Que el artículo 15 de la Constitución Política de Colombia determina que “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de Datos y en archivos de entidades públicas y privadas (…)”. Este precepto constitucional, consagra tres derechos fundamentales autónomos, a saber, intimidad, buen nombre y Habeas Data. El precepto constitucional que se desarrolla en este Manual es el de “Habeas Data”, el cual es el derecho que garantiza y protege todo lo relacionado con el conocimiento, actualización y rectificación de la información personal contenida en bases de Datos y archivos, el cual ha sido desarrollado y protegido mediante la Ley 1581 de 2012 y su Decreto reglamentario 1377 de 2013.
Que en cumplimiento de la obligación que tiene SPU COMPANY S.A.S. como Responsable del Tratamiento de varias bases de Datos, se requiere expedir un manual que establezca las reglas aplicables al Tratamiento de Datos de carácter personal que estén siendo tratados por la Compañía.
Fabian Enrique Grandas Martínez
Representante Legal
SPU Company S.A.S.
TABLA DE CONTENIDO
INTRODUCCIÓN
Capítulo I. ASPECTOS GENERALES.
1.1. DERECHO DE HABEAS DATA.
1.2. OBJETO.
1.3. AMBITO DE APLICACIÓN.
1.4. ALCANCE.
1.5. DEFINICIONES.
Capítulo II. PRINCIPIOS RECTORES.
2.1. PRINCIPIO DE LEGALIDAD EN MATERIA DE TRATAMIENTO DE DATOS PERSONALES.
2.2. PRINCIPIO DE FINALIDAD.
2.3. PRINCIPIO DE LIBERTAD.
2.4. PRINCIPIO DE VERACIDAD O CALIDAD.
2.5. PRINCIPIO DE TRANSPARENCIA.
2.6. PRINCIPIO DE ACCESO Y CIRCULACION RESTRINGIDA.
2.7 PRINCIPIO DE SEGURIDAD.
2.8. PRINCIPIO DE CONFIDENCIALIDAD.
2.9. PRINCIPIO DE NECESIDAD Y PROPORCIONALIDAD.
2.10. PRINCIPIO DE TEMPORALIDAD O CADUCIDAD.
2.11. INTERPRETACION INTEGRAL DE LOS DERECHOS CONSTITUCIONALES.
Capítulo III. DERECHOS DE LOS TITULARES E IDENTIFICACIÓN DE LAS BASES DE
DATOS.
3.1. DERECHOS DE LOS TITULARES.
3.2. AUTORIZACION.
3.3. IDENTIFICACION DE LAS BASES DE DATOS.
3.4. FINALIDAD.
3.5. VIGENCIA.
3.6. CANALES DE SUMINISTRO DE LA INFORMACION.
Capítulo IV. OBLIGACIONES.
4.1. DEBERES EN CALIDAD DE RESPONSABLE.
4.2. DEBERES EN CALIDAD DE ENCARGADO.
4.3. NIVEL DE MEDIDAS DE SEGURIDAD APLICADO AL TRATAMIENTO.
4.4. PREVISIONES CONTRACTUALES.
Capítulo V. PROCEDIMIENTOS ESTABLECIDOS PARA GARANTIZAR EL EJERCICIO DE
LOS DERECHOS DE LOS TITULARES.
5.1. CONSULTAS.
5.2. RECLAMOS.
5.3. QUEJAS ANTES LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO.
5.4. PERSONA O DEPENDENCIA RESPONSABLE DE LA ATENCIÓN DE PETICIONES,
CONSULTAS Y RECLAMOS.
5.5. LEGISLACIÓN NACIONAL VIGENTE.
5.6. FECHA DE ENTRADA EN VIGENCIA DE LA POLÍTICA DE TRATAMIENTO.
INTRODUCCIÓN
SPU COMPANY S.A.S., es un establecimiento que en desarrollo de su objeto social recolecta y administra información personal de los consumidores financieros, entendiéndose por ellos los clientes y beneficiarios finales. Así como también conoce o puede llegar a conocer información personal de contacto de personas que no son sus clientes ni beneficiarios finales pero que podrían llegar a serlo.
