POLÍTICA DE MANEJO DE DATOS PERSONALES Y PRIVACIDAD DE LA INFORMACIÓN

REL Consilium SAS > POLÍTICA DE MANEJO DE DATOS PERSONALES Y PRIVACIDAD DE LA INFORMACIÓN

Introducción

REL Consilium es una organización de la sociedad civil liderada por profesionales, dirigida a impulsar estrategias de crecimiento y seguridad organizacional, donde somos considerados un partner para las empresas y socios estratégicos en el crecimiento y soporte de las organizaciones, para contribuir al goce efectivo del bienestar laboral y el crecimiento organizacional en Colombia.

En el desarrollo de su misión, la organización recoge información y datos, algunos de carácter privilegiado y/o reservado, de las personas a las cuales presta servicios, acompañamiento y/o representación.

En ese sentido, es deber de la organización dar cumplimiento al artículo 15 de la Constitución Política colombiana para garantizar el derecho de toda persona a su intimidad personal y familiar y a su buen nombre. Esto implica facilitar herramientas para conocer, actualizar y rectificar la información que se haya recogido en el marco de las actividades misionales y de operación de la organización. Igualmente, debe velar por brindar información veraz e imparcial a las personas en el marco del alcance de sus objetivos y líneas de trabajo. Por ello, es primordial para REL Consilium tener un procedimiento y una política clara para el manejo de datos personales y privacidad de la información que salvaguarden derechos fundamentales de los usuarios, aliados, copartes y aseguren la transparencia de nuestras actividades.

Se desarrolla la presente política de manejo de datos personales y privacidad de la información que dará todas las guías para el tratamiento de la información, los deberes en este ejercicio, las precauciones para mantener la seguridad, los derechos de quienes brinden la información dichos datos y las garantías correspondientes para ejercerlos. Así mismo, cada miembro de REL Consilium reconocerá sus responsabilidades y la importancia de mantener la confidencialidad y la privacidad de la información a la que tenga conocimiento en ejercicio de sus actividades.

Objetivo general

Establecer los lineamientos para el tratamiento y garantía de la seguridad de la información y datos personales recepcionados por la organización, con el fin de tener procesos organizados de la recolección, almacenamiento, uso y corrección de ellos.

Objetivos específicos

  • Consolidar una cultura en la organización de la responsabilidad del manejo de datos e información confidencial que garanticen la seguridad y confianza en la gestión de REL Consilium.
  • Articular procedimientos internos y externos de la organización que brinden claridad sobre el manejo de datos personales e información, y que permita a cada miembro y quien se vincule a REL Consilium un conocimiento de sus responsabilidades.
  • Promover un conocimiento público y amplio de la política de manejo de datos personales y seguridad de la información.

Alcance

La presente política se aplica a todos/as los/as integrantes de la organización sin importar su tipo de vinculación, siempre que tengan contacto o conocimiento con la información que se maneje en REL Consilium. También, es aplicado a las personas naturales o jurídicas de carácter públicas o privadas que sean legalmente titulares de los datos suministrados a REL Consilium, a quien le corresponde protegerlos.

Marco legal

La siguiente política pública se ha desarrollado con base en el siguiente marco legal:

  • Constitución política de Colombia de 1991.
  • Ley 1266 de 2008. “Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.”
  • Decreto Reglamentario 2952 de 2010. “ por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de 2008”.
  • Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”.
  • Decreto 1377 de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”

