Tratamiento de Datos


GOODWILL COMUNICACIONES S.A.S. identificada con NIT 900145476-1, con domicilio principal en la ciudad de Medellín, (en adelante, la “Compañía”) en cumplimiento de lo dispuesto por la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, expide el siguiente documento que desarrolla las políticas de tratamiento de datos personales de la Compañía.

 


I. DEFINICIONES.


Para los fines del presente documento, a menos que se estipule de otra manera, los términos en mayúsculas que aquí se usan tendrán el significado asignado a dichos términos en la Ley 1581 de 2012 y en el Decreto 1377 de 2013.


II. OBJETO.


La Compañía implementará todas las acciones que tenga a su alcance para el cumplimiento de la protección y trata-miento de datos personales de los que sea responsable o encargado, en especial para proteger los derechos a la privacidad, la intimidad y el buen nombre y los derechos a conocer, actualizar y rectificar los datos de los titulares recogidos en las bases de datos propias o tratadas por encargo de terceros. Es por ello que el presente manual se aplica tanto para proteger los datos personales que actualmente trate y los que en un futuro se puedan tratar, así como para el tratamiento de los datos de empleados y contratistas.


III. ÁMBITO DE APLICACIÓN.


Las presentes políticas se aplicarán al Tratamiento de Datos Personales efectuado en territorio colombiano, o cuando le sean aplicables las políticas al Responsable y/o Encargado ubicado fuera del territorio colombiano, en virtud de tratados internacionales, relaciones contractuales, entre otros, y se aplicarán a cualquier Base de Datos Personales que se encuentre en custodia de la Compañía, bien sea en calidad de Responsable y/o como Encargado del Tratamiento.


IV. DESTINATARIOS DE LAS POLITICAS.


Las presentes políticas se aplicarán y por ende obligará a las siguientes personas: i) Todo el personal interno de la Compañía, representantes legales, directivos o no, que custodien y traten Bases de Datos que contengan Datos Personales; ii) Contratistas y personas naturales o jurídicas que presten sus servicios a la Compañía bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice cualquier Tratamiento de Datos Personales, y iii) Las demás personas que establezca la Ley.


V. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS PERSONALES.

En el tratamiento de datos personales que realiza la Compañía se aplican todos los principios consagrados en el Titulo II, artículo 4 del Régimen General de protección de Datos Personales, Ley 1581 de 2012 y las normas que la desarrollen y complementen

 

VI. DERECHOS DE LOS TITULARES DE LOS DATOS.


De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los siguientes son los derechos de los titulares de los datos personales:

▪ Acceder, conocer, actualizar, rectificar y suprimir sus datos personales frente a la Compañía. en su condición de responsable o encargado del tratamiento de datos.

▪ Solicitar prueba de la autorización otorgada por el titular de los datos o por el responsable del tratamiento de datos personales a la Compañía para el tratamiento de datos, mediante cualquier medio válido.

▪ Ser informado por la Compañía, previa solicitud, respecto del uso que le ha dado a sus datos personales.

▪ Presentar ante la Superintendencia de Industria y Comercio, quejas por infracciones a lo dispuesto en la ley 1581 de 2012, previo trámite de consulta o requerimiento ante la Compañía.

▪ Revocar la autorización o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

▪ Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento por parte de la Compañía como responsable o encargado del tratamiento de datos personales.
Estos derechos podrán ser ejercidos por:

▪ El titular de los datos personales.

▪ Los causahabientes del titular de los datos personales.

▪ El representante y/o apoderado del titular de los datos personales.

 


VII. DEBERES DE LOS DESTINATARIOS DE ESTAS POLITICAS RESPECTO DE LAS BASES DE DATOS PERSONALES CUANDO OSTENTEN LA CALIDAD DE RESPONSABLES Y ENCARGADOS.


Los deberes de los responsables o encargados, serán aquellos consagrados en el TITULO VI de la Ley 1581 de 2012 Articulo 17 y 18, Decreto 1377 de 2013, y demás normas que las modifiquen o complementen.


VIII. PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACION, CANCELACION Y OPOSICION.


En desarrollo de la garantía constitucional de Habeas Data respecto de los derechos por parte del Titular de Datos Personales, o interesado habilitado legalmente, la Compañía adopta el siguiente procedimiento:


8.1. El Titular del dato y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad, que podrá suministrar por medio físico o digital. En caso de que el Titular esté representado por un tercero deberá allegarse el respectivo poder, el cual deberá tener reconocimiento de firma y contenido ante notario público. El apoderado deberá igualmente acreditar su identidad en los términos indicados.

