1. Introducción.
Este Manual tiene como finalidad dar cumplimiento a lo dispuesto en la Ley Estatutaria 1581 de 2012 (en adelante La Ley de Protección de Datos), en la cual se regulan los deberes en cabeza de los responsables del tratamiento de datos personales de personas naturales, entre los que se encuentra el de la adopción de un manual interno de políticas y procedimientos mediante el cual se garantice el correcto cumplimiento de esta Ley de Protección de Datos y en particular, la atención de las consultas y reclamos realizadas por los titulares de la información.
MARKETING SCARY SAS , sociedad legalmente constituida y con domicilio principal en Bogotá, D.C., (en adelante EMPRESA) es prestadora de servicios integrales a las Universidades y particulares y la administradora de la página web interu.com.co en Colombia.
MARKETING SCARY SAS en su calidad de responsable o encargada de tratamiento de datos, dentro del desarrollo de su objeto social cumple con los establecido en La Ley de Protección de Datos para ser considerado como Responsable o Encargada de Tratamiento, condición que es aplicable a toda persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre las bases de datos o sobre el Tratamiento de los datos.
La EMPRESA establece a través del presente Manual los procedimientos para la recolección y tratamiento de los datos personales en los términos establecidos en la Ley de Protección de Datos e integrará el presente Manual y los demás formatos a través de los cuales obtiene la autorización por parte de los Titulares de la información, dando cumplimiento a sus necesidades y a los eventuales requerimientos de sus clientes, usuarios o potenciales clientes, a los cuales presta sus servicios.
2. Objetivo
El objetivo de este Manual es el cumplimiento de las disposiciones legales, constitucionales y normativas relacionadas con lo exigido por La Ley de Protección de Datos y sus decretos reglamentarios, informando la adopción de sus políticas de Tratamiento de datos personales, las políticas de privacidad, en desarrollo del derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos relativos al artículo 15 de la Constitución Política, así como el derecho a la información consagrado en el artículo 20 de la misma.
3. Finalidad del Tratamiento de datos.
Por el tipo de negocio que adelanta La EMPRESA son tres (3) los colectivos de titulares de datos que pueden entregar información personal con la cual eventualmente se pueden formar bases de datos:
3.1. Clientes, usuarios o potenciales clientes.
Este colectivo abarca:
- Los estudiantes de bachillerato o bachilleres graduados quienes solicitan información de una empresa patrocinadora, una universidad vinculada o de cualquiera de sus programas académicos de pregrado, sus productos o servicios. La EMPRESA hará el tratamiento de este colectivo, cuando se trate de menores de edad, dando el carácter de información sensible y con protección especial a toda información que se reciba de menores de edad, ajustándose a las exigencias legales y reglamentarias
- Personas naturales que se registran en el portal Web de La EMPRESA con el fin de poder acceder a diferentes servicios que se ofrece a través de la Web. Tratándose de servicios relacionados con el portal de Empleo, para inscribir la hoja de vida se requiere ser mayor de edad, aspecto que será verificado por la exigencia de la cédula de ciudadanía para tales efectos.
- Personas naturales que se inscriben en algún curso o programa de formación que ofrece La EMPRESA .
- Empresas e instituciones de educación superior que potencialmente pueden tener interés en servicios Web y de formación gestionados por La EMPRESA . Esto incluye también las personas vinculadas a aquellas.
- Las personas naturales quienes entregan sus datos para efectos de las gestiones de cursos, movilidad, que adelanta La EMPRESA.
Al recibirse la anterior información, el propósito de la creación o mantenimiento de la base de datos de tal información es:
- La transmisión o transferencia de datos de los solicitantes a las instituciones de educación superior o instituciones educativas- destinatarias de la consulta de información.
- La gestión de la inscripción del interesado en el programa de movilidad, curso, evento correspondiente.
- El recibo de publicidad de productos y servicios de La EMPRESA o de terceros.
- La elaboración de estadísticas y encuestas por parte de La EMPRESA .
- El establecimiento y mantenimiento de relaciones contractuales con La EMPRESA
- El recibo de publicidad de programas educativos o laborales (si se ha manifestado su intención de recibir dicha información).
