Políticas de tratamiento de información de Vadel S.A.S.

VADEL S.A.S., en cumplimiento de lo dispuesto por la ley 1581 de 2012, que desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma y

CONSIDERANDO

PRIMERO.  Que VADEL S.A.S. viene trabajando en el proceso de Seguridad de la Información bajo el marco de la norma ISO 27001/27002, el cual supone el sometimiento de la Organización al cumplimiento de la normatividad vigente en materia de protección de la información y datos de carácter personal.

SEGUNDO.  Que la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales, otorga a las empresas un plazo de seis (6) meses a partir de la sanción de la ley, para adecuarse a estas disposiciones, el cual fue prorrogado hasta el 30 de junio de 2017 de conformidad con lo dispuesto en el decreto 1759 de 2016.

TERCERO.  Que en cumplimiento de la obligación que tiene VADEL S.A.S. de mejorar su Sistema de Gestión, especialmente en materia de Seguridad de la Información, se requiere expedir una norma que establezca las reglas aplicables al tratamiento de datos de carácter personal que estén bajo custodia de la empresa.

CUARTO.  Que corresponde tanto a las directivas de VADEL S.A.S. así como a sus empleados y terceros contratistas, observar, acatar y cumplir las órdenes e instrucciones que de modo particular imparta la organización respecto de los datos de carácter personal cuya divulgación o indebido uso pueda generar un perjuicio a los titulares de la misma, en cumplimiento de los derechos contenidos en el artículo 15 de la Constitución Política de Colombia, decreto 1377 de 2013, ley 1581 de 012, ley 1266 de 2008  y ley 1273 de 2009 y demás normas conexas y complementarias.

QUINTO.  Que las normas legales relacionadas con los datos personales establecen sanciones económicas, comerciales y privativas de la libertad, por lo cual es fundamental la cooperación entre VADEL S.A.S. y los destinatarios de esta norma, con el fin de garantizar el cumplimiento de los derechos a la intimidad, al habeas data y a la protección de datos personales, evitando así perjuicios para cualquiera de las partes y/o terceros.

SEXTO.  Que la regulación de las políticas de seguridad de la información, en particular respecto de las relaciones laborales y prestación de servicios, debe incluir la protección de los datos de carácter personal relacionados con el recurso humano, respetando el mínimo de derechos y garantías de los empleados y prestadores de servicios, so pena de que las estipulaciones no produzcan ningún efecto.

SÉPTIMO. Que conforme a la legislación laboral surge para el empleador el deber de proteger a los empleados, y para estos surge el deber de acatamiento y lealtad para con VADEL S.A.S., de manera que estos contribuyan en la gestión segura de la información de carácter personal.

OCTAVO.  Que esta política complementa y no contraviene las obligaciones del empleado y de VADEL S.A.S. contenidas en la legislación laboral.

NOVENO.  Que es deber de los empleados para con VADEL S.A.S. prestar toda su colaboración en caso de siniestro o riesgo inminente que afecte o amenacen los activos de información, especialmente los relacionados con la información de carácter personal que custodia VADEL S.A.S., de manera que se preste la debida cooperación, que VADEL S.A.S. requiera para investigar, analizar y capturar evidencia de incidentes de seguridad que comprometan ésta información, tengan o no vocación judicial, acatando para ello las instrucciones contenidas en el protocolo de cadena de custodia de VADEL S.A.S.

SE FORMULA

Con base en las anteriores consideraciones que fundamentan la protección de datos personales en VADEL S.A.S., se formula el presente reglamento interno de políticas de protección de datos con las siguientes disposiciones para su tratamiento y que son de obligatorio cumplimiento para los destinatarios de esta norma.

DEFINICIONES

 

  • Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales por parte de VADEL S.A.S. Esta puede ser escrita, verbal o expresa en algún medio de comunicación;
  • Aviso de Privacidad: Comunicación verbal o escrita generada por VADEL S.A.S, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
  • Base de Datos (BD): Conjunto organizado de datos personales que sea objeto de Tratamiento;
  • Consulta: Solicitud del titular del dato o las personas autorizadas por éste o por la ley para conocer la información que reposa sobre ella en bases de datos o archivos de VADEL S.A.S.
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales o jurídica determinadas o determinables;
  • Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
  • Dato público:  Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios
  • Datos sensibles: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos;
  • Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento, es decir, VADEL S.A.S.;
  • Reclamo: Solicitud del titular del dato o las personas autorizadas por éste o por la ley para corregir, actualizar o suprimir sus datos personales o cuando adviertan que existe un presunto incumplimiento del régimen de protección de datos.
  • Registro Nacional de Bases de Datos: es el directorio público de las bases de datos sujetas a Tratamiento que operan en el país.  El registro será administrado por la Superintendencia de Industria y Comercio y será de libre consulta para los ciudadanos.
  • Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos, es decir, VADEL S.A.S.;
  • Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
  • Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  • Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

 

OBJETO

La presente política tiene por objeto adoptar y llevar a la praxis las disposiciones legales aplicables al tratamiento de los datos de carácter personal registrados en cualquier base de datos que los haga susceptibles de tratamiento por VADEL S.A.S. durante el desarrollo de su objeto social en su calidad de responsable y/o encargado del tratamiento.

