noviembre 4, 2016

Política de Tratamiento de Datos Personales

POLÍTICA DE TRATAMIENTO DE LA INFORMACIÓN
MASIVO DE OCCIDENTE S.A.S.

PRESENTACIÓN

La sociedad MASIVO DE OCCIDENTE S.A.S.., en cumplimiento de lo dispuesto por el Decreto 1377 de 2013, compilado en el Decreto 1074 de 2015, por el cual se reglamenta parcialmente la Ley 1581 de 2012, a través de la cual se expidió el Régimen General de Protección de Datos Personales en Colombia, presenta la política interna para el tratamiento de datos personales, a fin de desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política.

Por tanto, la sociedad MASIVO DE OCCIDENTE S.A.S., está comprometida con la adecuada gestión y protección de los datos personales que llegare a conocer en calidad de responsable en el tratamiento y, en todo caso al amparo de los derechos al hábeas data, la privacidad, la intimidad, el buen nombre y la imagen, bajo los principios de buena fe, legalidad, autodeterminación informática, libertad y transparencia.

CONSIDERACIONES

Esta política se ha elaborado en desarrollo de las disposiciones contenidas en los artículos 15 y 20 de la Constitución Política de Colombia, la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales (Habeas Data)” y el Decreto 1377 del 27 de junio de 2013 del Ministerio de Comercio, Industria y Turismo, compilado en el Decreto Único Reglamentario 1074 de 2015. Sus disposiciones deben entenderse en armonía con estas normas e interpretarse en forma sistemática con ellas.

La presente Política se aplicará única y exclusivamente al tratamiento de los datos de carácter personal que posea y/o que sean compilados por la sociedad MASIVO DE OCCIDENTE S.A.S., a través de sus directivos, colaboradores y terceros contratistas.

Las políticas y procedimientos consignados aplican a las bases de datos que posee actualmente y a aquellas que hacia el futuro conforme o recopile la sociedad MASIVO DE OCCIDENTE S.A.S.

La sociedad MASIVO DE OCCIDENTE S.A.S., conservará indefinidamente los registros de todos sus participantes con el fin de mantener contacto con los mismos y su eliminación en todo caso, de los archivos físicos y/o electrónicos estará sujeta a las disposiciones normativas dadas por el Archivo General de la Nación, y las demás de carácter interno, por las cuales se actualicen y se adopten las Tablas de Retención Documental – TRD.

El objeto de la presente política, está orientada a dar entero cumplimiento a lo preceptuado en el literal k) del artículo 17 de la Ley 1581 de 2012 que hace referencia a la adopción de un manual interno de políticas y procedimientos para garantizar la adecuada atención de reclamos y el adecuado tratamiento de la información.

Las disposiciones de esta política, aplican en lo pertinente a cualquier labor de recolección de información personal desarrollada por la sociedad MASIVO DE OCCIDENTE S.A.S independientemente del fin que persiga dicha recopilación.

CAPÍTULO I
IDENTIFICACIÓN DEL RESPONSABLE Y ENCARGADOS DEL TRATAMIENTO

La sociedad MASIVO DE OCCIDENTE S.A.S, es la persona jurídica que resultó adjudicataria, mediante Resolución No. 6566 del 19 de octubre de 2012, del proceso de licitación pública No. 1 de 2012, adelantada por la Empresa de Transporte Masivo del Valle de Aburrá Limitada –METRO DE MEDELLÍN LTDA.- para contratar por concesión la operación preferencial y no exclusiva del servicio público de transporte masivo de pasajeros en la modalidad de servicios alimentadores al SIT-VA en la cuenca No. 3 del Área Metropolitana del Valle de Aburrá.

