MANUAL
Y POLÍTICA DE
PROTECCIÓN DE DATOS DE PRODUCTO GRESST de ARANEA SOFTWARE S.A.S. C.I.-
A través de este documento, ARANEA SOFTWARE S.A.S. C.I., establece el Manual de protección de datos – MPD del
producto GRESST atendiendo al desarrollo de su objeto social, los
servicios prestados y los usuarios del mismo. La mera
utilización del producto GRESST o los servicios que este pone a su disposición, cualquiera de
ellos, se considera una aceptación expresa de cada una de las cláusulas que se
encuentran a continuación de la presente; si usted no está de acuerdo con el
uso concedido o el servicio ofrecido, por favor absténgase de utilizar o solicitar la prestación de los servicios que GRESST le ofrece.
El presente documento se
encuentra vinculado con los términos y
condiciones generales de funcionamiento de la plataforma GRESST, por lo que forman parte integral de las políticas de
funcionamiento de la misma.
Para todos los efectos
legales, el responsable de la prestación del servicio ARANEA SOFTWARE S.A.S.
C.I., sociedad comercial con
domicilio en la ciudad de Bogotá D.C.
en la República de Colombia, identificada con NIT No. 900451321-9 en adelante LA
COMPAÑÍA, es la titular de los derechos patrimoniales de autor derivados de
la intermediación en la clasificación,
almacenamiento, recolección, transporte, transferencia, tratamiento,
transformación, reciclaje, disposición y aprovechamiento de los residuos
generados de una labor sin importar su origen y demás actos anexos o
complementarios con el mismo objeto social
y es quien a través de su equipo se encarga de prestar cada uno de los
servicios ofrecidos por medio de aquella.
En caso de que se presente un inconveniente, duda o sugerencia con el
uso de la plataforma GRESST
o del presente Manual de Protección de Datos,
puede dirigir un correo electrónico con la solicitud y datos de contacto al
correo electrónico info@gresst.com.
ALCANCE
La Política de GRESST será aplicable a todas las Bases de Datos y/o Archivos que contengan
Datos Personales que sean objeto de Tratamiento por parte de
nosotros (en adelante “LA COMPAÑÍA”).
1. MARCO NORMATIVO
- Ley 1581
de 2012 mediante la cual se expidió el Régimen General de Protección de Datos
Personales.
- Decretos
y circulares externas que reglamenten la norma indicada en el numeral anterior.
- Sentencia
de Constitucionalidad C–748 de 2011 mediante la cual se declaró exequible el
Proyecto de Ley Estatutaria de Protección de Datos Personales.
2.
DESARROLLO
DE LA POLÍTICA
GRESST integra
en todas sus actuaciones el respeto por la protección de datos personales,
motivo por el cual, solicitará desde el ingreso del dato, autorización para el
uso de la información que reciba.
GRESST
vela por
el cumplimiento de los principios establecidos en la ley y atenderá en sus
acciones y manejo de información de datos personales las finalidades que se
deriven de los mismos.
GRESST
implementará las estrategias y acciones necesarias para dar efectividad
al derecho consagrado en la ley estatutaria 1581 de 2012 y demás normativa que
la complemente, modifique o derogue.
GRESST
informará
a todos sus usuarios sobre los derechos que se deriven de la protección de
datos personales.
3.
DESTINATARIOS
La presente Norma se aplicará y
por ende obligará a las siguientes personas:
ü Representante
legal.
ü Personal
interno de ARANEA SOFTWRE
S.A.S. C.I.- GRESST, directivos o no, que custodien y traten bases de
datos de carácter personal.
ü Proveedores y personas naturales o jurídicas que presten sus
servicios a ARANEA
SOFTWARE S.A.S. C.I.- GRESST bajo
cualquier tipo de modalidad contractual, en virtud de la cual se efectúe
cualquier tratamiento de datos de carácter personal.
ü Esta
previsión deberá incluirse en todos los contratos.
ü Clientes que hagan uso de los servicios que ofrece LA COMPAÑÍA y el
tratamiento de éstos será manejado por el sistema GRESST.
ü Aquellas
otras personas con las cuales exista una relación legal de orden estatutario,
contractual, entre otras.
