Curtidos Leathercol SAS
Curtidos Leathercol S.A.S.

Política de Tratamiento de Datos Personales

Política de Tratamiento de Datos Personales -(LEY 1581 DEL 2012) / CURTIDOS LEATHERCOL SAS – NIT: 900.334.029-1 / Versión: 00-02, Fecha de emisión: Marzo 2018 / Aprobado por: Asamblea de Accionistas, Responsable: CURTIDOS LEATHERCOL SAS
Contáctenos

Política de Tratamiento de Datos Personales

(LEY 1581 DEL 2012)

CURTIDOS LEATHERCOL SAS
NIT: 900.334.029-1

Versión: 00-02
Fecha de emisión: Marzo 2018
Aprobado por: Asamblea de Accionistas
Responsable: CURTIDOS LEATHERCOL SAS

Descargar archivo PDF

ORIGEN

El presente manual contiene las políticas adoptadas por CURTIDOS LEATHERCOL SAS (en adelante, la Compañía) para dar cumplimiento integral a la Ley Estatutaria 1581 de 2012, por medio de la cual se dictan disposiciones generales para la protección de datos personales, así como al Decreto 1377 de 2013, que establece lineamientos orientados a garantizar los derechos, libertades y garantías constitucionales consagrados en el artículo 15 de la Constitución Política.

Asimismo, reconoce el derecho de todas las personas a conocer, actualizar y rectificar la información que se haya recopilado sobre ellas en bases de datos, conforme a lo dispuesto en el artículo 20 de la misma Constitución.

INTRODUCCIÓN

La protección de los datos personales constituye un derecho fundamental en Colombia, consagrado en el artículo 15 de la Constitución Política, que reconoce a todas las personas el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos y archivos, tanto de entidades públicas como privadas.

En desarrollo de este derecho, el Congreso de la República expidió la Ley 1581 de 2012, mediante la cual se establecen disposiciones generales para la protección integral de los datos personales en Colombia. Esta normatividad se reglamenta, entre otros, a través del Decreto Único Reglamentario 1074 de 2015, que compila los Decretos 1377 de 2013 y 886 de 2014.

En cumplimiento de esta normatividad y en atención a su compromiso con la privacidad y la protección de la información personal, CURTIDOS LEATHERCOL SAS adopta el presente documento como política institucional. Su finalidad es garantizar el ejercicio de los derechos de los titulares a conocer, actualizar, rectificar, suprimir o revocar la autorización respecto a los datos personales tratados por la Compañía, en desarrollo de sus actividades comerciales y operativas.

El conocimiento, aplicación y cumplimiento del contenido de este documento, es obligatorio para todos los colaboradores, directivos y contratistas de la Compañía. Asimismo, estará disponible para las autoridades competentes, clientes, proveedores y demás terceros interesados, como parte del compromiso institucional con la transparencia y la legalidad.

La Compañía informa a todos los interesados que los datos personales obtenidos con ocasión de las relaciones contractuales, comerciales o laborales que se celebren, serán tratados conforme a los principios, deberes y derechos establecidos en la Ley 1581 de 2012 y sus normas reglamentarias.

Para todos los efectos legales, el domicilio de CURTIDOS LEATHERCOL SAS es:

  • Vereda Casa Blanca Km 68, Finca El Molino, Villapinzón, Cundinamarca
  • Teléfonos: 601 611 1406 – 321 929 5975
1. OBJETIVO

La presente política tiene como objetivo establecer los lineamientos necesarios para garantizar la adecuada protección de los datos personales tratados por CURTIDOS LEATHERCOL SAS, ya sea mediante bases de datos físicas o electrónicas. Asimismo, busca divulgar los criterios aplicables al tratamiento de dicha información (recolección, almacenamiento, uso, circulación y supresión), en cumplimiento de la normativa vigente y del respeto por los derechos de los titulares.

2. ALCANCE

Esta política es de aplicación obligatoria para todas las personas naturales o jurídicas que, en calidad de responsables o encargados, realicen tratamiento de datos personales en nombre de CURTIDOS LEATHERCOL SAS. Su cumplimiento garantiza la atención oportuna a solicitudes, consultas y reclamaciones de los titulares, y la protección de su información personal en los términos establecidos por la ley.

3. MARCO NORMATIVO

  • Constitución Política de Colombia, artículos 15 y 20.
  • Ley 1266 de 2008
  • Ley 1581 de 2012
  • Decretos 1377 de 2013 y 886 de 2014
  • Decreto Único Reglamentario 1074 de 2015.

4. DEFINICIONES

Acceso restringido: nivel de acceso a la información limitado a parámetros previamente definidos. La compañía no hará disponibles los datos personales para su acceso a través de internet u otros medios de comunicación masiva, a menos que se establezcan medidas técnicas que permitan controlar el acceso y restringirlo solo a las personas autorizadas.

Área responsable de protección de datos: es el área dentro de la compañía, que tiene como función la vigilancia y control de la aplicación de la política de protección de datos personales y la implementación del programa integral de protección de datos personales.

Área responsable de la atención a peticiones, quejas, reclamos y consultas: las peticiones, quejas, reclamos y consultas formuladas por los titulares de datos serán atendidas por un área específica de CURTIDOS LEATHERCOL SAS, a través de la figura del responsable de protección de datos, adscrita a la misma.

Autorización: consentimiento previo (o concurrente) expreso e informado del titular para autorizar y permitir el tratamiento de sus datos personales.