De conformidad con las disposiciones normativas contempladas en la Ley 1581 de 2012, sobre el régimen general de protección de datos personales, a cargo de la Superintendencia de Industria y Comercio, tendrán la calidad de responsables del tratamiento de datos personales, las personas naturales o jurídicas, públicas o privadas a las que la sociedad MASIVO DE OCCIDENTE S.A.S les encargue el tratamiento de los mismos. Esto es, tanto las directivas de la sociedad MASIVO DE OCCIDENTE S.A.S , así como sus colaboradores y terceros contratistas, serán responsables de observar, acatar y cumplir las órdenes e instrucciones que de modo particular imparta la sociedad respecto de los datos de carácter personal cuya divulgación o indebido uso pueda generar un perjuicio a los titulares de la misma, en cumplimiento de los derechos contenidos en el artículo 15 de la Constitución Política de Colombia, la Ley 1581 de 2012, la Ley 1273 de 2009 y demás disposiciones normativas para la protección de la información y de los datos personales.

CAPÍTULO II
DEFINICIONES

Las siguientes definiciones, serán implementadas, acogiendo los criterios de interpretación que garanticen una aplicación sistemática e integral.

AUTORIZACIÓN. Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.

AVISO DE PRIVACIDAD. Comunicación verbal o escrita generada por el responsable y dirigida al titular, mediante la cual se le informa sobre la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.

BASE DE DATOS. Conjunto organizado de datos personales que sean objeto de tratamiento.

BASE DE DATOS AUTOMATIZADA. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.

BASE DE DATOS NO AUTOMATIZADA. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software.

DATO PERSONAL. Es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, como el nombre, la edad, el sexo, el estado civil, el domicilio, entre otros. Estos datos pueden almacenarse en cualquier soporte físico o electrónico y ser tratados de forma manual o automatizada.

La Ley 1266 de 2008 define los siguientes tipos de datos de carácter personal:

a) Dato privado: “Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular”.

b) Dato semiprivado: “Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y  cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV” de la Ley 1266.

c) Dato público: “Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados”, de conformidad con la Ley 1266 de 2008. “Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas”.

Adicionalmente, la Ley 1581 de 2012 establece las siguientes categorías especiales de datos personales:

d) Datos sensibles: Son “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.

La Ley 1581 de 2012 prohíbe el tratamiento de datos sensibles con excepción de los siguientes casos: (i) cuando el Titular otorga su consentimiento, (ii) el Tratamiento es necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado, (iii) el tratamiento es efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad, (iv) el Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y (v) el Tratamiento tenga una finalidad histórica, estadística o científica, en este último caso deben adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

e) Datos personales de los niños, niñas y adolescentes: Se debe tener en cuenta que aunque la Ley 1581 de 2012 prohíbe el tratamiento de los datos personales de los niños, niñas y adolescentes, salvo aquellos que por su naturaleza son públicos, la Corte Constitucional precisó que independientemente de la naturaleza del dato, se puede realizar el tratamiento de éstos “siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, niñas y adolescentes y se asegure sin excepción alguna el respeto a sus derechos prevalentes”.

ENCARGADO DEL TRATAMIENTO. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

HABEAS DATA. Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.

PRINCIPIOS PARA EL TRATAMIENTO DE DATOS. Son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho a la información.

PROCEDIMIENTO DE DISOCIACIÓN. Hace referencia a todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

PROPIETARIO DE LA BASE DE DATOS. Dentro de los procesos de negocios de la sociedad MASIVO DE OCCIDENTE S.A.S, es propietaria de la base de datos el área que tiene bajo su responsabilidad el tratamiento de los mismos y su gestión.

RESPONSABLE DEL TRATAMIENTO. Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.

TITULAR DEL DATO PERSONAL. Persona natural cuyos datos personales sean objeto de tratamiento.

TRATAMIENTO DE DATOS: Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre datos personales, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.

USUARIO: Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal.

VIOLACIÓN DE DATOS PERSONALES: Es el delito creado por la Ley 1273 de 2009, contenido en el artículo 269 F del Código Penal Colombiano. La conducta prohibida es la siguiente: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en base de datos, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.”

