POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES:
De acuerdo con lo establecido en la normatividad colombiana sobre la protección de datos personales, el presente manual tiene como finalidad establecer los lineamientos que REPRESENTACIONES MI HOGAR S.A.S., en adelante la “Compañía” tendrá en materia de protección de datos personales, los procedimientos, controles que se debe de seguir para el correcto manejo, tratamiento y protección de la información. Su consecución es de absoluto cumplimiento y de vital importancia para acatar la normatividad vigente.
2. OBJETIVO:
Adoptar la política de tratamiento y protección de datos personales, la cual será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan en el ejercicio de las actividades de REPRESENTACIONES MI HOGAR S.A.S.
3. ALCANCE:
La Política de Tratamiento y Protección de Datos Personales se aplicará a todas las Bases de Datos y/o Archivos que contengan datos personales y que sean objeto de tratamiento por REPRESENTACIONES MI HOGAR S.A.S., considerada como responsable y/o encargada del tratamiento de los datos personales.
El presente manual se aplica siempre y cuando REPRESENTACIONES MI HOGAR S.A.S., proceda con el tratamiento de datos personales, lo que incluye, entre otros, los actos de recolección, almacenamiento, uso, circulación, supresión, transmisión, y/o transferencia, no tiene aplicación en los siguientes casos que la ley establece:
1) Las bases de datos o archivos mantenidos en un ámbito exclusivamente personal o doméstico.
2) Las bases de datos y archivos que tengan por finalidad la seguridad y defensa nacional, así como la prevención, detección, monitoreo, y control del lavado de activos y el financiamiento del terrorismo;
3) Las bases de datos que tengan como fin y contengan información de inteligencia y contrainteligencia;
4) Las bases de datos y archivos de información periodística y otros contenidos editoriales;
5) Las bases de datos y archivos regulados por la Ley 1266 de 2008
6) Las bases de datos y archivos regulados por la Ley 79 de 1993, en relación con realización de los censos de población y vivienda en todo el territorio nacional.
o Principio de Legalidad: Los datos y el tratamiento que se le haga a los mismos deben estar bajo las disposiciones legales y regladas por las mismas.
o Principio Finalidad: El manejo de los datos debe tener una finalidad específica, acorde con principios legales y siguiendo las políticas del tratamiento de datos, las cuales deberán ser informadas al titular.
o Principio de Libertad: Solo se podrán ejercer actuaciones con permiso expreso y tácito del titular, habiéndole informado las mismas políticas y realizaciones que se fueran a ejecutar con los datos en mención.
o Principio de Veracidad: Señala la Ley 1581 de 2012 lo siguiente: “La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.”
o Principio de acceso y circulación restringida: Solo podrán tener acceso a los datos personas encargadas del tratamiento de estos o autorizadas por el titular. Los datos personales que no sean públicos no podrán ser publicados en internet ni en otros medios de divulgación a menos de que esto se haga para uso del encargado del tratamiento de estos o con autorización del titular.
o Principio de seguridad: El tratamiento que se le haga a los datos, debe hacerse de la forma técnica, humana, y bajo las medidas correctas para brindarle seguridad al autor o al encargado de los tratamientos de estos datos.
o Principio de transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
o Principio de confidencialidad: La Compañía está obligada a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
5. BASE LEGAL Y ÁMBITO DE APLICACIÓN:
La política de tratamiento de la información se desarrolla en cumplimiento de los artículos 15 y 20 de la Constitución Política; la Ley Estatutaria 1581 de 2.012, por la cual se dictan disposiciones generales para la Protección de Datos Personales; y el Decreto 1377 de 2013, por el cual se reglamenta parcialmente la Ley anterior.
Esta política será aplicable a todos los datos personales registrados en bases de datos que sean objeto de tratamiento por el responsable del tratamiento.