Base de datos: conjunto organizado de datos personales que sean objeto de tratamiento. Incluye archivos físicos y electrónicos.

Bases de datos manuales: son los archivos cuya información se encuentra organizada y almacenada físicamente.

Bases de datos automatizadas: son almacenadas y administradas con herramientas informáticas.

Calidad del dato: el dato personal sometido a tratamiento deberá ser veraz, completo, exacto, actualizado, comprobable y comprensible. Cuando se esté en poder de datos personales parciales, incompletos, fraccionados o que induzcan a error, la compañía deberá abstenerse de someterlo a tratamiento, o solicitar a su titular la completitud o corrección de la información.

Circulación restringida: los datos personales sólo serán tratados por aquel personal de la compañía o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrán entregarse datos personales a quienes no cuenten con autorización o no hayan sido habilitados por la compañía para tratarlos.

Confidencialidad: elemento de seguridad de la información que permite establecer quienes y bajo qué circunstancias se puede acceder a la misma.

Dato personal: cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).

Dato público: es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato semiprivado: es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales.

Dato sensible: aquel dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Derecho de los niños, niñas y adolescentes: en el tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que sean de naturaleza pública.

Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento. La compañía, actúa como encargado del tratamiento de datos personales en los casos, en los que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta de un responsable del tratamiento.

Información digital: toda aquella información que es capturada, almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.

Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos. La compañía actúa como responsable del tratamiento de datos personales frente a todos los datos personales sobre los cuales decida directamente, en cumplimiento de las funciones propias reconocidas legalmente.

Titular: persona natural cuyos datos personales son objeto de tratamiento.

Tratamiento: es cualquier operación o conjunto de operaciones sobre datos personales que realice la compañía o los encargados del tratamiento, tales como la recolección, almacenamiento, uso, circulación o supresión.
Transferencia: actuación que tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

Transmisión: tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la república de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

5. Principios rectores

La compañía en el desarrollo, interpretación y aplicación de la ley, regulaciones, y normatividad vigente, se aplicarán, de manera total e integral, los siguientes principios:

Principio de legalidad en materia de tratamiento de datos: el tratamiento es una actividad reglada que debe sujetarse a lo establecido en la ley 1581 del 17 de octubre de 2012, decretos reglamentarios y demás disposiciones que la desarrollen.

Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la constitución y la ley, la cual debe ser informada al titular.

Principio de libertad: el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

Principio de acceso y circulación restringida: el tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley.

Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.

Principio de seguridad: la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad: todos los funcionarios y contratistas que intervengan en el tratamiento de datos personales, que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.

Principio de temporalidad: los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual.

Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de los datos.

Interpretación integral de los derechos constitucionales: los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la constitución y con los derechos constitucionales aplicables.

Principio de necesidad: los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.

6. COMPROMISOS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

CURTIDOS LEATHERCOL SAS garantizará una estructura administrativa en la compañía proporcional a la estructura y tamaño empresarial del responsable para la adopción e implementación de políticas.

6.1. GERENCIA GENERAL

  • Adoptar herramientas, programas y procesos para la implementación efectiva de esta política.
  • Designar el responsable del tratamiento y facilitarle los recursos necesarios.
  • Aprobar y monitorear el cumplimiento del programa de protección de datos.
  • Garantizar el cumplimiento de las obligaciones legales relacionadas con la atención de los derechos de los titulares.
  • Hacer seguimiento continuo al informe de gestión presentado por el responsable del tratamiento.

7. POLÍTICA DE TRATAMIENTO DE DATOS

De acuerdo con la normatividad vigente y las directrices de la Superintendencia de Industria y Comercio (SIC), la política de tratamiento de la información de la compañía está compuesta por los siguientes aspectos:

  • Descripción del tratamiento al que serán sometidos los datos personales y la finalidad de este, cuando no se informe mediante un aviso de privacidad.
  • Nombre o razón social, domicilio, dirección física y electrónica, y teléfono del responsable del tratamiento de los datos personales.
  • Derechos que asisten al titular de la información.
  • Identificación del área o persona responsable de atender peticiones, consultas y reclamos, a través de la cual los titulares podrán ejercer sus derechos a conocer, actualizar, rectificar, suprimir sus datos y/o revocar la autorización otorgada.
  • Procedimiento para el ejercicio de los derechos del titular conforme a la Ley 1581 de 2012.
  • Fecha de entrada en vigor de la política y período de vigencia de la base de datos.

Cualquier cambio sustancial en la Política de Tratamiento de Datos Personales deberá ser informado a los titulares de manera oportuna y eficiente, antes de su implementación. Esta notificación podrá realizarse a través de medios idóneos previamente autorizados por los titulares, tales como el envío de comunicaciones a direcciones físicas o electrónicas, y podrá complementarse con publicaciones en medios masivos como la página web.


8. CANAL DE COMUNICACIONES DE PQRS

La Compañía ha dispuesto el siguiente canal para consultas, quejas y reclamos relacionados con el tratamiento de datos personales: datospersonales.leathercol@gmail.com

9. FINALIDAD DEL TRATAMIENTO

De conformidad con lo establecido en la Ley 1581 de 2012 y las autorizaciones otorgadas por los titulares de la información, CURTIDOS LEATHERCOL SAS llevará a cabo operaciones de tratamiento de datos personales que incluyen su recolección, almacenamiento, uso, circulación y/o supresión. Dicho tratamiento se realizará exclusivamente para las finalidades previstas en la presente política, así como en las autorizaciones específicas entregadas por los titulares. Igualmente, la Compañía podrá efectuar tratamiento de datos personales cuando exista una obligación legal o contractual que así lo exija, siempre bajo los lineamientos definidos en su Política de Seguridad de la Información.