En consecuencia, las reglas contenidas en esta política dan cumplimiento a lo dispuesto en los artículos 15 y 20 de la Constitución Política, ley 1582 de 2012, ley 1273 de 2009 y demás normas legales aplicables en virtud de normas y tratados internacionales.

Así las cosas, es compromiso de VADEL S.A.S., en concordancia con el derecho a la información, prevenir cualquier vulneración de la intimidad de las personas, el ejercicio del habeas data y la protección de datos personales.

Las reglas adoptadas en esta política por VADEL S.A.S. se adecúan a los estándares internacionales en materia de protección de datos personales.

ÁMBITO DE APLICACIÓN

La presente normatividad se aplicará al tratamiento de datos personales efectuado en territorio colombiano, o cuando le sea aplicable la política al responsable y/o encargado ubicado fuera del territorio colombiano, en virtud de tratados internacionales, relaciones contractuales, entre otros.

Los principios y disposiciones contenidos en esta política de seguridad de la información de carácter personal, se aplicarán a cualquier base de datos personales que se encuentre en custodia de VADEL S.A.S., bien sea en calidad de responsable y/o como encargado del tratamiento.

Todos los procesos organizacionales de VADEL S.A.S. que involucren el tratamiento de datos de carácter personal, deberán someterse a lo dispuesto en esta norma.

DESTINATARIOS

La presente política se aplicará y por ende obligará a las siguientes personas:

 

  • Representantes Legales y/o administradores societarios.
  • Personal interno de VADEL S.A.S., directivos o no, que custodien y traten bases de datos de carácter personal.
  • Contratistas y personas naturales o jurídicas que presten sus servicios a VADEL S.A.S. bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice cualquier tratamiento de datos de carácter personal.
  • Los Accionistas, revisores fiscales y aquellas otras personas con las cuales exista una relación legal de orden estatutario.
  • Personas públicas y privadas en condición de usuarios de los datos personales.
  • Las demás personas que establezca la ley.


 

PRINCIPIOS APLICABLES

La protección de datos de carácter personal en VADEL S.A.S. estará sometida a los siguientes principios o reglas fundamentales, con base en las cuales se determinarán los procesos internos relacionados con el tratamiento de datos personales y se interpretarán de manera armónica e integral para resolver los conflictos que se susciten en esta materia, principios consagrados en normas internacionales, en la leyes colombianas y en la jurisprudencia de la Corte Constitucional que ha desarrollado los derechos fundamentales vinculados a los datos de carácter personal:

 

  • Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere esta política es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen;
  • Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada por VADEL S.A.S. al Titular;
  • Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados por VADEL S.A.S. sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
  • Principio de veracidad o calidad: La información sujeta a Tratamiento suministrada VADEL S.A.S. debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
  • Principio de transparencia: En el Tratamiento debe garantizarse por VADEL S.A.S. el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
  • Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en el título anterior.
  • Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley;
  • Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere las definiciones, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  • Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.
  • Principio de protección de datos sensibles: Se prohíbe el Tratamiento de datos sensibles, excepto cuando:  

 

  • El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización;
  • El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización;
  • El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;

 

  • Principio de protección a los derechos de los niños, niñas y adolescentes. En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.
  • Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.

DERECHOS DE LOS TITULARES DE LOS DATOS

Los titulares de los datos de carácter personal contenidos en bases de datos que reposen en los sistemas de información de VADEL S.A.S., tienen los derechos descritos en este acápite en cumplimiento de las garantías fundamentales consagradas en el Constitución Política y la Ley.

El ejercicio de estos derechos será gratuito e ilimitado por parte del titular del dato personal, sin perjuicio de disposiciones legales que regulen el ejercicio de los mismos.

El ejercicio del Habeas Data, expresado en los siguientes derechos, constituye una potestad personalísima y serán ejercidos por el titular del dato de manera exclusiva, salvo las excepciones de ley.

