POLÍTICA PARA EL TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONAL

 

Bogotá D.C. Junio de 2019 V.2

 

Tabla de contenido

 

INTRODUCCIÓN

  1. OBJETO

  2. ÁMBITO DE APLICACIÓN

    1. Alcance

    2. Confidencialidad de la información

  3. DEFINICIONES

  4. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

  5. TRATAMIENTO Y FINALIDADES DE LAS BASES DE DATOS PERSONALES

    1. Trabajadores

    2. Contratistas

    3. Seguridad física y del entorno

    4. Grabación en sistemas de atención telefónica

    5. Registro de información en la página web del GRUPO ASD S.A.S.

    6. Gestión Comercial

    7. Gestión Jurídica

    8. Gestión de Compras 

  6. DERECHOS DE LOS TITULARES

  7. DEBERES EN EL TRATAMIENTO DE DATOS PERSONALES 

      1. Deberes como responsable del tratamiento 

      2. Deberes como encargado del tratamiento 

  8. DATOS SENSIBLES 

    1. Tratamiento de datos sensibles 

        1. Obligaciones en el tratamiento de datos sensibles

        2. Controles en el tratamiento de datos sensibles

  9. TRATAMIENTO DE DATOS PERSONALES DE NIÑOS, NIÑAS Y ADOLESCENTES 

  10. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 

    1. Nivel de medidas de seguridad aplicado al tratamiento de Bases de Datos

       

  11. POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES 

    1. Recolección de datos personales 

    2. Autorización de tratamiento 

    3. Prueba de la autorización 

    4. Acceso a la información por el titular 

    5. Consulta de la información 

    6. Reclamos 

    7. Queja 

    8. Revocatoria de la autorización 

  12. AVISO DE PRIVACIDAD 

  13. CANALES DE COMUNICACIÓN 

  14. VIGENCIA Y ACTUALIZACIÓN 

INTRODUCCIÓN

 

La protección de Datos Personales en Colombia se encuentra regulada por la Ley 1581 de 2012, Decreto Reglamentario 1377 de 2013 y Decreto 886 de 2014. Esta normativa establece los principios y garantías que se deben aplicar para salvaguardar la información contenida en bases de datos.

 

El Grupo ASD S.A.S. es una empresa Colombiana con más de 36 años de experiencia ofreciendo soluciones de tercerización de procesos de negocio BPO (Business Process Outsourcing) y Soluciones Tecnológicas de Información ITO (Information Technology Outsourcing) en los sectores gobierno, salud, financiero, educación, industria y telecomunicaciones. En el desarrollo de su objeto social ha tenido acceso a diferentes datos cuyo manejo reviste un carácter especial por ser de la órbita privada de las personas.

 

Por mandato constitucional todas las personas tienen derecho a su intimidad personal y familiar y a la protección de su buen nombre; por lo tanto, el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar, rectificar y suprimir las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

 

En la recolección, tratamiento y circulación de datos se deben respetar la libertad y demás garantías consagradas en la Constitución.

 

Por lo anterior, para el tratamiento y protección de la información contenida en sus bases de datos, el GRUPO ASD S.A.S. ha establecido la presente política que contempla, los lineamientos generales para la recolección, almacenamiento, uso, circulación y supresión de información, así como la descripción de las finalidades para las cuales la información es recolectada.

 

 

  1. OBJETO

  2.  

     

    Garantizar a todas las personas el derecho constitucional que tienen a conocer, actualizar, rectificar, y suprimir toda la información personal que se encuentre sobre ellas en las bases de datos o archivos que el GRUPO ASD S.A.S., haya recopilado, procesado, almacenado, transmitido, entre otros, quien para la presente política de tratamiento y protección de datos personales se considerará como responsable y/o encargado de la información, según corresponda.

     

  3.  

  4. ÁMBITO DE APLICACIÓN

  5.  

     

    La presente política será aplicable a todos los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento y que se encuentren en poder del GRUPO ASD S.A.S.

    1. Alcance

       

      La presente política se aplicará a los trabajadores, proveedores, clientes, contratistas y visitantes, de todos los niveles y a todas las bases de datos que se encuentren en poder del GRUPO ASD S.A.S. como responsable y/o encargado, según corresponda, en desarrollo del giro ordinario de sus negocios.