ü Personas
públicas y privadas en condición de usuarios de los datos personales.
ü Las demás
personas que establezca la ley.
4.
DEFINICIONES
Aviso de privacidad: Comunicación verbal o escrita generada por
LA COMPAÑÍA, dirigida al titular
para el tratamiento de sus datos personales, mediante la cual se le informa
acerca de la existencia de las políticas de tratamiento de información que le
serán aplicables, la forma de acceder a las mismas y las finalidades del
tratamiento que se pretende dar a los datos personales.
Autorización: Consentimiento
previo, expreso e informado del Titular para llevar a cabo el Tratamiento de
datos personales.
Base de Datos: Conjunto organizado de datos personales que sea
objeto de Tratamiento.
Base de datos automatizada: Es el
conjunto organizado de datos de carácter personal que son creados, tratados y/o
almacenados a través de programas de ordenador o software.
Base de datos no automatizada: Es el
conjunto organizado de datos de carácter personal que son creados, tratados y/o
almacenados de forma manual, con ausencia de programas de ordenador o software.
Cesión de datos:
Tratamiento de datos que supone su revelación a una persona diferente al
titular del dato o distinta de quien está habilitado como cesionario.
Custodio de la base de datos: Es la
persona natural que tiene bajo su custodia la base de datos personales al
interior de LA COMPAÑÍA.
Dato personal: Cualquier información vinculada o que pueda
asociarse a una o varias personas naturales determinadas o determinables.
Dato personal privado: Es una categoría de datos de carácter personal que solo es relevante para su
titular, entre los que se podrían encontrar fotografías, videos, datos
relacionados con su estilo de vida, entre otros.
Dato personal semiprivado: Es una categoría de datos de carácter personal que no tiene naturaleza
íntima, reservada, ni pública y cuyo conocimiento interesa al titular y a
cierto sector o grupo de personas o a la sociedad en general, entre los cuales se podrían encontrar datos financieros y
crediticios, dirección, teléfono, correo electrónico, entre otros.
Dato personal público: Es una categoría de datos de carácter personal que,
calificado como tal en la ley, que no es semiprivado, privado o sensible, entre los
cuales se podrían encontrar los datos relativos al
estado civil de las personas, su profesión u oficio, su calidad de comerciante
o servidor público y aquellos que pueden obtenerse sin reserva alguna, entre
otros.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, realice el Tratamiento de datos personales
por cuenta del Responsable del Tratamiento.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento
de los datos.
Habeas Data: Derecho fundamental de toda persona para
conocer, actualizar, rectificar y/o cancelar la información y datos personales
que de ella se hayan recolectado y/o se traten en bases de datos de LA COMPAÑÍA,
conforme lo dispuesto en la ley y demás normatividad aplicable.
Titular: Persona
natural cuyos datos personales sean objeto de Tratamiento.
Tratamiento: Cualquier
operación o conjunto de operaciones sobre datos personales, tales como la
recolección, almacenamiento, uso, circulación o supresión.
Dato sensible: Información
que afecta la intimidad del titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico, la
orientación política, las convicciones religiosas o filosóficas, la pertenencia
a sindicatos, organizaciones sociales, de derechos humanos o que promueva
intereses de cualquier partido político o que garanticen los derechos y
garantías de partidos políticos de oposición así como los datos relativos a la
salud, a la vida sexual y los datos biométricos, entre otros, la captura de
imagen fija o en movimiento, huellas digitales, fotografías, iris,
reconocimiento de voz, facial o de palma de mano, etc.
5. TRATAMIENTO Y FINALIDAD A
LA CUAL SERÁN SOMETIDOS LOS DATOS SUMINISTRADOS POR EL TITULAR
GRESST solo
recaudará de sus usuarios los datos que sean necesarios, pertinentes y no
excesivos para la finalidad establecida.
Los datos personales de los
titulares con los que cuenta GRESST serán tratados con los siguientes
fines:
·
Realizar invitaciones a eventos y ofrecer nuevos productos o servicios.
·
Gestionar trámites de solicitudes, quejas o reclamos.
Información sobre proveedores:
ü
Para
creación en el sistema contable.
ü
Conocer
tipo de razón social para temas tributarios y medios magnéticos.