  1. El tratamiento de datos personales al interior de VADEL S.A.S., sólo puede hacerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos, tratados o divulgados si autorización del titular salvo mandato legal o judicial que supla el consentimiento del titular.
  2. Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento designados por VADEL S.A.S.. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.  La información referida, deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior;
  3. Solicitar a VADEL S.A.S. prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en la ley referente a los casos en los cuales no es necesaria la autorización, esto es:
  1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
  2. Datos de naturaleza pública, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público;
  3. Casos de urgencia médica o sanitaria;
  4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
  5. Datos relacionados con el Registro Civil de las Personas.
  1. Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que se le ha dado, a sus datos personales;
  2. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;
  3. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos, de lo contrario procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;

 

Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento AUTORIZACIÓN

Sin perjuicio de las excepciones previstas en la ley, en el tratamiento se requiere la autorización previa e informada de los titulares de los datos personales, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior, atendiendo lo dispuesto en el artículo 9 de la Ley 1581 de 2012, para lo cual  VADEL S.A.S cuenta con los siguientes, mecanismos mediante los cuales informa a los titulares sobre el aviso de privacidad y obtiene la autorización explícita e implícita para el tratamiento de datos personales, incluyendo los datos sensibles:

  1. Declaraciones en los correos electrónicos,
  1. Página Web de la organización
  2. PBX de la empresa o comunicaciones vía telefónica
  3. Aviso de Privacidad
  4. Formulario de Autorización para el Tratamiento de Datos Personales
  5. Formularios de registro de Clientes, Proveedores y Suministradores
  1. Formularios de Selección, Contratación y Desvinculación del personal

VADEL S.A.S, Informará al titular de forma explícita y previa por los medios descritos, además de los adicionales que considere necesarios, los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos sensibles serán objeto de Tratamiento y la finalidad del Tratamiento de todos los datos personales.

Para obtener la autorización de los titulares o de quien se encuentre legitimado de conformidad con lo establecido en el artículo 20 del decreto 1377, que garanticen su consulta, VADEL S.A.S, podrá establecerá los siguientes medios técnicos que faciliten al Titular su manifestación:

  1. Autorización explícita:
  1. Por escrito en el registro de cualquiera de los formularios de la organización relativos al tratamiento de la información o con alguna nota aclaratoria sobre dicha protección.
  2. De forma oral en las comunicaciones con titulares, causahabientes, representantes y/o apoderados del titular.
  1. Autorización implícita:
  1. Interpretación de conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización.

En ningún caso, VADEL S.A.S, interpretará el silencio como una conducta inequívoca, a efectos de esta política, se considerará como conducta inequívoca:

  1. La manifestación implícita o explícita de continuar la relación contractual, comercial y/o laboral, una vez comunicada la política de tratamiento de la información, mediante los mecanismos citados anteriormente
  2. El registro voluntario de los datos personales de un titular en alguno de nuestros formularios físicos o electrónicos.
  3. La entrega voluntaria de datos personales mediante tarjetas de presentación o cualquier otro medio de comunicación.

VADEL S.A.S comunicará y pondrá a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada.

En los casos en los que no sea posible para el Titular acceder por medios electrónicos a las políticas de tratamiento de la información, VADEL S.A.S informará por medio de un aviso de privacidad al titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento realizar la recolección de sus datos personales.

En todo caso el Aviso de Privacidad no eximirá a VADEL S.A.S de la obligación de dar a conocer a los titulares nuestra política de tratamiento de la información. El aviso de privacidad, deberá contener como mínimo, la siguiente información:

  1.  Nombre o razón social y datos de contacto del responsable del tratamiento.
  2.  El Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
  3.  Los derechos que le asisten al titular.
  4. Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella o en el Aviso de Privacidad correspondiente

VADEL S.A.S conservará el modelo del Aviso de Privacidad para cumplir con el deber de dar a conocer a los Titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven., empleando para ello los medios informáticos, electrónicos y procedimientos internos que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.

Para la difusión del aviso de privacidad y de la política de tratamiento de la información, VADEL S.A.S podrá valerse de documentos, formularios electrónicos, medios verbales o cualquier otra tecnología, siempre y cuando garantice y cumpla con el deber de informar al titular.

DEBERES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO

Cuando VADEL S.A.S. o cualquiera de los destinatarios de esta norma, asuman la calidad de responsables del tratamiento de datos personales bajo su custodia, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad.

En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno.

Los siguientes, son los deberes de cada uno de los responsables y encargados:

Deberes de los responsables del tratamiento:

  1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
  2. Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular;
  3. Informar debidamente al Titular sobre las finalidades específicas del Tratamiento para las cuales se obtiene el consentimiento y los derechos que le asisten por virtud de la autorización otorgada;
  4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  5. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
  6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
  7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
  8. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley;
  9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
  10. Tramitar las consultas y reclamos formulados en los términos señalados en la ley;
  11. Adoptar un procedimiento interno para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos y la autorización del Titular para el Tratamiento de sus datos personales;
  12. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
  13. Informar a solicitud del Titular sobre el uso dado a sus datos;
  14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
  15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Deberes de los encargados del tratamiento:

  1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
  2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
  3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley;
  4. Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
  5. Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley;
  6. Cumplir con las normas y políticas establecidas por VADEL S.A.S en seguridad y protección de la información, especialmente en el tratamiento de datos personales;
  7. Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la presente ley;
  8. Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
  9. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
  10. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;
  11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
  12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN.