VIOLACIONES DE LAS MEDIDAS DE SEGURIDAD DE LOS DATOS PERSONALES: Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por la sociedad MASIVO DE OCCIDENTE S.A.S para proteger los datos personales entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la ley. Todo incidente de seguridad que comprometa los datos personales en poder de la sociedad MASIVO DE OCCIDENTE S.A.S, deberá ser informado a la autoridad de control en la materia.

CAPÍTULO III
PRINCIPIOS ORIENTADORES

Los principios que a continuación se mencionan regulan el tratamiento de la información desarrollada por MASIVO DE OCCIDENTE S.A.S, puntualmente frente al almacenamiento, uso y tratamiento de datos personales:

a. LEGALIDAD EN MATERIA DE TRATAMIENTO DE DATOS. El tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.

b. FINALIDAD. El tratamiento de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular.

Así mismo, la sociedad MASIVO DE OCCIDENTE S.A.S, cooperará con las autoridades competentes en materia de protección de datos, para garantizar el cumplimiento de las leyes.

c. LIBERTAD. El tratamiento de datos personales solo puede ejercerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d. VERACIDAD. La información personal sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, en este sentido, se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e. TRANSPARENCIA. En el tratamiento de datos personales debe garantizarse el derecho del titular a obtener del responsable del tratamiento, en cualquier momento y sin restricciones, información sobre la existencia de los datos que le conciernan.

f. ACCESO Y CIRCULACIÓN RESTRINGIDA. El tratamiento de datos personales está sujeto a los límites que se derivan de la naturaleza de los mismos, de las disposiciones de ley y la Constitución.

En este sentido, su tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley. Por lo anterior, los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la ley.

g. SEGURIDAD. La información personal sujeta a tratamiento por el responsable del tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h. CONFIDENCIALIDAD. Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.

i. TRANSFERENCIA: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

j. TRANSMISIÓN: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

CAPÍTULO IV
AUTORIZACIONES

En concordancia con lo previsto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, compilado en el Decreto Único Reglamentario 1074 de 2015, el uso, la recolección y el almacenamiento de datos personales por parte de sociedad MASIVO DE OCCIDENTE S.A.S, debe contar con una autorización donde se manifieste el consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de sus datos personales.

Frente a los datos recolectados antes del 27 de Junio de 2013, la sociedad MASIVO DE OCCIDENTE S.A.S ha optado por usar el mecanismo previsto en el artículo 10 del Decreto Reglamentario 1377 de 2013.

Así mismo, la sociedad MASIVO DE OCCIDENTE S.A.S, pondrá en funcionamiento todos los mecanismos idóneos con el fin de permitir a los titulares otorgar su autorización para el tratamiento de datos personales.

CAPITULO V
DERECHOS DEL TITULAR

El titular de la información recopilada por la sociedad MASIVO DE OCCIDENTE S.A.S, tendrá los siguientes derechos:

1. Acceder a sus datos personales de forma gratuita.

2. Acceder a la prueba de la autorización otorgada para el tratamiento de su información, salvo cuando ésta no sea necesaria.

3. Ser informado, previa solicitud, respecto del uso o finalidad que se le da o se le ha dado a sus datos personales. Igualmente, tendrá derecho a responder o no las preguntas que le sean hechas cuando éstas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

4. Conocer, actualizar y rectificar sus datos personales.

5. Rectificar sus datos personales cuando estos sean inexactos, induzcan a error o cuando su tratamiento esté expresamente prohibido o no haya sido autorizado.

6. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento se ha incurrido en conductas contrarias a la Ley y a la Constitución. No procederá la revocatoria cuando el titular tenga un deber legal o contractual de permanencia en la base de datos.

7. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en las nomas sobre protección de datos.

8. Suministrar sus datos personales solo cuando ha mediado autorización previa y expresa, excepto en aquellos casos donde dicha autorización no sea necesaria.

CAPÍTULO VI
DEBERES DE LA SOCIEDAD MASIVO DE OCCIDENTE S.A.S

En su condición de responsable de la información, la sociedad MASIVO DE OCCIDENTE S.A.S, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad.