 

.2. La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, sea este físico o digital. La solicitud de ejercicio de los derechos mencionados podrá dirigirse a la dirección principal de la Compañía ubicada en la Carrera 43 A 9 sur

91 TORRE Norte Oficina 401, Medellín, Colombia, o al correo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.. La Compañía a su entera discreción, podrá disponer de otros medios para que el Titular de los Datos Personales ejerza sus derechos.

8.3. La solicitud de ejercicio de cualquiera de los derechos mencionados contendrá la siguiente información:

8.3.1. Nombre del Titular del Dato Personal y de sus representantes, de ser el caso.

8.3.2. Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revoca-toria del consentimiento. En cada caso la petición deberá estar razonablemente fundamentada para que la Compañía proceda como Responsable de la Base de Datos Personales a dar respuesta.

8.3.3. Dirección física y/o electrónica para notificaciones.

8.3.4. Documentos que soportan la solicitud.

8.3.5. Firma de la solicitud por parte del Titular del Dato Personal.

El trámite, procedimiento y tiempos de respuesta a cualquier consulta y/o reclamo será aquel contenido en los artículos 14 y 15 de la Ley 1581 de 2012.
Parágrafo: No accederá a la solicitud realizada por el titular o su representante de supresión de los datos personales, cuando exista un deber legal o contractual para que los datos personales permanezcan en la respectiva base de datos.


IX. TRATAMIENTO DE DATOS PERSONALES Y SU FINALIDAD DEL MISMO.


El tratamiento de los datos personales se hace en los términos y alcances de la autorización entregada por el Titular de Datos Personales o en aplicación de las normas especiales cuando proceda alguna excepción legal para hacerlo.


El tratamiento de los datos del Titular de Datos Personales con los cuales la Compañía tuviere establecida una relación como RESPONSABLE o estableciera una relación como ENCARGADO del tratamiento de datos para la oferta de servicios de la Compañía, tales como servicios de consultoría de comunicación y reputación lo realizará con base en las prescripciones de la ley 1581 de 2012 y la ley 1266 de 2008 en lo que le sea aplicable, y en general para el cumplimiento de su objeto social. En todo caso, los datos personales podrán ser recolectados y tratados para:


▪ Llevar el control de gestión y seguimiento de la Compañía, tanto con empleados como con proveedores, accionistas y/o directivos.

▪ Ofrecer al Titular de Datos Personales noticias sobre La Compañía y los servicios que ésta presta.

▪ Ofrecer al Titular de Datos Personales noticias sobre eventos relacionados con los servicios de la Compañía y para la comunicación de las estrategias de relacionamiento.

▪ Envío de material informativo para fines publicitarios.

▪ Control y seguimiento de los servicios prestados, que permitan desarrollar el objeto social de la Compañía conforme a sus estatutos sociales.

▪ Compartir con empresas aliadas y/o asociadas con los cuales se tengan suscritos acuerdo para compartir da-tos personales para la oferta de servicios de comunicación y reputación.

En cuanto a la confidencialidad, la Compañía se compromete a suscribir con terceros, en los eventos que se celebren convenios para compartir datos personales para la oferta de servicios ofrecidos por la Compañía, los respectivos acuerdos de confidencialidad para efectos de la protección jurídica de dichos datos.


9.1. AUTORIZACIÓN PARA USO DE DATOS PERSONALES


La Compañía como RESPONSABLE del tratamiento de datos personales obtiene de los titulares de los datos su autorización clara, previa, expresa, informada y libre de vicios, mediante formularios, formatos de recolección de datos, formularios electrónicos y demás medios de que disponga o pueda disponer para tal efecto. De igual manera como ENCARGADO del tratamiento de datos obtendrá la autorización de los responsables previa la certificación de la autorización de los titulares otorgada a estos, dentro del acuerdo de para compartir datos personales.


9.2. AUTORIZACIÓN Y CONSENTIMIENTO DEL TITULAR.


La Compañía solicitará al Titular de Datos Personales su autorización e informará la finalidad de antemano para el tratamiento de sus datos personales, excepto en los casos expresamente autorizados por la ley 1581 de 2012 en el artículo 10.