En desarrollo de la garantía constitucional de Habeas Data respecto de los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del titular de datos personales, o interesado habilitado legalmente, esto es, sus causahabientes y representantes legales, VADEL S.A.S. adopta el siguiente procedimiento:

  • El titular del dato y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia de su documento de su identidad, la cual podrá suministrar por medio físico o digital. En caso de que el titular este representado por un tercero deberá allegarse el respectivo poder, el cual deberá tener reconocimiento de firma y contenido ante notario. El apoderado deberá igualmente acreditar su identidad en los términos indicados.
  • La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito y dirigirse al mail habeas.data@vadel.com si la petición es virtual o física al domicilio principal de la empresa, correspondiente a la dirección Transversal 59 B No. 128ª–16, Bogotá D.C.
  • La solicitud de ejercicio de cualquiera de los derechos mencionados contendrá la siguiente información:
  1. Nombre del titular del dato personal, y de sus representantes, de ser el caso.
  2. Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revocatoria del consentimiento. En cada caso la petición deberá estar razonablemente fundamentada para que VADEL S.A.S. proceda como responsable de la base de datos a dar respuesta.
  3. Dirección física y/o electrónica para notificaciones.
  4. Documentos que soportan la solicitud.
  5. Firma de la solicitud por parte del titular del dato personal.
  • Si faltare alguno de los requisitos aquí indicados, VADEL S.A.S. así lo comunicará al interesado dentro de los 5 días hábiles siguientes a la recepción de la solicitud, para que los mismos sean subsanados, procediendo entonces a dar respuesta a la solicitud de Habeas Data presentada.
  • Si transcurrido dos (2) meses, el interesado no ha presentado la información requerida, se entenderá que se ha desistido de la solicitud.
  • VADEL S.A.S. podrá disponer de formularios físicos y/o digitales para el ejercicio de este derecho y en ellos indicará si se trata de una consulta o de un reclamo del interesado.
  • Dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud, VADEL S.A.S. indicará que se trata de un reclamo en trámite. En la respectiva base de datos (PQR) se deberá consignar una casilla en la que se indique las siguientes leyendas: “Reclamo en trámite” y “Reclamo resuelto”.
  • VADEL S.A.S., cuando sea responsable de la base de datos personales contenidos en sus sistemas de información, dará respuesta a la solicitud en el término de diez (10) días hábiles si se trata de una consulta; y de quince días (15) días hábiles si se trata de un reclamo. En igual término se pronunciará VADEL S.A.S. cuando verifique que en sus sistemas de información no tiene datos personales del interesado que ejerce alguno de los derechos indicados.
  • En caso de reclamo, si no fuere posible dar respuesta dentro del término de (15) quince días hábiles, se informará al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los 15 días hábiles siguientes al vencimiento de los primeros 15 días hábiles.
  • La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.
  • VADEL S.A.S , al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:
  1. El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo;
  2. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;
  3. Los derechos que le asisten como Titular;
  4. La identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
  5. El Responsable del Tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite, entregarle copia de esta.

 

  • VADEL S.A.S., en los casos que detente la condición de encargado del tratamiento informará tal situación al titular o interesado en el dato personal, y comunicará al responsable del dato personal la solicitud, con el fin de que éste dé respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de su derecho.
  • VADEL S.A.S. documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes. Esta información será tratada conforme a las normas aplicables a la correspondencia de la organización.
  • Para acudir a la Superintendencia de Industria y Comercio en ejercicio de las acciones legales contempladas para los titulares de datos o interesados, se deberá agotar previamente el trámite de consultas y/o reclamos aquí descrito.

BASE CENTRAL DE DATOS PERSONALES.

  • VADEL S.A.S., como responsable del tratamiento de datos personales bajo su custodia, en desarrollo de su actividad empresarial, así como respecto de aquellos en los cuales tenga la calidad de encargado del tratamiento, dispondrá de un registro central en el cual relacionará cada una de las bases de datos contenidas en sus sistemas de información.
  • El registro central de bases de datos personales permitirá:
  1. Inscribir toda base de datos personales contenida en los sistemas de información de VADEL S.A.S. A cada base se le asignará un número de registro.
  2. La inscripción de las bases de datos personales indicará:
  1. El tipo de dato personal que contiene;
  2. La finalidad y uso previsto de la base de datos;
  3. Identificación del área de VADEL S.A.S. que hace el tratamiento de la base de datos;
  4. Sistema de tratamiento empleado (automatizado o manual) en la base de datos;
  5. Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene;
  6. Ubicación de la base de datos en los sistemas de información de VADEL S.A.S.;
  7. El colectivo de personas o grupo de interés cuyos datos están contenidos en la base de datos;
  8. La condición de VADEL S.A.S. como RESPONSABLE o ENCARGADO del tratamiento de las bases de datos;
  9. Autorización de comunicación o cesión de la base de datos, si existe;
  10. Procedencia de los datos y procedimiento en la obtención del consentimiento;
  11. Funcionario de VADEL S.A.S. custodio de la base de datos;
  12. Los demás requisitos que sean aplicables conforme al reglamento de la ley que llegare a expedirse.