ü
Inscripción
de las cuentas bancarias para pagos transferencias.
ü
Conocer
ubicación física de la empresa para visitas de inspección por parte del área de
calidad.
ü
Conocer la
solidez de la empresa con sus estados financieros.
ü
Aclarar en
el formulario el plazo de crédito otorgado por el proveedor.
ü
Envío de
órdenes de compra a los correos electrónicos registrados.
ü
Notificaciones
por parte de GRESST hacia el proveedor que competen cierres y horarios de
atención entre otros.
ü
Realizar
invitaciones a eventos y ofrecer nuevos productos o servicios.
ü
Gestionar
trámites de solicitudes, quejas o reclamos.
Información de Clientes:
ü
Implementar
estrategias de mercadeo.
ü
Crear el
cliente en sistema contable para fines tributarios y de reportes a medios
magnéticos y todo lo relacionado con la DIAN.
ü
Avisos
importantes que surjan durante la relación comercial como horarios de apertura,
cierres por vacaciones colectivas, tiempos mínimos de órdenes de compra entre
otros.
ü
Aprobación
de créditos.
ü
Finalidades
comerciales, de servicio al cliente y administración de cartera.
ü
Realizar
invitaciones a eventos y ofrecer nuevos productos o servicios.
ü
Gestionar
trámites de solicitudes, quejas o reclamos.
Información de Empleados:
ü
Comunicaciones
oficiales necesarias con los empleados.
ü
Reconocimientos
o actividades sociales y/o laborales establecidas por LA COMPAÑÍA.
ü
Fines
probatorios dentro de procesos disciplinarios y/o judiciales.
ü
Elaboración
de Carnet.
6.
PRINCIPIOS
Legalidad: El
Tratamiento de datos personales será realizado de conformidad a las
disposiciones legales aplicables.
Finalidad: El
tratamiento de datos personales debe obedecer a una finalidad legítima y debe
estar sujeto a lo establecido en la Constitución Política y la Ley. El titular
será informado de manera clara, amplia, suficiente y previa acerca de la
información que sea suministrada.
Libertad: El
tratamiento de datos personales sólo podrá ejercerse con el consentimiento
previo, expreso e informado del titular. Los datos personales no serán
obtenidos o divulgados sin previa autorización o en ausencia de mandato legal o
judicial que exonere el consentimiento.
Veracidad
o Calidad: La información sujeta al tratamiento de datos
personales será veraz, completa, exacta, actualizada, comprobable y
comprensible.
Transparencia: LA
COMPAÑÍA garantiza a los titulares de datos personales el derecho de acceso y
conocimiento de la información de carácter personales que estén siendo tratados
conforme a lo establecido en la Ley.
Acceso y
circulación: De acuerdo con las disposiciones consagradas en la
ley, los datos operados por LA COMPAÑÍA tendrán un acceso y circulación
restringida acorde con la naturaleza de los mismos y
con las autorizaciones realizadas por el Titular.
Seguridad: Los
datos personales sujetos a tratamiento serán manejados adoptando todas las
medidas de seguridad que sean necesarias para su conservación y uso adecuado.
Confidencialidad: Todos los funcionarios que trabajen en LA COMPAÑIA están
obligados a guardar reserva sobre la información personal a la que tengan
acceso con ocasión de su trabajo en LA COMPAÑÍA.
7. DERECHOS DEL TITULAR
Los titulares de los datos de
carácter personal contenidos en bases de datos que reposen en los sistemas de
información de GRESST, tienen los derechos descritos en esta en cumplimiento de las garantías
fundamentales consagradas en la Constitución Política y la ley.
Derecho de acceso: Comprende la facultad del titular
del dato de obtener toda la información respecto de sus propios datos
personales, sean parciales o completos, del tratamiento aplicado a los mismos,
de la finalidad del tratamiento, la ubicación de las bases de datos que
contienen sus datos personales y sobre las comunicaciones y/o cesiones
efectuadas respecto de ellos, sean estas autorizadas o no.
Derecho de actualización: Comprende la facultad del titular del dato de
actualizar sus datos personales cuando estos hayan tenido alguna variación.