En desarrollo de las relaciones financieras, crediticias y comerciales establecidas con sus clientes, SPU COMPANY S.A.S., actúa bajo el marco de la Ley 1266 de 2008 “Ley Especial de Hábeas Data” como Fuente y Usuaria de la Información. De tal manera, que siempre que el accionar de SPU COMPANY S.A.S., esté encaminado a conocer el comportamiento de pago de un Titular de Datos, a reportar la información correspondiente a dicho comportamiento, y/o a suministrar a estos Titulares ya vinculados con la entidad información referida a sus productos y servicios, se estará bajo dicho marco y, en consecuencia, se respetarán las disposiciones establecidas en la citada Ley Especial.
Ahora bien, cuando en desarrollo de su objeto social SPU COMPANY S.A.S., busque acercarse a personas que no sean sus clientes, pero que podrían llegar a serlo, y para ello utilice sus datos de contacto, estará actuando bajo el escenario general de protección de datos personales en Colombia, regido por la Ley 1581 de 2012 “Ley General de protección de Datos Personales”. Igualmente, cuando solicite, obtenga o administre información personal de Titulares con quienes tuvo en el pasado una relación financiera o crediticia pero ésta ya expiró, estará bajo el marco de dicha Ley. Así como, cuando recopile, administre y circule información sobre sus proveedores y empleados.
SPU COMPANY S.A.S., es respetuosa de las personas y por ende de sus datos personales, por ello buscará informar de manera suficiente a las personas sobre los derechos que tienen en su calidad de titulares de la información. Así como, pondrá a disposición de los mismos los canales y medios necesarios para que puedan ejercer sus derechos. Es importante precisar, que los derechos de los titulares de la información en desarrollo de la Ley Especial, en particular los referidos al Art. 16 sobre “Peticiones, Consultas y Reclamos” están previstos en los manuales internos y los derechos de elevar consultas y formular reclamos que les asisten a los Titulares de datos en virtud de la Ley General quedan contenidos en el capítulo V de estas políticas.
1. ASPECTOS GENERALES
1.1. Derecho de Hábeas Data
El Artículo 15 de la Constitución establece el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, tanto de entidades públicas como privadas. Así mismo, este derecho comprende otras facultades como las de autorizar el tratamiento, incluir nuevos datos, excluirlos o suprimirlos de una base de datos o archivo.
En el año 2008 se expidió la Ley 1266 de 2008 Especial de Hábeas Data, que regula lo que se ha denominado como el “hábeas data financiero”, es decir el derecho que tiene todo individuo a conocer, actualizar y rectificar su información personal, comercial, crediticia y financiera contenida en centrales de información públicas o privadas, que tienen como función recopilar, tratar y circular esos datos con el fin de determinar el nivel de riesgo financiero de su titular. Esta ley considera titular de la información tanto a las personas naturales como las jurídicas.
Posteriormente, en octubre de 2012 se expidió la Ley 1581, “Ley General de Protección de Datos Personales”, que desarrolla el derecho de Hábeas Data desde una perspectiva más amplia que la financiera y crediticia. Así, cualquier titular de datos personales tiene la facultad de controlar la información que se ha recolectado de sí mismo en cualquier base de datos o archivo, sea administrado por entidades privadas o públicas. Bajo esta Ley General, es Titular toda persona natural y solamente en ocasiones excepcionales, previstas por la Corte Constitucional en la Sentencia C – 748 de 2011, podría llegar a serlo una persona jurídica, si se afectan los derechos de las personas naturales que las conforman.
1.2. Objeto
La política y los procedimientos de este Manual están dirigidos a desarrollar el derecho constitucional al Hábeas Data que tienen todas las personas respecto de las cuales SPU COMPANY S.A.S.haya recogido, administre o conserve información de carácter personal.
1.3. Aplicación
La política se aplica a la base de datos que estén bajo la administración de SPU COMPANY S.A.S.las cuales éste sea el Responsable, y cuando éste acceda a datos personales en calidad de Encargado del tratamiento.