6. DEFINICIONES:
o Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.
o Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
o Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
o Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor públicos. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
o Datos sensibles: Se entiende por datos sensible aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueven intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
o Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
o Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
o Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
o Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
o Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
o Transferencia: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la Republica de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
o Cookies: Una cookie es un dato enviado a través de un canal digital, almacenada en el navegador del usuario, de manera que el sitio web o aplicación del responsable del tratamiento pueda consultar la actividad del navegador o dispositivo del usuario. Las cookies se utilizan principalmente para conocer si un usuario ha navegado un sitio web, a fin de facilitarle la navegación por contenidos de interés, reconociendo sus hábitos de navegación y ayudando a recordar el comportamiento de éste para proporcionarle una mejor experiencia en próximas oportunidades. Las cookies son utilizadas independiente de si los usuarios son anónimos o registrados.
7. AUTORIZACIÓN DE LA POLÍTICA DE TRATAMIENTO:
Para el tratamiento de datos personales se requiere la autorización previa e informada del Titular. Mediante la aceptación de la presente política, todo Titular que facilite información relativa a sus datos personales está consistiendo el tratamiento de sus datos por parte de REPRESENTACIONES MI HOGAR S.A.S. en los términos y condiciones recogidos en la misma.
La Compañía conservará la prueba de la autorización otorgada por los titulares de los datos personales para su tratamiento, para lo cual utilizará los mecanismos disponibles a su alcance en la actualidad al igual que adoptará las acciones necesarias para mantener el registro de la forma y fecha y en la que obtuvo esta. En consecuencia, la Compañía podrá establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin.
No será necesaria la autorización del Titular cuando se trate de:
o Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
o Datos de naturaleza pública.
o Casos de urgencia médica o sanitaria.
o Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
o Datos relacionados con el Registro Civil de las personas.
8. RESPONSABLE DEL TRATAMIENTO:
El responsable del tratamiento de las bases de datos objeto de esta política es REPRESENTACIONES MI HOGAR S.A.S., cuyos datos de contacto son los siguientes:
o Dirección: cra 4ta #32-25
o Correo electrónico: auxcontable@mihogar.com.co
o Teléfono: 7815003
9.TRATAMIENTO Y FINALIDADES DE LAS BASES DE DATOS:
La Compañía, en el desarrollo de su actividad empresarial, llevará a cabo el tratamiento de datos personales relativos a personas naturales que están contenidos y son tratados en bases de datos destinadas a finalidades legítimas, cumpliendo con la Constitución y la Ley, las cuales, se enuncian a continuación:
a. Registrar la información de datos personales en las bases de datos de REPRESENTACIONES MI HOGAR S.A.S., con la finalidad de desarrollar su objeto social establecido en los estatutos sociales.
b. Facilitar la implementación de programas en cumplimiento de mandatos legales, cumplir las normas aplicables a clientes, proveedores y contratistas, incluyendo, pero sin limitarse a las tributarias y comerciales, y cumplir con sus compromisos contractuales contraídos.
c. Cumplir con la normatividad vigente en Colombia para las sociedades, incluyendo, pero sin limitarse a cualquier requerimiento de las entidades de control o las autoridades locales.
d. Enviar la información a entidades gubernamentales o judiciales por solicitud expresa de las mismas.
e. Soportar procesos de auditoría externa e interna.
f. Cumplir lo dispuesto por el ordenamiento jurídico colombiano en materia laboral y de seguridad social, entre otras, aplicables a ex empleados, empleados actuales y candidatos a futuro empleo.
g. Realizar encuestas relacionadas con los servicios o bienes de la Compañía.
h. Efectuar las gestiones pertinentes para el desarrollo del objeto social de la entidad en lo que tiene que ver con el cumplimiento del objeto del contrato celebrado con el Titular de la información.
i. Realizar invitaciones a eventos y ofrecer productos y servicios.
j. Suministrar información de contacto a nuestras redes de distribución, telemarketing, telemercadeo, mercadotecnia para la investigación de mercados y cualquier tercero con el cual la Compañía tenga un vínculo contractual para el desarrollo de actividades de ese tipo para la ejecución de las mismas.
k. Gestionar trámites (solicitudes, quejas, reclamos)
l. Contactar al titular a través de medios electrónicos para realizar encuestas, estudios y/o confirmación de datos personales.
m. Contactar al titular a través de medios electrónicos, mensajes de texto o chat para el envío de noticias relacionadas con campañas de fidelización, lealtad comercial o mejora de los servicios prestados o productos ofrecidos por parte de la Compañía.
n. Contactar al titular a través de correo electrónico para el envío de extractos, estados de cuenta o facturas en consideración a las obligaciones contraídas entre el titular y la Compañía.