 

  • De manera trimestral se registrará, para efectos de cumplimiento y auditoria, los cambios surtidos en las bases de datos personales en relación con los requisitos antes enunciados. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia por el custodio de la misma.
  • La ocurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales custodiados por VADEL S.A.S. serán documentados en este registro central.
  • El registro indicará las sanciones que llegaren a imponerse respecto del uso de la base de datos personales, indicando el origen de la misma.
  • La cancelación de la base de datos de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por VADEL S.A.S. para hacer efectiva la cancelación.

 

TRATAMIENTO DE DATOS PERSONALES.

Conforme lo estipulado por la ley 1266 de 2008, la permanencia de los datos en sus sistemas de información estará determinada por la finalidad de dicho tratamiento. En consecuencia, agotada la finalidad para la cual se recolectaron los datos, VADEL S.A.S. procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado.

VADEL S.A.S. adoptará medidas de seguridad legales, físicas, logísticas y administrativas para la protección de datos y las mismas serán de obligatorio acatamiento por parte de los destinatarios de la política.

Es obligación de los destinatarios de esta política informar a VADEL S.A.S. cualquier indicio que pueda implicar una violación a las medidas de seguridad adoptadas por la organización para proteger los datos personales confiados a ella, así como cualquier tratamiento inadecuado de los mismos, una vez tengan conocimiento de esta situación.

En estos casos, VADEL S.A.S.  comunicará a la autoridad de control tal situación para los fines pertinentes.

VADEL S.A.S informará oportunamente a los titulares de los datos personales, cualquier cambio sustancial en las políticas de tratamiento de la información, antes de la implementación de las nuevas políticas.

VADEL S.A.S, recolectará y utilizará los datos personales de los destinatarios, con el fin de:

  1. Dar cumplimiento a las leyes de tratamiento de la información, habeas data, protección de datos personales, la legislación tributaria y demás requisitos legales y reglamentarios aplicables que requieran indirectamente el tratamiento de datos personales.
  2. Asegurar el desarrollo de la actividad principal y las actividades secundarias relativas a la razón social de la organización
  3. Implementar políticas y procedimientos internos en materia de seguridad de la información.
  4. Ejecutar las actividades necesarias requeridas por los procesos internos en una relación contractual.

Las operaciones que constituyen tratamiento de datos personales por parte de VADEL S.A.S., en calidad de responsable o encargado del mismo, se regirán por los siguientes parámetros.

Recolección de los datos personales. 

 

En desarrollo de los principios de finalidad y libertad, la recolección de datos deberá limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente. Para los datos recolectados antes de la expedición del decreto 1377, se tendrá en cuenta lo siguiente:

  1. VADEL S.A.S solicitará la autorización de los titulares para continuar con el Tratamiento de sus datos personales, a través de mecanismos eficientes de comunicación y de acuerdo a las políticas definidas en la sección IX de Autorización.
  2. Se considerarán como mecanismos eficientes de comunicación aquellos que el responsable o encargado usan en el curso ordinario de su interacción con los Titulares registrados en sus BD.
  3. VADEL S.A.S implementará como mecanismos alternos,  publicaciones en su página de Internet, carteles informativos, u otros, cuando la difusión mediante lo canales definidos  represente una carga desproporcionada o sea imposible solicitar a cada Titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información, e informará a la Superintendencia de Industria y Comercio, dentro de los cinco (5) días siguientes a su implementación.
  1. VADEL S.A.S determinará si existe una carga desproporcionada con base en su capacidad económica, el número de titulares, la antigüedad de los datos, el ámbito territorial y sectorial de operación, de manera que el hecho de solicitar el consentimiento a cada uno de los Titulares implique un costo excesivo y que ello comprometa la estabilidad financiera, la realización de actividades propias de su negocio o la viabilidad del presupuesto programado.
  2. A su vez, considerará que existe una imposibilidad de solicitar a cada titular el consentimiento para el Tratamiento de sus datos personales y poner en su conocimiento las políticas de Tratamiento de la información y el modo de ejercer sus derechos cuando no cuente con datos de contacto de los titulares, ya sea porque los mismos no obran en sus archivos, registros o bases de datos, o bien, porque estos se encuentran desactualizados, incorrectos, incompletos o inexactos.
  1. Si en el término de treinta (30) días hábiles, contado a partir de la implementación de cualquiera de los mecanismos de comunicación descritos en la sección de autorización, el Titular no ha contactado al Responsable o Encargado para solicitar la supresión de sus datos personales en los términos de la presente política, VADEL S.A.S se considerara facultado a continuar realizando el Tratamiento de los datos contenidos en sus bases de datos para la finalidad o finalidades indicadas en la política de Tratamiento de la información, puesta en conocimiento de los titulares mediante tales mecanismos, sin perjuicio de la facultad que tiene el Titular de ejercer en cualquier momento su derecho y pedir la eliminación del dato.