- El recibo de "Newsletters", Novedades y Comunicados (si ha manifestado su intención de recibir dicha información).
- La elaboración de estadísticas y encuestas por parte de La EMPRESA .
- El establecimiento y mantenimiento de relaciones contractuales con La EMPRESA .
3.2. Empleados o ex - empleados.
La finalidad de recibir Información Personal frente a este colectivo tiene que ver con el adecuado conocimiento del personal, su honestidad, reputación, comportamiento ético, dado que tal personal maneja información que puede tener el carácter de sensible.
Además, se recibirá la Información Personal para efectos de administración del factor humano en temas de capacitación, bienestar social, cumplimiento de normas de seguridad laboral y seguridad social, siendo necesario, en algunos eventos recibir información sensible sobre estados de salud, información de menores de edad beneficiarios de esquemas de seguridad social, así como la información necesaria para el cumplimiento de obligaciones laborales de orden legal y extralegal y la información para garantizar el ejercicio de los derechos de asociación sindical y de negociación colectiva. Toda la anterior información se tendrá que tratar con las exigencias legales en cada caso.
3.3. Proveedores.
La EMPRESA debe contar con proveedores que no solamente satisfagan sus necesidades operativas o de atención al negocio, sino también con adecuado comportamiento reputacional, con altos estándares de calidad en materia de manejo de obligaciones financieras y crediticias y quienes no podrán estar vinculados a listas nacionales o internacionales de personas vinculadas con el lavado de activos o la financiación del terrorismo. Por esa razón, la finalidad de los datos que se recibirán de los proveedores, tiene que ver con la verificación de las calidades profesionales y reputacionales antes detalladas.
4. Definiciones
De acuerdo con lo establecido en el artículo 3 de La Ley de Protección de Datos, se entenderá por:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
c) Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato, generado por el responsable del Tratamiento que se pone a disposición del Titular para el Tratamiento de sus datos personales. A través de este, se comunica al Titular de la información la existencia de las políticas aplicables para el tratamiento de sus datos personales, junto con la forma como acceder a las mismas y las características del tratamiento de los datos personales.
d) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
e) Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad de Titular o cuyo uso indebido puede generar su discriminación , tales como aquellos revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
f) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
g) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
h) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
i) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
5. Principios
De acuerdo con lo establecido en el artículo 4 de La Ley de Protección de Datos, se aplicarán los siguientes principios:
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
6. Autorización
Con base en el Articulo 7 del Capítulo II del Decreto 1377 de 2013, se establecerán mecanismos para obtener la autorización de los Titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del presente decreto, que garanticen su consulta. Estos mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al Titular su manifestación automatizada. Se entenderá que; la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
La EMPRESA podrá obtener dicha autorización a través de un documento físico (autorizaciones de consulta, entre otros), electrónico (página WEB o correo electrónico) o cualquier otro medio que permita validar el otorgamiento de la autorización.
A través de la autorización, en cumplimiento de las disposiciones legales, La EMPRESA notificará que la información es recolectada, conteniendo la finalidad, el almacenamiento y el uso que se dará a la misma.
7. Prueba de la autorización.
La EMPRESA deberá conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.
8. Revocatoria de la autorización y/o supresión del dato
Los Titulares podrán en todo momento solicitar a La EMPRESA en su calidad de Responsable o Encargado la supresión de sus datos personales o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de La Ley de Protección de Datos. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos. La EMPRESA deberá poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.
Si vencido el término legal respectivo, La EMPRESA no hubiera eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de La Ley de Protección de Datos.
9. Limitaciones temporales al Tratamiento de los datos personales.
La EMPRESA sólo podrá recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el Tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del Tratamiento y sin perjuicio de normas legales que dispongan lo contrario, La EMPRESA deberá proceder a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
La EMPRESA deberá documentar los procedimientos para el Tratamiento, conservación y supresión de los datos personales de conformidad con las disposiciones aplicables a la materia de que se trate, así como las instrucciones que al respecto imparta la Superintendencia de Industria y Comercio.