1.4. Alcance
Todos los funcionarios de SPU COMPANY S.A.S. están cubiertos bajo esta política. SPU COMPANY S.A.S.adelantará las campañas pedagógicas y de capacitación que se requieran para que el personal con mayor nivel de interacción en la administración de datos personales conozca la nueva ley, el decreto reglamentario 1377 de 2013 y las disposiciones adoptadas por SPU COMPANY S.A.S.para asegurar su cumplimiento.
Asimismo, a los terceros, entre ellos proveedores, que en desarrollo del servicio que prestan tengan acceso a datos personales de Titulares que sean clientes directos, beneficiarios finales, proveedores, empleados, se les exigirá el cumplimiento de la ley, el decreto y de esta política.
1.5. Definiciones
Las siguientes son definiciones que trae la Ley 1581 de 2012, las cuales serán aplicadas e implementadas acogiendo los criterios de interpretación que garanticen una aplicación sistemática e integral, y en consonancia con los avances tecnológicos, la neutralidad tecnológica; y los demás principios y postulados que rigen los derechos fundamentales que circundan, orbitan y rodean el derecho de habeas data y protección de datos personales:
Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento, tanto por entidades públicas como privadas. Incluye aquellos depósitos de datos que constan en documentos y que tienen la calidad de archivos.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Clasificación de los datos bajo la Ley General:
Dato sensible: Es aquel que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, que promuevan intereses de cualquier partido político o que busquen garantizar los derechos de partidos políticos de oposición, así como los datos relativos a la salud, la vida sexual y los datos biométricos.
Dato público: Está definido de manera residual, como aquel que no es semiprivado, privado o sensible. En el decreto reglamentario 1377 de junio 27 de 2013, se señalaron como ejemplos de datos públicos los referidos a la profesión u oficio, a la calidad de comerciante o de servidor público, y aquellos que puedan obtenerse sin reserva alguna. Asimismo, señala que estos datos, por su naturaleza, pueden estar contenidos en registros públicos, gacetas y boletines oficiales, entre
otros.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decida sobre la base de datos y/o el tratamiento de los datos.
Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como recolección, almacenamiento, uso y circulación.
2. PRINCIPIOS
Es un compromiso de SPU COMPANY S.A.S., entender y desarrollar de manera armónica los principios establecidos en la Ley General. A continuación, se relacionan los principios contenidos en la Ley:
Principio de legalidad en materia de tratamiento de datos
El tratamiento a que se refiere esta ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
Principio de finalidad
El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, y debe ser informada al titular.
Principio de libertad
El tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no pueden ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Principio de veracidad o calidad
La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de transparencia
En el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
Principio de acceso y circulación restringida
El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales y de las disposiciones de la presente ley y la Constitución. En este sentido, el tratamiento sólo puede estar a cargo de personas autorizadas por el titular y/o por las personas previstas en esta ley.
Los datos personales, salvo la información pública, no pueden estar disponibles en internet ni en otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la Ley General.
Principio de seguridad
La información sujeta a tratamiento por parte del responsable del tratamiento o del encargado del
tratamiento se debe manejar con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Principio de confidencialidad
Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando corresponda al desarrollo de las actividades autorizadas en la Ley General y en los términos de ésta.
Necesidad y proporcionalidad
Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de la finalidad del tratamiento, la cual debe ser comunicada al titular. Deben ser adecuados, pertinentes y acordes con esa finalidad.
Temporalidad o caducidad
El periodo de conservación de los datos personales será el necesario que permita alcanzar la
finalidad para la cual se han recolectado.
2.1. Interpretación integral de derechos constitucionales
La Ley General se interpreta en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el Hábeas Data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se deben interpretar en armonía y en un plano de equilibrio con el derecho a la información previsto en el Artículo 20 de la Constitución y con los demás derechos constitucionales aplicables. SPU COMPANY S.A.S., debe velar porque los datos sean adquiridos, tratados y manejados de manera lícita.
Asimismo, cuando SPU COMPANY S.A.S., actúe como Responsable del Tratamiento, es decir cuando esté frente a un Titular que va a adquirir la calidad de clientes o usuario o ya la tiene, le informará previamente, de manera clara y suficiente, acerca de la finalidad de la información a ser solicitada. En el evento en que la finalidad cambie o se modifique de tal manera que el Titular razonablemente no lo espere, le informará con anticipación, con el fin de obtener de nuevo su consentimiento.