Datos Personales relacionados con la Gestión del Recurso Humano.

Tratamiento de datos antes de la relación contractual y/o laboral:  VADEL S.A.S. tratará los datos personales de sus empleados, contratistas, así como respecto de aquellos que se postulen para vacantes, en tres momentos a saber: antes, durante y después de la relación laboral y/o de servicios.

  1. Tratamiento antes de la relación laboral:  
  1. VADEL S.A.S. informará, de manera anticipada, a las personas interesadas en participar en un proceso de selección, las reglas aplicables al tratamiento de los datos personales que suministre el interesado, así como respecto de aquellos que se obtengan durante el proceso de selección.
  2. VADEL S.A.S., una vez agote el proceso de selección, informará el resultado negativo y entregará a las personas no seleccionadas los datos personales suministrados, salvo que los titulares autoricen la conservación de los mismos en nuestra de base de datos y sea de interés de la organización conservar su información, en caso contrario se dará disposición final a la información.
  3. La información obtenida por VADEL S.A.S. respecto de quienes no fueron seleccionados, resultados de las pruebas sicotécnicas y entrevistas, serán se eliminará cuando este almacenada en formato digital y se destruirá cuando este almacenada en medios físicos, dando así cumplimiento al principio de finalidad.
  4. VADEL S.A.S. cuando contrate procesos de selección de personal con terceros, incluyendo servicios de outsourcing, regulará en los contratos el tratamiento que se deberá dar a los datos personales entregados por los interesados, así como la destinación de la información personal obtenida del respectivo proceso.
  5. Los datos personales e información obtenida del proceso de selección respecto del personal seleccionado para laborar en VADEL S.A.S., serán almacenados en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible.
  6. La finalidad de la entrega de los datos suministrados por los interesados en las vacantes de VADEL S.A.S. y la información personal obtenida del proceso de selección, se limita a la participación en el mismo; por tanto, su uso para fines diferentes está prohibido.
  1. Tratamiento de datos durante la relación contractual.
  1. VADEL S.A.S. almacenará los datos personales e información personal obtenida del proceso de selección de los empleados en una carpeta identificada con el nombre de cada uno de ellos. Esta carpeta física o digital solo será accedida y tratada por el Gestión Humana y con la finalidad de administrar la relación contractual entre VADEL S.A.S. y el empleado.
  2. El uso de la información de los empleados para fines diferentes a la administración de la relación contractual, está prohibido en VADEL S.A.S.
  3. El uso diferente de los datos e información personal de los empleados solo procederá por orden de autoridad competente, siempre que en ella radique tal facultad. Corresponderá a la Gerencia General evaluar la competencia y eficacia de la orden de la autoridad competente, con el fin de prevenir una cesión no autorizada de datos personales.
  1. Tratamiento de datos después de terminada la relación contractual.
  1. Terminada la relación laboral, cualquiera que fuere la causa, VADEL S.A.S. procederá a almacenar los datos personales obtenidos del proceso de selección y documentación generada en el desarrollo de la relación laboral, en un archivo central, sometiendo tal información a medidas y niveles de seguridad altas, en virtud de la potencialidad de que la información laboral pueda contener datos sensibles.
  2. VADEL S.A.S. tiene prohibido ceder tal información a terceras partes, pues tal hecho puede configurar una desviación en la finalidad para la cual fueron entregados los datos personales por sus titulares. Lo anterior, salvo autorización previa y escrita que documente el consentimiento por parte del titular del dato personal.

Tratamiento de datos personales en procesos de contratación.

  1. Los terceros que en procesos de contratación, alianzas y acuerdos de cooperación con VADEL S.A.S., accedan, usen, traten y/o almacenen datos personales de empleados de VADEL S.A.S. y/o de terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta norma, así como las medidas de seguridad que le indique VADEL S.A.S. según el tipo de dato de carácter personal tratado.
  2. Para tal efecto se incluirá la previsión de auditoria respectiva en el contrato o documento que legitima la entrega de los datos personales. VADEL S.A.S. verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad del tratamiento.

Tratamiento de datos personales de Socios.

  1. Los datos e información personal de las personas físicas que llegaren a tener la condición de socio de VADEL S.A.S., se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene tal carácter por disposición legal.
  2. En consecuencia, el acceso a tal información personal se realizará conforme las normas contenidas en el Código de Comercio que regulan la materia.
  3. VADEL S.A.S. solo usará los datos personales de los accionistas para las finalidades derivadas de la relación estatutaria existente.

Tratamiento de datos personales de Proveedores, Suministradores y Clientes.

