POLÍTICA DE TRATAMIENTO Y PROCEDIMIENTO EN

MATERIA DE PROTECCIÓN DE DATOS

1. OBJETIVO

Proteger y garantizar con base en el presente manual, el derecho fundamental de HABEAS DATA, reglamentado por la Ley 1581 de 2012 que regula los procedimientos y criterios sobre la obtención, recolección, uso, tratamiento, procesamiento, intercambio, transferencia y transmisión de datos personales. que realiza SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS.

2. ALCANCE

Este manual se aplicará al tratamiento de los datos de carácter personal que recoja y maneje SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS tanto de sus trabajadores, como de sus clientes y proveedores.

3. RESPONSABILIDADES

Es responsabilidad de los líderes de los procesos de Gestión Humana, Gestión Administrativa, Financiera y Gestión de Mejora de verificar el cumplimento y aplicación al presente documento, así como de realizar las actualizaciones y/o modificaciones que sean necesarias de SEDIAL SAS.

Estas políticas son de obligatorio y estricto cumplimiento para El responsable, así como todos los terceros que obran en nombre de la Compañía, o que sin actuar en nombre de El responsable tratan datos personales por disposición de ésta como encargados. Tanto el responsable como encargados, entiéndase, empleados, contratistas y terceros deben observar y respetar estas políticas en el cumplimiento de sus funciones y/ o actividades aún después de terminados los vínculos legales, comerciales, laborales o de cualquier índole. De igual manera, se comprometen a guardar estricta confidencialidad en relación con los datos tratados. Cualquier incumplimiento de las obligaciones y, en general, de las políticas contenidas en este documento debe ser reportado a la dirección de Protección Patrimonial “E-Mail” De conformidad con el numeral 1º del artículo 58 del Código Sustantivo del Trabajo, es obligación especial el trabajador «observar los preceptos del reglamento y acatar y cumplir las órdenes e instrucciones que de modo particular le impartan el patrono o sus representantes

3.1 Estructura Administrativa sobre Protección y Tratamiento de Datos Personales

El responsable cuenta con una infraestructura administrativa destinada, entre otras funciones, a asegurar la debida atención de requerimientos, peticiones, consultas, quejas y reclamos relativos a protección de datos, a fin de garantizar el ejercicio de los derechos contenidos en la Constitución y la ley, especialmente el derecho a conocer, actualizar, rectificar y suprimir información personal; así como el derecho a revocar el consentimiento otorgado para el tratamiento de datos personales.

Para los efectos antes descritos, presentamos los roles de la estructura administrativa para la protección de datos de los titulares de la información.

Director(a) Dpto. Administrativo(a)

El responsable cuenta con un departamento de Gestión Humana, encargado de la atención de peticiones, consultas, quejas y reclamos; capacitado para atender a los titulares de datos personales en relación con sus solicitudes, derivados del ejercicio de los derechos sobre protección de datos personales conferidos por la ley.

El responsable, pone a su disposición el teléfono 333 033 3335 en Tocancipá, el correo electrónico: servicioalcliente@sedialgroup. com.co y la oficina de atención en la sede Acrópolis para la atención, y ejercicio de los derechos anteriormente mencionados.

Dirección de Protección Patrimonial

El responsable cuenta con una Dirección de Protección Patrimonial el cual se fundamenta en tres pilares esenciales: (1) el suministro de información; (2) la debida atención y protección de los empleados, contratistas y terceros.

Para el cumplimiento de estos propósitos, El responsable ha implementado un Sistema de Atención, que propende por consolidar un ambiente de atención, protección y respeto de dichas personas.

El Sistema de atención está encaminado a:

  • Consolidar al interior de la compañía una cultura de atención, respeto y servicio a los empleados, contratistas y terceros.

  • Adoptar herramientas para el suministro de información adecuada.

  • Fortalecer los procedimientos para la atención de sus quejas, peticiones y reclamos.