En desarrollo del principio de razonabilidad y proporcionalidad, SPU COMPANY S.A.S. debe recaudar sólo los datos estrictamente necesarios para llevar a cabo su finalidad, y los conservará por el tiempo necesario para cumplirla. Igualmente, respetará la libertad que tiene el titular para autorizar o no el uso de sus datos personales; en particular cuando se trate de información sensible, en consecuencia, los mecanismos que utilicen para obtener su consentimiento, le permitirá al Titular manifestar de manera inequívoca que otorga tal autorización y abstenerse de entregarla cuando se trate de datos de naturaleza sensible.
3. DERECHOS DEL TITULAR E IDENTIFICACIÓN DE LAS BASES DE DATOS
3.1. Derechos del Titular
- Dirigirse a SPU COMPANY S.A.S., a través de los canales establecidos por éste en el numeral 5 del presente Manual de Políticas y Procedimientos para conocer, actualizar y rectificar sus datos personales. Este derecho se puede ejercer para conocer la información que sobre el Titular reposa en el banco de datos, y frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- Solicitar prueba de la autorización otorgada a SPU COMPANY S.A.S., salvo cuando, de acuerdo con la ley, el Tratamiento que se está realizando no lo requiera.
- Ser informado por SPU COMPANY S.A.S., previa solicitud efectuada a través de los canales dispuestos por éste, respecto del uso que se le ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley General y sus decretos reglamentarios.
- Revocar la autorización en los casos que no se refieren a datos esenciales o propios para la prestación del servicio. Igualmente, solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
- Conocer en forma gratuita a través de los canales dispuestos por SPU COMPANY S.A.S., los datos personales que hayan sido objeto de tratamiento.
- A que SPU COMPANY S.A.S., a través de este Manual de Políticas y procedimientos, le informe acerca de los canales y procedimientos previstos para que el titular pueda ejercer sus derechos de manera efectiva.
3.2. Autorización
Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
La autorización del Titular no es necesaria cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el registro civil de la persona.
Cuando se encuentren frente a alguna de estas situaciones, SPU COMPANY S.A.S., lo dejará claramente revelado y, en todo caso, cumplirá con las demás disposiciones contenidas en la ley.
Las autorizaciones a ser puestas a disposición de los Titulares de los datos deben tener textos claros e indicar los requisitos establecidos por la Ley 1581 de 2012.
En el aparte de la Autorización correspondiente a la inclusión de los aspectos señalados por dicha Ley se indicarán:
– La finalidad que se busca con el Tratamiento de los datos.
– El tipo de Tratamiento que tendrán éstos.
– La identificación y la dirección (física o electrónica) a la que podrá dirigirse el titular.
– Los derechos que le asisten, en particular el de revocar su consentimiento.
De tal manera que, tratándose del uso de los datos personales que no correspondan específicamente al desarrollo de la relación vinculante entre SPU COMPANY S.A.S., y sus titulares, sino que se refieran al envío de información comercial o de carácter publicitario, el Titular podrá a través de comunicación escrita dirigida a los siguientes canales de atención al titular y manifestar de manera sencilla y expedita su voluntad de no ser contactado para dichos fines.
1. Clientes:
Av. Pedro de Heredia 67A – 21 Tercer Piso Edificio Contadora en la ciudad de Cartagena.
Teléfono (5) 653 21 71 – 316 692 57 31 E-mail: [email protected] ó
[email protected]
Avenida Libertador No. 14 – 08 Segundo Piso en la ciudad de Santa Marta. Teléfono 431 25 12 –
312 304 58 58. E-mail: [email protected] ó [email protected]
2. Empleados, Prestadores de Servicios y Consultores:
Celular: 317 – 3010900.
Teléfono Fijo: (1) 3099889 en Bogotá D.C.
E-mail: [email protected]
3. Proveedores y Contratistas:
Av. Pedro de Heredia 67A – 21 Tercer Piso Edificio Contadora en la ciudad de Cartagena.