VADEL S.A.S. solo recaudará de sus proveedores, suministradores y clientes, los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución de contratos, órdenes de compra u otras negociaciones a las que haya lugar. Cuando se le exija a VADEL S.A.S. por naturaleza jurídica la divulgación de datos del proveedor, suministrador, o cliente, persona física consecuencia de un proceso de contratación, ésta se efectuará con las previsiones que den cumplimiento a lo dispuesto en esta política y que prevengan a terceros sobre la finalidad de la información que se divulga.  En consecuencia:

  1. VADEL S.A.S. recolectará de sus proveedores, suministradores y clientes, los datos personales de los empleados de éste, que sean necesarios, pertinentes y no excesivos, que por motivos de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor o suministrados o de los servicios que se presten al cliente.
  2. Los datos personales de empleados de los proveedores, suministradores y clientes recolectados por VADEL S.A.S., tendrá como única finalidad verificar la idoneidad moral y competencia de los empleados; por tanto, una vez verificado este requisito, VADEL S.A.S. podrá devolver tal información al proveedor, suministrador o cliente, salvo cuando fuere necesario preservar estos datos.
  3. Cuando VADEL S.A.S. entregue datos de sus empleados a sus proveedores, suministradores o clientes, estos deberán proteger los datos personales facilitados conforme lo dispuesto en esta norma. Para tal efecto se incluirá la previsión de auditoria respectiva en el contrato o documento que legitima la entrega de los datos personales. VADEL S.A.S. verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad que fundamente la solicitud de acceso a los mismos.

Tratamiento de datos personales de la comunidad en general.

  1. La recolección de datos de personas físicas que VADEL S.A.S. trate en desarrollo de acciones relacionadas con la comunidad, bien sea consecuencia de responsabilidad social empresarial o de cualquiera otra actividad, se sujetará a lo dispuesto en esta norma. Para el efecto, previamente VADEL S.A.S. informará y obtendrá la autorización de los titulares de los datos en los documentos e instrumentos que utilice para el efecto y relacionados con estas actividades.
  2. En cada uno de los casos antes descritos, las áreas de la organización que desarrollen los procesos de negocios en los que se involucren datos de carácter personal, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectiva la política aquí adoptada, además de prevenir posibles sanciones legales.

PROHIBICIONES

En desarrollo de esta política de seguridad de la información personal de VADEL S.A.S., se establecen las siguientes prohibiciones y sanciones como consecuencia de su incumplimiento:

  • VADEL S.A.S. prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible sin autorización del titular del dato personal y/o de VADEL S.A.S.
  • El incumplimiento de esta prohibición por parte de los empleados de VADEL S.A.S. será considerado como falta grave, que podrá dar lugar a la terminación de la relación laboral. Lo anterior, sin perjuicio de las acciones legales a que haya lugar.
  • El incumplimiento de esta prohibición por parte de los proveedores y/o suministradores que contraten con VADEL S.A.S. será considerada como causa grave para dar terminación al contrato, sin perjuicio de las acciones a que haya lugar.
  • En los contratos con los proveedores, suministradores o servicios de outsourcing, donde el objeto contratado tenga relación con datos personales, se especificará la obligatoriedad de cumplir con la presente política de tratamiento de la información y se pactará una previsión en relación con los perjuicios que se pueden llegar a ocasionar a VADEL S.A.S. como consecuencia por el incumplimiento de la misma, incluyendo la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente y negligente del proveedor, suministrador o servicio de outsourcing.
  • VADEL S.A.S prohíbe el uso de medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales de proveedores, clientes, suministradores, empleados, contratistas, así como respecto de aquellos que se postulen a sus vacantes.
  • VADEL S.A.S. prohíbe la cesión, comunicación o circulación de datos personales, sin el consentimiento previo, escrito y expreso del titular del dato o sin autorización de VADEL S.A.S.. La cesión o comunicación de datos personales deberá ser inscrita en el registro central de datos personales de VADEL S.A.S. y contar con la autorización del custodio de la base de datos.
  • VADEL S.A.S. prohíbe el acceso, uso, cesión, comunicación, tratamiento, almacenamiento y cualquiera otro tratamiento de datos personales de carácter. Los datos sensibles que se identifiquen serán informados al titular de los mismos, con el fin de este proceda a eliminarlos; de no ser posible esta opción, VADEL S.A.S. procederá a disponerlos de manera segura de acuerdo los procedimientos internos en materia de seguridad de la información.
  • VADEL S.A.S. prohíbe a los destinatarios de esta política cualquiera tratamiento de datos personales que pueda dar lugar a alguna de las conductas descritas en la ley de delitos informáticos 1273 de 2009. Salvo que se cuente con la autorización del titular del dato y/o de VADEL S.A.S., según el caso.
  • VADEL S.A.S. prohíbe el tratamiento de datos personales de niños y adolescentes menores de edad, salvo autorización expresa de sus representantes legales. Todo tratamiento que se llegare a hacer respecto de los datos de los menores, se deberán asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia.