       

      Esta política se aplicará en todos los aspectos administrativos, organizacionales, funcionales y de control que deben ser cumplidos por los directivos, trabajadores, contratistas y terceros que laboren o tengan relación directa con el GRUPO ASD S.A.S.

       

    2. Confidencialidad de la información

       

      El Grupo ASD S.A.S. aplica en todos sus procedimientos los principios establecidos en la Ley 1581 de 2012, Decreto Reglamentario 1377 de 2013, Decreto 886 de 2014, y demás preceptos legales que regulan la recolección y tratamiento de datos de carácter personal, donde se establecen las garantías legales que deben cumplir todas las personas en Colombia para el debido tratamiento de dicha información.

       

      Es así como, para garantizar la salvaguarda de los derechos a la intimidad, el habeas data y la protección de datos personales, siempre se exige la autorización del titular para operar las bases de datos que contengan este tipo de información, excepto en los casos en que el requerimiento sea efectuado por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

       

      Adicional a lo anterior, en todos los contratos laborales suscritos por el Grupo ASD S.A.S. en su calidad de empleador, así como todos aquellos contratos que se suscriben para la prestación de servicios personales a favor de nuestra compañía, se establece como obligación especial la de custodiar y conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso indebido o acceso no autorizado o fraudulento, manteniendo estricta y absoluta reserva sobre todo tipo de información a que tengan acceso en virtud del desarrollo de sus funciones; dando a la información suministrada, un buen manejo y uso prudente, diligente y adecuado; garantizando que las personas que tengan acceso a la información conozcan de su carácter confidencial, obligándose además a no copiar, reproducir, ni por cualquier otro procedimiento ceder la información facilitada a terceros, a no permitir a ninguna otra persona, empresa o sociedad, la copia reproducción o divulgación, sea total o parcial, de cualquier tipo de información en cualquier momento sin la autorización previa y expresa del titular.

       

  6. DEFINICIONES

  7.  

     

    Conforme lo establecido por el artículo 3° de la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, para efectos la presente política se entiende por:

     

    1. Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

    2. Aviso de privacidad: comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

       

    3. Base de datos: conjunto organizado de datos personales que sea objeto de tratamiento.

       

    4. Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

       

    5. Dato privado: el dato privado es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

       

    6. Dato público: es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

       

    7. Dato semiprivado: el dato semiprivado es aquel que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector de personas o a la sociedad en general, como el dato financiero y crediticio.

       

    8. Datos sensibles: se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

       

    9. Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

       

    10. Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

       

    11. Titular: persona natural cuyos datos personales sean objeto de tratamiento.

       

    12. Transferencia: la transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del

       

      tratamiento y se encuentra dentro o fuera del país.

       

    13. Transmisión: tratamiento de datos personales que implica la comunicación de estos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.

       

    14. Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión, entre otros.

    15.  

     

  8. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

  9.  

     

    En el tratamiento de los datos personales se aplicarán los principios que se describen a continuación:

     

    1. Principio de legalidad en materia de tratamiento de datos: el tratamiento de datos a que se refiere la ley 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

       

    2. Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular.

       

    3. Principio de libertad: el tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

       

    4. Principio de veracidad o calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Está prohibido el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

       

    5. Principio de transparencia: en el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

       

    6. Principio de acceso y circulación restringida: el tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley.

       

      Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley 1581 de 2012.

    7. Principio de seguridad: la información sujeta a tratamiento por el responsable o encargado, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

       

    8. Principio de confidencialidad: todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.

    9.  

     

  10. TRATAMIENTO Y FINALIDADES DE LAS BASES DE DATOS PERSONALES

  11.  

     

    En desarrollo de su objeto social, el GRUPO ASD S.A.S. recolecta, procesa, almacena, circula, autentica, suprime, transmite, actualiza, entre otros, toda la información personal semiprivada, privada y sensible que se incorpore a sus bases de datos, la cual tendrá un tratamiento especial de seguridad, garantizando la protección de la confidencialidad, conforme lo dispone el ordenamiento constitucional y legal vigente.

