MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE LA INFORMACIÓN Y PROTECCION DE DATOS PERSONALES (EL “MANUAL”)
INTRODUCCIÓN
PDC VINOS Y LICORES S.A.S. (En adelante LA SOCIEDAD), siempre ha enmarcado larealización y ejecución de sus negocios, de su objeto social y de todas y cada una de sus actuaciones, a la legislación vigente, buscando siempre actuar dentro del Marco Legal Colombiano.
Desde su fundación, las políticas de LA SOCIEDAD han estado enfocadas en tener, garantizar y brindar un gran respeto a sus empleados, clientes, proveedores, usuarios, contratistas, y en general, a todas aquellas personas que de una u otra manera tenga contacto directo o indirecto con LA SOCIEDAD, procurando la búsqueda constante de garantizar y proteger los derechos fundamentales que tienen las personas a su intimidad familiar y personal, al derecho a conocer en donde reposan sus datos y el tratamiento que a estos se les está dando, así como la posibilidad de pedir la modificación de los mismos cuando estos no correspondan a la realidad, sean inexactos, o induzcan a error. Como consecuencia de lo anterior, LA SOCIEDAD adopta el presente “MANUAL INTERNO DEPOLÍTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO DE LA INFORMACIÓN Y PROTECCION DE DATOS PERSONALES”, en concordancia con lo establecido en la Ley 1581 de 2012, el Decreto 1377 de 2013, y demás normas que la modifiquen, adicionen, complementen o desarrollen, mediante las cuales se regula la recolección, uso, transferencia, almacenamiento, circulación, tratamiento, transmisión, y todas aquellasactividades que constituyan tratamiento de datos personales.
En este sentido, los principios y disposiciones contenidas en las mencionadas leyes son aplicables a los datos personales que recoja y maneje LA SOCIEDAD, y que se encuentren registrados en cualquiera de sus bases de datos.
1. DEFINICIONES.
Para efectos de facilitar la comprensión del presente Manual, se hace necesaria la inclusión de las definiciones incluidas en el artículo 3 de la Ley 1581 de 2012 y del Decreto 1377 de 2013, las cuales LA SOCIEDAD tendrá en cuenta para el tratamiento de datos personales:
A. Autorización: Consentimiento previo, expreso e informado del Titular para llevara cabo el Tratamiento de datos personales;
B. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento; Página 2 de 10
C. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
D. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
E. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
F. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
G. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
H. Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
I. Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
J. Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
K. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país. L. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
2. PRINCIPIOS
El tratamiento de datos personales dado por LA SOCIEDAD se regirá por los siguientes principios:
A. Principio de legalidad en materia de Tratamiento de datos: LA SOCIEDAD se sujeta al tratamiento establecido en la ley para proteger los datos personales.
B. Principio de finalidad: El Tratamiento a la protección de datos por parte de LA SOCIEDAD, obedece a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual se informará al Titular.
C. Principio de libertad: El Tratamiento efectuado por LA SOCIEDAD sólo se ejercerá con el consentimiento, previo, expreso e informado del Titular. Los datos personales no serán obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
D. Principio de veracidad o calidad: La información sujeta a Tratamiento por parte de LA SOCIEDAD será veraz, completa, exacta, actualizada, comprobable y comprensible. No se hará tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
E. Principio de transparencia: En el tratamiento, LA SOCIEDAD garantiza al titular el derecho a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
F. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley; Los datos personales, salvo la información pública, no estarán disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.
G. Principio de seguridad: La información sujeta a Tratamiento por parte de LA SOCIEDAD, se manejará con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
H. Principio de confidencialidad: LA SOCIEDAD garantizará la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
3. DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES
LA SOCIEDAD garantiza a los titulares de sus bases de datos los siguientes derechos:
A. Conocer, actualizar y rectificar sus datos personales frente a LA SOCIEDAD. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, Página 4 de 10 incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
B. Solicitar prueba de la autorización otorgada a LA SOCIEDAD del Tratamiento de sus datos, exceptuando de esta obligación los datos señalados en el artículo 10 de la ley 1581 de 2012.
C. Previa solicitud formulada por el titular, ser informado por LA SOCIEDAD respecto del uso que les ha dado a sus datos personales.
D. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, previo a haber agotado el respectivo requisito de procedibilidad.
E. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento LA SOCIEDAD ha incurrido en conductas contrarias la ley 1581 de 2012 y a la Constitución.
F. Acceder en forma gratuita a los datos personales que hayan sido objeto de Tratamiento.
4. AUTORIZACIÓN, DEBER DE INFORMACIÓN DEL TITULAR, Y CLASES DE DATOS 4.1. AUTORIZACIÓN, DEBER DE INFORMACIÓN
Una vez LA SOCIEDAD solicite la autorización de tratamiento al titular, le informará de manera clara y expresa lo siguiente:
A. El tratamiento al que someterá sus datos personales y con qué finalidad lo hará.
B. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
C. Los derechos que le asisten como Titular.
D. La identificación, dirección física o electrónica y teléfono de LA SOCIEDAD como responsable del tratamiento.
E. El compromiso que tiene LA SOCIEDAD de no revelar, comercializar, o vender la información personal que el titular haya suministrado.
Parágrafo: Una vez el titular de la información brinde su autorización de tratamiento de sus datos personales a LA SOCIEDAD, esta podrá a través de sus distintos canales enviar y suministrar información sobre sus productos y servicios, los posibles cambios que se puedan introducir en ellos, y así mismo, existirá un espacio donde el titular podrá evaluar la calidad de los mismos.
4.2. TIPO DE INFORMACIÓN REQUERIDA
LA SOCIEDAD podrá solicitar información personal tal como nombre, apellidos, número de identificación, estado civil, número de contacto, dirección de residencia y de correo electrónico, número de tarjeta de crédito o de cuenta bancaria según la modalidad en la cual se realice el pago, y en general, cualquier otra información que se requiera para registrarlo en sus bases de datos, siempre que la misma esté vinculada con la relación contractual que este tenga con LA SOCIEDAD. En caso tal de que alguno de los clientes realice una cancelación de los productos o servicios solicitados, existirá un vínculo donde se comunicará con los sitios web de las respectivas entidades financieras a las cuales se realizan el pago, y serán ellas las directamente responsables del manejo de la información personal de estos.
En todo momento, el tratamiento de datos por parte de LA SOCIEDAD requerirá la autorización e información previa e informada del titular, salvo en los siguientes casos:
A. Cuando se trate de Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
B. Cuando se traten de datos de naturaleza pública.
C. En casos de urgencia médica o sanitaria.
D. En caso de tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
E. Para aquellos datos relacionados con el Registro Civil de las Personas.
4.4. DATOS SENSIBLES
Se consideran por tal, aquellos que afecten la intimidad personal o familiar del titular, o aquellos cuyo uso indebido revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, datos socioeconómicos, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como datos relativos a la saludo, y a la vida sexual.
4.3.1.1.1 EXCEPCIÓN AL TRATAMIENTO DE DATOS SENSIBLES
LA SOCIEDAD restringirá el tratamiento de datos personales sensibles, exceptuando cuando:
4.3.1.1.2 ADICIÓN A LOS DATOS SENSIBLES
En adición a lo anterior, LA SOCIEDAD cumple con las siguientes obligaciones:
4.3. CASOS EN LOS QUE NO SE REQUIERE AUTORIZACION DEL TITULAR PARA EL TRATAMIENTO DE DATOS
El tratamiento haya sido autorizado expresamente por el Titular de los datos sensibles, salvo en los casos que, por Ley, no se requiera el otorgamiento de dicha autorización.
El Tratamiento sea necesario para salvaguardar el interés vital del titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar la autorización.
El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
4.5. TRATAMIENTO DE DATOS DE MENORES
Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su tratamiento.
Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles datos objeto de tratamiento son de carácter sensible y la finalidad del tratamiento, y obtener el consentimiento expreso.
No condicionar ninguna actividad a que el titular suministre datos personales sensibles (salvo que exista una causa legal o contractual para hacerlo).
Según lo establece el artículo 7 de la ley 1581 de 2012, el Tratamiento de datos personales de niños niñas y adolescentes está proscrito excepto cuando se trate de datos de naturaleza pública y cuando no se ponga en riesgo la prevalencia de sus derechos fundamentales, protegiendo en todo caso el principio constitucional de interés superior del menor.
Para aquellos casos en los cuales el niño, niña, o adolescente, no posee la capacidad plena para otorgar su consentimiento, LA SOCIEDAD requerirá previamente la autorización de sus padres o tutores, a fin de dar un adecuado tratamiento a sus datos personales.