Aviso de privacidad.
En los casos en los que no sea posible poner a disposición del Titular las políticas de Tratamiento de la Información, La EMPRESA deberá informar por medio de un Aviso de Privacidad al Titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales.
El Aviso de Privacidad, como mínimo, deberá contener la siguiente información:
a.Nombre o razón social y datos de contacto de La EMPRESA
b.El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
c.Los derechos que le asisten al Titular.
d.Los mecanismos dispuestos por La EMPRESA para que el Titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente.
e.En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información.
f.Cuando se recolecten datos personales sensibles, el Aviso de Privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.
g.La divulgación del Aviso de Privacidad no eximirá a La EMPRESA de la obligación de dar a conocer a los Titulares la política de Tratamiento de la información, de conformidad con lo establecido.
10. Deber de acreditar puesta a disposición del aviso de privacidad y las políticas de Tratamiento de la información.
La EMPRESA deberá conservar el modelo del Aviso de Privacidad que utilice para cumplir con el deber que tiene de dar a conocer a los Titulares la existencia de políticas del Tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven. Para el almacenamiento del modelo La EMPRESA podrá emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.
La EMPRESA podrá valerse de documentos, formatos electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al Titular.
11. Procedimientos para el adecuado Tratamiento de los datos personales.
Los procedimientos de acceso, actualización, supresión y rectificación de datos personales y de revocatoria de la autorización deben darse a conocer o ser fácilmente accesibles a los Titulares de la información e incluirse en la política de Tratamiento de la información. La EMPRESA acogerá las medidas de seguridad que la Superintendencia de Industria y Comercio imparta.
12. Legitimación para el ejercicio de los derechos del Titular.
Los derechos de los Titulares establecidos en La Ley de Protección de Datos, podrán ejercerse por las siguientes personas:
a.Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición La EMPRESA .
b.Por sus causahabientes, quienes deberán acreditar tal calidad.
c.Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
d.Por estipulación a favor de otro o para otro.
13. Transferencia de datos a terceros países
El portal de La EMPRESA funciona en alianza con entidades vinculadas, como proveedores para el servicio y funcionamiento del portal
14. Derecho de acceso.
La EMPRESA deberá establecer mecanismos sencillos y ágiles que se encuentren permanentemente disponibles a los Titulares con el fin de que estos puedan acceder a los datos personales que estén bajo el control de aquéllos y ejercer sus derechos sobre los mismos. El Titular podrá consultar sus datos personales.
15. Derecho de actualización, rectificación y supresión.
En desarrollo del principio de veracidad o calidad, en el Tratamiento de los datos personales deberán adoptarse las medidas razonables para asegurar que los datos personales que reposan en las bases de datos sean precisos y suficientes y, cuando así lo solicite el Titular o cuando La EMPRESA haya podido advertirlo, sean actualizados, rectificados o suprimidos, de tal manera que satisfagan los propósitos del Tratamiento.
16. Medios para el ejercicio de los derechos.
La EMPRESA deberá designar a una persona o área que asuma la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere La Ley de Protección de Datos y el Decreto 1377 de 2013:
Área encargada: SERVICIO AL CLIENTE
Correo de contacto: servicios@interu.com.co
17.Información sobre cambios en las políticas de Tratamiento.
Cualquier cambio sustancial en las políticas de Tratamiento de datos será informado a los titulares de datos por uno de dos canales, dependiendo del tipo de cambio y del colectivo al cual se dirija:
1.) Por comunicación escrita a la dirección registrada, si es posible y accequible realizar tal gestión por tratarse de un colectivo limitado y determinado.
2.) Por aviso en un diario de amplia circulación nacional, si no se considera posible enviar o reportar el cambio a todos los destinatarios de tal nueva política.
3.) En cualquier caso, por publicación que se efectúe en la página web https://www.interu.com.co/aviso_legal.html
18. Vigencia
El presente Manual rige a partir de su publicación y de sus actualizaciones en la página web https://www.interu.com.co. La información que reposa en sus bases de datos estará vigente mientras exista una relación contractual o reglamentaria con los titulares de datos.