     

    Adicionalmente, atendiendo las necesidades de sus clientes y en aras de cumplir con los compromisos contractuales, el tratamiento de datos personales se realiza para los siguientes propósitos o finalidades:

     

    1. Trabajadores

      Fase de reclutamiento y selección

      • Realizar confirmación de referencias personales, familiares y laborales.

      • Realizar visita domiciliaria, consulta de antecedentes y prueba de polígrafo cuando se requiera conforme a la solicitud de cargo.

      •  

      •  Aplicar pruebas psicotécnicas y de conocimiento específico para el cargo o los cargos que aplique el perfil.

      •  

         

        Fase de contratación y durante la vigencia de la relación laboral

      •  
      • Realizar confirmación en las entidades prestadoras de salud -EPS-, fondos de pensiones y cesantías, cajas de compensación familiar y entidades financieras.

      • Elaborar contrato laboral con las cláusulas adicionales según se requiera.

      • Hacer entrega de la orden de exámenes médicos ocupacionales y verificar su práctica.

      • Entregar dotación y elementos de protección personal cuando sea requerido para el desempeño del cargo.

      • Presentar informes relacionados con la oferta y demanda de mano de obra ante el Ministerio del Trabajo cuando sea requerido relacionando información de personal, edad, sexo y nivel educativo.

      • Gestionar la recepción, grabación y transcripción de incapacidades por enfermedad, accidentes laborales, licencias de maternidad y paternidad u otros.

      • Crear planillas para la liquidación de prestaciones sociales.

      • Realizar registros de novedades de nómina relacionadas con la terminación de contrato de trabajo con o sin justa causa y renuncia voluntaria del trabajador.

      • Gestionar autorizaciones para realizar descuentos por nómina.

      • Realizar evaluaciones medicas ocupacionales periódicas.

      • Investigar accidentes de trabajo.

      • Elaborar y aplicar evaluaciones de competencias, desempeño de cargo y demás relacionadas con la calidad y oportunidad del trabajo desempeñado por los trabajadores.

      • Verificar la asistencia de los trabajadores a capacitaciones o reuniones.

      • Realizar al interior del GRUPO ASD S.A.S. actividades y campañas de bienestar relacionadas con ejercicios culturales, recreativos, deportivos y demás para los trabajadores y sus familias cuando sea el caso, situación en la cual se protegerán los datos personales de niños, niñas y adolescentes conforme los postulados de la presente política.

      • Realizar actividades de vigilancia epidemiológica enmarcadas en el programa de Salud Ocupacional, capacitaciones y actividades para brigadistas.

      • Mantener actualizado el registro de datos de emergencia, caso en el cual se hará contacto con la persona designada en situaciones de emergencia presentadas la interior de las instalaciones del GRUPO ASD S.A.S.

      • Brindar apoyo a los trabajadores en trámites relacionados con inconsistencias en atención o afiliaciones y sus beneficiarios a la EPS, caja de compensación familiar y fondos de pensiones y cesantías.

      • Enviar información a la aseguradora de riesgos laborales para la afiliación y reporte de accidentes de trabajo.

      • Emitir la orden de aplicación para los exámenes médicos de egreso al terminar la relación laboral y/o de manera periódica cuando a ello hubiere lugar.

      • Enviar información al área financiera para gestionar transacciones relacionadas con los pagos.

      • Consulta, obtención y envío de los desprendibles de nómina, liquidación de prestaciones sociales, certificaciones laborales, certificaciones de retención en la fuente y, certificación de ingresos y retenciones.

      • Las demás necesarias que se presenten en el entorno y durante la relación laboral.

         

    2. Contratistas

      • Realizar control de acceso a las instalaciones del Grupo ASD S.A.S.

      • Validación de los pagos a la seguridad social integral y aportes parafiscales.

      • Pago de honorarios y demás que correspondan a su calidad de Contratista.

      • Seguimiento y evaluación del cumplimiento de sus obligaciones.