En atención a su naturaleza jurídica y objeto social, la Compañía podrá tratar datos personales para fines relacionados con la prospección, exploración, explotación, transporte, beneficio, transformación, embarque, comercialización y exportación, tanto en Colombia como en el exterior.

Adicionalmente, y conforme a las actividades que adelanta la Compañía, los datos personales serán tratados en función del grupo de interés al que pertenezca el titular, y en proporción a la finalidad específica de cada tipo de tratamiento, tal como se detalla a continuación:

9.1. TITULARES EN GENERAL

El tratamiento de Datos Personales por parte de la compañía tendrá las siguientes finalidades:

  • Gestionar y controlar las solicitudes relacionadas con los servicios ofrecidos por la Compañía.
  • Responder consultas, peticiones y solicitudes de derechos presentadas por los titulares.
  • Adelantar trámites, servicios y demás procedimientos administrativos requeridos por los usuarios o clientes.
  • Ejecutar campañas institucionales, actividades de divulgación, formación y capacitación.
  • Actualizar las bases de datos, incluyendo procesos de validación, depuración, enriquecimiento y estandarización, lo cual podrá implicar la transmisión o transferencia de datos a terceros, conforme a lo exigido por la ley.
  • Permitir el tratamiento de la información por parte de proveedores y/o contratistas, en los casos en que sea estrictamente necesario para el cumplimiento de los servicios contratados.
  • Elaborar estudios, estadísticas, encuestas y análisis de tendencias relacionados con los servicios prestados por la Compañía.
  • Presentar informes y reportes a entidades externas como el Ministerio de Comercio, Superintendencia de Industria y Comercio, Superintendencia Financiera de Colombia, Contraloría General de la República, Procuraduría General de la Nación, Fiscalía General de la Nación, entre otras, en cumplimiento de obligaciones legales y requerimientos regulatorios.
  • Gestionar la información necesaria para dar cumplimiento a obligaciones tributarias, contractuales, comerciales, contables y registrales.
  • Transmitir o transferir datos personales a encargados nacionales o internacionales con los cuales exista una relación operativa, en la medida en que sea necesario para la correcta operación de la Compañía.
  • Prestar servicios de información y atención mediante los canales de contacto disponibles.
  • Evaluar la calidad de los servicios prestados por la Compañía.
  • Realizar la grabación de imágenes u otros registros audiovisuales que sirvan como soporte y evidencia de las actividades realizadas.
  • Fortalecer las acciones de promoción comercial y actualizar la oferta de servicios y productos.
  • Cumplir con cualquier otra finalidad que se determine en los procesos de recolección de datos, siempre dentro del marco de la Ley y de las funciones propias de la Compañía.
  • Para prevenir y auto controlar el Lavado de Activos, la Financiación del Terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva.

9.2. EMPLEADOS

  • Ejecutar las actividades necesarias para el cumplimiento de obligaciones legales derivadas de la relación laboral, tanto durante la vigencia del contrato como después de su terminación.
  • Gestionar el tratamiento de la información personal del trabajador y su grupo familiar, cuando aplique, para fines de afiliación y administración de servicios ante entidades del Sistema General de Seguridad Social en Salud, Fondos de Pensiones y Cesantías, Cajas de Compensación Familiar, Administradoras de Riesgos Laborales, Fondos de Empleados, instituciones educativas y demás entidades relacionadas.
  • Controlar y verificar el cumplimiento de los requisitos relacionados con el Sistema General de Seguridad Social y demás normativas laborales.
  • Publicar el directorio corporativo con fines de contacto interno.
  • Captar y tratar datos biométricos mediante sistemas de videovigilancia u otros mecanismos tecnológicos, con fines de seguridad, identificación y prevención de fraudes internos y externos.
  • Tratar datos personales de menores de edad cuando sea necesario para el cumplimiento de obligaciones legales y contractuales relacionadas con sus padres o acudientes.
  • Adelantar procesos de selección de personal, gestionar hojas de vida y realizar pruebas o verificaciones, garantizando en todo caso la confidencialidad y el acceso restringido a dicha información.
  • Informar y comunicar a los empleados sobre eventos, actividades internas o institucionales, a través de los medios dispuestos por la Compañía.
  • Gestionar la cadena presupuestal relacionada con pagos, emisión de certificados de ingresos y retenciones, así como las obligaciones fiscales derivadas de la relación laboral.
  • Administrar el proceso contable asociado a las obligaciones laborales.
  • Realizar trámites disciplinarios o relacionados con la finalización de la relación laboral, en los términos establecidos por la ley.
  • Para prevenir y auto controlar el Lavado de Activos, la Financiación del Terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva.