En efecto y, de conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012 y sus decretos reglamentarios, son deberes de MASIVO DE OCCIDENTE S.A.S:

1. Garantizar al titular de la información, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

2. Solicitar y conservar, en las condiciones previstas en la citada ley y en la presente política, copia de la respectiva autorización otorgada por el titular.

La autorización del titular no será necesaria cuando se trate de: Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, datos de naturaleza pública, casos de urgencia médica o sanitaria, tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos, datos relacionados con el Registro Civil de las Personas.

La autorización se podrá tener por medio de un documento físico, electrónico, mensaje de datos, Internet, sitio web, o también de manera verbal o telefónica o en cualquier otro formato que permita su posterior consulta a fin de constatar de forma inequívoca que sin el consentimiento del titular los datos nunca hubieran sido capturados y almacenados en medios electrónicos o físicos.

La autorización también se podrá obtener por medio de conductas claras e inequívocas del Titular que permitan concluir que ha dado la autorización.

3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. Las principales, más no únicas finalidades para las cuales MASIVO DE OCCIDENTE S.A.S recolecta datos son:

a) Prestación del servicio de transporte y atención de requerimientos, quejas y reclamos.

b) Encuestas de satisfacción para evaluar la calidad de nuestros servicios y la creación de la estrategia de mejoramiento de la prestación del mismo.

c) Para realizar estudios internos sobre hábitos de consumo, políticas y programas en el marco del SGI, para la divulgación de información institucional.

d) Entrega o recibo de documentos encontrados en el sistema:

    • Para realizar el proceso de devolución de los mismos.
    • Para campañas institucionales, orientadas a la fidelización de usuarios, el posicionamiento e incremento en el uso del Sistema de Transporte, en la modalidad de buses alimentadores.
    • Para acuerdos comerciales, contratación con terceros y suscripción de convenios.
    • Para los procesos de selección de personal, de contratistas y proveedores.
    • Para cumplir obligaciones laborales: para la contratación, para el pago de salarios, para la vinculación al Sistema General de Seguridad Social, para actividades de bienestar laboral, comunicaciones internas y externa, para convenios, desvinculación y, en general, para el cumplimiento de las obligaciones laborales.
    • Para asuntos contractuales: ejecución y liquidación de los contratos suscritos con trabajadores, proveedores, acreedores o clientes.
    • Para actividades de facturación y cartera.
    • Para investigaciones de accidentalidad.
    • Para monitorear y evaluar el servicio y su calidad.

El uso determinado por los fines antes indicados, podrá ejercerse a través de (i) correos electrónicos, (ii) mensajes de texto (SMS) y/o (iii) llamadas telefónicas (celulares o teléfonos fijos) y redes sociales.

4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

5. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible, en los términos informados por el titular.

6. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.

7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.

8. Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley.

9. Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.

10. Tramitar las consultas y reclamos formulados en los términos señalados en la ley.

11. Adoptar un procedimiento interno para garantizar el adecuado cumplimiento de la ley y la presente política y, en especial, para la atención de consultas y reclamos.

Dicho procedimiento dará cuenta de los procesos usados para la recolección, almacenamiento, uso, circulación y supresión de la información.

12. Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

13. Informar a solicitud del titular sobre el uso dado a sus datos.

14. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

15. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

16. Permitir el tratamiento de los datos a aquellos colaboradores que cuenten con el permiso para ello, o quienes dentro de sus funciones tengan a cargo la realización de tales actividades.

17. Definir un administrador de las bases de datos y darle la autorización para realizar el tratamiento necesario y el solicitado por el titular de la información.

18. Tratar como confidenciales los datos personales que no sean públicos, aun, cuando la relación contractual o el vínculo entre el titular del dato personal y la sociedad MASIVO DE OCCIDENTE S.A.S haya finalizado.