  • Propender por la protección de los derechos del empleados, contratistas y terceros, así como la educación de éstos

Riesgo Operacional y Seguridad de la Información

El área de Riesgo Operativo de El Responsable, entre otras, cumple con la función de protección de datos personales y atiende las vulneraciones de derechos contenidos en la Ley 1581/2012, en segunda instancia.

Adicionalmente, El Responsable cuenta con un sistema de administración de riesgos operacionales y un oficial de Seguridad de la Información, quien tiene a su cargo, entre otras funciones, hacer cumplir condiciones mínimas de seguridad, prevención de riesgos e implementación de controles que impidan la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de la información.

Junta Directiva

La junta directiva de El Responsable es el órgano encargado de aprobar la creación y/o actualización de las políticas, manuales y lineamientos sobre protección de datos.

Entes de Control y Vigilancia

A continuación, presentamos los Entes de Control con los que cuentan la compañía.

  • Auditoría Interna

  • Auditoría Externa

  • Superintendencias

  • Control Interno.

4. DOCUMENTOS ASOCIADOS O DE REFERENCIA

  • Constitución Política de Colombia, Artículo 15

  • Ley 1266 de 2008

  • Decreto 1727 de 2009

  • Ley 1273 de 2009 Artículo 269F

  • Ley 1581 de 2012

  • Decreto 1377 de 2013

  • Decreto 886 de 2014

5. DEFINICIONES
Para efectos de la interpretación y aplicación de esta política deben tenerse en cuenta los siguientes conceptos:

  • Autorización: Consentimiento previo, expreso e informado del titular del dato para llevar a cabo el tratamiento de su información personal.

  • Base de Datos: Conjunto de datos personales que sea objeto de tratamiento.

  • Consulta: Solicitud del titular del dato o las personas autorizadas por éste o por la ley, para conocer la información que reposa sobre ella el titular en bases de datos o archivos.

  • Dato personal: Cualquier información que directa o indirectamente se refiere a una persona natural y que permite identificarla. Son algunos ejemplos de datos personales los siguientes: nombre, número de identificación ciudadana, dirección postal, dirección de correo electrónico, número telefónico, estado civil, datos de salud, huella dactilar, salario, bienes, estados financieros, etc. Estos datos se clasifican en:

    • Dato personal sensible: Información que afecta la intimidad de la persona o cuyo uso indebido puede generar su discriminación, tales como por ejemplo aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos (huellas dactilares, fotos)

    • Dato personal público: Es el dato calificado como tal por ley o la Constitución Política o el que no sea privado, semiprivado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público, los datos contenidos en el RUNT o los datos contenidos en el registro público mercantil de las Cámaras de Comercio. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. Estos datos pueden ser obtenidos y ofrecidos sin reserva alguna y sin importar si hacen alusión a información general, privada o personal.

  • Dato personal privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para la persona titular del dato. Ejemplos: libros de los comerciantes (contabilidad), información extraída a partir de la inspección del domicilio, número telefónico siempre y cuando no se encuentre en bases públicas o el salario.

  • Dato personal semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como, entre otros, el dato referente al cumplimiento o incumplimiento de las obligaciones financieras o los datos relativos a las relaciones con las entidades de la seguridad social.

  1. Responsable del tratamiento: Persona que decide sobre la recolección y fines del tratamiento, entre otras. Puede ser, a título de ejemplo, la empresa dueña de las bases de datos o sistema de información que contiene datos personales.

  2. Encargado del tratamiento: Persona que realiza el tratamiento de datos por cuenta del responsable del tratamiento.

  3. Reclamo: Solicitud del titular del dato o las personas autorizadas por éste o por la ley para corregir, actualizar o suprimir sus datos personales o para revocar la autorización en los casos establecidos en la ley.

  4. Titular del dato: Es persona natural a que se refieren los datos.

  5. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales como, entre otros, la recolección, el almacenamiento, el uso, la circulación o supresión de esa clase de información.

  6. Transferencia: Envío de datos personales que realiza el Responsable o el Encargado desde Colombia a un Responsable que se encuentra dentro (transferencia nacional) o fuera del país (transferencia internacional).