Conceptos básicos

  1. Autorización: es el consentimiento previo que se le da a REL Consilium por parte del titular para llevar a cabo el tratamiento de datos personales.
  2. Titular: persona natural o jurídica en cuyos datos se refiere la información y es el sujeto de derechos a los que se remite la ley.
  3. Base de datos: conjunto organizado de datos personales que sea objeto de tratamientos.
  4. Tratamiento de la información: es cualquier procedimiento u operación sobre los datos personales como la recolección, almacenamiento, uso, circulación o supresión.
  5. Responsable del tratamiento: REL Consilium quien decide sobre el uso de los datos y su tratamiento en la base de datos. 
  6. Fuente de información: es la persona, entidad y organización que recibe o conoce datos personales de los titulares de la información y que lo suministra a un tercero, previa autorización del titular. 
  7. Aviso de privacidad: es la comunicación verbal o escrita que da REL Consilium, dirigida al titular para el tratamiento de sus datos personales, mediante el cual se le informa sobre la existencia de las políticas del tratamiento de la información que le son aplicables, cómo puede acceder a ellas y las finalidades a la que se destinará.

Categoría de datos

  • Dato personal: es cualquier información vinculada o que pueda asociarse a una o varias personas determinadas, que pueden ser público, semiprivados o privados.
  • Datos públicos: son todos aquellos datos determinados por la ley o la constitución y aquellos que no sean determinados como privados o semiprivados. Por lo tanto, los datos públicos son los contenidos en documentos públicos, sentencias judiciales que no sean sometidas a reserva y lo relativo al estado civil de las personas.
  • Dato semiprivado: es semiprivado el dato que no tiene una naturaleza íntima, pero tampoco pública y que su conocimiento no solo puede interesar a su titular, sino a cierto grupo de personas o sector de la sociedad.
  • Dato privado: Es el dato que por su naturaleza es solo relevante para el titular.

Principios

El manejo de la información y datos personales tiene que estar regido por los siguientes principios:

  1. Principio de finalidad: todo tratamiento de la información que haga el responsable o quien reciba los datos debe tener un fin legítimo que siempre debe ser informado y aceptado por el titular.
  2. Principio de libertad: la información solo se puede usar cuando hay un consentimiento expreso e informado en el que el titular comprenda las condiciones, sus derechos y los deberes que tiene la organización, sin ningún tipo de coacción.
  3. Principio de veracidad o calidad: la información y datos deben cumplir con las condiciones de ser veraz, completa, exacta, actualizada, comprobable y comprensible. En ninguna circunstancia se puede usar información que no cumpla con estos requisitos.
  4. Principio de transparencia: la información del titular de los datos siempre estará disponible bajo el procedimiento establecido, para que él/ella lo consulten.
  5. Principio de acceso y circulación restringida: el uso de la información solo puede circular y ser conocida por las personas autorizadas en el ejercicio de las actividades de la organización y por el titular.
  6. Principio de seguridad: la seguridad de toda información de la que haga uso la organización será garantizada con las medidas administrativas y técnicas necesarias.
  7. Principio de confidencialidad: toda información que no tenga el carácter de público será garantizada en reserva por la organización , inclusive después de que finalice el uso para la que fue destinada en un primer momento.
  •  Manejo de la información y datos personales

El manejo de la información y datos personales en REL Consilium se hará en desarrollo de los principios de finalidad y libertad. Los miembros de la organización sólo accederán a los datos personales que sean necesarios, pertinentes y adecuados para la finalidad por la que son recolectados. No obstante, antes de entrar en materia del proceso de recolección, se establecen los derechos de los titulares de la información y los deberes de la organización que deben ser cumplido individualmente por quien ejerza actividades en su nombre o bajo su supervisión.

Derechos de los titulares de la información.

  • La persona que brinde información personal a REL Consilium puede conocer, actualizar y rectificar sus datos, cuando estos sean inexactos, incompletos, fraccionados o que puedan inducir al error.
  • Solicitar la prueba de su autorización cuando lo crea pertinente.
  • Ser informado sobre el uso que se dará a su información, en qué momentos será utilizada, las actividades y los tiempos en que se dará lugar.
  • Puede revocar la autorización y/o solicitar la supresión de datos cuando no se respeten los principios que rigen la política de REL Consilium.
  • Interponer ante la Superintendencia de Industria y Comercio quejas por infracciones que respondan al marco normativo presentado en el marco legal de la política.