9.3. PROVEEDORES / CONTRATISTAS

  • Gestionar todas las etapas de los procesos de selección, contratación, ejecución, seguimiento y finalización de las relaciones contractuales establecidas con la Compañía.
  • Cumplir con las obligaciones legales, contables, fiscales, tributarias y comerciales derivadas de los vínculos contractuales.
  • Administrar la cadena presupuestal relacionada con los pagos efectuados a proveedores y contratistas, así como la expedición de certificados de ingresos y retenciones u otros documentos requeridos.
  • Ejecutar el proceso contable vinculado a las obligaciones derivadas de la contratación.
  • Mantener un archivo físico o digital organizado con la documentación e información relacionada con cada contrato, conforme a los principios de conservación, confidencialidad y seguridad de la información.
  • Expedir certificaciones o constancias contractuales cuando sean solicitadas por los contratistas o por entes de control.
  • Coordinar y facilitar la gestión de servicios o trámites que, en el marco de sus funciones, deban ser adelantados por el proveedor o contratista en beneficio de la Compañía.
  • Realizar cualquier otro tratamiento que resulte necesario para el cumplimiento de los fines contractuales, en el marco de lo permitido por la Ley 1581 de 2012 y sus normas complementarias.
  • Para prevenir y auto controlar el Lavado de Activos, la Financiación del Terrorismo y el Financiamiento de la Proliferación de Armas de Destrucción Masiva.

10. RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES

La Ley 1581 de 2012, por medio de la cual se establecen disposiciones generales para la protección de datos personales en Colombia, así como el Decreto 1377 de 2013, son aplicables a todos los datos personales que se encuentren almacenados en bases de datos físicas o electrónicas y que sean susceptibles de tratamiento por parte de entidades públicas o privadas.

En su calidad de responsable y/o encargado del tratamiento de datos personales, CURTIDOS LEATHERCOL SAS adopta el presente manual de políticas y procedimientos como marco para definir los principios, criterios y lineamientos fundamentales que rigen el tratamiento de los datos personales recolectados en el desarrollo de su objeto social.

  • Razón Social: CURTIDOS LEATHERCOL SAS
  • Domicilio: Vereda Casa Blanca Km 68, Finca El Molino, Villapinzón, Cundinamarca
  • NIT: 900.334.029-1
  • Representante Legal: Hernán Alonso Farfán Vera

10.1. DEBERES DEL(OS) RESPONSABLE(S) Y ENCARGADO(S) DEL TRATAMIENTO

10.1.1. DEBERES DEL(OS) RESPONSABLE(S) DEL TRATAMIENTO

La Compañía siendo responsable y teniendo el compromiso de la protección integral de los datos tendrá los siguientes deberes:

  • Garantizar al titular, en todo momento, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Solicitar y conservar, en las condiciones establecidas por la ley, copia de la autorización otorgada por el titular para el tratamiento de sus datos personales.
  • Informar de manera clara y previa al titular sobre la finalidad del tratamiento y los derechos que le asisten en virtud de la autorización otorgada.
  • Conservar la información bajo condiciones de seguridad que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Asegurar que la información suministrada al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Actualizar oportunamente la información, notificando al encargado del tratamiento sobre cualquier novedad respecto de los datos previamente suministrados, y adoptar las medidas necesarias para que esta permanezca actualizada.
  • Rectificar la información cuando sea incorrecta e informar de ello al encargado del tratamiento.
  • Suministrar al encargado del tratamiento únicamente aquellos datos personales cuyo tratamiento esté debidamente autorizado conforme a lo dispuesto por la ley.
  • Exigir al encargado del tratamiento el cumplimiento de las condiciones de seguridad y privacidad aplicables a la información de los titulares.
  • Tramitar, en los términos previstos por la ley, las consultas y reclamos formulados por los titulares.
  • Adoptar procedimientos internos que aseguren el cumplimiento de las obligaciones legales, en especial para la atención de consultas y reclamos.
  • Informar al encargado del tratamiento cuando determinada información se encuentre en discusión por parte del titular, una vez se haya presentado una reclamación que no haya finalizado.
  • Informar al titular, a solicitud de este, sobre el uso que se le ha dado a sus datos personales.
  • Reportar a la autoridad de protección de datos (Superintendencia de Industria y Comercio) cualquier incidente de seguridad que implique una violación a los códigos de seguridad y que represente riesgo para la información de los titulares.
  • Cumplir con los demás deberes que establezca la normatividad vigente o que resulten aplicables en razón de la actividad desarrollada por la Compañía.

10.1.2. DEBERES DEL(OS) ENCARGADO(S) DEL TRATAMIENTO

Los Encargados del Tratamiento, y en el evento en el cual la Compañía actúe como encargada, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

  • Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Los encargados deberán cumplir las condiciones mínimas de seguridad definidas en el Registro Nacional de Bases de datos las cuales se pueden consultar en: https://www.sic.gov.co/
  • Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley 1581 de 2012 y demás normas concordantes y vigentes.
  • Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
  • Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente política.
  • 3Registrar en las bases de datos la leyenda «reclamo en trámite» en la forma en que se regula en la ley.
  • Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  • Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
  • Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  • Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
  • Verificar que el responsable del Tratamiento tiene la autorización para el tratamiento de datos personales del Titular.
  • Las demás previstas en la normatividad vigente.

11. DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE DATOS

11.1. DERECHOS DE LOS TITULARES

Nuestra compañía siempre velara por respetar y hacer cumplir los derechos de los titulares de los datos personales en el tratamiento correspondiente, estos derechos son:

Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.

  • Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley.
  • Ser informado por el responsable del tratamiento o el encargado del tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales.
  • Presentar ante la autoridad que crean competente quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.
  • Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la constitución.
  • Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

11.2. AUTORIZACIÓN DEL TITULAR

Teniendo en cuenta la excepciones que prevé la ley, siempre es necesario solicitar la autorización previa e informada del titular, dicha autorización debe ser obtenida por cualquier medio que pueda ser objeto de consulta

posterior y se entenderá que cumple los requisitos cuando se manifieste por escrito, de manera oral, o mediante conductas indiscutibles del titular que permitan de forma razonable concluir que otorgo la autorización, como cuando ingresa a nuestras instalaciones sabiendo de la existencia de video vigilancia.