ñ. Ofrecer programas de bienestar comercial y planificar actividades para el titular y sus beneficiarios.
o. Transmitir los datos personales fuera del país a terceros con los que la Compañía haya suscrito un contrato de procesamiento de datos y sea necesario entregársela para el cumplimiento del objeto contractual, siempre y cuando se respete los derechos constitucionales conferidos a los titulares de la información.
p. Suministrar información a terceros con los cuales la Compañía tenga relación contractual y que sea necesario entregársela para el cumplimiento del objeto contratado.
q. Para la consulta de información en las listas por parte de la Compañía o cualquier empresa asignada por este, para que verifique, solicite y/o consulte ante los Organismos de Seguridad del Estado y otras listas restrictivas, toda la información referente a los antecedentes judiciales tanto a nivel nacional como internacional para dar cumplimiento de las disposiciones nacionales y políticas internas asociadas a la prevención del lavado de activos y la financiación del terrorismo.
r. Para la consulta y reporte de la información destinada a los fines estadísticos, comerciales y de control de riesgo, tales como (i) personal, como la que administra la Registraduría Nacional del Estado Civil, relativa al registro civil; (ii) Financiera y Crediticia, tales como CIFIN y DATACREDITO, etc. Esta facultad conlleva el reporte, del nacimiento, desarrollo, modificación, extinción y cumplimiento de obligaciones contratados y (iii) en general a aquellos archivos de información pública y privada
s. Recolección y tratamiento de datos personales para la consecución de actividades de comercio electrónico.
10. DERECHOS DE LOS TITULARES:
De acuerdo con el artículo 8 de la Ley 1581 de 2012 y a los artículos 21 y 22 del Decreto 1377 de 2013, los Titulares de los datos pueden ejercer una seria de derechos en relación al tratamiento de sus datos personales. Estos derechos podrán ejercerse por las siguientes personas.
o Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.
o Por sus causahabientes, quienes deberán acreditar tal calidad.
o Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
o Por estipulación a favor de otro y para otro.
o Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
o Los derechos del Titular son los siguientes: Derecho de acceso o consulta: Se trata del derecho del Titular a ser informado por el responsable del tratamiento, previa solicitud, respecto al origen, uso y finalidad que le han dado a sus datos personales.
· Derechos de quejas y reclamos: La ley distingue cuatro tipos de reclamos:
· Reclamo de corrección: El derecho del Titular a que se actualicen, rectifiquen o modifiquen aquellos datos parciales, inexactos, fraccionados, que induzcan a erros, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
· Reclamo de supresión: El derecho del Titular a que se supriman los datos que resulten inadecuados, excesivos o que no respeten los principios, derechos y garantías constitucionales y legales.
· Reclamo de revocación: El derecho del Titular a dejar sin efecto la autorización previamente prestada para el tratamiento de sus datos personales.
· Reclamo de infracción: El derecho del Titular a solicitar que se subsane el incumplimiento de la normatividad en materia de Protección de Datos.
· Derecho a presentar ante la Superintendencia de Industria y Comercio quejas por infracciones: El Titular o causahabiente solo podrá elevar esta queja una vez haya agotado el trámite de consulta o reclamo ante el responsable del tratamiento o encargado del tratamiento.
a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.
c. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
e. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
f. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
g. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
h. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;
i. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
j. Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;
k. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
l. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
m. Informar a solicitud del Titular sobre el uso dado a sus datos;
n. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
Dentro de sus actividades se encuentran las siguientes:
a. Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
b. Coordinar la definición e implementación de los controles del programa integral de gestión de datos personales.
c. Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal del programa integral de gestión de datos personales.