9.3 MEDIOS PARA OTORGAR LA AUTORIZACIÓN.


La Compañía obtendrá la autorización mediante diferentes medios, entre ellos documentos físicos, electrónico, mensaje de datos, Internet, Sitios Web, o en cualquier otro formato que en todo caso permita el consentimiento del titular mediante conductas inequívocas a través de las cuales se concluya que de no haberse surtido la misma por parte del titular o la persona legitimada para ello, los datos no se hubieran almacenado o capturado en la base de datos. La autorización será solicitada por la Compañía de manera previa al tratamiento de los datos personales.


9.4. REVOCATORIA DE LA AUTORIZACIÓN


El Titular de Datos Personales puede en cualquier momento revocar la autorización otorgada a la Compañía para el tratamiento de sus datos personales o solicitar la supresión o eliminación de los mismos, siempre y cuando no lo impida una disposición legal o contractual. La Compañía establecerá mecanismos sencillos que permitan al titular revocar su autorización o solicitar la supresión de sus datos personales, al menos por el mismo medio por el que lo otorgó.


Para lo anterior, deberá tenerse en cuenta que la revocatoria del consentimiento puede expresarse de manera total en relación con las finalidades autorizadas, y por lo tanto la Compañía deberá cesar cualquier actividad de tratamiento de los datos, y de manera parcial en relación con ciertos tipos de tratamiento, en cuyo caso serán estos sobre los que cesarán las actividades de tratamiento. En este último caso, la Compañía podrá continuar tratando los datos persona-les para aquellos fines en relación con los cuales el titular no hubiera revocado su consentimiento.


9.5. GARANTÍAS DEL DERECHO DE ACCESO.


Para garantizar el derecho de acceso del Titular de Datos Personales se pondrá a disposición de éste los respectivos datos personales a través de cualquier medio idóneo, incluyendo los medios electrónicos que permitan el acceso directo del titular a ellos.


9.6. ACTUALIZACIÓN DE LAS BASES DE DATOS.


La Compañía actualizará sus bases de datos de manera permanente, de conformidad con lo señalado en la ley 1581 de 2012.


X. PROHIBICIONES.


En desarrollo de estas políticas de seguridad de la información personal de la Compañía, se establecen las siguientes prohibiciones y sanciones como consecuencia de su incumplimiento.


10.1. La Compañía prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquiera otro Trata-miento de Datos Personales de carácter sensible sin autorización del Titular del Dato Personal y/o de la Compañía.


• El incumplimiento de esta prohibición por parte de los empleados de la Compañía será considerado como falta grave, que podrá dar lugar a la terminación de la relación laboral. Lo anterior, sin perjuicio de las acciones legales a que haya lugar.

• El incumplimiento de esta prohibición por parte de los proveedores que contraten con la Compañía será considerada como causa grave para dar terminación al contrato, sin perjuicio de las acciones a que haya lugar.

• En los contratos con los proveedores, donde el objeto contratado tenga relación con Datos Personales, se pactará una previsión en relación con los perjuicios que se pueden llegar a ocasionar a la Compañía como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente y negligente del proveedor.


10.2. La Compañía prohíbe la cesión, comunicación o circulación de Datos Personales, sin el consentimiento previo, escrito y expreso del Titular del Dato Personal o sin autorización de la Compañía. La cesión o comunicación de Datos Personales deberá ser inscrita en el registro central de Datos Personales de la Compañía y contar con la autorización del Custodio de la Base de Datos.

 

10.3. La Compañía prohíbe el acceso, uso, cesión, comunicación, Tratamiento, almacenamiento y cualquiera otro Tratamiento de Datos Personales de carácter sensible que llegaren a ser identificados en un procedimiento de auditoría en aplicación de la norma sobre el buen uso de los recursos informáticos de la organización y/u otras normas y/o políticas expedidas por la Compañía para estos fines.
Los Datos Sensibles que se identifiquen serán informados al Titular de los mismos, con el fin de este proceda a eliminarlos; de no ser posible esta opción, la Compañía procederá a eliminarlos de manera segura.


10.4. la Compañía prohíbe a los destinatarios de estas políticas cualquier Tratamiento de Datos Personales que pueda dar lugar a alguna de las conductas descritas en la Ley de delitos informáticos 1273 de 2009.


10.5. La Compañía prohíbe el Tratamiento de Datos Personales de Niños y adolescentes menores de edad, salvo autorización expresa de sus representantes legales. Todo Tratamiento que se llegare a hacer respecto de los datos de los menores, se deberán asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia.