Deberes del responsable de tratamiento de datos.

  • Informar a la persona titular de la información de manera clara y expresa:
  1. La finalidad para la que serán usados estos datos y cómo serán manejados dentro de la organización.
  2. El carácter facultativo que tiene de responder o no las preguntas que se le hagan, cuando se trate de datos sensibles o datos sobre niños, niñas y adolescentes.
  3. Los derechos que le asisten a la persona que brinda su consentimiento para otorgar la información, según lo citado en el apartado anterior.
  4. La información de quien está comunicándose o será responsable del tratamiento de la información que lo asiste en el momento: nombre completo, teléfono al cual puede comunicarse, dirección electrónica o dirección de la oficina – cuando esta esté disponible-.
  5. Se debe entregar un documento que certifique la autorización del titular para que sean tomados sus datos y entregarle la correspondiente copia.
  6. Conservar cada una  de las autorizaciones que den los titulares de la información.
  7. Garantizar al titular el pleno y efectivo de sus derechos.
  8. Actualizar toda información que sea dada de manera oportuna.
  9. Informar a las autoridades de protección de datos cuando se presenten violaciones a los códigos de seguridad y se ponga en peligro al titular de derechos.

1.1 Proceso de manejo y seguridad de la información

Recepción

El proceso de recepción es el encuentro que tiene el/la encargado/a de recibir la información para su recepción por parte del titular. En ese momento, la persona integrante de REL Consilium responsable al entrar en contacto con la persona debe identificarse, dar una introducción sobre la misión y visión de REL Consilium y el marco del proyecto o actividad en que se desarrolla la recepción de la información.

Posteriormente es obligatorio que a la persona que brindará la información se le dé una AVISO DE PRIVACIDAD que consistirá en un documento escrito enviado por correo electrónico y en caso de no ser posible, según las posibilidades de la persona, mediante medio escrito u oral que tendrá que quedar grabado para su posterior consulta, que anuncie sobre la política de tratamiento de datos, la forma de consultarla y la finalidad del tratamiento.

Después del AVISO DE PRIVACIDAD, se debe solicitar la AUTORIZACIÓN DEL MANEJO DE LA INFORMACIÓN mediante un formato disponible en la página web de REL Consilium. Este será enviado por correo electrónico y remitido en ejemplar físico para firma, a la que se le hará una copia para ser consultado posteriormente. La persona responsable del manejo de la información debe informarle a la persona titular de la información que esta autorización no será obligatoria y que si él así lo prefiere no puede tocar datos sensibles que solo le interesa a su esfera personal. La autorización siempre será expresa mediante firma del documento que se prestará para cada caso, el cual indicará la información que se está solicitando, cuál de ellas es información sensible, la finalidad y temporalidad en la que esta será necesaria, a menos que se deba quedar en la base de datos por la actividad de la organización[1].

El lleno de los anteriores requisitos será tomado antes de recoger la información, para poder realizar las respectivas entrevistas, reuniones, asesorías o cualquier actividad en la que se recogerá información.

Posterior a lo anterior, cada actividad debe estar debidamente estructurada para su práctica, que también entrará dentro de las actividades preparatorias desarrolladas en el ejercicio de los proyectos. Si es pertinente y previa autorización, se grabarán las actividades en audio para hacer la sistematización de las consultas de forma escrita, para ser remitida a la gestión documental de REL Consilium y sus bases de datos. Este procedimiento de registro de información no puede ser superior a una semana después de realizar la actividad, donde el encargado idealmente será quien lo haga, en caso de no ser posible se dará el poder a otra persona.

Uso de datos personales de niños, niñas y adolescentes.