  7. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro (transmisión nacional) o fuera de Colombia (transmisión internacional) y que tiene por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.

  8. NNA: Hace referencia los menores de 18 años, y corresponde a la sigla de Niños Niñas y Adolescentes.

  9. ESTIPULACIÓN A FAVOR DE OTRO O PARA OTRO: Estipulación a favor de otro, artículo 1506 del código civil, el cual señala lo siguiente: Cualquiera puede estipular a favor de una tercera persona, aunque no tenga derecho para representarla; pero sólo esta tercera persona podrá demandar lo estipulado; y mientras no intervenga su aceptación expresa o tácita, es revocable el contrato por la sola voluntad de las partes que concurrieron a él. Constituyen aceptación tácita los actos que solo hubieran podido ejecutarse en virtud del contrato». Requisito la aceptación expresa del tercero para ratificar la estipulación.

6. CONDICIONES GENERALES
6.1. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

Los principios que se establecen a continuación, constituyen los parámetros generales que serán respetados por SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS en los procesos de recolección, uso y tratamiento de datos personales.

  1. Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

  2. Principio de finalidad: El Tratamiento de los datos personales recogidos por SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS debe ser informada al Titular.

  3. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

  4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

  5. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le concierne.

  6. Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados.

  7. Principio de seguridad: La información sujeta a Tratamiento por parte del Responsable, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  8. Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.

6.2 Tratamiento al cual serán Sometidos los Datos Personales y la Finalidad del Mismo

Los datos que se recolectan serán tratados de manera transparente, leal y lícita con finalidad principal de contratación, ejecución y comercialización de los bienes y servicios del Responsable del Tratamiento, así como el contacto a través de medios telefónicos, electrónicos (SMS, chat, correo electrónico y demás medios considerados electrónicos) físicos y/o personales.

El Responsable podrá tratar los datos personales para los siguientes fines:

1. Fines necesarios para la ejecución del contrato y/o prestación del Servicio

  • Efectuar las gestiones pertinentes para el desarrollo de la etapa precontractual, contractual y pos contractual con El responsable, respecto de cualquiera de los productos o servicios ofrecidos por El responsable, que haya adquirido o respecto de cualquier relación negocial subyacente que tenga con el mismo, así como dar cumplimiento a la ley colombiana o extranjera y a las órdenes de autoridades judiciales o administrativas.

  • Gestionar trámites, tales como solicitudes, quejas y reclamos, y realizar análisis de riesgos

  • Dar a conocer, transferir y/o trasmitir mis datos personales en consecuencia de un contrato, ley o vínculo lícito que así lo requiera e implementar servicios de computación en la nube y/o administrar la información en sistemas y/o plataformas tecnológicas, de acuerdo con los demás fines descritos en este documento.

  • Suministrar a autoridades, entes de control, asociaciones gremiales y a los sistemas manejados por éstas, los datos personales necesarios para la realización de estudios y en general la administración de sistemas de información del sector correspondiente, cuando aplique.

  • Consultar, recolectar, proporcionar a terceros con quienes el responsable posea un vínculo comercial, legal y/o contractual y reportar la información que repose en operadores de bancos de datos de información de que trata la Ley 1266 de 2008 o las normas que la modifiquen o sustituyan para las siguientes finalidades: fines comerciales, de mantenimiento de la relación contractual con el Responsable, estudios de mercado, investigaciones, estadísticas, reporte a entidades públicas y cumplimiento de la normatividad aplicable al Sistema de Administración de Riesgo de Lavado de Activos y Financiación del Terrorismo;

  • Acceder, consultar los datos personales que reposen o estén contenidos en bases de datos o archivos de cualquier Entidad Privada o Pública (entre otros, los Ministerios, Entes de Control, los Departamentos Administrativos, la DIAN, la Fiscalía, Policía Nacional, Registraduría Nacional del Estado Civil, Juzgados, tribunales y altas Cortes) ya sea nacional, internacional o extranjera; así como, tratar mis datos personales y suministrarlos a las mismas.