         

    3. Seguridad física y del entorno

      • Realizar la gestión de video vigilancia para la seguridad de las personas que laboren, permanezcan o visiten las instalaciones del GRUPO ASD S.A.S. mediante la observación y grabación de las actividades que realizan las personas al interior de las instalaciones.

      • Reportar y entregar videos o grabaciones de audio a las autoridades administrativas o judiciales competentes previa solicitud y verificación de la existencia de un proceso administrativo o judicial.

         

        Es de anotar que el almacenamiento de la información de videograbación oscila entre cinco (5) días a un (1) mes dependiendo de la ubicación de los mismos.

        En los casos en que se requiera, se solicitará autorización expresa del titular para el envío de información.

      • Servir como evidencia en procesos disciplinarios efectuados al interior del GRUPO ASD S.A.S. conforme el reglamento interno de trabajo.

      • Realizar registro biométrico para el ingreso a las sedes y áreas seguras de las instalaciones del GRUPO ASD S.A.S.

         

    4. Grabación en sistemas de atención telefónica

      • Gestionar peticiones, quejas, requerimientos, reclamos y solicitudes de los usuarios que se comunican por medio de la línea de atención del Contact Center.

         

    5. Registro de información en la página web del GRUPO ASD S.A.S.

      Para el desarrollo de los procesos y proyectos la información consignada en bancos de hojas de vida se tiene como finalidad el estudio y análisis, en aras de una posible aplicación de pruebas o entrevista dependiendo de las vacantes existentes y los perfiles requeridos para el GRUPO ASD S.A.S., y sus clientes.

       

      En tratándose de solicitudes y atención de PQR, se aplica para la gestión de estas relacionadas con el servicio prestado por el GRUPO ASD S.A.S. y sus clientes.

       

    6. Gestión Comercial

      • Realizar visitas de seguimiento comercial.

      • Gestionar solicitudes relacionadas con el servicio al cliente.

      • Realizar encuestas de satisfacción a los clientes.

      • Solicitar y/o elaborar cotizaciones.

      • Mantener información relacionada con los perfiles de los clientes que se tienen establecidos conforme los procesos de selección.

      • Efectuar solicitud de productos y servicios con proveedores.

      • Estudiar convocatorias a procesos de contratación pública y privada.

         

    7. Gestión Jurídica

      • Realizar la verificación de antecedentes judiciales de contratistas.

      • Elaborar contratos y acuerdos de confidencialidad para contratistas y proveedores, respectivamente.

      • Atender las solicitudes relacionadas con contratos civiles, comerciales y laborales, acuerdos de confidencialidad, entre otros, requeridas por contratistas y trabajadores del GRUPO ASD S.A.S.

         

    8. Gestión de Compras

       

      • Realizar la verificación comercial de proveedores.

      • Realizar selección, evaluación y reevaluación de proveedores y contratistas conforme las necesidades propias de la operación.

      • Elaborar facturas y realizar órdenes de compra a proveedores.

      • Realizar selección, evaluación y reevaluación de proveedores.

      • Elaborar órdenes de compra para proveedores.

      • Atender las solicitudes relacionadas con órdenes de compra.

  12. DERECHOS DE LOS TITULARES

     

    Los titulares de los datos personales contenidos en las bases de datos del GRUPO ASD S.A.S., tienen derecho a:

     

    1. Conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

       

    2. Solicitar prueba de la autorización otorgada, salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.

       

    3. Solicitar por los medios idóneos al GRUPO ASD S.A.S., información sobre el uso que le ha dado a sus datos personales.

       

    4. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que el GRUPO ASD S.A.S. ha incurrido en conductas contrarias a la Ley y a la Constitución.

       

    5. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.

       

    6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, Cuando las consultas sean mayor a una (1) por cada mes calendario, los gastos de envío, reproducción y en su caso certificación de documentos, serán a cargo del Titular.

     

  13. DEBERES EN EL TRATAMIENTO DE DATOS PERSONALES

     

    Los deberes, que como responsable y encargado del tratamiento de datos personales, debe cumplir el GRUPO ASD S.A.S. se encuentran establecidos en el artículo 17 y 18 de la Ley 1581 de 2012.

