Política de Privacidad y Protección de Datos Personales

LINEAMIENTO INSTITUCIONAL PARA EL TRATAMIENTO GENERAL DE DATOS PERSONALES QUE SE REALICE EN ASOCAÑA.

El presente documento pretende establecer las políticas generales y procedimientos que deberán cumplir los departamentos de ASOCAÑA, frente al tratamiento general de información de tipo personal que se realiza en la asociación.

El objetivo de este lineamiento es generar las políticas generales para el tratamiento de datos personales a los cuales se les efectúa tratamiento al interior de ASOCAÑA para que de esta manera se pueda garantizar la confidencialidad, integridad y disponibilidad de la información a todos y cada uno de los titulares de información de carácter personal.

Para su mayor entendimiento, este documento se divide en SIETE (7) partes así:

1. Elementos que permiten identificar un dato de carácter personal.

2. Definiciones.

3. Derechos de los titulares de los datos de carácter personal.

4. Marco Legal Aplicable.

5. Clasificación de los datos personales según su naturaleza.

6. Políticas para el manejo de los diferentes tipos de datos que se tratan en ASOCAÑA.

7. Deberes que asume ASOCAÑA como responsable de tratamiento de datos personales.

1. ELEMENTOS QUE PERMITEN IDENTIFICAR UN DATO DE CARÁCTER PERSONAL.

Con el fin de ayudar a determinar si la información que posee un área o departamento de ASOCAÑA es un dato personal, deberán tenerse en cuenta los siguientes elementos:

1. Que los datos sean referidos a aspectos exclusivos y propios de una persona natural.

2. Que permita identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos.

3. Que su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita.

4. El tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración, custodia, uso y divulgación.

5. Que la información se encuentre contenida en sus archivos o bases de datos propias.

6. Los datos pueden ser de cualquier tipo, una foto, un archivo de vídeo o sonido, numéricos, textos, etc.

2. DEFINICIONES

Con el objetivo de ayudar a determinar de una forma sencilla el significado del vocablo técnico utilizado frecuentemente en materia de protección de datos personales, todas las áreas de ASOCAÑA deberán entender los siguientes términos así:

2.1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.

2.2. Base De Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

2.3. Consentimiento del titular: Es una manifestación de la voluntad, informada, libre e inequívoca, a través de la cual el titular de los datos de carácter personal acepta que un tercero utilice su información con fines comerciales.

2.4. Consultas: Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado.

2.5. Datos de carácter personal: Se refiere a la información de las personas naturales, relativa tanto a su identidad como a su existencia y ocupaciones.

2.6. Encargado del tratamiento: Es quien manipula los datos de carácter personal, pero no decide cómo, ni con qué fin. Su trabajo es operativo y se hace con base a las indicaciones e instrucciones del responsable del tratamiento.

2.7. Finalidad: La finalidad corresponde a los fines exclusivos para los cuales fue entregada por el titular. Se deberá informar al Titular del dato de manera clara, suficiente y previa acerca de la finalidad de la información suministrada, Cualquier utilización diversa, deberá ser autorizada en forma expresa por el Titular.

2.8. Habeas Data: Es el derecho que todo titular de información tiene de conocer, actualizar, rectificar u oponerse a la información concerniente a sus datos personales. El habeas data confiere un grupo de facultades al individuo para que, en ejercicio de la cláusula general de libertad, pueda controlar la información que de sí mismo ha sido recopilada por una central de información. En este sentido este derecho fundamental está dirigido a preservar los intereses del titular de la información ante el potencial abuso del poder informático.

2.9. Protección de datos de carácter personal: Es un derecho fundamental que tienen todas las personas naturales. Busca la protección de su intimidad y privacidad frente a una posible vulneración por el tratamiento indebido de datos personales capturados por un tercero.

2.10. Reclamo: El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley.

2.11. Responsable Del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

2.12. Sistema de información: Conjunto de elementos orientados al tratamiento y administración de datos e información organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo.

2.13. Tratamiento: Cualquier operación o procedimientos físicos o automatizados que permita captar, registrar, reproducir, conservar, organizar, modificar, transmitir los datos de carácter personal.

2.14. Titular de los datos personales: Es la persona natural cuyos datos personales son objeto de tratamiento por parte de un tercero.