Derecho de rectificación: Comprende la facultad del titular
del dato de modificar los datos que resulten ser inexactos, incompletos o
inexistentes.
Derecho de cancelación: Comprende la facultad del titular
del dato de cancelar sus datos personales o suprimirlos cuando sean excesivos,
no pertinentes o el tratamiento sea contrario a las normas, salvo en aquellos
casos contemplados como excepciones por la ley o contractualmente pactados en
contrario.
Derecho a la revocatoria del
consentimiento: El titular de los datos personales tiene el derecho de revocar el
consentimiento o la autorización que habilita a GRESST para un tratamiento con determinada finalidad, salvo en aquellos casos
contemplados como excepciones por la ley o contractualmente pactados en
contrario.
Derecho de oposición: Comprende la facultad del titular
del dato de oponerse al tratamiento de sus datos personales, salvo los casos en
que tal derecho no proceda por disposición legal o por vulnerar intereses
generales superiores al interés particular. La Dirección Jurídica de GRESST, con base en los legítimos
derechos que argumente el titular del dato personal, tomará la decisión pertinente.
Derecho a presentar quejas y
reclamos o a ejercer acciones: El titular del dato personal tiene derecho a presentar ante la
Superintendencia de Industria y Comercio, o la entidad que fuera competente,
quejas y reclamos, así como las acciones que resultaren pertinentes, para la
protección de sus datos. Previo a ello deberá haber agotado el ejercicio de su
derecho frente a GRESST.
Derecho a otorgar autorización
para el tratamiento de datos: El titular del dato tiene derecho a otorgar su autorización, por
cualquier medio que pueda ser objeto de consulta posterior, para tratar sus
datos personales en GRESST.
Excepcionalmente, esta autorización no será
solicitada en los siguientes casos:
ü Cuando
sea requerida por entidad pública o administrativa en cumplimiento de sus
funciones legales, o por orden judicial.
ü Cuando se
trate de datos de naturaleza pública.
ü Cuando
sea tratamiento de información autorizado por la ley para fines históricos, estadísticos
o científicos.
ü Cuando se
trate de datos personales relacionados con el registro civil de las personas.
En estos casos, si bien no se
requiere de la autorización del titular, sí tendrán aplicación los demás
principios y disposiciones legales sobre protección de datos personales.
DEBERES DE GRESST
Cuando GRESST, asuma la calidad de responsable
directo del tratamiento de los datos de los titulares de datos deberá cumplir
los siguientes deberes:
ü Garantizar
a los titulares, en todo tiempo, el pleno y efectivo ejercicio del derecho
Constitucional de Hábeas Data.
ü Solicitar
y conservar, en las condiciones previstas en la presente norma, copia de la
respectiva autorización otorgada por el titular.
ü Informar debidamente
al titular sobre la finalidad de la recolección y los derechos que le asisten
por virtud de la autorización otorgada.
ü Conservar
la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
ü Garantizar
que la información que se suministre al encargado del tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible.
ü Actualizar
la información, comunicando de forma oportuna al encargado del tratamiento,
todas las novedades respecto de los datos que previamente le haya suministrado
y adoptar las demás medidas necesarias para que la información suministrada a
este se mantenga actualizada.
ü Rectificar
la información cuando sea incorrecta y comunicar lo pertinente al encargado del
tratamiento.
ü Suministrar
al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento
esté previamente autorizado de conformidad con lo previsto en la ley.
ü Exigir al
encargado del tratamiento en todo momento respeto a las condiciones de
seguridad y privacidad de la información del titular.
ü Tramitar
las consultas y reclamos formulados en los términos señalados en esta norma y
en la ley.
ü Adoptar
un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
GRESST cumple
con esta obligación a través de la adopción de esta Norma.
ü Informar
al encargado del tratamiento la circunstancia de que determinada información se
encuentra en discusión por parte del titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo.
ü Informar
a solicitud del titular sobre el uso dado a sus datos.
ü Informar
a la autoridad de protección de datos cuando se presenten violaciones a los
códigos de seguridad y existan riesgos en la administración de la información
de los titulares.
ü Cumplir
las instrucciones y requerimientos que imparta la Superintendencia de Industria
y Comercio.