19. Eliminar los datos personales cuando su titular lo requiera, siempre que dichos datos no deban permanecer en la base de datos por disposición legal o contractual que así lo exija. En caso de proceder una revocatoria de tipo parcial de la autorización para el tratamiento de datos personales para algunas de las finalidades, la Sociedad MASIVO DE OCCIDENTE S.A.S, podrá seguir utilizando los datos para las demás finalidades respecto de las cuales no proceda dicha revocatoria.

20. Advertir a sus directivos, colaboradores, terceros contratistas o encargados del tratamiento de los datos, que al finalizar su vínculo o relación contractual con la sociedad MASIVO DE OCCIDENTE S.A.S , continúan obligados a mantener la reserva de la información de acuerdo con la normatividad vigente en la materia.

21. Darle publicidad a la presente política, para lo cual debe publicarla, como mínimo, en la página web de la empresa.

22. Modificar la presente política cuando las circunstancias normativas lo exijan.

23. Tener especial cuidado con el tratamiento de los datos personales de los niños, niñas y adolescentes, ya que éstos tienen una especial protección. Por lo tanto, su tratamiento está prohibido, excepto cuando se trate de datos de naturaleza pública, cuando dicho tratamiento responda y respete el interés superior de los menores, y cuando asegure el respeto de sus derechos fundamentales.

24. La sociedad MASIVO DE OCCIDENTE S.A.S, no realizará transferencia de información relacionada con datos personales a países que no cuenten con los niveles adecuados de protección de datos.

25. Hacer el registro de las bases de datos en el Registro Nacional de Bases de Datos –RNBD- administrado por la Superintendencia de Industria y Comercio, o por quien haga sus veces.

26. Orientar para que todos los procesos que construyen bases de datos susceptibles de aplicación de la presente política, reporten y remitan dichas bases de datos al administrador de bases de datos de la sociedad MASIVO DE OCCIDENTE S.A.S

27. Implementar todos los procedimientos y la estructura administrativa necesaria para la adopción real de la presente política.

28. La sociedad MASIVO DE OCCIDENTE S.A.S se abstendrá de tratar datos sensibles, excepto: cuando el titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización; el tratamiento sea necesario para salvaguardar el interés vital del titular y éste se encuentre física o jurídicamente incapacitado, evento en que los representantes legales deberán otorgar su autorización; el tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad, evento en el que los datos no se podrán suministrar a terceros sin la autorización del titular; el tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; el tratamiento tenga una finalidad histórica, estadística o científica, evento en que deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.

29. En desarrollo de los principios de finalidad y libertad, la sociedad MASIVO DE OCCIDENTE S.A.S, solo podrá recolectar y tratar los datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme la normatividad vigente. Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, la sociedad MASIVO DE OCCIDENTE S.A.S, deberá proceder a la supresión de los datos personales en su posesión.

La supresión de los datos personales y las bases de datos en las que se encuentren almacenadas, no podrá superar el plazo de duración de MASIVO DE OCCIDENTE S.A.S

30. Además de los deberes antes descritos en cabeza de MASIVO DE OCCIDENTE S.A.S, y de cualquiera otra persona que asuma su condición de responsable o encargado del tratamiento, de manera complementaria asumirán los siguientes deberes cualquiera que sea su condición:

a. Aplicar las medidas de seguridad conforme la clasificación de los datos personales que trata la Sociedad MASIVO DE OCCIDENTE S.A.S

b. Adoptar procedimientos de recuperación de desastres aplicables a las bases de datos que contengan datos personales.

c. Adoptar procedimientos de Respaldo o Back Up de las bases de datos que contienen datos personales.

d. Auditar de forma periódica el cumplimiento de esta Política por parte de los destinatarios de la misma.

e. Gestionar de manera segura las bases de datos que contengan datos personales.

f. Llevar un registro central de las bases de datos que contengan datos personales que comprenda el historial desde su creación, tratamiento de la información y cancelación de la base de datos.

g. Gestionar de manera segura el acceso a las bases de datos personales contenidos en los sistemas de información, en los que actúe como responsable o encargado del tratamiento.

h. Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales.

i. Regular en los contratos con terceros el acceso a las bases que contengan datos de carácter personal.