XI. TRANSFERENCIA INTERNACIONAL DE DATOS.


Está prohibida la Transferencia de Datos Personales a países que no proporcionen niveles adecuados de protección de datos. Se entienden países seguros aquellos que cumplan con los estándares fijados por la Superintendencia de Industria y Comercio.
De manera excepcional se podrán realizar Transferencias internacionales de datos por la Compañía cuando:


11.1. El Titular del dato haya otorgado su autorización previa, expresa e inequívoca para realizar la Transferencia.

11.2. La Transferencia sea necesaria para la ejecución de un contrato entre el Titular y la Compañía como Responsable y/o Encargado del Tratamiento.

11.3. Se trate de Transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.

11.4. Se trate de Transferencia de datos en el marco de tratados internacionales que hagan parte del ordenamiento jurídico colombiano.

11.5. Transferencias legalmente exigidas para salvaguardar un interés público.

Al momento de presentarse una Transferencia internacional de Datos Personales, previo envío o recepción de los mismos, la Compañía suscribirá los acuerdos que regulen en detalle las obligaciones, cargas y deberes que surgen para las partes intervinientes.


Los acuerdos o contratos que se celebren deberán atender lo dispuesto en estas políticas, así como en la legislación y jurisprudencia que fuera aplicable en materia de protección de Datos Personales.

 

XII. TEMPORALIDAD DEL DATO PERSONAL.


En el Tratamiento de Datos Personales que realiza la Compañía, la permanencia de los datos en sus sistemas de in-formación estará determinada por la finalidad de dicho Tratamiento. En consecuencia, agotada la finalidad para la cual se recolectaron los datos, la Compañía procederá a su destrucción o devolución, según el caso, o bien a conservar-los según lo dispuesto en la Ley, adoptando las medidas técnicas que impidan un Tratamiento inadecuado.


XIII. MEDIDAS DE SEGURIDAD.


En el Tratamiento de los Datos Personales objeto de regulación en estas políticas, la Compañía adoptará medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los Datos Personales tratados.

En desarrollo del principio de Seguridad de los Datos personales, la Compañía adoptará una directriz general sobre estas medidas, que serán de obligatorio acatamiento por parte de los destinatarios de estas políticas.


Es obligación de los destinatarios de estas políticas informar a la Compañía cualquier sospecha que pueda implicar una violación a las medidas de seguridad adoptadas por la organización para proteger los Datos Personales confiados a ella, así como cualquier Tratamiento inadecuado de los mismos, una vez tengan conocimiento de esta situación.


En estos casos, la Compañía comunicará a la autoridad de control tal situación y procederá a gestionar el respectivo incidente de seguridad respecto de los Datos Personales, con el fin de establecer las repercusiones jurídicas del mismo, sean estas a nivel penal, laboral, disciplinario o civil.


XIV. TRATAMIENTO DE DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES.-


En el tratamiento de datos personales la Compañía asegurará el respeto a los derechos prevalentes de los menores (niños, niñas, y adolescentes). En caso de recaudarlos dará cumplimiento a lo señalado en el artículo 7 de la ley 1581 de 2012.


XV. AVISO DE PRIVACIDAD.-


La Compañía cuenta con una política de privacidad la cual hace parte integral del presente manual.


XVI. PROCEDIMIENTOS Y SANCIONES.


El régimen de sanciones de los destinatarios de estas políticas es aquel previsto por la Ley 1581 de 2012 en su artículo 23, que materializa los riesgos que se asume por un indebido Tratamiento de Datos Personales. La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionado con el Tratamiento de Datos Personales, deberá ser comunicada de manera inmediata a la Gerencia Jurídica de la Compañía, con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones previstas en la legislación colombiana, en particular las consignadas en el Título VI, Capitulo 3 de la Ley 1581 de 2012 antes descritas.


Consecuencia de los riesgos que asume la Compañía bien en calidad de Responsable y/o Encargado del Tratamiento de los Datos Personales, el incumplimiento de estas políticas por parte de sus destinatarios, se considera una falta grave y dará lugar a la terminación del contrato respectivo sin perjuicio de las demás acciones que legalmente procedan.


XVII. ENTREGA DE DATOS PERSONALES A AUTORIDADES.


Cuando las autoridades del Estado soliciten a la Compañía el acceso y/o entrega de Datos Personales contenidos en cualquiera de sus Bases de Datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los Datos Personales entregados y los riegos que conllevan su indebido uso e inadecuado Tratamiento.


El contenido del procedimiento deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos personales.
El presente manual rige a partir del 31 de octubre de 2016.

 

FIN DEL DOCUMENTO