     

      1. Deberes como responsable del tratamiento

         

        1. Garantizar al titular, el pleno y efectivo ejercicio del derecho de hábeas data; para esto se encuentran los canales autorizados referenciados en el numeral 13.1 de la presente política.

           

        2. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el titular; dicha autorización se conservará conforme las disposiciones del proceso de Gestión Documental del Grupo ASD S.A.S.

        3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

           

        4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El proceso de gestión de seguridad de la información del Grupo ASD S.A.S. establece los lineamientos de seguridad para garantizar la confidencialidad, disponibilidad e integridad de la información.

           

        5. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible; así mismo, se deberán comunicar al encargado todas las novedades respecto de los datos que haya suministrado y adoptar medidas para que la información este actualizada.

           

        6. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.

           

        7. Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley, respetando las condiciones de seguridad y privacidad de la información.

           

        8. Atender y tramitar oportunamente las consultas, solicitudes y reclamos en los términos legales establecidos para tal fin.

           

        9. Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;

           

        10. Informar a solicitud del titular sobre el uso dado a sus datos.

           

        11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares y dar cumplimiento a las instrucciones y requerimientos que dicha entidad distribuya.

           

      2. Deberes como encargado del tratamiento

         

        Adicionalmente, en calidad de encargado del tratamiento de datos deberá cumplir los siguientes deberes:

         

        1. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de ley, incluyendo en la base de datos las siguientes leyendas:

          • “Reclamo en trámite” cuando se encuentre en curso la atención a modificación, consulta o eliminación solicitada por el titular.

          • “Información en discusión judicial” cuando se halle notificado por la autoridad

            competente sobre un proceso judicial en que se involucre un dato personal.

        2. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

           

        3. Abstenerse de circular información que este siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

           

        4. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

     

    En el tratamiento de datos personales, el GRUPO ASD S.A.S. se obliga especialmente a cumplir con la finalidad autorizada por el titular para el tratamiento y que dichos datos sean exactos y completos; además de evitar publicar en sitios de internet y medios de comunicación de divulgación masiva, cualquier información que no sea de carácter público sin autorización expresa del titular.

     

  14. DATOS SENSIBLES

     

    Para efectos de la presente política y en consonancia con la normatividad vigente, para el Grupo ASD S.A.S. son datos sensibles todos aquellos que afecten la intimidad del titular o los que por su uso puedan generar discriminación, entre otros se tiene:

     

    • Información racial o étnica.

    • Orientación política.

    • Inclinación o preferencia sexual.

    • Convicciones religiosas o filosóficas.

    • Participación o pertenencia a sindicatos u organizaciones sociales.

    • Información relacionada con el estado de salud y vida sexual.

    • Datos biométricos como huella dactilar, fotografía y voz.

     

    1. Tratamiento de datos sensibles

       

      El tratamiento de datos sensibles se encuentra prohibido salvo los casos que se enuncian a continuación:

       

      1. Que el titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por Ley no sea requerido el otorgamiento de dicha autorización.

         

      2. Cuando se trate de titulares que sean física o jurídicamente incapaces (Código civil, Art. 1503 y 1504) y el tratamiento sea necesario para salvaguardar su interés vital, debe existir autorización de su Representante Legal.

         

      3. Cuando se trate de un proceso judicial en el cual sea necesario el tratamiento para garantizar el reconocimiento, ejercicio o derecho de defensa.

         

      4. Que el tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.

        1. Obligaciones en el tratamiento de datos sensibles

           

          Para el tratamiento de datos sensibles el GRUPO ASD S.A.S. se obliga a:

           

          1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento. Dicha autorización debe otorgarse de manera previa y expresa, conforme se indica a continuación:

            1. Visitantes: mediante el diligenciamiento de un formato de autorización de registro y almacenamiento de datos personales, el cual es suministrado en la recepción de las sedes del Grupo ASD S.A.S.

            2. Trabajadores: la autorización se otorga al momento de la suscripción del contrato de trabajo correspondiente conforme a la cláusula denominada “autorización para el tratamiento de datos personales”.

            3. Contratistas: la autorización se consagra en el contrato suscrito conforme a la cláusula denominada “autorización para el tratamiento de datos personales”.