31. Las operaciones que constituyen tratamiento de datos personales por parte de MASIVO DE OCCIDENTE S.A.S, en calidad de responsable o encargado del mismo, se regirán por los siguientes parámetros:

a. Datos Personales relacionados con la Gestión del Recurso Humano.

Tratamiento de datos antes de la relación contractual: La sociedad MASIVO DE OCCIDENTE S.A.S, tratará los datos personales de sus colaboradores, contratistas, así como respecto de aquellos que se postulen para vacantes, en tres momentos a saber: antes, durante y después de la relación laboral y/o de servicios.

La sociedad MASIVO DE OCCIDENTE S.A.S informará, de manera anticipada, a las personas interesadas en participar en un proceso de selección, las reglas aplicables al tratamiento de los datos personales que suministre el interesado, así como respecto de aquellos que se obtengan durante el proceso de selección.

MASIVO DE OCCIDENTE S.A.S, una vez agote el proceso de selección, informará el resultado negativo y entregará a las personas no seleccionadas los datos personales suministrados, salvo que los titulares de los datos por escrito autoricen la destrucción de los mismos, cuando el titular del dato no sea seleccionado. La información obtenida por la sociedad MASIVO DE OCCIDENTE S.A.S, respecto de quienes no fueron seleccionados, resultados de las pruebas psicotécnicas y entrevistas, serán eliminados de sus sistemas de información, dando así cumplimiento al principio de finalidad.

La sociedad MASIVO DE OCCIDENTE S.A.S, cuando contrate procesos de selección de personal con terceros regulará en los contratos el tratamiento que se deberá dar a los datos personales entregados por los interesados, así como la destinación de la información personal obtenida del respectivo proceso. Los datos personales e información obtenida del proceso de selección respecto del personal seleccionado para laborar en la sociedad MASIVO DE OCCIDENTE S.A.S, serán almacenados en la carpeta personal, aplicando a esta información niveles y medidas de seguridad altas, en virtud de la potencialidad de que tal información contenga datos de carácter sensible.

La finalidad de la entrega de los datos suministrados por los interesados en las vacantes de la sociedad MASIVO DE OCCIDENTE S.A.S y la información personal obtenida del proceso de selección, se limita a la participación en el mismo; por tanto, su uso para fines diferentes está prohibido.

Tratamiento de datos durante la relación contractual: MASIVO DE OCCIDENTE S.A.S almacenará los datos personales e información personal obtenida del proceso de selección de los colaboradores en una carpeta identificada con el nombre de cada uno de ellos. Esta carpeta física o digital solo será accedida y tratada por el Área de Relaciones Laborales y con la finalidad de administrar la relación contractual entre MASIVO DE OCCIDENTE S.A.S y el colaborador.

El uso de la información de los colaboradores para fines diferentes a la administración de la relación contractual, está prohibido en MASIVO DE OCCIDENTE S.A.S

Tratamiento de datos después de terminada la relación contractual: Terminada la relación laboral, cualquiera que fuere la causa, la sociedad MASIVO DE OCCIDENTE S.A.S, procederá a almacenar los datos personales obtenidos del proceso de selección y documentación generada en el desarrollo de la relación laboral, en un archivo central, sometiendo tal información a medidas y niveles de seguridad altas, en virtud de la potencialidad de que la información laboral pueda contener datos sensibles.

La sociedad MASIVO DE OCCIDENTE S.A.S, tiene prohibido ceder tal información a terceras partes, pues tal hecho puede configurar una desviación en la finalidad para la cual fueron entregados los datos personales por sus titulares. Lo anterior, salvo autorización previa y escrita que documente el consentimiento por parte del titular del dato personal.

b. Tratamiento de datos personales de Accionistas: Los datos e información personal de las personas físicas que llegaren a tener la condición de accionista de la Sociedad MASIVO DE OCCIDENTE S.A.S , se considerará información reservada, pues la misma está registrada en los libros de comercio y tiene el carácter de reserva por disposición legal.