11.2.1. CASOS EN QUE NO ES NECESARIA LA AUTORIZACIÓN

En los siguientes casos no será necesaria la autorización del titular, esto según lo previsto en la ley 1581 del 2012:

  • Información requerida por la Entidad, en ejercicio de sus funciones legales o por orden judicial.
  • Datos de naturaleza pública.
  • Casos de urgencia médica o sanitaria.
  • Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
  • Datos relacionados con el Registro Civil de las Personas.
  • Bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo y control del lavado de activos y el financiamiento del terrorismo.

11.3. SUMINISTRO DE LA INFORMACIÓN

La información que sea solicitada puede ser suministrada por cualquier medio, esto incluyendo los medios electrónicos, la información que brinda la compañía será clara, de fácil lectura acceso y esta corresponderá en todo momento con la información que reposa en las bases de datos.

11.4. DEBER DE INFORMAR AL TITULAR

La compañía informara al momento de solicitar al titular la autorización lo siguiente:

  • El Tratamiento al cual serán sometidos sus datos personales y la finalidad de este.
  • El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
  • Los derechos que le asisten como Titular.
  • La identificación, dirección física o electrónica y teléfono del responsable del Tratamiento.
  • La compañía es responsable del correcto tratamiento de los datos personales de los titulares, es por este motivo que siempre conservara el soporte correspondiente del cumplimiento de lo previsto en el presente numeral, así mismo se obliga a otorgar copia de esta información cuando el titular la solicite.

11.5. PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN

Toda información que reúna las condiciones establecidas en la ley solo podrá suministrase a las siguientes personas.

  • A los Titulares, sus causahabientes o sus representantes legales.
  • A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
  • A los terceros autorizados por el Titular o por la ley.
12. ÁREA RESPONSABLE DE LA ATENCIÓN A PETICIONES, CONSULTAS Y RECLAMOS

Toda petición, consulta y reclamo que realicen los titulares de los datos personales que estén a cargo de la compañía y para ejercer el derecho consagrado en la actual policita, deberán ser dirigidas directamente al encargado de protección de datos personales por los siguientes medios de comunicación:

  • Dirección: Vereda Casa Blanca Km 68, Finca El Molino, Villapinzón, Cundinamarca
  • Teléfono: 601 611 1406 – 321 929 5975
  • Correo electrónico: datospersonales.leathercol@gmail.com

Los medios mencionados anteriormente son el contacto de los titulares de Datos personales, para todos los efectos previstos en la presente política.

12.1. PROCEDIMIENTO PARA ATENDER LOS DERECHOS DE LOS TITULARES

Sin importar el vínculo que tengan los titulares de los datos personales con la Compañía, podrán ejercer siempre sus derechos a conocer, actualizar, rectificar y suprimir información y/o revocar la autorización otorgada.

12.1.1. PROCEDIMIENTO DE CONSULTAS

La Compañía y/o los Encargados, garantizan a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes o personas autorizadas, el derecho de consultar toda la información contenida en su registro individual o toda aquella que esté vinculada con su identificación conforme se establece en la presente Política de Tratamiento de Datos Personales.

Responsable de atención de consultas: El Encargado de Protección de Datos Personales de la Compañía, será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley 1581 de 2012 y en las presentes políticas.

Las consultas dirigidas a la Compañía deberán contener como mínimo la siguiente información:

  • Nombres y apellidos del Titular y/o su representante y/o causahabientes.
  • Lo que se pretende consultar.
  • Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes o representantes.
  • Firma, número de identificación o procedimiento de validación correspondiente.
  • Haber sido presentada por los medios de consulta habilitados por la Compañía.

Una vez sea recibida la solicitud de consulta de información por parte del Titular de los datos o su representante o tercero debidamente autorizado, a través de los canales establecidos, el área respectiva procederá a remitir la solicitud al área de servicio al cliente, quien a su vez dará traslado de la misma al encargado de Protección de Datos Personales, quien procederá a verificar que la solicitud contenga todas las especificaciones requeridas a efectos de poder valorar que el derecho se ejerza por un interesado o por un representante de éste, acreditando con ello, que se cuenta con la legitimidad legal para hacerlo.

Plazos de Respuesta a consultas: Las solicitudes recibidas mediante los anteriores medios serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.

Prórroga del plazo de Respuesta: En caso de imposibilidad de atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los diez (10) días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

12.1.2. PROCEDIMIENTO DE RECLAMOS

Derechos Garantizados mediante el procedimiento de reclamos:

  • Corrección o Actualización: La Compañía y/o los Encargados, garantizarán a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de corregir o actualizar los datos personales que reposen en sus bases de datos, mediante presentación de reclamación, cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales para que sea procedente la solicitud de Corrección o Actualización.
  • Revocatoria de la autorización o Supresión de los datos Personales: La Compañía y/o los Encargados, garantizarán a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de Solicitar la Revocatoria de la autorización o solicitar la supresión de la información contenida en su registro individual o toda aquella que esté vinculada con su identificación cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales. Así mismo se garantiza el derecho de presentar reclamos cuando adviertan el presunto incumplimiento de la Ley 1581 de 2012 o de la presente Política de tratamiento de datos personales.
  • Responsable de atención de Reclamos: El encargado de Protección de Datos Personales de la Compañía, será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley 1581 de 2012 y en las presentes políticas.