d. Impulsar una cultura de protección de datos dentro de la organización.
e. Mantener un inventario de bases de datos personales en poder de la organización y de clasificarlas según su tipo.
f. Registrar las bases de datos de la organización en el Registro Nacional de Bases de Datos y actualizar el reporte atendiendo a las instrucciones que sobre el particular emita la SIC.
g. Obtener las declaraciones de conformidad de la SIC cuando sea requerido.
h. Revisar los contenidos de los contratos de transmisiones internacionales de datos que se suscriban con encargados no residentes en Colombia.
i. Analizar la responsabilidad de cada cargo de la organización, para diseñar un programa de entrenamiento en protección de datos personales específico para cada uno de ellos.
j. Realizar un entrenamiento general de protección de datos personales para todos los empleados de la compañía.
k. Realizar el entrenamiento necesario a los nuevos empleados, que tengan acceso por las condiciones de su empleo, datos personales gestionados por la organización.
l. Integrar la política de protección de datos dentro de las actividades de las demás áreas de la organización.
m. Medir la participación y calificar el desempeño, en los entrenamientos de protección de datos.
n. Requerir que, dentro de los análisis de desempeño de los empleados, se encuentre haber completado satisfactoriamente el entrenamiento sobre protección de datos personales.
o. Velar por la implementación de los planes de auditoría interna para verificar el cumplimiento de sus políticas de tratamiento de la información personal.
p. Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la Superintendencia de Industria y Comercio.
q. Realizar el seguimiento al programa integral de gestión de datos personales.
13. PROCEDIMIENTOS PARA EJERCER LOS DERECHOS DEL TITULAR:
El Titular de la información, o quién esté facultado para tal fin, podrá consultar la información que de él repose en cualquier base de datos en que REPRESENTACIONES MI HOGAR S.A.S., actúe como Responsable o Encargado, y/o el uso que se le ha dado a la misma. El Titular podrá consultar de forma gratuita sus datos personales al menos una vez cada mes calendario y cada vez que existan modificaciones sustanciales de la Política de Tratamiento de los Datos Personales que motiven nuevas consultas.
El Titular de la información, o quién esté facultado, deberá enviar una solicitud al correo electrónico: auxcontable@mihogar.com.coque deberá contener la siguiente información: (i) nombre y domicilio del titular (o de quién este facultado para tal fin) o cualquier otro medio para recibir respuesta a la solicitud; (ii) documentos que acrediten la identidad del Titular, o de quién esté facultado; y (iii) la descripción y propósito de la consulta.
REPRESENTACIONES MI HOGAR S.A.S., deberá dar respuesta a la solicitud dentro de los diez (10) días hábiles siguientes a la recepción de la solicitud. En caso de no poder responder la solicitud en el plazo anteriormente mencionado, la Compañía deberá informar al solicitante sobre las razones del retraso y deberá indicar un nuevo plazo para dar respuesta, el cual no podrá exceder de cinco (5) días hábiles adicionales al vencimiento del primer término.
El titular, o quien esté facultado para tal fin, puede presentar a través de un reclamo, quejas por el incumplimiento de la Política General de Tratamiento de Datos Personales y/o la ley aplicable, o puede solicitar la corrección, actualización o supresión de sus datos personales.
El Titular de la información, o quién esté facultado, deberá enviar el reclamo al correo: auxcontable@mihogar.com.co el cual deberá contener la siguiente información: (i) nombre y domicilio del titular (o de quién este facultado para tal fin) o cualquier otro medio para recibir respuesta a su solicitud; (ii) documentos que acrediten la identidad del Titular o de quién esté facultado; (iii) la descripción y propósito de la consulta; (iv) De ser el caso, otros documentos o elementos que se pretendan hacer valer.
Si el reclamo está incompleto, REPRESENTACIONES MI HOGAR S.A.S. requerirá al solicitante que subsane la información en los cinco (5) días hábiles siguientes a la recepción del mismo. Si trascurridos dos meses desde la fecha del requerimiento el solicitante no cumplió con la subsanación indicada, se entenderá que desistió del reclamo.