Teléfono (5) 653 21 71 – 653 21 72 – 316 692 57 31 E-mail: [email protected]
Avenida Libertador No. 14 – 08 Segundo Piso en la ciudad de Santa Marta. Teléfono (5) 431 25
12 – 312 304 58 58. E-mail: [email protected]
Calle 106 N° 18 A–20 en Bogotá. Teléfono (1) 3099889 E-mail: [email protected]
4. Visitantes y Cámaras de Seguridad:
Av. Pedro de Heredia 67A – 21 Tercer Piso Edificio Contadora en la ciudad de Cartagena.
Avenida Libertador No. 14 – 08 Segundo Piso en la ciudad de Santa Marta.
Calle 106 N° 18 A – 20 en Bogotá.
3.3. Identificación de las bases de datos
SPU COMPANY S.A.S., ha identificado las siguientes bases de datos:
1. Clientes.
2. Consultores
3. Contrato Laboral.
4. Contrato de Aprendizaje.
5. Contrato Prestación de Servicios.
6. Proveedores y Contratistas
7. Visitantes.
8. Cámaras de Seguridad.
3.4. Finalidad
Las Bases de Datos de Clientes, solicitantes y Beneficiario Final tienen como finalidad utilizar los datos para la debida prestación del servicio o del producto adquirido por el titular con SPU COMPANY S.A.S. En desarrollo de las relaciones financieras, crediticias y comerciales, SPU COMPANY S.A.S., busca informarlo acerca de las innovaciones efectuadas en sus productos y
servicios, con el fin de profundizar o ampliar su portafolio con nuestra entidad de las mejoras o cambios en sus canales de atención. Así mismo, busca enviarle información acerca de las ofertas que ha desarrollado con aliados comerciales que le pueden resultar de interés.
Las Bases de Datos de Contrato Laboral, Contrato de Aprendizaje, Contrato Prestación de Servicios, tiene como finalidad iniciar procesos de selección con el fin de desarrollar actividades o funciones relacionadas con el objeto comercial de la compañía.
La base de Datos de Consultores: Tiene como finalidad solicitar servicios de asesoría y procesos correspondientes con temas de seguridad social y normatividad legal vigente, relacionada con aspectos de nómina.
Proveedores y Contratistas: El Tratamiento de los datos se realizará para los fines relacionados con el desarrollo del proceso de gestión contractual de productos o servicios que SPU COMPANY SAS., requiera para su funcionamiento de acuerdo a la normatividad vigente de funcionamiento para la organización. Para realizar solicitudes de cotizaciones y/o información sobre bienes, productos y/o servicios requeridos por SPU COMPANY SAS, para el debido desarrollo de su actividad.
Visitantes y Cámaras de Seguridad: Tiene como finalidad, velar por la seguridad de nuestros clientes tanto internos como externos y en caso de presentarse una emergencia comunicarse con las líneas efectivas.
Los Datos e información personal de las personas naturales que llegaren a tener la condición de socios de SPU COMPANY S.A.S., se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene el carácter de reserva por disposición legal, salvo las disposiciones especiales del mercado público de valores. En consecuencia, el acceso a tales Datos Personales se realizará conforme las normas contenidas en el Código de Comercio y las disposiciones del mercado público de valores que regulan la materia.
La base de datos de contratistas tendrá la información reservada de las empresas con las que SPU COMPANY S.A.S., contrate para realizar actividades relacionadas con su objeto social mediante contrato de prestación de servicios.
3.5. Vigencia
La presente Política rige a partir del treinta (30) de junio de 2017 y el periodo de las bases de
datos tendrá una vigencia igual al periodo en que se mantenga la finalidad o finalidades, o el
periodo de vigencia que señale una causa legal, contractual o jurisprudencial de manera
específica.
3.6. Canales de suministro de la información
SPU COMPANY S.A.S., establece como canales de comunicación con los titulares:
DIRECCIÓN FÍSICA:
– Av. Pedro de Heredia 67A – 21 Tercer Piso Edificio Contadora en la ciudad de Cartagena.
– Avenida Libertador No. 14 – 08 Segundo Piso en la ciudad de Santa Marta.
– Calle 106 N° 18 A – 20 en Bogotá.