Las reclamaciones presentadas deberán contener como mínimo la siguiente información:

  • Nombres y apellidos del Titular y/o su representante y/o causahabientes.
  • Lo que se pretende reclamar.
  • Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes o representantes.
  • Firma, número de identificación o procedimiento de validación correspondiente.
  • Haber sido presentada por los medios de consulta habilitados por la Compañía.

Una vez sea recibida la reclamación de actualización o de rectificación de información por parte del Titular de los datos o su representante o tercero debidamente autorizado, a través de los canales establecidos, el área respectiva procederá a remitir la solicitud al área de servicio al cliente, quien a su vez dará traslado de la misma al Encargado de Protección de Datos Personales, quien procederá a verificar que la solicitud contenga todas las especificaciones requeridas a efectos de poder valorar que el derecho se ejerza por un interesado o por un representante de éste, acreditando con ello, que se cuenta con la legitimidad legal para hacerlo.

Reclamaciones sin cumplimiento de Requisitos legales: En caso de que la reclamación se presente sin el cumplimiento de los anteriores requisitos legales, se solicitará al reclamante dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas y presente la información o documentos faltantes.

Desistimiento del Reclamo: Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Recepción de reclamos que no correspondan a la Entidad: En caso de que la Compañía reciba un reclamo dirigido a otra compañía, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al reclamante.

Inclusión de leyenda en la base de datos: Recibida la reclamación de forma completa, en un término máximo de dos (2) días hábiles contados desde la recepción, la Compañía Incluirán en la base de datos donde se encuentren los datos personales del Titular, una leyenda que diga «reclamo en trámite» y el motivo de este. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

Plazos de Respuesta a los Reclamos: El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibido.

Prórroga del plazo de Respuesta: Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Procedimiento de Supresión de Datos Personales: En caso de resultar procedente la Supresión de los datos personales del titular de la base de datos conforme a la reclamación presentada, la Compañía, deberán realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, sin embargo, el Titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la compañía por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.

13. CATEGORÍAS ESPECIALES DE DATOS

13.1. DATOS SENSIBLES

Teniendo en cuenta las disposiciones de la Ley 1581 del 2012, entenderemos como datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

13.1.1. TRATAMIENTO DE DATOS SENSIBLES

Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

  • El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
  • El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
  • El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.
  • El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

13.1.2. AUTORIZACIÓN ESPECIAL DE DATOS PERSONALES SENSIBLES

La Compañía está comprometida en la protección de los datos personales de las personas y en especial todo dato sensible que administre en la gestión de sus actividades comerciales, es por este motivo, que la Compañía informará los diferentes medios por los que obtendrá la autorización a sus titulares, correspondiendo a lo dispuesto en la ley 1581 del 2012, de igual manera se debe recordar que estos no están obligados a otorgar dicha autorización para autorizar el tratamiento de sus datos sensibles.

En caso de tratamiento de datos relativos a la salud, la Compañía, garantizará todas las medidas necesarias para proteger la confidencialidad de la información. Los datos sensibles biométricos tratados tienen como finalidad la identificación de las personas, la seguridad, el cumplimiento de obligaciones legales y la adecuada prestación de los productos.

13.2. DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES

En la Compañía está completamente prohibido el tratamiento de los datos de los niños, niñas y adolescentes, exceptuando solo los datos que son de naturaleza pública, y en caso de que se traten estos datos es primordial garantizar y respetar como requisito sus derechos fundamentales así mismo como los intereses superiores de los niños, niñas y adolescentes, aplicando los principios y obligaciones establecidos en la Ley 1581 de 2012 y en el Decreto 1377 de 2013.

Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

14. ACCIONES GENERALES PARA LA PROTECCIÓN DE DATOS PERSONALES

A continuación, la Compañía, establece los lineamientos correspondientes para la protección de los datos personales aplicados dentro de la compañía, esto sin perjuicio de remplazar y desconocer otra políticas o procedimientos que puedan existir actualmente.

14.1. TRATAMIENTO DE LA INFORMACIÓN

Para poder realizar el manejo de la información se debe de contar con ética, asegurando la confidencialidad, integridad y disponibilidad de los datos. Por lo que cada una de las áreas de la compañía y los miembros de estas asumirán las responsabilidades y obligaciones que se deben tener al momento de tratar la información personal, para mantener un manejo adecuado en función de su cargo, esto aplicara para todo ámbito, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.

14.2. USO DE LA INFORMACIÓN

Toda información que sea de carácter personal debe ser utilizada y tratada de acuerdo con lo descrito en la presente política.