Cualquier información que llegue al conocimiento de la organización cuando se tenga contacto sobre datos personales de niños, niñas y adolescentes, quedan proscritos, salvo aquellos datos que sean de naturaleza pública. En ese caso, el tratamiento de la información de esta naturaleza será basado en el respeto del interés superior de niños, niñas y adolescentes y la protección de sus derechos fundamentales. Junto a lo anterior, todos los datos que sean utilizados en cumplimiento de estas condiciones deben ser autorizados por el representante legal del niño, niña o adolescente, teniendo en cuenta la opinión de él o ella, en respeto a la autonomía, madurez y capacidad para entender el asunto.

Almacenamiento de la información

Toda información que sea recogida, como se anticipó debe ser sistematizada mediante actas que recojan cada uno de los datos dados, y debe realizarse máximo una semana después de haber hecho el encuentro. Los documentos resultados de este proceso y los audios o videos- si se registraron- deben anexarse a las carpetas de Google Drive de REL Consilium que están destinados para ello. Junto a lo anterior, se debe incluir en las bases de datos clasificadas según los objetivos, productos y líneas de investigación que están previamente organizadas, las caracterizaciones de las actividades, el responsable de ella y quién fue el titular de la información con su identificación.

Los documentos de aviso de privacidad y la autorización del manejo de información tendrán su propia carpeta en los archivos de la organización, clasificados igualmente según el proyecto de desarrollo, aunque mantendrán su base de datos general para posterior consulta.

III.             Seguridad de la información

Para cada recepción de la información se asignará una persona responsable y el equipo de respaldo en caso de su ausencia, que tendrá las responsabilidades ya establecidas en esta política. Esta persona se encargará principalmente de la seguridad de la información, datos y documentos.

Cada documento de aviso de privacidad y autorización de manejo de información, sistematización y archivos multimedia (mp3, mp4 o cualquier formato de audio y/o video) debe ser guardado en archivo pdf no editables según el caso y todos deben tener contraseña a la que solo tendrán acceso las personas previamente autorizadas y la directora general. La contraseña de estos archivos será guardada por cada uno de las personas líderes de las líneas de investigación, quienes dispondrán el acceso a ellas. Las bases de datos contenidas en archivos de Excel serán también guardadas con contraseñas.

Para mantener el respaldo y la debida disponibilidad en caso de inconvenientes como pérdidas o daños de estos documentos, cada mes se harán copias de seguridad que serán contenidas en el medio que se considere más apropiada y estarán en poder de la directora general, como forma de garantizar el debido acceso y consulta permanente.

Acuerdos de confidencialidad o de no divulgación

Toda persona que se relacione con REL Consilium ya sea integrante permanente, contratista o tercero/a al que le concierna alguna de las actividades en ejecución, no importa su tipo de vinculación, siempre y cuando tenga acceso a la información que se maneje, firmará un acuerdo de confidencialidad o de no divulgación, que de manera individual lo compromete a no divulgar, usar o explotar la información confidencial a la que tengan acceso, respetando los niveles de clasificación. En el caso de las personas contratistas, este acuerdo de confidencialidad se entenderá integrado y aceptado con la firma del contrato que incluye una cláusula en este sentido. El incumplimiento tendrá las debidas consecuencias contempladas en el reglamento interno, el contrato de prestación de servicios y las disposiciones que se den en las leyes.

Comunicaciones internas

Las comunicaciones, recepción de mensajes o envío de cualquier tipo de información será a través del correo institucional de REL Consilium, que solo será utilizado para fines de las líneas de acción de la organización, tanto cuando se comunique con personas titulares de datos, como coordinación de reuniones o contactos con otras entidades.

El correo institucional será abierto preferiblemente en los ordenadores de quien sea autorizada para tener uno, no está autorizado el manejo de correos institucionales en los dispositivos móviles, salvo que cuenten con la configuración indicada por la organización para ello y no debe tener acceso ningún tercero que no pertenezca a las actividades de REL Consilium. En caso de que por razones imprevistas o una situación de emergencia sea necesario abrir el correo en otro ordenador o celular, se debe cerrar una vez terminada la actividad que lo obligó a abrirlo.