Si el reclamo está completo, REPRESENTACIONES MI HOGAR S.A.S. deberá responder el reclamo en los quince (15) días hábiles siguientes a la recepción del mismo. En caso de no poder responder el reclamo en el plazo anteriormente mencionado, REPRESENTACIONES MI HOGAR S.A.S. deberá informar al solicitante sobre las razones del retraso y deberá indicar un nuevo plazo para dar respuesta, el cual no podrá exceder ocho (8) días hábiles adicionales al vencimiento del primer término. En caso de proceder con la rectificación, supresión o actualización de la información, REPRESENTACIONES MI HOGAR S.A.S. comunicará al Titular, dando por cerrado el asunto.
REPRESENTACIONES MI HOGAR S.A.S. podrá negar el ejercicio de los derechos cuando ocurra:
o El Titular, o quién esté facultado, no se acredite debidamente.
o Trascurridos dos (2) meses para la subsanación del reclamo, el solicitante no aporte la información solicitada.
o No se encuentren los datos personales en las bases de datos de REPRESENTACIONES MI HOGAR S.A.S.
o La rectificación, cancelación, actualización u oposición ya se haya efectuado.
o Existan impedimentos legales o resoluciones de autoridades competentes que restrinjan el ejercicio de los derechos.
14. DERECHOS DE LOS NIÑOS Y ADOLESCENTES:
REPRESENTACIONES MI HOGAR S.A.S. asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes con respecto a sus datos personales. Es por ello que, para el tratamiento de sus datos sus representantes legales podrán dar la autorización previo ejercicio del menor de su derecho a ser escuchado.
Todo responsable y encargado involucrado en el tratamiento de los datos personales de niños, niñas y adolescentes, deberá velar por el uso adecuado de los mismos. Para este fin deberán aplicarse los principios y obligaciones establecidos en la Ley 1581 de 2012 y su decreto reglamentario.
La familia y la sociedad deben velar porque los responsables y encargados del tratamiento de los datos personales de los menores de edad cumplan las obligaciones establecidas en la Ley 1581 de 2012 y su decreto reglamentario.
De acuerdo con lo previsto en la Constitución Política de Colombia en sus artículos 44 y 45 y en concordancia con el Código de la Infancia y la Adolescencia, los derechos de los menores deben ser interpretados y aplicados de manera prevalente y, por lo tanto, deben ser observados con especial cuidado. Conforme lo señalado en la Sentencia C-748/11 de la Corte Constitucional, las opiniones de los menores deben ser tenidos en cuenta al momento de realizar algún tratamiento de sus datos.
15. AUTORIZACIÓN PARA TRATAMIENTO DE DATOS SENSIBLES:
Cuando se trate de la recolección de datos sensibles se deben cumplir los siguientes requisitos:
o La autorización debe ser explícita
o Se debe informar al Titular que no está obligado a autorizar el Tratamiento de dicha información;
o Se debe informar de forma explícita y previa al Titular cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del mismo.
16. MEDIDAS DE SEGURIDAD:
REPRESENTACIONES MI HOGAR S.A.S., con el fin de cumplir con el principio de seguridad consagrado en el artículo 4 literal g) de la Ley 1581 de 2012, ha implementado medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Por otra parte, REPRESENTACIONES MI HOGAR S.A.S., mediante la suscripción de los correspondientes contratos de transmisión, ha requerido a los encargados del tratamiento con los que trabaje la implementación de las medidas de seguridad necesarias para garantizar la seguridad y confidencialidad de la información en el tratamiento de los datos personales.
A continuación, exponen las medias de seguridad implantadas por REPRESENTACIONES MI HOGAR S.A.S. que están recogidas y desarrolladas en su Manual Interno de Seguridad (Tablas II, III, IV y V).