  • Envío de notificaciones a través de medios electrónicos o de transmisión de datos tales como mail y SMS, así como informarme sobre actividades relacionadas a los programas de educación corporativa.

  • Consolidar la información financiera, información de extractos y/o de los productos ofrecidos por las compañías Sedial SAS en un solo documento junto con el extracto o en la visualización de los mismos en el portal transaccional de clientes, en los casos que aplique.

  • Para consultar a cualquier médico, hospital, compañía de seguros, compañía de medicina prepagada o entidad promotora de salud (EPS) para que, en cualquier momento, ya sea en vida mía o ya habiendo sucedido mi muerte, Sedial, pueda acceder a la información sobre mi estado de salud y a mi historia clínica; en consecuencia, autorizo a dichas entidades para que entreguen a Sedial SAS copia de toda la información que sea requerida (Aplicable únicamente para productos de Sedial).

2. Tratamiento de los datos realizado por Compañías aliadas de Sedial SAS

  • Dar a conocer, transferir y/o trasmitir los datos personales en consecuencia de un contrato de cualquier índole, ley o vínculo lícito que así lo requiera con fines comerciales, de mercadeo y venta cruzada de las empresas aliadas a Sedial, sus filiales, subordinadas, o vinculadas.

  • Efectuar encuestas de satisfacción respecto de los bienes y servicios realizados por de las empresas aliadas a Sedial, sus filiales, subordinadas, o vinculadas.

  • Realizar actividades de comercialización de productos, verificación y actualización de información de las empresas aliadas a Sedial, sus filiales, subordinadas, o vinculadas.

3. Relacionamiento estratégico

  • Realizar invitaciones a eventos, mejorar productos y servicios u ofertar nuevos productos y todas aquellas actividades asociadas a la relación comercial o vínculo existente o aquel que llegare a tener con El responsable.

  • Efectuar encuestas de satisfacción respecto de los bienes y servicios de sus aliados comerciales

  • Realizar actividades de segmentación e inteligencia de clientes.

  • Transferir o transmitir mis datos personales a terceros diferentes a Sedial SAS con fines comerciales o de mercadeo.

Los datos recolectados a través de puntos de seguridad, así como, los datos tomados de los documentos suministrados por el titular al personal de seguridad y los obtenidos de las videograbaciones que se realizan dentro o fuera de las instalaciones de El responsable, se utilizarán para fines de seguridad y vigilancia de las personas, los bienes e instalaciones de El Responsable y podrán ser utilizados como prueba en cualquier tipo de proceso.

El tercero en calidad de proveedor (encargado o responsable) deberá obtener las autorizaciones directamente de quienes se encuentren legitimados para dar el consentimiento, estos son:

  • El Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición El responsable.

  • Los causahabientes del Titular, quienes deberán acreditar tal calidad.

  • El (la) representante y/o apoderado (a) del Titular, previa acreditación de la representación o apoderamiento.

6.2. AUTORIZACIÓN DEL USO DE DATOS

SEDIAL SAS, en su condición de responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares, garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización.

  • FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN.

En el FR-SF-035 Protección y Uso de Datos y FR-CO-012 Autorización para el Tratamiento de Datos Personales se presenta el formato de autorización que ha definido SEDIAL SAS dicho formato será puesto a disposición del Titular previo al tratamiento de sus datos personales, de conformidad con lo que establece la Ley 1581 de 2102 y el Decreto 1377 de 2013.

  • AVISO DE PRIVACIDAD

Se ha definido para SEDIAL SAS, para el almacenamiento del formato, SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS podrá emplear medios informáticos, electrónicos o cualquier otra tecnología.

6.3. DERECHOS Y DEBERES

  • DERECHOS DE LOS TITULARES DE LA INFORMACIÓN

De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012 y los artículos 21 y 22 del Decreto 1377 de 2013 el Titular de los datos personales tiene los siguientes derechos:

  1. Conocer, actualizar y corregir sus Datos Personales. Con la facultad de ejercer este derecho, entre otros, en relación con la información, parcial, inexacta, incompleta, dividida, información engañosa o cuyo tratamiento sea prohibido o no autorizado.