 

COMPETENCIA DE LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO, MULTAS Y SANCIONES

La Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la ley.

La Superintendencia de Industria y Comercio ejercerá las siguientes funciones:

  • Velar por el cumplimiento de la legislación en materia de protección de datos personales;
  • Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos, la rectificación, actualización o supresión de los mismos;
  • Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva;
  • Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementará campañas pedagógicas para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos;
  • Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la ley 1581 de 2012;
  • Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.
  • Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos;
  • Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y los actos necesarios para su administración y funcionamiento;
  • Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional;
  • Requerir la colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los Titulares fuera del territorio colombiano con ocasión, entre otras, de la recolección internacional de datos personajes;
  • Las demás que le sean asignadas por ley.
  • Procedimiento y sanciones:
  1. La Superintendencia de Industria y Comercio, una vez establecido el incumplimiento de las disposiciones de la presente ley por parte del Responsable del Tratamiento o el Encargado del Tratamiento, adoptará las medidas o impondrá las sanciones correspondientes.
  2. En lo no reglado por la presente ley y los procedimientos correspondientes se seguirán las normas pertinentes del Código Contencioso Administrativo.
  3. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:
  1. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó;
  2. Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar;
  3. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio;
  4. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles;
  5. Las sanciones indicadas sólo aplican para las personas de naturaleza privada. En el evento en el cual la Superintendencia de Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General de la Nación para que adelante la investigación respectiva.
  1. Criterios para graduar las sanciones.

Las sanciones por infracciones a las que se refieren el artículo anterior, se graduarán atendiendo los siguientes criterios, en cuanto resulten aplicables:

  1. La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente ley;
  2. El beneficio económico obtenido por el infractor o terceros, en virtud de la comisión de la infracción;
  3. La reincidencia en la comisión de la infracción;
  4. La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de la Superintendencia de Industria y Comercio;
  5. La renuencia o desacato a cumplir las órdenes impartidas por la Superintendencia de Industria y Comercio;
  6. El reconocimiento o aceptación expresos que haga el investigado sobre la comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.

 

TRANSFERENCIA Y/O TRANSMISIONES DE DATOS A TERCEROS PAÍSES.

Se prohíbe la transferencia y/o transmisión de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios.

Esta prohibición no regirá cuando se trate de:

  • Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia;
  • Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública;
  • Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable;
  • Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
  • Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular;
  • Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • En los casos no contemplados, corresponderá a la Superintendencia de Industria y Comercio, proferir la declaración de conformidad relativa a la transferencia internacional de datos personales. Para el efecto, el Superintendente queda facultado para requerir información y adelantar las diligencias tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.
  • Las transmisiones internacionales de datos personales que se efectúen entre VADEL S.A.S y un encargado para permitir que el encargado realice el tratamiento por cuenta de VADEL S.A.S, no requerirán ser informadas al Titular ni contar con su consentimiento cuando exista un contrato y/o negociación en los siguientes términos:
  1. El contrato y/o negociación suscribe a VADEL S.A.S con los encargados para el tratamiento de datos personales bajo su control y responsabilidad y señala los alcances del tratamiento, las actividades que el encargado realizará por cuenta de VADEL S.A.S para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y con VADEL S.A.S.
  2. Mediante dicho contrato y/o negociación el encargado se comprometerá a dar aplicación a las obligaciones de VADEL S.A.S bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.
  3. Además de las obligaciones que impongan las normas aplicables dentro del citado contrato y/o negociación, el encargado deberá dar Tratamiento, a nombre de VADEL S.A.S, a los datos personales conforme a los principios que los tutelan, garantizar la seguridad y confidencialidad de los datos personales que le sean suministrados.

MARCO LEGAL

Los decretos, leyes y sentencias pertinentes al presente apartado establecen el marco legal que faculta a VADEL S.A.S para el ejercicio de sus funciones en materia de seguridad y protección de la información y los datos personales;

  • Artículo 15 y 20 de la Constitución Política de Colombia
  • Ley 527 de 1999
  • Ley 1266 de 2008
  • Ley 1273 de 2009
  • Decreto 1727 de 2009
  • Decreto 2952 de 2010
  • Ley 1581 de 2012
  • Decreto 886 de 2014
  • Decreto 1377 de 2013
  • Decreto 1074 de 2015.
  • Decreto 1759 de 2016.

 

DATOS DE RESPONSABLE DEL TRATAMIENTO

  • Razón social: VADEL S.A.S
  • Dirección: Transversal 59 B No. 128ª–16
  •  
  • Correo Electrónico: habeas.data@vadel.com
  • Teléfono: en Bogotá (571) 5166990
  • Página web: www.vadel.com

VIGENCIA

Esta política ha sido aprobada mediante decisión adoptada por VADEL S.A.S., el día 09 de junio de dos mil diecisiete (2017).