Manual de políticas de tratamiento de las bases de Datos.
El presente manual incluye los aspectos básicos de índole normativa sobre el tratamiento de datos personales que reposan en nuestra institución, y regula el procedimiento para el tratamiento de datos, con el fin de garantizar y proteger el derecho fundamental del habeas data, en cumplimiento de la Ley 1581 de 2012 y el decreto 1377 de 2013.
Definiciones
Las siguientes son las definiciones consagradas en la Ley 1581 de 2012, que permitirán conocer el desarrollo de cada uno de los temas planteados en el presente documento:
- Tratamiento: Cualquier operación o conjunto de operaciones sobre los datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
- Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
- Titular: Persona Natural cuyos datos personales sean objeto de tratamiento.
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Responsable del tratamiento: Persona natural o Jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
- Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por si misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento
Principios
The Tea House estructura su Política de Protección de datos basado en los siguientes principios:
- Finalidad: El Tratamiento de la información obedece a una finalidad legítima de acuerdo con la Constitución y la Ley, el cual se enmarcará en el manejo de la información para actividades relacionadas con su objeto social.
- Principio de libertad: El Tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización.
- Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
- Principio de transparencia: En el tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del encargado del Tratamiento, información sobre los datos que reposen en sus bases de datos que le conciernan.
- Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta uso o acceso no autorizado o fraudulento.
- Principio de confidencialidad: Todas las personas que intervienen en el Tratamiento de datos están obligadas a garantizar la reserva de la información, inclusive una vez finalizada su relación con alguna de las labores que comprende el tratamiento.
Derechos de los Titulares
Los Titulares de datos personales que reposen en las bases de datos son los siguientes:
- Derecho a conocer, actualizar y rectificar sus datos personales: Los Titulares de datos personales podrán ejercer este derecho frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error o aquellos cuyo tratamiento este expresamente prohibido o no ha sido autorizado.
- Derecho a solicitar prueba de la autorización: Los Titulares de datos personales podrán solicitar prueba de la autorización otorgada para el Tratamiento de sus datos, de conformidad con lo previsto en el artículo 9 de la Ley 1581 de 2013. Se exceptúan de esta obligación los datos señalados en el artículo 10 de esta Ley.
- Derecho a ser informado frente al uso que se le ha dado a sus datos personales: Los Titulares de datos personales tienen derecho a conocer en cualquier momento el uso que se les ha dado a sus datos personales previa solicitud dirigida al Responsable de la información.
- Derecho a revocar la autorización y/o a solicitar la supresión del dato: Los Titulares de datos personales podrán revocar la autorización para el Tratamiento de sus datos personales, si evidencia que no han sido respetados los principios, derechos y garantías constitucionales y legales.
- Derecho a acceder a sus datos personales: Los Titulares de datos personales podrán acceder de forma gratuita a sus datos personales que hayan sido objeto de Tratamiento
Autorización y Clases de Datos
Autorización
Los Titulares de datos personales podrán dar su Autorización a la para el Tratamiento de los mismos, a través de cualquier medio, que pueda ser objeto de consulta posterior. La empresa, al momento de solicitar la autorización empleando conductas inequívocas, deberá informarle de manera clara y expresa lo siguiente:
- El tratamiento al cual serán sometidos sus datos personales, que en el caso se enmarcan dentro del cumplimiento de su objeto social.
- El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
- Los derechos que le asisten como Titular.
Casos en los que no se requiere autorización del titular de los datos La autorización del titular no será necesaria cuando se trate de:
- Datos de naturaleza Pública
- Casos de urgencia médica o sanitaria
- Tratamiento de información autorizado por la Ley para fines históricos, estadísticos o científicos
- Datos Relacionados con el Registro Civil de las personas. (Excluye datos biométricos como dato sensible)
Datos sensibles
Se consideran sensibles los datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como datos relativos a la saludo, a la vida sexual y a los datos biométricos.
Datos biométricos
Revista Seguridad Defensa Digital. Por definición común, los datos biométricos son aquellos rasgos físicos, biológicos o de comportamiento de un individuo que lo identifican como único del resto de la población. Aquellos sistemas informáticos en los que se mide algún dato biométrico, como parte del proceso de identificación y/o autentificación de un sujeto, son conocidos como sistemas de seguridad biométrica o simplemente sistemas biométricos. La siguiente lista son algunos ejemplos de datos biométricos:
- Huellas dactilares
- Geometría de la mano
- Análisis del iris
- Análisis de retina
- Venas del dorso de la mano
- Rasgos faciales
- Patrón de voz
- Firma manuscrita
- Dinámica de tecleo
- Cadencia del paso al caminar
- Análisis gestual
- Análisis del ADN
Deberes de los Responsables de la Información
Responsable de la información presenta los siguientes deberes a su cargo:
- Garantizar al titular, en todo tiempo, el pleno y efectivo derecho de Hábeas Data.
- Solicitar y conservar, copia de la autorización otorgada por el Titular.
- Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Rectificar la información cuando ésta sea incorrecta y comunicar lo pertinente a cada encargado del Tratamiento de información.
- Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012.
Deberes de los Encargados de la Información
- Garantizar al Titular, en todo tiempo, el pleno y efectivo derecho del Habeas Data.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos señalados en la Lay 1581 de 2012.
- Actualizar las novedades sobre la información reportada por los Titulares de los datos dentro de los (5) días hábiles contados a partir de su recibo.
- Tramitar las consultas y reclamos formulados por los Titulares en los términos señalados en la Ley 1581 de 2012.
- Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo Bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio
Procedimiento para la atención de Consultas y Peticiones
Consultas
En cumplimiento de la Ley 1581 de 2012 y el Decreto 1377 de 2013, los Titulares o Causahabientes de datos que se encuentren en nuestras bases de datos, podrán presentar solicitudes para la consulta de los mismos en cualquier momento a través del Responsable y los Encargados del Tratamiento de la información. El Responsable o Encargado del Tratamiento suministrará la información requerida dentro de los 10 días hábiles siguientes a esta solicitud. Para la atención de consultas se deberá dirigir una carta, señalando claramente los datos que desea consultar y los datos de contacto a los cuales deberá ser dirigida esta respuesta de consulta.
Peticiones
El Titular o sus causahabientes que consideren que la información contenida en una de las bases de datos debe ser objeto de corrección, actualización o supresión, podrá presentar una petición ante el Responsable o los Encargados del Tratamiento de la información de la siguiente manera:
- La petición se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular (nombre completo, número de identificación) la descripción de los hechos que dan lugar a la petición, la dirección a la cual puede enviársele respuesta y los documentos que quiera hacer valer. Si la petición resulta incompleta se requerirá al interesado dentro de los 5 días siguientes a la recepción de la petición para que subsane fallas, si dentro de los 2 meses siguientes a esta solicitud de completitud de documentos no presenta respuesta al requerimiento se entenderá que ha desistido de su petición.
- El término máximo para atender una petición será de 15 días hábiles contados a partir del día siguiente al de su recibo.
- El Titular o Causahabiente podrá presentar reclamo ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable o Encargado.