  1.   Uso de la información

La información será usada siempre y cuando se adecuen a los objetivos de los proyectos o actividades enmarcadas de las líneas de acción de REL Consilium, que tendrá como resultado los productos que se generen de cada uno de los procesos. Solo será usada la información para la que se pidió la debida autorización, en ninguna circunstancia se pueden cruzar los límites que se han establecido.

  • Proceso para reclamación, corrección, suspensión y consulta de manejo de datos

Como se estableció en los derechos de las personas titulares de derechos, la persona titular de los datos personales puede consultar en cualquier momento sus datos, hacer correcciones, reclamaciones u ordenar la suspensión de su uso. No obstante, antes debe regirse el siguiente proceso:

  1. Para toda remisión de consulta, debe ser enviado un correo info@relconsilium.com solicitando la información que quiere ser conocida, siempre que sea la persona titular, sobre los datos que tiene la organización o si quiere conocer el documento de autorización. El correo debe contener el nombre de la persona, su respectiva identificación, modo de contacto en la que puede ser enviada la respuesta y la solicitud clara de lo que necesita. Debe indicar en el asunto la referencia “DATOS-PRIVACIDAD.” Esta acción será atendida máximo a los 10 días hábiles después de  recepcionada la petición.
  2. Para los procesos de corrección, esta solicitud se envía a los canales de info@relconsilium.com que será atendida dentro de los 10 días hábiles siguientes. La solicitud debe contener la identificación de la persona, el motivo de la corrección, cuál será la corrección y el contacto para notificarle que ha sido realizada su solicitud. Debe usar en el asunto la referencia “DATOS-CORRECCIÓN”. Una vez hecha la corrección solicitada, se enviará un memorando a la persona titular de la información donde conste la corrección y se dé la verificación de que está correcto el cambio, ante lo que se le solicitará su firma y quedará registrado en los archivos de REL Consilium.
  3. Para procesos de reclamación se podrá remitir la queja o reclamo a info@relconsilium.com, donde en los 5 días hábiles siguientes se citará una reunión con el o la reclamante para atender su inconformidad en caso de ser necesario, sino es así, será suficiente con el análisis a través del reclamo hecho por los medios dispuestos para ello, que será procesado en los 10 días hábiles siguientes. El reclamo o la queja, debe contener la identificación de la persona, el porqué de su inconformidad, las vulneraciones que pudo o no recibir de ella y su contacto para remitir la solicitud.
  4. En cualquier momento, la persona puede solicitar a la organización la suspensión del uso de sus datos en ejercicio de la libertad y autonomía. Esta solicitud debe ser remitida al correo info@relconsilium.com, que será resuelta dentro de los 5 días hábiles siguientes, donde se le remitirá una comunicación donde la organización conste que sus datos han sido eliminados de la base de datos, que contendrá la firma del responsable de la información y el titular. La solicitud debe contener la identificación de la persona, la razón por la que solicita la suspensión – si así lo desea- y el canal por el que puede ser comunicado de la respuesta a la solicitud.
  1.   Medidas para atender problemas o contingencias que se relacionen     con la seguridad y manejo de la información.

Ante cualquier eventualidad por el riesgo de los derechos de las personas titulares de la información que haya recepcionado la organización, se hará una reunión extraordinaria entre el responsable de la información, el o la encargada de la línea en la que se manejan los datos y la directora general para analizar cada caso concreto y tomar las medidas necesarias para las correspondientes sanciones, denuncias o acciones legales a las que se vea necesario acudir según la situación. Lo anterior con la garantía del debido proceso y la normatividad que rige la política.

  1.     Consulta.

La política de manejo de datos personales y privacidad de la información podrá ser consultada en la página de la organización https://www.relconsilium.com/politica-tratamiento-de-datos, remitida a toda persona que brinde su información en las actividades de REL Consilium o facilitada previa solicitud al correo info@relconsilium.com

Subscribe to Our Newsletter for the daily Updates