LINEAMIENTO
INSTITUCIONAL PARA EL TRATAMIENTO GENERAL DE DATOS PERSONALES QUE
SE REALICE EN ASOCAÑA.
El
presente documento pretende establecer las políticas generales y procedimientos
que deberán cumplir los departamentos de ASOCAÑA,
frente al tratamiento general de información de tipo personal que se
realiza en la asociación.
El objetivo de este lineamiento es
generar las políticas generales para el tratamiento de datos personales a los
cuales se les efectúa tratamiento al interior de ASOCAÑA para que de esta manera se pueda garantizar la
confidencialidad, integridad y disponibilidad de la información a todos y cada
uno de los titulares de información de carácter personal.
Para
su mayor entendimiento, este documento se divide en SIETE (7) partes así:
1. Elementos que
permiten identificar un dato de carácter personal.
2. Definiciones.
3. Derechos de los
titulares de los datos de carácter personal.
4. Marco Legal Aplicable.
5. Clasificación
de los datos personales según su naturaleza.
6. Políticas
para el manejo de los diferentes tipos de datos que se tratan en ASOCAÑA.
7. Deberes
que asume ASOCAÑA como responsable
de tratamiento de datos personales.
1. ELEMENTOS
QUE PERMITEN IDENTIFICAR UN DATO DE CARÁCTER PERSONAL.
Con el fin de
ayudar a determinar si la información que posee un área o departamento de ASOCAÑA es un dato personal, deberán
tenerse en cuenta los siguientes
elementos:
1. Que los
datos sean referidos a aspectos exclusivos y propios de una persona natural.
2. Que permita
identificar a la persona, en mayor o menor medida, gracias a la visión de
conjunto que se logre con el mismo y con otros datos.
3. Que su
propiedad reside exclusivamente en el titular del mismo, situación que no se
altera por su obtención por parte de un tercero de manera lícita o ilícita.
4. El
tratamiento está sometido a reglas especiales (principios) en lo relativo a su
captación, administración, custodia, uso y divulgación.
5. Que la
información se encuentre contenida en sus archivos o bases de datos propias.
6. Los datos
pueden ser de cualquier tipo, una foto, un archivo de vídeo o sonido,
numéricos, textos, etc.
2. DEFINICIONES
Con el objetivo de
ayudar a determinar de una forma sencilla el significado del vocablo técnico
utilizado frecuentemente en materia de protección de datos personales, todas las
áreas de ASOCAÑA deberán entender los siguientes términos
así:
2.1.
Autorización: Consentimiento
previo, expreso e informado del Titular para llevar a cabo el tratamiento de
datos personales.
2.2.
Base De Datos: Conjunto organizado de datos personales que sea
objeto de Tratamiento.
2.3.
Consentimiento del titular: Es una manifestación de la voluntad,
informada, libre e inequívoca, a través de la cual el titular de los datos de
carácter personal acepta que un tercero utilice su información con fines
comerciales.
2.4.
Consultas:
Los Titulares o sus
causahabientes podrán consultar la información personal del Titular que repose
en cualquier base de datos, sea esta del sector público o privado.
2.5.
Datos de carácter personal: Se refiere a la información de las personas
naturales, relativa tanto a su identidad como a su existencia y ocupaciones.
2.6.
Encargado del tratamiento: Es quien manipula los datos de carácter personal,
pero no decide cómo, ni con qué fin. Su trabajo es operativo y se hace con base
a las indicaciones e instrucciones del responsable del tratamiento.
2.7.
Finalidad: La finalidad corresponde a los
fines exclusivos para los cuales fue entregada por el titular. Se deberá
informar al Titular del dato de manera clara, suficiente y previa acerca de la
finalidad de la información suministrada, Cualquier utilización diversa, deberá
ser autorizada en forma expresa por el Titular.
2.8.