TABLA I: Medidas de seguridad comunes para todo tipo de datos (públicos, semiprivados, privados, sensibles) y bases de datos (automatizadas, no automatizadas)
|
Gestión de Documental |
Control de acceso |
Incidencias |
Personal |
Manual Interno de Seguridad |
|
1. Medidas que eviten el acceso indebido o la recuperación de los datos que han sido descartados, borrados o destruidos. 2. Acceso restringido al lugar donde se almacenan los datos. 3. Autorización del responsable para la salida de documentos o soportes por medio físico o electrónico. 4. Sistema de etiquetado o identificación del tipo de información. 5. Inventario de soportes. |
1. Acceso de usuarios limitado a los datos necesarios para el desarrollo de sus funciones. 2. Lista actualizada de usuarios y accesos autorizados. 3. Mecanismos para evitar el acceso a datos con derechos distintos de los autorizados.
4. Concesión, alteración o anulación de permisos por el personal autorizado. |
1. Registro de incidencias: Tipo de incidencia, momento en que se ha producido, emisor de la notificación, receptor de la notificación, efectos y medidas correctoras. 2. Procedimiento de notificación y gestión de incidencias. |
1. Definición de las funciones y obligaciones de los usuarios con acceso a los datos. 2. Definición de las funciones de control y autorizaciones delegadas por el responsable del tratamiento. 3. Divulgación entre el personal de las normas y de las consecuencias del incumplimiento de las mismas. |
1. Elaboración e implementación del Manual de obligatorio cumplimiento para el personal. 2. Contenido mínimo: Ámbito de aplicación, medidas y procedimientos de seguridad, funciones y obligaciones del personal, descripción de las bases de datos, procedimiento ante incidencias, procedimiento de copias y recuperación de datos, medidas de seguridad para el transporte, destrucción y reutilización de documentos, identificación de los encargados del tratamiento. |
TABLA II: Medidas de seguridad comunes para todo tipo de datos (públicos, semiprivados, privados, sensibles) según el tipo de bases de datos
|
Bases de datos no automatizadas |
Bases de datos automatizadas |
|||
|
Archivo |
Almacenamiento de documentos |
Custodia de documentos |
Identificación y autenticación |
Telecomunicaciones |
|
1. Archivo de documentación siguiendo procedimientos que garanticen una correcta conservación, localización y consulta y permitan el ejercicio de los derechos de los Titulares. |
1. Dispositivos de almacenamiento con mecanismos que impidan el acceso a personas no autorizadas. |
1. Deber de diligencia y custodia de la persona a cargo de documentos durante la revisión o tramitación de los mismos. |
1 Identificación personalizada de usuarios para acceder a los sistemas de información y verificación de su autorización. 2. Mecanismos de identificación y autenticación; Contraseñas: Asignación, caducidad y almacenamiento cifrado. |
1. Acceso a datos mediante redes seguras. |
TABLA III: Medidas de seguridad para datos privados según el tipo de bases de datos
|
Bases de datos automatizadas y no automatizadas |
Bases de datos automatizadas |
|||||
|
Auditoría |
Responsable de seguridad |
Manual Interno de Seguridad |
Gestión de Documental |
Control de acceso |
Identificación y autenticación |
Incidencias |
|
1. Auditoría ordinaria (interna o externa) cada dos meses.
2. Auditoría extraordinaria por modificaciones sustanciales en los sistemas de información.
3. Informe de detección de deficiencias y propuestas de correcciones.
4. Análisis y conclusiones del responsable de seguridad y del responsable del tratamiento.
5. Conservación del Informe a disposición de la autoridad.
|
1. Designación de uno o varios responsables de seguridad.
2. Designación de uno o varios encargados del control y la coordinación de las medidas del Manual Interno de Seguridad.
3. Prohibición de delegación de la responsabilidad del responsable del tratamiento en el responsable de seguridad. |
1. Controles periódicos de cumplimiento. |
1. Registro de entrada y salida de documentos y soportes: Fecha, emisor y receptor, número, tipo de información, forma de envío, responsable de la recepción o entrega. |
1. Control de acceso al lugar o lugares donde se ubican los sistemas de información. |
1. Mecanismo que limite el número de intentos reiterados de acceso no autorizados. |
1. Registro de los procedimientos de recuperación de los datos, persona que los ejecuta, datos restaurados y datos grabados manualmente.