3. DERECHOS DE LOS TITULARES DE DATOS DE CARÁCER PERSONAL.

El derecho de habeas data otorga un grupo de facultades a los titulares de información de carácter personal con el fin de controlar los datos que de esta persona se encuentran en un banco o base de datos y por otro lado para permitir controlar el flujo de sus datos que de esta persona se pueda dar; este grupo de facultades constituye en sí el núcleo esencial del derecho de habeas data los cuales son: 3.1. Derecho de acceso; 3.2. Derecho de rectificación; 3.3. Derecho de cancelación; 3.4. Derecho de oposición.

A continuación se definirán cada uno de estos derechos de tal forma que cada área o departamento de ASOCAÑA deberá entender por los mismos lo siguiente:

3.1. Derecho de acceso: Es el derecho que tiene todo titular de información de carácter personal para conocer los datos personales que figuren en un archivo o base de datos sometidos a tratamiento, determinando su origen , y qué posibles transmisiones o transferencias se han realizado o se prevean realizar en el futuro por parte de responsable del tratamiento.

3.2. Derecho de rectificación: El titular de los datos podrá solicitar al responsable del tratamiento la rectificación de sus datos personales cuando éstos sean inadecuados, incompletos, inexactos o excesivos.

3.3. Derecho de cancelación: Cuando el titular de los datos pueda tener conocimiento que sus datos personales que están siendo tratado por parte de ASOCAÑA son inexactos o incompletos, inadecuados o excesivos, podrá solicitar de la cancelación de los mismos.

3.4. Derecho de oposición: En aquellos casos en que el consentimiento del titular para el tratamiento de sus datos no resulte necesario, éste podrá oponerse a dicho tratamiento cuando existan motivos fundados y legítimos.

4. MARCO LEGAL APLICABLE

La información es uno de los activos más importantes con los que cuenta una organización moderna. Dentro de los diferentes tipos de información que existen al interior de una organización, hay una que tiene una relevancia particular, ya que hace referencia a los datos de las personas.

El fundamento es la normatividad vigente en Colombia en materia de protección de datos personales, la cual está conformada por:

o Constitución Política, Art. 15 y Art. 20.

o Ley 1266 de 2008.

o Sentencia C-1011-2008.

o Ley 1273 de 2009

o Decretos reglamentarios 1727 de 2009 y 2592 de 2010.

o Ley 1581 de 2012.

o Sentencia C-748 de 2011.

o Decreto 1377 de 2013.

o Decreto 886 de 2014.

El Gobierno Nacional promulgo la Ley 1581 de 2013 por la cual se dictaron disposiciones generales en materia de protección de datos personales; esta norma regula el derecho fundamental de habeas data y determina todos y cada uno de los principios aplicables al momento de realizar tratamiento a los datos personales.

La Ley 1581 de 2012 es una norma de carácter estatutario, una ley de especial jerarquía que tiene como fin último el proteger los derechos y deberes fundamentales, así como establecer la obligación para todas las entidades de implementar los procedimientos, medios tecnológicos, organizacionales y legales que sean necesarios para asegurar que el tratamiento que se realiza de los datos personales se ajusten a la legalidad.

La ley otorga a todas las personas el derecho a conocer la información que sobre ella se recoge en bases de datos y/o archivos, lo que trae como consecuencia jurídica la capacidad que tienen todas estas de acceder a su información, además de poder rectificar, actualizar y suprimir sus datos.

5. CLASIFICACIÓN DE LOS DATOS PERSONALES SEGÚN SU NATURALEZA

El criterio para clasificar los datos de carácter personal, es la confidencialidad, toda vez que esta indicará grado de secreto que tengan los datos asociados por su propia naturaleza y si clasificación se realizará a partir del mayor o menor grado de aceptabilidad de la divulgación.

Podemos decir que los datos según su naturaleza se clasifican en cuatro (4) categorías, entendidas como dato público, privado, semiprivado y sensible. A continuación, la descripción de cada una de las mencionadas categorías:

5.1. Dato público: Es el dato calificado todos aquellos datos que no sean semiprivados o privados, y serán considerados como tales, entre otros, los datos contenidos en documentos públicos, cuya protección no se encuentra relacionada con el ámbito de protección del derecho a la intimidad, sino que recae dentro del ejercicio amplio del derecho a recibir información

5.2. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

5.3. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.

5.4. Dato Sensible: Es aquel dato personal de especial protección, por cuanto afecta la intimidad del titular y su tratamiento puede generar discriminación. No puede ser objeto de tratamiento a menos que sea requerido para salvaguardar un interés vital del titular o este se encuentre incapacitado y su obtención haya sido autorizada expresamente.