Habeas
Data: Es el
derecho que todo titular de información tiene de conocer, actualizar,
rectificar u oponerse a la información concerniente a sus datos personales. El habeas data confiere un grupo de
facultades al individuo para que, en ejercicio de la cláusula general de
libertad, pueda controlar la información que de sí mismo ha sido recopilada por
una central de información. En este sentido este derecho fundamental está
dirigido a preservar los intereses del titular de la información ante el
potencial abuso del poder informático.
2.9.
Protección
de datos de carácter personal: Es
un derecho fundamental que tienen todas las personas naturales. Busca la
protección de su intimidad y privacidad frente a una posible vulneración por el
tratamiento indebido de datos personales capturados por un tercero.
2.10.
Reclamo: El Titular o sus causahabientes que
consideren que la información contenida en una base de datos debe ser objeto de
corrección, actualización o supresión, o cuando adviertan el presunto
incumplimiento de cualquiera de los deberes contenidos en la ley.
2.11.
Responsable Del Tratamiento: Persona
natural o jurídica, pública o privada, que por sí misma o en asocio con otros,
decida sobre la base de datos y/o el
Tratamiento de los datos.
2.12.
Sistema de información: Conjunto
de elementos orientados al tratamiento y administración de datos e información
organizados y listos para su uso posterior, generados para cubrir una necesidad
u objetivo.
2.13.
Tratamiento:
Cualquier operación o procedimientos físicos o automatizados que permita
captar, registrar, reproducir, conservar, organizar, modificar, transmitir los
datos de carácter personal.
2.14.
Titular de los datos personales: Es la persona natural cuyos datos personales son
objeto de tratamiento por parte de un tercero.
3. DERECHOS DE LOS TITULARES DE DATOS DE CARÁCER
PERSONAL.
El derecho de habeas data otorga un
grupo de facultades a los titulares de información de carácter personal con el
fin de controlar los datos que de esta
persona se encuentran en un banco o base de datos y por otro lado para permitir
controlar el flujo de sus datos que de esta persona se pueda dar; este grupo de
facultades constituye en sí el núcleo esencial del derecho de habeas data los
cuales son: 3.1. Derecho de acceso; 3.2. Derecho de rectificación; 3.3. Derecho
de cancelación; 3.4. Derecho de
oposición.
A continuación se definirán cada uno
de estos derechos de tal forma que cada área o departamento de ASOCAÑA deberá
entender por los mismos lo siguiente:
3.1. Derecho de
acceso: Es
el derecho que tiene todo titular de información de carácter personal para conocer los datos personales que figuren
en un archivo o base de datos sometidos a tratamiento, determinando su origen ,
y qué posibles transmisiones o
transferencias se han realizado o se prevean realizar en el futuro por parte de
responsable del tratamiento.
3.2. Derecho de
rectificación: El
titular de los datos podrá solicitar al responsable del tratamiento la rectificación de sus datos personales
cuando éstos sean inadecuados, incompletos, inexactos o excesivos.
3.3. Derecho de
cancelación: Cuando
el titular de los datos pueda tener
conocimiento que sus datos personales que están siendo tratado por parte
de ASOCAÑA
son inexactos o incompletos, inadecuados o excesivos,
podrá solicitar de la cancelación de los mismos.
3.4. Derecho de
oposición: En
aquellos casos en que el consentimiento del titular para el tratamiento de sus datos no resulte
necesario, éste podrá oponerse a dicho tratamiento cuando existan motivos
fundados y legítimos.
4.
MARCO LEGAL APLICABLE
La
información es uno de los activos más importantes con los que cuenta una
organización moderna. Dentro de los
diferentes tipos de información que existen al interior de una organización,
hay una que tiene una relevancia particular, ya que hace referencia a los datos de las personas.
El
fundamento es la normatividad vigente en Colombia en materia de protección de
datos personales, la cual está conformada por:
o
Constitución
Política, Art. 15 y Art. 20.
o
Ley
1266 de 2008.
o
Sentencia
C-1011-2008.
o
Ley
1273 de 2009
o
Decretos
reglamentarios 1727 de 2009 y 2592 de 2010.
o
Ley
1581 de 2012.
o
Sentencia
C-748 de 2011.
o
Decreto
1377 de 2013.
o
Decreto
886 de 2014.