Cuando GRESST realice
el tratamiento por cuenta de un tercero (encargado del tratamiento de los
datos), o legalmente le corresponda suministrarlos, cumplirá los siguientes
deberes:
ü Garantizar
al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas
Data.
ü Conservar
la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
ü Oportunamente
la actualización, rectificación o supresión de los datos en los términos de la
ley.
ü Actualizar
la información reportada por los responsables del tratamiento dentro de los
cinco (5) días hábiles contados a partir de su recibo.
ü Tramitar
las consultas y los reclamos formulados por los titulares en los términos
señalados en esta Norma y en la ley.
ü Adoptar
un manual interno de políticas y procedimientos para garantizar el adecuado
cumplimiento de la ley y, en especial, para la atención de consultas y reclamos
por parte de los Titulares. GRESST
cumple
con dicha obligación a través de la adopción de la presente Norma.
ü Registrar
en la base de datos la leyenda "reclamo de habeas data en trámite" en
relación con la información personal que se discuta o cuestione por los
titulares, acorde con la forma en que se regule en la ley.
ü Insertar
en la base de datos la leyenda "información sobre habeas data en discusión
judicial" una vez notificado por parte de la autoridad competente sobre
procesos judiciales relacionados con la calidad del dato personal.
ü Abstenerse
de circular información que esté siendo controvertida por el titular y cuyo
bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o
por otra autoridad competente.
ü Permitir
el acceso a la información únicamente a las personas que pueden tener acceso a
ella.
ü Informar
a la Superintendencia de Industria y Comercio cuando se presenten violaciones a
los “Códigos de Seguridad” y existan riesgos en la administración de la
información de los titulares. 1) Cumplir las instrucciones y requerimientos que
imparta la Superintendencia de Industria y Comercio.
ü En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en
la misma persona, le será exigible el cumplimiento de los deberes previstos
para cada uno.
8.
CATEGORÍAS ESPECIALES DE DATOS
8.1.
Datos Personales Sensibles
Los datos sensibles son aquellos datos que afectan
la intimidad del titular o cuyo uso indebido puede generar su discriminación,
tales como aquellos que revelen el origen racial o étnico, la orientación
política, las convicciones religiosas o filosóficas, la pertenencia a
sindicatos, organizaciones sociales, de derechos humanos o que promueva
intereses de cualquier partido político o que garanticen los derechos y
garantías de partidos políticos de oposición así como los datos relativos a la
salud, a la vida sexual y los datos biométricos.
GRESST
restringirá el tratamiento de datos personales sensibles a lo estrictamente
indispensable y solicitará consentimiento previo y expreso sobre la finalidad
de su tratamiento.
8.2.
Tratamiento de Datos Personales Sensibles
Se podrá hacer uso y tratamiento de los datos
catalogados como sensibles cuando:
ü El
Titular haya dado su autorización explícita a dicho tratamiento, salvo en los
casos que, por ley, no sea requerido el otorgamiento de dicha autorización.
ü El
tratamiento sea necesario para salvaguardar el interés vital del Titular y este
se encuentre física o jurídicamente incapacitado. En estos eventos, los
representantes legales deberán otorgar su autorización.
ü El tratamiento
se refiera a datos que sean necesarios para el reconocimiento, ejercicio o
defensa de un derecho en un proceso judicial.
ü El
tratamiento tenga una finalidad histórica, estadística o científica, o dentro
del marco de procesos de mejoramiento, siempre y cuando se adopten las medidas
conducentes a la supresión de identidad de los titulares.
8.3.
Datos Personales de Niños, Niñas y Adolescentes
Los menores de edad son Titulares de sus datos
personales y por lo tanto portadores de los derechos correspondientes. De
acuerdo con lo establecido en la Constitución Política y en concordancia con el
Código de la Infancia y la Adolescencia, los derechos de los menores deben ser
interpretados y aplicados de manera prevalente y, por lo tanto, deben ser
observados con especial cuidado. Conforme lo señalado en la Sentencia C-748 de
2011, las opiniones de los menores deben ser tenidas en cuenta al momento de
realizar algún tratamiento de sus datos.
GRESST
se
compromete entonces, en el tratamiento de los datos personales, a respetar los
derechos prevalentes de los menores. Queda proscrito el tratamiento de datos
personales de menores, salvo aquellos datos que sean de naturaleza pública.