Si alguna área de la Compañía llegase a identificar algún uso distinto a los que se encuentran en la presente política de tratamiento de datos personales, deberá dar informe al encargado de datos personales, y este a su vez deberá realizar una evaluación y gestionara, según el caso su inclusión en la presente política.
Igualmente, se deben tomar en consideración los siguientes supuestos:

  • En caso de que un área diferente de la que recolectó inicialmente el dato personal requiera utilizar los datos personales que se han obtenido, ello se podrá hacer siempre que se trate de un uso previsible por el tipo de servicios que ofrece la Compañía y para una finalidad contemplada dentro de la presente Política de Tratamiento de Datos Personales.
  • Cada área debe garantizar que en las prácticas de reciclaje de documentos físicos no se divulgue información confidencial ni datos personales. Por lo anterior, no se podrán reciclar hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona.
  • En caso de que un encargado haya facilitado datos personales o bases de datos a algún área para un fin determinado, el área que solicitó los datos personales no debe utilizar dicha información para una finalidad diferente de la relacionada en la Política de Tratamiento de Datos Personales; al finalizar la actividad, es deber del área que solicitó la información, eliminar la base de datos o los datos personales utilizados evitando el riesgo de desactualización de información o casos en los cuales durante ese tiempo un titular haya presentado algún reclamo.
  • Los funcionarios no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja el sistema de información, por lo que deberán validar la información a través de otros instrumentos físicos o de manera manual, y, si es necesario, de manera directa por parte del titular del dato, en los casos en que así sea necesario.
  • Únicamente los funcionarios y contratistas autorizados pueden introducir, modificar o anular los datos contenidos en las bases de datos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el área de Tecnología, de acuerdo con los perfiles establecidos, los cuales serán previamente definidos por los líderes de los procesos donde se requiera el uso de información persona.
  • Cualquier uso de la información diferente al establecido, será previamente consultado con el encargado de Protección de Datos Personales.

14.3. ALMACENAMIENTO DE INFORMACIÓN

La información física o digital se almacenará en lugares, espacios medios, ambientes que cuenten los controles o políticas adecuadas para la protección integral de los datos, manteniendo constante control de la seguridad física, e informática/tecnológica, contando con áreas restringidas dentro de las instalaciones propias de la Compañía cuando esto fuese necesario.

14.4. CONSERVACIÓN DE DOCUMENTOS

Los documentos relacionados con la Política de Protección de Datos Personales deben conservarse de acuerdo con lo previsto en el artículo 28 de la Ley 962 de 2005 por un periodo de diez (10) años, vencido este término los documentos podrán ser destruidos siempre y cuando se garantice la reproducción exacta mediante cualquier medio digital. Se conservarán todos los soportes necesarios y la Compañía dispone de los siguientes documentos para la gestión del Programa.

14.5. DESTRUCCIÓN

Al momento de realizar labores de destrucción de medios físicas o electrónicos se garantizará que los mecanismos utilizados no permitan la reconstrucción de estos. Se realizará únicamente en los casos que no se esté incumpliendo ningún tipo de norma, dejando soportada siempre la trazabilidad de la acción.

La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

14.6. PROCEDIMIENTO DE GESTIÓN DE INCIDENTES CON DATOS PERSONALES

Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o información contenida en las mismas.

En caso de conocer alguna incidencia ocurrida, el usuario debe comunicarla al encargado de Protección de Datos que adoptará las medidas oportunas frente al incidente reportado.

El encargado de Protección de Datos Personales informará de la incidencia a la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio, en el módulo habilitado para tal efecto dentro de los 15 días a partir del conocimiento de esta.

Las incidencias pueden afectar tanto a bases de datos digitales como físicas y generarán las siguientes actividades:

  • Notificación de Incidentes: Cuando se presuma que un incidente pueda afectar o haber afectado a bases de datos con información personal datos personales se deberá informar al encargado de Protección de Datos Personales quién gestionará su reporte en el Registro Nacional de Bases de Datos.
  • Gestión de Incidentes: Es responsabilidad de cada funcionario, contratista, consultor o tercero, reportar de manera oportuna cualquier evento sospechoso, debilidad o violación de políticas que pueden afectar la confidencialidad, integridad y disponibilidad de los activos e información personal de la Entidad
  • Identificación: Todos los eventos sospechosos o anormales, tales como aquellos en los que se observe el potencial de perdida de reserva o confidencialidad de la información, deben ser evaluados para determinar si son o no, un incidente y deben ser reportados al nivel adecuado en la compañía. Cualquier decisión que involucre a las autoridades de investigación y judiciales debe ser hecha en conjunto entre el encargado de Protección de Datos Personales y el área Jurídica. La comunicación con dichas autoridades será realizada por ellos mismos.
  • Reporte: Todos los incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible a través de los canales internos establecidos por la Superintendencia de Industria y Comercio.

Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, el encargado de Protección de Datos Personales debe ser notificado de forma inmediata.

Los funcionarios deben reportar a su jefe directo y al encargado de Protección de Datos Personales cualquier daño o pérdida de computadores o cualquiera otro dispositivo, así como la pérdida de documentos físicos o digitales cuando estos contengan datos personales en poder de la Entidad.

A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún funcionario debe divulgar información sobre sistemas de cómputo, y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, el área Jurídica deberá intervenir con el fin de prestar el asesoramiento adecuado.

  • Contención, Investigación y Diagnostico: El encargado de Protección de Datos Personales debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado, apoyado con el área de Tecnología.

En caso de que se identifique un delito informático, en los términos establecidos en la Ley 1273 de 2009, el encargado de Protección de Datos Personales y el área Jurídica, reportara tal información a las autoridades de investigaciones judiciales respectivas.

Durante los procesos de investigación se deberá garantizar la “Cadena de Custodia” con el fin de preservarla en caso de requerirse establecer una acción legal.

  • Solución: El área de Tecnología, así como cualquier área comprometida y los directamente responsables de la gestión de datos personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes.
  • Cierre de Incidente y Seguimiento: El área de Tecnología, juntamente con el encargado de Protección de Datos Personales y las áreas que usan o requieren la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad.

El encargado de Protección de Datos Personales preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización que ayuden a minimizar la probabilidad de incidentes futuros.