              La autorización podrá ser consultada posteriormente, para lo cual se debe hacer uso de los canales de comunicación definidos en la presente política.

               

          2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del tratamiento.

             

          3. Ninguna actividad podrá condicionarse a que el titular suministre datos personales sensibles.

             

        2. Controles en el tratamiento de datos sensibles

       

      El GRUPO ASD S.A.S. establece los siguientes controles para asegurar el correcto tratamiento de datos sensibles:

       

      1. No se realizarán exámenes médicos que puedan revelar información de la que se desprendan actos discriminatorios al trabajador (VIH, embarazo u otros).

         

      2. No se realizarán preguntas en el proceso de selección que no sean relevantes para definir el perfil profesional o determinar las competencias del aspirante al cargo (condición sexual, ideología religiosa o política, entre otros).

         

      3. El sistema de video vigilancia conserva las imágenes y audios por el tiempo estrictamente necesario para dar cumplimiento a la finalidad por la cual se ocupa en cada sede del GRUPO ASD S.A.S., el cual puede oscilar entre cinco (5) días a un

        1. mes dependiendo de la ubicación de las cámaras.

           

      4. No serán instaladas cámaras del circuito cerrado de televisión, en lugares donde se pueda ver afectada la privacidad e intimidad de las personas.

         

      5. Si en las grabaciones que deban ser entregadas aparecen imágenes de terceros titulares de datos personales, se deberá contar con la autorización de estos, cubrir

        o distorsionar sus rostros o particularidades por las cuales puedan ser identificados garantizando su anonimización.

         

      6. Las cámaras del sistema de video vigilancia que se encuentren instaladas y dirigidas a la vía pública grabarán y almacenarán imágenes relacionadas con la seguridad perimetral y accesos a las diferentes sedes del GRUPO ASD S.A.S.

       

  15. TRATAMIENTO DE DATOS PERSONALES DE NIÑOS, NIÑAS Y ADOLESCENTES

     

    Los niños, niñas y adolescentes son sujetos de especial protección constitucional y sus derechos son prevalentes, por ende, el tratamiento de sus datos personales se encuentra proscrito, salvo aquellos datos que sean de naturaleza pública.

     

    En este evento, para que sea viable proceder al tratamiento de los datos personales, se deberá cumplir con los siguientes parámetros y requisitos:

     

    1. Que se responda y respete el interés superior de los niños, niñas y adolescentes.

    2. Que se asegure el respeto de sus derechos fundamentales

     

    Cumplidos los anteriores requisitos, el Representante Legal del niño, niña o adolescente otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto, conforme a lo prescrito por la Corte Constitucional en Sentencia C-748 de 2011.

     

    El GRUPO ASD S.A.S. velará por el uso adecuado de los datos y dará aplicación a los principios y obligaciones establecidos en la presente política.

     

    En eventos organizados por la Dirección de Gestión Humana donde se pretenda la participación de niños, niñas o adolescentes, el tratamiento de su información será previamente autorizado por su Representante Legal mediante el diligenciamiento de un formato de autorización para el tratamiento de datos personales de niños, niñas y adolescentes.

     

  16. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

     

    El GRUPO ASD S.A.S., cuenta con un sistema de gestión de seguridad de la información, el cual se encuentra alineado con el proceso de gestión de riesgos y continuidad del negocio en el que de forma sistemática se efectúa el levantamiento, clasificación y valoración de los activos de información y de igual forma define la metodología para identificar, medir, tratar y monitorear los riesgos encontrados como resultado de la evaluación de impacto de amenazas vs vulnerabilidades de acuerdo al manejo de la información.

     

    El proceso de evaluación de riesgos estipula los elementos necesarios para proteger y tratar la información, mitigando los riesgos a los que se ven expuestos clientes, proveedores, trabajadores y los accionistas de la compañía.

     

    La metodología de evaluación del riesgo inicia con una identificación de amenazas y vulnerabilidades, con el fin de valorar el impacto y el grado de exposición al riesgo,

    permitiendo así aplicar controles que disminuyan el riesgo y garanticen la confidencialidad, integridad, y disponibilidad de la información administrada por el GRUPO ASD S.A.S.