9.
CLASIFICACIÓN DE INFORMACIÓN Y DE BASES DE DATOS
Las bases de datos se clasificarán de la siguiente
manera:
9.1.
Bases de datos Confidenciales:
Son bases de datos o ficheros electrónicos con
información confidencial la cual trata el modelo de negocio de GRESST, es el caso de datos financieros, bases de datos
del personal, bases de datos con información sensible sobre directivos,
proveedores etc.
9.2.
Bases de datos con Información Sensible:
Son los datos que afectan la intimidad del Titular
o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen
el origen racial o étnico, la orientación política, las convicciones religiosas
o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de
derechos humanos o que promueva intereses de cualquier partido político o que
garanticen los derechos y garantías de partidos políticos de oposición así como
los datos relativos a la salud, a la vida sexual y los datos biométricos.
En GRESST, el
acceso a este tipo de información es restringido y únicamente será conocido por
un grupo autorizado de funcionarios.
9.3.
Bases de datos con Información Pública:
Son las bases de datos que contienen datos públicos
calificados como tal según los mandatos de la ley o de la Constitución Política
y que no son calificados como datos semiprivados, privados o sensibles. Son
públicos, entre otros, los datos relativos al estado civil de las personas, a
su profesión u oficio, a su calidad de comerciante o de servidor público y
aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos
públicos pueden estar contenidos, entre otros, en registros públicos,
documentos públicos, gacetas y boletines oficiales, sentencias judiciales
debidamente ejecutoriadas que no estén sometidas a reserva.
10. INFORMACIÓN OBTENIDA EN FORMA PASIVA
Cuando se utilizan los servicios contenidos
dentro de los sitios web de ARANEA
S.A.S. C.I., ésta podrá recopilar información en forma
pasiva a través de tecnologías para el manejo de la información, tales como
“cookies”, a través de los cuales se recolecta información acerca del hardware
y el software del equipo, dirección IP, tipo de explorador, sistema operativo,
nombre de dominio, tiempo de acceso y las direcciones de los sitios web de
procedencia; mediante el uso de éstas herramientas no se recolectan directamente
Datos Personales de los usuarios. También se recopilará información acerca de
las páginas que la persona visita con mayor frecuencia en estos sitios web a
efectos de conocer sus hábitos de navegación. No obstante, el usuario de los
sitios web de GRESST tiene
la posibilidad de configurar el funcionamiento de las “cookies”, de acuerdo con
las opciones de su navegador de internet.
11. PROCEDIMIENTO
PARA ATENCIÓN Y RESPUESTA A PETICIONES, CONSULTAS, QUEJAS Y RECLAMOS DE LOS
TITULARES DE DATOS PERSONALES
El Titular de datos de GRESST podrá acceder y consultar su
información personal a través de los siguientes medios que ha dispuesto la
compañía:
ü Correo electrónico info@gresst.com
ü Línea
de Atención al Cliente Usuario 3013353601
Para poder acceder a dicha información, la
COMPAÑÍA realizará, previamente a la solicitud, la verificación de la identidad
del usuario solicitando confirmación de ciertos datos personales que reposan en
la base de datos. Una vez verificada la identidad del titular se le
suministrará toda la información sobre sus datos personales y se podrá realizar
cualquier trámite relacionado con los mismos.
En el caso en que el titular necesite realizar
una consulta adicional o solicite que la información contenida en la base de
datos de GRESST sea
actualizada, rectificada, modificada o suprimida, o considere que hay un
presunto incumplimiento en la protección de sus datos, éste podrá presentar una
consulta/reclamo a través del correo electrónico
info@gresst.com y a la línea de atención al usuario 3013353601. El trámite de respuesta a la
consulta/reclamo presentada por el usuario estará a cargo del área de Atención
al Usuario.
La consulta/reclamo elevado por un titular
deberá, en todos los casos, presentarse por escrito y deberá contener, como
mínimo, los siguientes puntos:
ü Identificación
completa (nombre, dirección de notificación, documento de identificación).
ü Descripción
de los hechos que dan objeto a la consulta/reclamo.
ü Documentos
soportes a los hechos.