El
Gobierno Nacional promulgo la Ley 1581 de 2013 por la cual se dictaron
disposiciones generales en materia de protección de datos personales; esta
norma regula el derecho fundamental de habeas data y determina todos y cada uno de los
principios aplicables al momento de realizar tratamiento a los datos
personales.
La
Ley 1581 de 2012 es una norma de carácter estatutario, una ley de especial
jerarquía que tiene como fin último el
proteger los derechos y deberes fundamentales, así como establecer la
obligación para todas las entidades de implementar los procedimientos, medios tecnológicos,
organizacionales y legales que sean necesarios para asegurar que el tratamiento
que se realiza de los datos personales se ajusten a la legalidad.
La
ley otorga a todas las personas el derecho a conocer la información que sobre
ella se recoge en bases de datos y/o archivos, lo que trae como consecuencia
jurídica la capacidad que tienen todas estas de acceder a su información,
además de poder rectificar, actualizar y suprimir sus datos.
5.
CLASIFICACIÓN DE LOS DATOS PERSONALES
SEGÚN SU NATURALEZA
El
criterio para clasificar los datos de carácter personal, es la confidencialidad,
toda vez que esta indicará grado de secreto que tengan los datos asociados por
su propia naturaleza y si clasificación se realizará a partir del mayor o menor
grado de aceptabilidad de la divulgación.
Podemos
decir que los datos según su naturaleza se clasifican en cuatro (4) categorías,
entendidas como dato público, privado, semiprivado y sensible. A continuación,
la descripción de cada una de las mencionadas categorías:
5.1. Dato
público: Es el dato
calificado todos aquellos datos que no sean semiprivados o privados, y serán
considerados como tales, entre otros, los datos contenidos en documentos
públicos, cuya protección no se encuentra relacionada con el ámbito de
protección del derecho a la intimidad, sino que recae dentro del ejercicio
amplio del derecho a recibir información
5.2. Dato
privado: Es el dato
que por su naturaleza íntima o reservada sólo es relevante para el titular.
5.3. Dato
semiprivado: Es
semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y
cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a
cierto sector o grupo de personas o a la sociedad en general, como el dato
financiero y crediticio de actividad comercial o de servicios.
5.4. Dato
Sensible: Es aquel
dato personal de especial protección, por cuanto afecta la intimidad del
titular y su tratamiento puede generar discriminación. No puede ser objeto de
tratamiento a menos que sea requerido para salvaguardar un interés vital del
titular o este se encuentre incapacitado y su obtención haya sido autorizada
expresamente.
6.
POLÍTICAS PARA EL MANEJO DE LOS
DIFERENTES TIPOS DE DATOS QUE SE TRATAN EN ASOCAÑA.
Cada
trabajador de ASOCAÑA, que dentro de
las funciones propias de su cargo requieran realizar la tratamiento de datos de
carácter personal, deberá conocer las finalidades de tratamiento autorizadas
por parte del titular de los mismos, así como reconocer el ámbito de
tratamiento de los mismo. A su vez, cada trabajador deberá estar consiente que
un uso indebido o sin mediar el consentimiento real y efectivo, conllevará
situaciones que comprometerán la responsabilidad de ASOCAÑA frente a los titulares de información personal, pues se
configurará una violación del derecho a la protección de datos del cual es
titular.
Es
así como a continuación presentamos una guía para que se pueda tener claridad
sobre el manejo de datos personales según su naturaleza y clasificación.
6.1.
Manejo de datos públicos: Tal como su nombre lo indica, este tipo
de datos es de carácter público y no representa un riesgo el tratamiento de los
mismos sin autorización por parte de ASOCAÑA.