–
Correo electrónico: [email protected] – [email protected]
[email protected]
[email protected]
[email protected]
TELÉFONOS: (5) 6532171 – 6532172 – 316 692 57 31 (Cartagena)
(5) 431 25 12 – 312 304 58 58 (Santa Marta),
(1) 3099889 (Bogotá D.C.)
4. OBLIGACIONES
4.1. Deberes del responsable del tratamiento
La Ley General define como responsable a la persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos.
De conformidad con la Sentencia C-748 de 2011, el responsable del tratamiento es “el que define
los fines y medios esenciales para el tratamiento del dato, incluidos quienes fungen como fuente y
usuario”, pudiendo poner los datos en circulación o utilizarlos de cierta manera.
Sus deberes son:
- Garantizar para los titulares de datos, a través de los canales de atención establecidos en este Manual, el pleno y efectivo ejercicio del derecho de Hábeas Data.
- SPU COMPANY S.A.S., conserva las autorizaciones otorgadas por los Titulares bajo las medidas de seguridad correspondientes al tipo de información obtenido.
- SPU COMPANY S.A.S., informará acerca de la finalidad de la recolección, tanto en el texto utilizado para obtener la autorización del Titular, como en el Aviso de Privacidad. El Titular siempre conocerá el tipo de tratamiento que se le dará a sus datos, si van a circular o a ser compartidos, con qué finalidad y la manera de manifestar su voluntad en relación con ese alcance del tratamiento.
- SPU COMPANY S.A.S., informará que el uso que hacen de los datos es el correspondiente al desarrollo de la prestación de servicios con sus clientes.
- Los derechos que le asisten al Titular de la información serán incluidos en el Aviso de Privacidad que se publicará en la página web de SPU COMPANY S.A.S., y así se le indicará al momento de obtener el consentimiento por parte de aquel.
- La colaboración efectiva de los Titulares respecto de la actualización de su información en los datos conocidos por ellos es fundamental para el cumplimiento óptimo del deber de informar al Encargado sobre todas las novedades de los datos que se le hayan suministrado.
- En el capítulo quinto de este Manual se establecen los procedimientos para atender las consultas y reclamos formulados por los titulares.
- Los incidentes de seguridad que puedan poner en peligro la administración de la información de los Titulares serán informados a la Superintendencia de Industria y Comercio, con base en el procedimiento establecido en este manual.
- Las instrucciones y los requerimientos formulados por la Superintendencia de Industria y Comercio estarán relacionados en un sistema especial bajo la responsabilidad del área de Control y Gestión de Operaciones de SPU COMPANY S.A.S., responsable del seguimiento en la adopción y cumplimiento de estas políticas.
4.2. Deberes del Encargado del tratamiento
La ley señala que el Encargado del tratamiento es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el tratamiento de los datos personales por cuenta del Responsable del Tratamiento. En atención a que la mayoría de las obligaciones establecidas en calidad de Encargado coinciden con las señaladas en calidad de Responsable, solamente se hará referencia expresa en este Numeral a las que no quedaron listadas en el Numeral 4.1. de este documento.
- Existirán canales eficientes que permitan que las actualizaciones de información realizadas por el Responsable se reciban y tramiten en el término de cinco (5) días hábiles previsto en la ley. Éstos estarán referidos a un correo electrónico y al contacto telefónico generado desde el Área competente.
- Cuando exista información que sea controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio, se impartirán las instrucciones correspondientes por parte del área o funcionario encargado con el fin de que ésta no circule.
- Se permitirá el acceso a la información únicamente a personas autorizadas por la ley. Para ello se establecerán los requisitos que deben cumplir las autoridades judiciales y administrativas que soliciten este tipo de información, los cuales se refieren a la identificación de las funciones que les permiten efectuar el requerimiento, además del número de la investigación que se adelanta; asimismo, los requisitos que deben cumplir los Titulares, apoderados o causahabientes, en particular la acreditación de su calidad y los debidos soportes.
4.3. Medidas de seguridad
SPU COMPANY S.A.S., cuenta con reglamentaciones internas y protocolos sobre seguridad de la información, para asegurar el cumplimiento de los requisitos exigidos en esta materia.
Los contratos con los empleados y proveedores incluyen cláusulas que establecen el deber de éstos de garantizar la seguridad y la privacidad de la información del Titular.