  2. Requerir prueba del consentimiento otorgado para la recolección y el tratamiento de los Datos Personales.

  3. Ser informado por SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS del uso que se le han dado a los Datos Personales.

  4. Presentar quejas ante la Superintendencia de Industria y Comercio en el caso en que haya una violación por parte de SEDIAL SAS, de las disposiciones de la Ley 1581 de 2012, el Decreto 1377 de 2013 y otras normas que los modifiquen, adicionen o complementen, de conformidad con las disposiciones sobre el requisito de procedibilidad establecido en el artículo 16 Ley 1581 de 2012.

  5. Revocar la autorización otorgada para el tratamiento de los Datos Personales.

  6. Solicitar ser eliminado de su base de datos. Esta supresión o eliminación implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en las bases de datos de SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS Es importante tener en cuenta que el derecho de supresión no es absoluto y el responsable puede negar el ejercicio del mismo cuando: El titular tenga el deber legal y/o contractual de permanecer en la base de datos, la supresión de los datos obstaculice actuaciones judiciales o administrativas o la investigación y persecución de delitos, los datos que sean necesarios para cumplir con una obligación legalmente adquirida por el titular.

  7. Tener acceso a los Datos Personales que SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS haya recolectado y tratado.

  • DEBERES DEL RESPONSABLE DE LA INFORMACIÓN

En calidad de responsable del Tratamiento de los datos personales, y de conformidad con lo establecido en la Ley 1581 de 2012, SEDIAL SAS, se compromete a cumplir con los siguientes deberes, en lo relacionado con el tratamiento de datos personales:

  1. Garantizar al titular de la información, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data.

  2. Conservar copia de la respectiva autorización otorgada por el titular.

  3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

  4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  5. Tramitar las consultas y reclamos formulados por los titulares de la información en los términos señalados por los artículos 14 y 15 de la ley 1581 de 2012.

  6. Informar a solicitud del Titular sobre el uso dado a sus datos.

  7. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

  8. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

  9. Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente, sobre procesos judiciales relacionados con la calidad o detalles del dato personal.

  10. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

  11. Permitir el acceso a la información únicamente a las personas autorizadas.

  12. Informar a través de los medios que considere pertinentes los nuevos mecanismos que implemente para que los titulares de la información hagan efectivos sus derechos.

6.4. PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR DE LA INFORMACIÓN

Los titulares de la información podrán ejercer sus derechos en cualquier momento y de manera gratuita, previa acreditación de su identidad.

La solicitud deberá hacerse por alguno de los siguientes medios: Correo electrónico: servicioalcliente@sedialgroup.com.co o directamente con el área comercial.

SEGURIDAD DE LA INFORMACIÓN

En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012, SEDIAL S.A.S. adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros físicos y/o virtuales; evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

En el caso de la transmisión de los datos a los encargados, se hace con archivos protegidos con contraseña.

Todo trabajador y/o contratista de SEDIAL SAS que tenga acceso a la base de datos y/o información de carácter confidencial debe firmar el formato FR-CO-011 Acuerdo de Confidencialidad para Proveedores.

DESIGNACIÓN

SERVICIOS DE DISTRIBUCION, ALMACENAMIENTO Y LOGISTICA SEDIAL SAS designa al Director(a) Dpto. Administrativo(a) y encargado de gestión humana, para cumplir con la función de protección de datos personales quien dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos de acceso, consulta, rectificación, actualización, supresión y revocatoria a que se refiere la Ley 1581 de 2012. Lo anterior, de ser necesario, se hará con el apoyo del Área Financiera que está a cargo de la contadora(a).

VIGENCIA

La presente política entró en vigencia en Agosto de 2018, de acuerdo la ley 1581 de 2012 y el Decreto 1388 de 2013 para documentar la creación de políticas y procedimientos sobre protección de datos y manejo de la información.