Estos datos deben ser tratados
conforme a lo indicado en el principio de acceso y circulación restringida, su acceso
debe ser controlado y restringido por quien ostenta las veces de responsable
del tratamiento. Es así como se debe
tener en cuenta que por el hecho de ser datos públicos no sugiere que su
disponibilidad sea de fácil acceso o masiva.
Se debe tener en cuenta conforme a
dicho principio de acceso y circulación restringida, los datos no podrán estar ponerse
a disposición del publico en general, disponibles en internet, ni divulgados en
medios de comunicación masiva. Su acceso siempre debe ser controlado y restringido
por quien ostenta las veces de responsable del tratamiento, es decir ASOCAÑA.
6.2. Manejo de los datos semiprivados y
privados: Los
datos privados y semiprivados que se traten al interior de ASOCAÑA deberán ser tratados conforme a las finalidades para las
cuales se captaron conforme a lo estipulado en el aviso de privacidad de la asociación.
6.2.1.
Datos de los trabajadores: Para tener claridad de cómo se deben
manejar los datos de los trabajadores actuales, futuros, directos o indirectos,
se requiere consultar el lineamiento para el departamento de gestión humana y
seguridad, pues allí se encuentra el detalle de las consideraciones que se
deben tener en cuenta para este tratamiento particular. (Documento entregado
por esta firma consultora).
6.2.2.
Datos de los contratistas y terceros: Sus datos deberán ser tratados y
actualizados conforme a las finalidades estipuladas en el aviso de privacidad y
las relaciones contractuales con cada uno deberán ser formalizadas en atención
a lo estipulado en el lineamiento institucional de contratación con terceros.
6.2.3.
Datos sensibles: Los datos sensibles, para el caso de ASOCAÑA, los que a la fecha son
tratados corresponden a datos de menores de edad y datos biométricos, los
cuales deberán ser tratados conforme a lo estipulado en el lineamiento institucional
de tratamiento de datos sensibles entregado por esta firma consultora.
7. DEBERES QUE
ASUME ASOCAÑA COMO RESPONSABLE DE TRATAMIENTO DE DATOS PERSONALES.
Dentro
de los principales deberes y obligaciones que conlleva la Ley 1581 de 2012 para
ASOCAÑA podemos encontrar:
7.1. Informar al titular de los datos de
carácter personal sobre la finalidad de la captura de sus datos. 7.2. Conservar la información de carácter
personal bajo condiciones de seguridad. Dichas medidas no se encuentran
establecidas por la norma, lo cual nos lleva a aplicar las mismas dependiendo
del volumen, trafico, y tipo de datos que se encuentren en las bases de datos
de ASOCAÑA. 7.3. Actualizar la información que se le
suministre a los diferentes encargados del tratamiento de la información. 7.4. Rectificar la información a solicitud
del titular de la información o cuando la misma no sea correcta. 7.5. Entregar a los diferentes encargados
del tratamiento de la información personal únicamente los datos cuyo
tratamiento se encuentre previamente autorizado por parte del titular. 7.6. Atender y tramitar las consultas,
accesos y reclamos formulados por los titulares de la información personal. 7.7. Adoptar un manual de políticas y
procedimientos para atender consultas y reclamos en materia de protección de
datos personales por parte de los titulares de información. 7.8. Informar a la Superintendencia de
Industria y Comercio cuando se presenten violaciones a los códigos de seguridad
o cuando existan o persistan riesgos en el tratamiento y/o administración de
las bases de datos donde se encuentren datos de carácter personal. 7.9. Clasificar los datos de tipo sensible
e implementar formatos de captación especiales para este tipo de datos. 7.10.
Implementar
medidas de seguridad administrativas, tecnológicas y legales que sean necesarias. El titular de los datos podrá conocer, actualizar, rectificar y suprimir la información suministrada, así como su derecho a revocar la autorización suministrada para su tratamiento a ASOCAÑA, a través de los siguientes canales dispuestos para tal propósito: • Correo electrónico: datospersonales@asocana.org • Página Web: www.asocana.org - Contáctenos • Teléfono fijo: (602) 4877902 ext 133 o 134.
|