     

    1. Nivel de medidas de seguridad aplicado al tratamiento de Bases de Datos

       

      El GRUPO ASD S.A.S., cuenta con una política de seguridad de la información, siendo esta la base para el desarrollo e implementación de procedimientos y controles que aseguran el cumplimiento de los requerimientos mínimos de seguridad y calidad para la realización de operaciones, así como de las mejores prácticas.

       

      Las políticas de seguridad contemplan aspectos como: organización de seguridad de la información, gestión de activos, seguridad relacionada con el recurso humano, seguridad física y del entorno, gestión de comunicaciones y operaciones, control de acceso, adquisición, desarrollo y mantenimiento de los sistemas de información, gestión de incidentes, gestión de la continuidad del negocio, cumplimiento normativo, entre otros.

       

      Para mantener la información de los clientes, proveedores, trabajadores, accionistas en condiciones de seguridad e impedir la modificación, pérdida, consulta, uso o acceso no autorizado, se han implementado estándares y procedimientos, así como acuerdos de confidencialidad con terceras partes.

       

  17. POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

     

    1. Recolección de datos personales

       

      Para la participación de los procesos realizados por el GRUPO ASD S.A.S. se hace necesaria la recopilación de información personal, como la dirección de correo electrónico, el nombre, el domicilio particular, el número de teléfono, fotografía, huella dactilar, entre otros.

       

      El GRUPO ASD S.A.S. recopila y utiliza la información personal para la propia gestión de su objeto social y no pone a la venta, alquila ni arrienda a terceros las listas de registrados en sus páginas. Está prohibido la recolección de datos sin autorización del titular.

       

    2. Autorización de tratamiento

       

      En el momento de recolectar la información se debe solicitar autorización para el tratamiento de los datos y adicionalmente se debe informar al titular de manera clara y expresa lo siguiente:

       

      1. El tratamiento al cual serán sometidos sus datos personales y la finalidad de este.

      2. La facultad de abstenerse a responder preguntas relacionadas con los datos sensibles de niñas, niños y adolescentes.

      3. Los derechos que le asisten como titular.

      4. La identificación, dirección física o electrónica y teléfono del responsable del tratamiento.

      5. La especificidad de los datos considerados como sensibles.

      Se entiende que el Titular ha dado su autorización, cuando:

       

      1. Lo manifieste por escrito (documento físico, electrónico o cualquier otro que pueda ser verificable con posterioridad).

         

      2. Lo manifieste de forma oral (siempre y cuando quede constancia que sea verificable con posterioridad).

       

      La autorización no será necesaria en los siguientes casos:

       

      1. Para el tratamiento de Datos de naturaleza pública.

      2. En casos de urgencia médica o sanitaria.

      3. Cuando el tratamiento de la información este autorizado por la Ley, para fines históricos, estadísticos o científicos.

      4. Datos relacionados con el registro civil de las personas.

       

    3. Prueba de la autorización

       

      El GRUPO ASD S.A.S. conservará prueba de la autorización otorgada por los titulares de datos personales para el tratamiento de estos.

       

    4. Acceso a la información por el titular

       

      El Titular podrá consultar de forma gratuita sus datos personales:

       

      1. Al menos una vez cada mes calendario; cuando las consultas sean mayores a una por cada mes calendario, los gastos de envío, reproducción y en su caso certificación de documentos, serán a cargo del Titular.

         

      2. Cada vez que existan modificaciones sustanciales de las políticas de tratamiento de la información que motiven nuevas consultas.

       

    5. Consulta de la información

       

      Los titulares o sus causahabientes podrán consultar la información personal del titular que repose en las bases de datos del GRUPO ASD S.A.S.

       

      El GRUPO ASD S.A.S. deberá suministrar toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

       

      La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular o solicitante.

       

      La información podrá suministrarse a las siguientes personas:

       

      1. El titular de la información, quien deberá acreditar su identidad en forma suficiente, anexando copia de su documento de identificación.