5. PROCEDIMIENTOS PARA GARANTIZAR EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES
5.1. Consultas
Los Titulares o sus causahabientes pueden consultar la información que de ellos reposa en las bases de datos de SPU COMPANY S.A.S. Para solicitudes de consulta deben acreditar su identidad, así:
Si la presentan mediante documento escrito, deben adjuntar copia de la cédula. Los causahabientes deben acreditar el parentesco adjuntando copia del registro civil de defunción y de su documento de identidad o copia de la escritura que da apertura a la sucesión y copia de su documento de identidad. Los apoderados deben presentar copia auténtica del poder y de su documento de identidad.
Una vez SPU COMPANY S.A.S., recibe la solicitud de consulta de la información, revisan el registro individual correspondiente al nombre del Titular y al documento de identidad aportado; si encuentran alguna diferencia entre estos documentos lo informarán dentro de los siguientes cinco (5) días hábiles a partir del recibo de la comunicación, con el fin de que el solicitante la aclare.
Si SPU COMPANY S.A.S., encuentra conformidad en los documentos, darán su respuesta en un término de diez (10) días hábiles.
Si SPU COMPANY S.A.S., requiere un mayor tiempo para responder la consulta, lo informarán al Titular y le darán su respuesta en un término que no excederá los cinco (5) días hábiles siguientes al vencimiento del término.
5.2. Reclamos
El Titular o sus causahabientes que consideren que la información contenida en una base de datos administrada por SPU COMPANY S.A.S., debe ser corregida, actualizada o suprimida, o que advierten un incumplimiento por parte de éste o de alguno de sus Encargados, pueden presentar un reclamo ante SPU COMPANY S.A.S., o el Encargado, en los siguientes términos:
- El reclamo se formula ante SPU COMPANY S.A.S., o el Encargado del Tratamiento, acompañado del documento que identifique al Titular, la descripción clara de los hechos que originan el reclamo, los documentos que pretenda hacer valer y la dirección donde desea recibir notificaciones (física o electrónica).
- Si el reclamo resulta incompleto se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane la falla.
- Si transcurren dos (2) meses a partir de la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
- Si SPU COMPANY S.A.S., o el Encargado a quien se dirija la solicitud no puede o no es competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles, e informará al interesado.
SPU COMPANY S.A.S., utiliza el correo electrónico indicado en el Núm. 3.6. para estos efectos, de manera que se pueda identificar en qué momento se da traslado y la respuesta o confirmación de recibido correspondiente.
SPU COMPANY S.A.S., no conoce a la persona a quien deba trasladar el asunto, informará de inmediato al titular con copia a la Superintendencia de Industria y Comercio. - Una vez recibido el reclamo completo, se debe incluir en la base de datos correspondiente la leyenda “Reclamo en trámite” y el motivo de éste, en un término máximo de dos (2) días hábiles.
- El término máximo para responder el reclamo es de quince (15) días hábiles. Si no es posible hacerlo en este término, se informará al interesado el motivo de la demora y la fecha en que se atenderá, que no podrá exceder de ocho (8) días hábiles siguientes al vencimiento del primer término.
5.3. Quejas ante la Superintendencia de Industria y Comercio
El Titular, causahabiente o apoderado deberá agotar el anterior trámite de consulta o reclamo antes de dirigirse a la Superintendencia para formular una queja.
5.4. Persona o dependencia responsable de la atención de peticiones, consultas y reclamos
El área de Control y Gestión de Operaciones de SPU COMPANY S.A.S., es responsable de velar por el cumplimiento de estas disposiciones y tiene comunicación directa con los demás empleados, con el fin de garantizar que todos los aspectos queden debidamente recogidos y que los deberes que estipula la ley se cumplan.
5.5. Legislación nacional vigente.
Es importante reiterar que las actividades que desarrolla SPU COMPANY S.A.S., son regladas y su ejercicio está sujeto a la supervisión de la Superintendencia de Sociedades. Así mismo, en materia de administración de datos personales se aplicará la ley General 1581 de 2012, el Decreto 1377 de 2013, y los demás que lo modifiquen, complementen o reglamenten.