.
• Para hacer parte de las grabaciones en audio realizadas por seguridad a través los números habilitados por La Compañía, para los cuales, se informará previamente de forma verbal, expresa e informada sobre el tratamiento de sus datos.
Clientes Potenciales:
• Para actividades de publicidad y mercadeo, mediante el envío de información relevante y de interés para el desempeño de su actividad económica
Proveedores Activos e Inactivos:
• Para efectos de evaluar, procesar, comparar y almacenar la información suministrada en la base de datos de la empresa, con fines administrativos, contables, fiscales e históricos.
• Selección, evaluación, reevaluación y seguimiento al desempeño.
• Envío de información de interés y de invitaciones a eventos programados por La Compañía.
• Generar los comprobantes de pagos.
• Dar respuesta a peticiones, quejas, reclamos y sugerencias (PQRS).
6. DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES
Las personas naturales cuyos datos personales sean objeto de tratamiento por parte de La Compañía, tienen los siguientes derechos, los cuales pueden ejercer en cualquier momento:
• Conocer los datos personales sobre los cuales La Compañía está realizando el tratamiento. De igual manera, el titular puede solicitar en cualquier momento, que sus datos sean actualizados o rectificados, si encuentra que sus datos son parciales, inexactos, incompletos, fraccionados, induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
• Solicitar prueba de la autorización otorgada a La Compañía para el tratamiento de sus datos personales.
• Ser informado por La Compañía, previa solicitud, respecto del uso que ésta le ha dado a sus datos personales. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley de Protección de Datos Personales.
• Solicitar a La Compañía la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con los procedimientos establecidos en esta Política. No obstante, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular de la información tenga un deber legal o contractual de permanecer en la base de datos y/o archivos, ni mientras se encuentre vigente la relación entre el titular y La Compañía, en virtud de la cual fueron recolectados sus datos.
• Acceder de forma gratuita a sus datos personales objeto de tratamiento.
7. ÁREA RESPONSABLE DE LA IMPLEMENTACIÓN Y OBSERVANCIA DE ESTA POLÍTICA
El área de Servicio al Cliente de La Compañía, tiene a su cargo la labor de desarrollo, implementación, capacitación y observancia de éste Manual de Políticas y Procedimientos. De igual forma, tiene la responsabilidad de atender las peticiones, quejas, reclamos y solicitudes que se reciban por parte de los titulares de los datos personales.
8. AUTORIZACIÓN
La Compañía debe solicitar autorización previa, expresa e informada a los titulares de los datos personales sobre los que requiera realizar el tratamiento.
a) Autorización previa significa, que el consentimiento debe ser otorgado por el titular, a más tardar en el momento de la recolección de los datos personales.
b) Autorización expresa quiere decir, que el consentimiento del titular debe ser explícito y concreto, no son válidas las autorizaciones abiertas y no específicas. Se requiere que el titular manifieste su voluntad de autorizar que La Compañía realice el tratamiento de sus datos personales.
Esta manifestación de voluntad del Titular puede darse a través de diferentes mecanismos puestos a disposición por La Compañía, tales como:
• Por escrito, por ejemplo, diligenciando el Aviso de Privacidad y Autorización expresa para el tratamiento de datos personales, el cual, será enviado por correo electrónico servicioalcliente@pallomaro.com o estará disponible para consulta en la página web, http://www.pallomaro.com/.
• De forma oral, por ejemplo, en una conversación telefónica realizada a través de los números habilitados para atención a clientes, en videoconferencia a través de redes sociales o en los puntos de venta al público, el cual será socializado por el vendedor al momento de iniciar la venta e ingreso de datos por primera vez.
• Mediante conductas inequívocas que permitan concluir que otorgó su autorización, por ejemplo, a través de su aceptación expresa a los Términos y Condiciones de una actividad dentro de los cuales se requiera la autorización de los participantes para el tratamiento de sus datos personales. En ningún caso La Compañía asimilará el silencio del titular a una conducta mediante la cual manifiesta su voluntad. Cualquiera que sea el mecanismo utilizado por La Compañía, es necesario que la autorización se conserve para poder ser consultada con posterioridad.
c) Autorización Informada significa que al momento de solicitar el consentimiento al titular, debe informársele claramente:
• Los datos personales que serán recolectados.
• La identificación y datos de contacto de La Compañía y del Encargado del tratamiento. Las finalidades específicas del tratamiento que se pretende realizar, es decir: cómo y para qué se va a hacer la recolección, el uso y la circulación de los datos personales.
• Cuáles son los derechos que tiene como titular de los datos personales; para el efecto ver el numeral 6 de éste Manual.
• El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de niñas, niños y adolescentes.
9. DISPOSICIONES ESPECIALES PARA EL TRATAMIENTO DE DATOS PERSONALES DE NATURALEZA SENSIBLE O AQUELLOS DE NIÑOS, NIÑAS Y ADOLESCENTES.
Los datos de naturaleza sensible que reposan en La Compañía, corresponden a datos relacionados a colaboradores activos, inactivos y candidatos, al igual, que los correspondientes a niños, niñas y adolescentes que hacen parte del núcleo familiar de cada colaborador, los cuales, son suministrados y previamente autorizados por el titular para las finalidades descritas en el numeral 5 de este Manual.
La Compañía velará para que los usuarios internos y Encargados del tratamiento de aquellos datos que se consideren sensibles, al igual, que los correspondientes de niños, niñas y adolescentes, sean datos de naturaleza pública, de conformidad con el artículo 5, 6 y 7 de la Ley 1581 de 2012, y dicho tratamiento cumpla con los siguientes parámetros y requisitos:
Disposición Especial Para El Tratamiento De Datos De Niños, Niñas Y Adolescentes
• Que responda y respete el interés superior de los niños, niñas y adolescentes.
• Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
Disposición Especial Para El Tratamiento De Datos Sensibles
• El titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
• El tratamiento sea necesario para salvaguardar el interés vital del titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
• El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
• El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
• El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
10. PROCEDIMIENTO PARA ATENCIÓN Y RESPUESTA A PETICIONES, CONSULTAS, QUEJAS Y RECLAMOS DE LOS TITULARES DE DATOS PERSONALES
Los titulares de los datos personales que estén siendo recolectados, almacenados, utilizados, puestos en circulación por La Compañía, podrán ejercer en cualquier momento sus derechos a conocer, actualizar, rectificar y suprimir información y revocar la autorización.
Para el debido cumplimiento, se seguirá el siguiente procedimiento, de conformidad con la Ley de Protección de Datos Personales:
11. ATENCIÓN Y RESPUESTA A PETICIONES Y CONSULTAS:
El titular o sus causahabientes, podrán solicitar a La Compañía, a través de los medios de consulta y/o notificación indicados más adelante:
• Información sobre los datos personales del titular que son objeto de tratamiento.
• Solicitar prueba de la autorización otorgada a La Compañía para el tratamiento de sus datos personales.
• Información respecto del uso que se le ha dado por La Compañía a sus datos personales.
Las peticiones y consultas podrán ser realizadas de forma gratuita al menos una vez de cada mes calendario, serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de las mismas. Cuando no fuere posible atender la petición o consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su petición o consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
12. ATENCIÓN Y RESPUESTA A RECLAMOS Y QUEJAS:
El titular o sus causahabientes, podrán presentar un reclamo o queja a La Compañía, a través de los medios indicados más adelante:
1. Si la queja o reclamo se presentan incompletos, La Compañía deberá requerir al interesado dentro de los cinco (5) días siguientes a la recepción de la queja o reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la queja o reclamo.
2. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
3.Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido
4. El término máximo para atender la queja o el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la queja o el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su la queja o reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
13. CANALES DE ATENCIÓN
La Compañía, ha dispuesto en la página web el formato “Reclamo sobre Tratamiento de datos Personales” para realizar consultas, peticiones o reclamos sobre el tratamiento de sus datos, el cual deberá ser radicado a través de los siguientes canales de atención, los cuales permiten conservar prueba del proceso:
• Enviando la comunicación dirigida a PALLOMARO S.A., área de Servicio al Cliente, Carrera 4 No. 21 – 40, en la ciudad de Cali, Valle del Cauca.
• Solicitud presentada al correo electrónico: servicioalcliente@pallomaro.com, adjuntando el formato “Reclamo sobre Tratamiento de Datos Personales” y escribiendo en el asunto el nombre de la solicitud que va a realizar en materia de protección de datos personales.
14. SEGURIDAD DE LA INFORMACIÓN
La Compañía, en estricta aplicación del principio de seguridad en el tratamiento de datos personales, proporcionará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. La Compañía exigirá a los proveedores o contratistas de servicios que contrata, la adopción y cumplimiento de las medidas técnicas, humanas y administrativas adecuadas para la protección de los datos personales en relación con los cuales dichos proveedores actúen como Encargados.
En caso de vulneración a la seguridad de la información tratada por la Compañía, El encargado dentro de Pallomaro S.A. y/o su Oficila de Proteccion de Datos Personales, deberá reportar al Registro Nacional de Bases de Datos de la Superintendencia de Industria y Comercio, dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos. Igualmente, la Compañía y/o su personal encargado, deberá informar sobre el incidente de seguridad relacionado con sus Datos personales y las posibles consecuencias; y, proporcionar herramientas a los Titulares para minimizar el daño potencial o causado.
15. TRANSFERENCIA, TRANSMISIÓN Y REVELACIÓN DE DATOS PERSONALES POR TERCEROS NACIONALES
La Compañía, podrá entregar los datos personales a terceros cuando se trate de contratistas en ejecución de contratos que conlleven al desarrollo del objeto social. Para lo cual, se firmará un contrato de transferencia, transmisión y revelación de datos personales entre La Compañía y El Contratante; contrato que estará regulado bajo las directrices de este Manual de Políticas y Procedimientos de Protección de Datos Personales y la Ley 1581 de 2012.
16. LEGISLACIÓN APLICABLE
Este Manual de Políticas y Procedimientos de Protección de Datos Personales, el Aviso de Privacidad y Autorización expresa para el tratamiento de datos personales, se rigen por lo dispuesto en la legislación vigente sobre protección de los Datos Personales a los que se refieren el Artículo 15 de la Constitución Política de Colombia, la Ley 1266 de 2008, la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1727 de 2009, el Decreto 1074 de 2015, y demás normas que las modifiquen, deroguen o sustituyan.
17. VIGENCIA
Este Manual de Políticas y Procedimientos para la Protección de Datos Personales reemplaza en su integridad y deja sin efecto cualquier otra política de Protección de datos Personales verbal o escrita, adoptada con anterioridad por La Compañía en cumplimiento de la Ley 1581 de 2012. Las políticas establecidas en este Manual están vigentes a partir de su emisión (01 de Noviembre de 2017) y las bases de datos sujetas a tratamiento se mantendrán vigentes mientras ello resulte necesario para las finalidades establecidas en el numeral 5 de este Manual.
VIGENCIA DE LA POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN PERSONAL
La presente política de tratamiento de la información personal rige a partir del 1o enero del año 2016 y hasta el momento en que expresamente se revoque o modifique.