Reporte de incidentes ante la SIC como autoridad de control: Se reportarán como novedades los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:
En la parte inferior del menú de cada base de datos registrada en el sistema, se presentan dos (2) opciones para informar las novedades:

  • La violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el responsable del Tratamiento o por su Encargado, deberán reportarse al Registro Nacional de Bases de Datos dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
  • Los líderes de proceso y/o propietarios de activos de información, reportarán de forma interna los incidentes asociados a datos personales ante el encargado de Protección de Datos Personales, quién dentro del plazo legal procederá a reportarlos ante el Registro Nacional de Bases de Datos.

15. VIDEO VIGILANCIA

La compañía en sus instalaciones cuenta con cámaras de video vigilancia esto con el fin de respetar las políticas de seguridad, cumpliendo con la normatividad vigente respecto a la protección de datos personales expedidos por la SIC como autoridad de vigilancia y control.Toda imagen que sea captada por las cámaras de video vigilancia se conservara por el máximo de 90 días, sin embargo, en caso de que las imágenes almacenadas sean objeto de reclamación, queja, o cualquier proceso de tipo judicial, estas se resguardaran hasta que dicho proceso sea resuelto y/o finalizado.

16. CAPACITACIÓN DE FUNCIONARIOS Y CONTRATISTAS

La compañía desarrollara actividades de capacitación y concientización con una periodicidad anual, con temas referentes en Protección de datos personales y seguridad de la información, poniendo a disposición las presentes políticas en lo medio que se consideren adecuados; todo esto con el fin que sus directores, administradores, empleados y contratistas estén capacitados sobre la administración de datos personales y se midan sus conocimientos respectivos al tema.

Todo director, administrador, empleado y contratista nuevo que ingrese a la compañía deberá recibir una capacitación sobre Protección de datos personales y seguridad de la información dejando constancia de su asistencia y conocimiento.

El cronograma de capacitación, evaluación y sus temas a tratar serán evaluados y actualizados en conjunto con el área de talento humano y el encargado de protección de datos personales, esto teniendo en cuenta los cambios normativos que se pudieran dar.

17. PERÍODO DE VIGENCIA DE LAS BASES DE DATOS

Las Bases de Datos de la Compañía tendrán el periodo de vigencia de 3 años, la cual corresponde a la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia, así como aquellas normas que establezcan el ejercicio de las funciones legales asignadas a la Entidad.

18. REGISTRO NACIONAL DE BASE DE DATOS

La Compañía registrará sus bases de datos en el Registro Nacional de Bases de Datos – RNBD administrado por la Superintendencia de Industria y Comercio, la cual será de libre consulta para los ciudadanos, de conformidad con el procedimiento establecido para el efecto, esto de conformidad con el artículo 25 de la Ley 1581 y sus decretos reglamentarios.

Según el Decreto 886 de 2014, manifiesta que La información mínima que debe contener el Registro Nacional de Bases de Datos es la siguiente:

  • Datos de identificación, ubicación y contacto del responsable del Tratamiento de la base de datos.
  • Datos de identificación, ubicación y contacto del o de los Encargados del Tratamiento de la base de datos.
  • Canales para que los titulares ejerzan sus derechos.
  • Nombre y finalidad de la base de datos.
  • Forma de Tratamiento de la base de datos (manual y/o automatizada), y
  • Política de Tratamiento de la información.

Los datos personales de las bases de datos podrán tratarse automatizada o manualmente.

19. VIGENCIA, VERSIONES Y ACTUALIZACIÓN DE LA POLÍTICA

La presente política regirá a partir de su aprobación, y complementara todas las políticas referentes o complementarias que se encuentran implementadas al interior de la compañía.

Se realizará revisión y auditoria por parte del oficial de cumplimiento de la presente política con una periodicidad mínima de un año, según los resultados de la revisión se pondrá en marcha planes de mejoramiento y/o actualizaciones que sean necesarias conforme a las necesidades de la compañía y la normatividad vigente para la época, esta información será presentada al máximo órgano social de la compañía para su valoración y aprobación.

Cualquier cambio sustancial que se pueda presentar de la política de tratamiento de datos personales será comunicado oportunamente por medio correo electrónico y la pagina web de la compañía, de igual manera será publicada de manera física en las instalaciones de la compañía, esto para los terceros que no tienen acceso a medio electrónicos.

20. CONTROL DE ACTUALIZACIONES

Las presentes políticas serán actualizadas en la medida que se requiera; al respecto, la Asamblea de Accionistas de CURTIDOS LEATHERCOL SAS, será la competente para aprobar todos los cambios propuestos por el encargado de protección de datos personales acerca de las políticas, lineamientos, metodologías, procesos y procedimientos vigentes.

El proceso de revisión y actualización de la política será responsabilidad de la persona o área designada para el cumplimiento efectivo de la normatividad referente a protección de datos personales, tomando en consideración los estándares y las normas expedidas por las autoridades locales, así como de acuerdo con los cambios en las políticas internas de CURTIDOS LEATHERCOL SAS.

Comparte este contenido
Contáctenos
Síguenos
Curtidos Leathercol SAS
Curtidos Leathercol S.A.S.
"Pieles y Cueros Curtidos Tipo Exportación"
Política de Tratamiento de Datos

Ponte en contacto

Curtidos Leathercol S.A.S. - 2026 © Todos los Derechos Reservados
Diseñado por: Diseño, Marca y Web