      2. Los causahabientes o representantes legales del titular de la información, quienes deberán acreditar tal calidad.

         

      3. Al representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento

         

      4. A entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

         

      5. A terceros autorizados por el titular o por la Ley.

         

      6. Los derechos de los niños, niñas y adolescentes se ejercerán por las personas que estén facultadas para representarlos, quienes deberán acreditar tal calidad.

       

      La consulta podrá ser formulada a través de los canales de comunicación dispuestos para ello.

       

      La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la solicitud.

       

      Cuando no fuere posible atender la consulta en el término referido, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

       

      La información suministrada al titular deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en las bases de datos del GRUPO ASD S.A.S.

       

    6. Reclamos

       

      El titular, su representante o sus causahabientes que consideren que la información contenida en una base de datos del GRUPO ASD S.A.S., debe ser objeto de corrección, actualización, supresión revocatoria de la autorización, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar reclamo a través de los canales de comunicación dispuestos para ello.

       

      El reclamo será tramitado bajo las siguientes reglas:

       

      1. El reclamo se formulará mediante solicitud dirigida al GRUPO ASD S.A.S., con la identificación del titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos

        (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

         

        En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e

         

        informará de la situación al interesado.

         

      2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

         

      3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

       

    7. Queja

       

      El titular, su representante o causahabiente, solo podrá elevar queja ante la Superintendencia de Industria y Comercio, en el evento en que se haya radicado el trámite de consulta, reclamo, o queja ante el GRUPO ASD S.A.S. y este no hubiere dado respuesta oportuna.

       

    8. Revocatoria de la autorización

       

      Los titulares podrán en todo momento solicitar al GRUPO ASD S.A.S. la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos.

       

      La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

       

      La solicitud deberá ser formulada a través de los canales de comunicación dispuestos para ello.

       

      Si vencido el término legal respectivo, el GRUPO ASD S.A.S., no hubiera eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales.

       

  18. AVISO DE PRIVACIDAD

 

En los casos en los que no sea posible poner a disposición del titular la política para el tratamiento y protección de datos personales, el GRUPO ASD S.A.S. deberá informar por medio de un aviso de privacidad al titular sobre la existencia de tal política y la forma de acceder a ella, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.

 

El aviso de privacidad deberá contener la siguiente información:

  1. Nombre o razón social y datos de contacto del responsable del tratamiento.

  2. El tratamiento al cual serán sometidos los datos y la finalidad del mismo.

  3. Los derechos que le asisten al titular.

  4. Los mecanismos dispuestos para que el titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el aviso de privacidad correspondientes. en todos los casos, debe informar al titular como acceder o consultar la política para el tratamiento y protección de datos personales.

  5. Cuando se trate de datos sensibles, se deberá indicar el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.

 

  1. CANALES DE COMUNICACIÓN

     

    El GRUPO ASD S.A.S., informa que el titular de la información, su representante o sus causahabientes, pueden ejercer sus derechos a conocer, actualizar, rectificar y suprimir datos y revocar la autorización dada, a través de los siguientes canales:

    1. A través del correo electrónico protecciondatos@grupoasd.com.co

    2. Mediante comunicación escrita dirigida al proceso de Gestión de Seguridad de la Información del Grupo ASD S.A.S., la cual debe radicarse en la calle 32 No. 13-07 en la ciudad de Bogotá, de lunes a viernes en horario de 8:00 a.m. a 5:00 p.m.

    3. Comunicación telefónica a través de la línea 3402501

       

  2. VIGENCIA Y ACTUALIZACIÓN

La presente política entra en vigencia a partir de la fecha de aprobación por parte de la Presidencia de la Compañía.

 

Se articularán las acciones conducentes a la protección de datos personales a través del proceso de Gestión de Seguridad de la Información, el cual realizará revisiones periódicas de la correcta ejecución de la política y/o eventos relacionados con el manejo de los datos personales.

 

La versión aprobada de esta política para el tratamiento y protección de datos personales se publicará en la página web del GRUPO ASD S.A.S.

 

Es deber de los trabajadores del GRUPO ASD S.A.S., conocer la presente política y realizar todos los actos conducentes para su cumplimiento, implementación y mantenimiento.

 

La presente Política entrará en vigencia a partir del 31 de mayo de 2019.