6. POLÍTICAS PARA EL MANEJO DE LOS DIFERENTES TIPOS DE DATOS QUE SE TRATAN EN ASOCAÑA.

Cada trabajador de ASOCAÑA, que dentro de las funciones propias de su cargo requieran realizar la tratamiento de datos de carácter personal, deberá conocer las finalidades de tratamiento autorizadas por parte del titular de los mismos, así como reconocer el ámbito de tratamiento de los mismo. A su vez, cada trabajador deberá estar consiente que un uso indebido o sin mediar el consentimiento real y efectivo, conllevará situaciones que comprometerán la responsabilidad de ASOCAÑA frente a los titulares de información personal, pues se configurará una violación del derecho a la protección de datos del cual es titular.

Es así como a continuación presentamos una guía para que se pueda tener claridad sobre el manejo de datos personales según su naturaleza y clasificación.

6.1. Manejo de datos públicos: Tal como su nombre lo indica, este tipo de datos es de carácter público y no representa un riesgo el tratamiento de los mismos sin autorización por parte de ASOCAÑA.

Estos datos deben ser tratados conforme a lo indicado en el principio de acceso y circulación restringida, su acceso debe ser controlado y restringido por quien ostenta las veces de responsable del tratamiento. Es así como se debe tener en cuenta que por el hecho de ser datos públicos no sugiere que su disponibilidad sea de fácil acceso o masiva.

Se debe tener en cuenta conforme a dicho principio de acceso y circulación restringida, los datos no podrán estar ponerse a disposición del publico en general, disponibles en internet, ni divulgados en medios de comunicación masiva. Su acceso siempre debe ser controlado y restringido por quien ostenta las veces de responsable del tratamiento, es decir ASOCAÑA.

6.2. Manejo de los datos semiprivados y privados: Los datos privados y semiprivados que se traten al interior de ASOCAÑA deberán ser tratados conforme a las finalidades para las cuales se captaron conforme a lo estipulado en el aviso de privacidad de la asociación.

6.2.1. Datos de los trabajadores: Para tener claridad de cómo se deben manejar los datos de los trabajadores actuales, futuros, directos o indirectos, se requiere consultar el lineamiento para el departamento de gestión humana y seguridad, pues allí se encuentra el detalle de las consideraciones que se deben tener en cuenta para este tratamiento particular. (Documento entregado por esta firma consultora).

6.2.2. Datos de los contratistas y terceros: Sus datos deberán ser tratados y actualizados conforme a las finalidades estipuladas en el aviso de privacidad y las relaciones contractuales con cada uno deberán ser formalizadas en atención a lo estipulado en el lineamiento institucional de contratación con terceros.

6.2.3. Datos sensibles: Los datos sensibles, para el caso de ASOCAÑA, los que a la fecha son tratados corresponden a datos de menores de edad y datos biométricos, los cuales deberán ser tratados conforme a lo estipulado en el lineamiento institucional de tratamiento de datos sensibles entregado por esta firma consultora.

7. DEBERES QUE ASUME ASOCAÑA COMO RESPONSABLE DE TRATAMIENTO DE DATOS PERSONALES.

Dentro de los principales deberes y obligaciones que conlleva la Ley 1581 de 2012 para ASOCAÑA podemos encontrar:

7.1. Informar al titular de los datos de carácter personal sobre la finalidad de la captura de sus datos.
7.2. Conservar la información de carácter personal bajo condiciones de seguridad. Dichas medidas no se encuentran establecidas por la norma, lo cual nos lleva a aplicar las mismas dependiendo del volumen, trafico, y tipo de datos que se encuentren en las bases de datos de ASOCAÑA.
7.3. Actualizar la información que se le suministre a los diferentes encargados del tratamiento de la información.
7.4. Rectificar la información a solicitud del titular de la información o cuando la misma no sea correcta.
7.5. Entregar a los diferentes encargados del tratamiento de la información personal únicamente los datos cuyo tratamiento se encuentre previamente autorizado por parte del titular.
7.6. Atender y tramitar las consultas, accesos y reclamos formulados por los titulares de la información personal.
7.7. Adoptar un manual de políticas y procedimientos para atender consultas y reclamos en materia de protección de datos personales por parte de los titulares de información.
7.8. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad o cuando existan o persistan riesgos en el tratamiento y/o administración de las bases de datos donde se encuentren datos de carácter personal.
7.9. Clasificar los datos de tipo sensible e implementar formatos de captación especiales para este tipo de datos.
7.10. Implementar medidas de seguridad administrativas, tecnológicas y legales que sean necesarias.