5. DEBERES DE LOS RESPONSABLES DE LA INFORMACIÓN
LA SOCIEDAD como Responsable de la información tendrá los siguientes deberes a su cargo, por intermedio del área Contable, Recursos Humanos, Comercial y Administrativa.
A. Garantizar al titular, en todo tiempo, el pleno y efectivo derecho de Hábeas Data.
B. Solicitar y conservar, copia de la autorización otorgada por el Titular.
C. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
D. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
E. Rectificar la información cuando ésta sea incorrecta y comunicar lo pertinente a cada encargado del Tratamiento de información.
F. Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012.
G. Informar a solicitud del Titular sobre el uso dado a sus datos.
H. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
I. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
6. DEBERES DE LOS ENCARGADOS DE LA INFORMACIÓN
El área Contable, Recursos Humanos, Comercial y Administrativa de LA SOCIEDAD, serán las encargadas de la información, quienes en todo momento tendrán los siguientes deberes:
A. Garantizar al Titular, en todo tiempo, el pleno y efectivo derecho del Habeas Data.
B. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
C. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos señalados en la Lay 1581 de 2012.
D. Actualizar las novedades sobre la información reportada por los Titulares de los datos dentro de los (5) días hábiles contados a partir de su recibo.
E. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.
F. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
G. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
H. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
I. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
7. RESPONSABLES Y ENCARGADOS DE LA INFORMACIÓN EN LA SOCIEDAD.
LA SOCIEDAD como persona Jurídica, asignará en cabeza del área Contable, Recursos Humanos, Comercial y Administrativa la responsabilidad conjunta al Tratamiento de la información que reposa en cada una de sus bases de datos.
8. PROCEDIMIENTOS PARA LA ATENCIÓN DE CONSULTAS, PETICIONES Y RECLAMOS
8.1. CONSULTAS
Los titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos de LA SOCIEDAD, y este a su vez, como Responsable del Tratamiento deberán suministrar a estos toda la información contenida y que esté vinculada con la identificación del Titular.
Esta consulta se puede realizar por medio de correo electrónico a la siguiente dirección: [email protected], o por teléfono llamando al siguiente número (+57 1) 254 1000 ext. 160, y la misma será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, LA SOCIEDAD informará al interesado expresando los motivos de la demora y señalando la fecha en que atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
8.2. PETICIONES Y RECLAMOS
El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante LA SOCIEDAD, el cual será tramitado bajo las siguientes reglas:
A. LA SOCIEDAD ha dispuesto los siguientes canales y direcciones, a los cuales el titular puede elevar peticiones y solicitudes:
DIRECCIÓN: AVENIDA AMÉRICAS # 50 – 80 EN LA CIUDAD DE BOGOTÁ D.C.
CORREO ELECTRÓNICO: [email protected] – PBX: +57(1) 254-1000 Ext.160.
B. El reclamo se formulará mediante solicitud dirigida a LA SOCIEDAD, con el nombre del titular, su número de identificación, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
C. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
D. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
E. El término máximo para atender el reclamo por parte de LA SOCIEDAD será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
F. En caso de que el objeto de la solicitud elevada por el titular sea la supresión de sus datos de las bases de LA SOCIEDAD, una vez se haya cumplido el plazo mencionado en el literal anterior, PDC se compromete a eliminar los mismos para así darle cabal cumplimiento al derecho fundamental de Habeas Data.
G. Como requisito de procedibilidad, el Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante LA SOCIEDAD.
9. MODIFICACIONES
PDC VINOS Y LICORES S.A.S. podrá en cualquier momento modificar las políticas de privacidad consagradas en este manual, y el contenido de ellas, dichas modificaciones no requerirán previo aviso y entrarán en vigencia una vez se hayan publicado en nuestra página web. Conforme a lo anterior los usuarios que ingresen a la página web de LA SOCIEDAD, tendrán el deber de estar revisando periódicamente los posibles cambios que se susciten dentro de ésta, lo cual supone una aceptación tácita de las modificaciones que hayan sido incorporadas al presente manual.
10. FECHA DE ENTRADA EN VIGENCIA
El presente Manual entrará a regir en LA SOCIEDAD a partir de su expedición y las bases de datos sujetas a este Manual se mantendrán vigentes mientras ello resulte necesario para las finalidades establecidas.