En consecuencia, el acceso a tal información personal se realizará conforme las normas contenidas en el Código de Comercio que regulan la materia.

La sociedad MASIVO DE OCCIDENTE S.A.S, solo usará los datos personales de los accionistas para las finalidades derivadas de la relación estatutaria existente.

c. Tratamiento de datos personales de Proveedores: La sociedad MASIVO DE OCCIDENTE S.A.S, solo recabará de sus proveedores los datos que sean necesarios, pertinentes y no excesivos para la finalidad de selección, evaluación y ejecución del contrato a que haya lugar. Cuando se le exija a la sociedad MASIVO DE OCCIDENTE S.A.S por naturaleza jurídica la divulgación de datos del proveedor persona física consecuencia de un proceso de contratación, ésta se efectuará con las previsiones que den cumplimiento a lo dispuesto en esta norma y que prevengan a terceros sobre la finalidad de la información que se divulga.

La sociedad MASIVO DE OCCIDENTE S.A.S, recolectará de sus proveedores los datos personales de los colaboradores de éste, que sean necesarios, pertinentes y no excesivos, que por motivos de seguridad deba analizar y evaluar, atendiendo las características de los servicios que se contraten con el proveedor. Los datos personales de colaboradores de los proveedores recolectados por la sociedad MASIVO DE OCCIDENTE S.A.S , tendrá como única finalidad verificar la idoneidad moral y competencia de los colaboradores; por tanto, una vez verificado este requisito, la sociedad MASIVO DE OCCIDENTE S.A.S , podrá devolver tal información al proveedor, salvo cuando fuere necesario preservar estos datos.

d. Tratamiento de datos personales en procesos de contratación de terceros: Los terceros que en procesos de contratación, alianzas y acuerdos de cooperación con la sociedad MASIVO DE OCCIDENTE S.A.S , accedan, usen, traten y/o almacenen datos personales de colaboradores de la sociedad MASIVO DE OCCIDENTE S.A.S y/o de terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta norma, así como las medidas de seguridad que le indique la sociedad MASIVO DE OCCIDENTE S.A.S , según el tipo de dato de carácter personal tratado.

Para tal efecto se incluirá la previsión de auditoria respectiva en el contrato o documento que legitima la entrega de los datos personales. La sociedad MASIVO DE OCCIDENTE S.A.S, verificará que los datos solicitados sean necesarios, pertinentes y no excesivos respecto de la finalidad del tratamiento.

e. Tratamiento de datos personales de la comunidad en general: La recolección de datos de personas físicas que MASIVO DE OCCIDENTE S.A.S trate en desarrollo de acciones relacionadas con la comunidad, bien sea consecuencia de responsabilidad social empresarial o de cualquier otra actividad, se sujetará a lo dispuesto en esta Política. Para el efecto, previamente la sociedad MASIVO DE OCCIDENTE S.A.S, informará y obtendrá la autorización de los titulares de los datos en los documentos e instrumentos que utilice para el efecto y relacionados con estas actividades.

En cada uno de los casos antes descritos, las áreas de la organización que desarrollen los procesos de negocios en los que se involucren datos de carácter personal, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectiva la norma aquí adoptada, además de prevenir posibles sanciones legales.

CAPÍTULO VII
PROCEDIMIENTO PARA CONSULTA DE INFORMACIÓN

Los titulares, sus causahabientes, sus representantes legales o en virtud de la estipulación por otro, las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial y los terceros autorizados por el titular o por la Ley, tendrán derecho a solicitarle a la sociedad MASIVO DE OCCIDENTE S.A.S , la información relativa a sus datos personales. La solicitud se sujetará a los términos establecidos en la Ley 1755 de 2015.

Los medios habilitados por MASIVO DE OCCIDENTE S.A.S , para la presentación de consultas podrá efectuarse mediante soporte físico o digital, presentado en la Dirección Administrativa y Logística, ubicada en la Calle 8 B N° 65 – 281, Barrio Campo Amor, Centro de Administración Documental C.A.D., Medellín – Colombia.