2. Autorización del responsable del tratamiento para la ejecución de los procedimientos de recuperación. |
TABLA IV: Medidas de seguridad para datos sensibles según el tipo de bases de datos
|
Bases de datos no automatizadas |
Bases de datos automatizadas |
|||||
|
Control de acceso |
Almacenamiento de documentos |
Copia o reproducción |
Traslado de documentación |
Gestión de documentos y soportes |
Control de acceso |
Telecomunicaciones |
|
1. Acceso solo para personal autorizado.
2. Mecanismo de identificación de acceso.
3. Registro de accesos de usuarios no autorizados. |
1. Archivadores, armarios u otros ubicados en áreas de acceso protegidas con llaves u otras medidas. |
1. Solo por usuarios autorizados.
2. Destrucción que impida el acceso o recuperación de los datos. |
1. Medidas que impidan el acceso o manipulación de documentos. |
1. Sistema de etiquetado confidencial.
2. Cifrado de datos.
3. Cifrado de dispositivos portátiles cuando se encuentren fuera. |
1. Registro de accesos: Usuario, hora, base de datos a la que accede, tipo de acceso, registro al que accede.
2. Control del registro de accesos por el responsable de seguridad. Informe mensual.
3. Conservación de los datos: 2 años. |
1. Transmisión de datos mediante redes electrónicas cifradas. |
17. TRANSFERENCIA DE DATOS A TERCEROS PAÍSES:
De acuerdo con la Ley 1581 de 2012, se prohíbe la trasferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Esta prohibición no regirá cuanto se trate de:
o Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
o Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del Titular por razones de salud o higiene pública.
o Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
o Transferencias acordadas en el marco de tratados internacionales en los cuales la Republica de Colombia sea parte, con fundamento en el principio de reciprocidad.
o Transferencias necesarias para la ejecución de un contrato entre el Titular y el responsable del tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
o Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
o En los casos no contemplados como excepción, corresponderá a la Superintendencia de Industria y Comercio proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. El Superintendente está facultado para requerir información y adelantar las diligencias tendentes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.
o Las trasmisiones internacionales de datos personales que se efectúen entre un responsable y un encargado para permitir que el encargado realice el tratamiento por cuenta del responsable, no requerirán ser informadas al Titular ni contar con su consentimiento, siempre que exista un contrato de transmisión de datos personales.”
18 USO DE COOKIES:
REPRESENTACIONES MI HOGAR S.A.S a través de sus canales digitales podrá utilizar cookies propias y de terceros con el objeto de mejorar las condiciones de navegación. El uso de estas cookies se deberá informar al usuario al momento de acceso a los canales digitales que se tengan habilitados, poniendo a su disposición la información completa sobre la presente política de Tratamiento de Datos Personales. Por lo anterior, si el usuario continua navegando a través de estos canales digitales, luego de que se le informa sobre el uso de las cookies, se entiende por parte de esta la autorización inequívoca para el almacenamiento y utilización de cookies con las finalidades contenidas en la presente política de Tratamiento de Datos.
A pesar de lo explicado, el usuario se encuentra facultado para inhabilitar el uso de cookies a través de su navegador, así como para eliminar las cookies que han sido almacenadas previamente.
En caso de realizarse labores de tratamiento de datos personales asociadas a la obtención y almacenamiento de cookies, el usuario, en calidad de titular de los datos personales, autoriza su tratamiento para las labores que se identifican en la presente Política de Tratamiento de Datos Personales.
19 VIGENCIA:
Las bases de datos responsabilidad de REPRESENTACIONES MI HOGAR S.A.S. serán objeto de tratamiento durante el tiempo que sea razonable y necesario para la finalidad para la cual son recabados los datos. Una vez cumplida la finalidad o finalidades del tratamiento, y sin perjuicio de normas legales que dispongan lo contrario. La Compañía procederá a la supresión de los datos personales en su posesión salvo que exista una obligación legal o contractual que requiera su conservación. Por todo ello, dicha base de datos ha sido creada sin un periodo de vigencia definido.