ü Vía
por la cual quiere recibir la respuesta a su consulta/reclamo.
En caso de consulta se dará respuesta al
titular dentro de los diez (10) días hábiles siguientes a la radicación de la
solicitud. Cuando no fuere posible atender la misma dentro del anterior
término, se le informará expresando los motivos de la demora y señalando la
fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los
cinco (5) días hábiles siguientes al vencimiento del primer término.
En caso de reclamo se dará respuesta dentro de
los quince (15) días hábiles contados a partir del día siguiente a la fecha de
radicación. Cuando no fuere posible atender el reclamo dentro de dicho término,
se informará los motivos de la demora y la fecha en que se atenderá su reclamo,
la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al
vencimiento del primer término.
Si GRESST no es competente para
resolverlo, dará traslado a quien corresponda en un término máximo de dos (2)
días hábiles e informará de la situación al usuario.
12. SANCIONES
Conforme a lo indicado por la Ley
1581 de 2012 en su Artículo 23, las sanciones por el indebido tratamiento de
datos personales serán:
“Artículo
23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las
siguientes sanciones:
Multas de
carácter personal e institucional hasta por el equivalente de dos mil (2.000)
salarios mínimos mensuales legales vigentes al momento de la imposición de la
sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento
que las originó.
Suspensión
de las actividades relacionadas con el Tratamiento hasta por un término de seis
(6) meses. En el acto de suspensión se indicarán los correctivos que se deberán
adoptar.
c) Cierre
temporal de las operaciones relacionadas con el Tratamiento una vez
transcurrido el término de suspensión sin que se hubieren adoptado los
correctivos ordenados por la Superintendencia de Industria y Comercio.
d) Cierre
inmediato y definitivo de la operación que involucre el Tratamiento de datos
sensibles.”
“Artículo 24. Criterios para graduar las sanciones. Las sanciones por infracciones a las que se
refieren el artículo anterior, se graduarán atendiendo
los siguientes criterios, en cuanto resulten aplicables:
a) La dimensión del daño o peligro a los intereses
jurídicos tutelados por la presente ley;
b) El beneficio económico obtenido por el infractor
o terceros, en virtud de la comisión de la infracción;
c) La reincidencia en la comisión
de la infracción;
d) La resistencia, negativa u obstrucción a la
acción investigadora o de vigilancia de la Superintendencia de Industria y
Comercio;
e) La renuencia o desacato a cumplir las órdenes
impartidas por la Superintendencia de Industria y Comercio;
f) El reconocimiento o aceptación expresos que haga
el investigado sobre la comisión de la infracción antes de la imposición de la
sanción a que hubiere lugar.”
13. AVISO DE POLÍTICA DE DATOS PERSONALES
Se le informa a los Titulares de datos de GRESST, que el aviso de privacidad se
encuentra publicado en la siguiente dirección electrónica: https://www.gresst.com/Documentos/
Manual y Política de Protección de Datos del Producto.html.
14. PROHIBICIONES
De acuerdo a lo
establecido en la Ley 1581 de 2012, GRESST no realizará transferencia de
datos personales de los Titulares a un país que no ofrezca un nivel adecuado de
protección de datos. Para determinar si un país ofrece un nivel adecuado de
protección de datos, dicho país deberá cumplir con los estándares indicados por
la Superintendencia
de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser
inferiores a los que la presente ley exige a sus destinatarios.
Esta prohibición no regirá cuando se trate de:
ü Información
respecto de la cual el Titular haya otorgado su autorización expresa e
inequívoca para la transferencia,
ü Intercambio
de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por
razones de salud o higiene pública,
ü Transferencias
bancarias o bursátiles, conforme a la legislación que les resulte aplicable,
ü Transferencias
acordadas en el marco de tratados internacionales en los cuales la República de
Colombia sea parte, con fundamento en el principio de reciprocidad,
ü Transferencias
necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas
precontractuales siempre y cuando se cuente con la autorización del Titular,
ü Transferencias
legalmente exigidas para la salvaguardia del interés público, o para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
15. VIGENCIA
La presente política de protección de datos
personales de los Titulares de datos de GRESST tendrá vigencia a partir de 1
de diciembre de 2018.