CAPÍTULO VIII
PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN.

El Titular, sus causahabientes o representantes o en virtud de la estipulación por otro, que consideren que la información contenida en una base de datos debe ser objeto de acceso, actualización, rectificación, cancelación y oposición, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, o cuando pretenda revocar su autorización, podrán presentar un reclamo ante el responsable del tratamiento el cual será tramitado bajo las siguientes reglas:

El titular del dato y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad, que podrá suministrar por medio físico o digital. En caso de que el titular este representado por un tercero deberá allegar el respectivo poder, el cual deberá tener reconocimiento del contenido ante notario. El apoderado deberá, igualmente, acreditar su identidad en los términos indicados.

La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, sea este físico o digital. La solicitud de ejercicio de los derechos mencionados podrá dirigirse a la dirección principal o al correo electrónico habilitado por la sociedad MASIVO DE OCCIDENTE S.A.S, para el ejercicio del Habeas Data. MASIVO DE OCCIDENTE S.A.S podrá disponer de otros medios para que el titular de los datos personales ejerza sus derechos.

La solicitud de ejercicio de cualquiera de los derechos mencionados contendrá la siguiente información:
1. Nombre del titular del dato personal y de sus representantes, de ser el caso.

2. Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revocatoria del consentimiento. En cada caso la petición deberá estar razonablemente fundamentada para que la sociedad MASIVO DE OCCIDENTE S.A.S, proceda como responsable de la base de datos a dar respuesta.

3. Dirección física y/o electrónica para notificaciones.

4. Documentos que soportan la solicitud.

5. Firma de la solicitud por parte del titular del dato personal.

Si faltare alguno de los requisitos aquí indicados, la sociedad MASIVO DE OCCIDENTE S.A.S, así lo comunicará al interesado dentro de los cinco (5) días siguientes a la recepción de la solicitud, para que los mismos sean subsanados, procediendo entonces a dar respuesta a la solicitud de Habeas Data presentada. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud. MASIVO DE OCCIDENTE S.A.S podrá disponer de formatos físicos y/o digitales para el ejercicio de este derecho y en ellos indicará si se trata de una consulta o de un reclamo del interesado. Dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud MASIVO DE OCCIDENTE S.A.S indicará que se trata de un reclamo en trámite. En la respectiva base de datos (PQRS) se deberá consignar una casilla en la que se indique las siguientes leyendas: “Reclamo en trámite” y “Reclamo resuelto”.

La Sociedad MASIVO DE OCCIDENTE S.A.S, cuando sea responsable de la base de datos personales contenidos en sus sistemas de información, dará respuesta a la solicitud en los términos de la Ley 1755 de 2015. En los mismos términos se pronunciará MASIVO DE OCCIDENTE S.A.S cuando verifique que en sus sistemas de información no tiene datos personales del interesado que ejerce alguno de los derechos indicados.

La Sociedad MASIVO DE OCCIDENTE S.A.S , en los casos que detente la condición de encargado del tratamiento informará tal situación al titular o interesado en el dato personal, y comunicará al responsable del dato personal la solicitud con el fin de que éste dé respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de su derecho.

MASIVO DE OCCIDENTE S.A.S documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes. Esta información será tratada conforme a las normas aplicables a la correspondencia de la organización. Para acudir a la Superintendencia de Industria y Comercio en ejercicio de las acciones legales contempladas para los titulares de datos o interesados, se deberá agotar previamente el trámite de consultas y/o reclamos aquí descrito.

Los medios habilitados por la sociedad MASIVO DE OCCIDENTE S.A.S , para la presentación de reclamos será mediante correo físico el cual podrá ser presentado en la Dirección Administrativa y Logística, ubicada en la Calle 8 B N° 65 – 281, Barrio Campo Amor, Centro de Administración Documental C.A.D., Medellín – Colombia.