MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE
El presente manual tiene como objeto informar a los GRUPOS DE INTERÉS Y en general a todas las personas que hayan facilitado o que en el futuro faciliten sus datos personales a IMPACTHUBMED S.A.S. – La Empresa, sobre la política de tratamiento de los datos personales y permitir a los titulares de los datos personales ejercer su derecho de habeas data, estableciendo el método necesario que estos deben seguir si desean conocer, actualizar, rectificar o suprimir los datos que se encuentren en nuestras bases de datos y/o archivos.
IMPACTHUBMED S.A.S., identificada con Nit. 901.226.797-0, con domicilio principal en la ciudad de Medellín en la dirección Calle 30 No. 55 – 198 y, en adelante, denominada como “La Empresa”, en el rol de responsable o encargada del tratamiento de los datos personales, está comprometida con el adecuado tratamiento de los datos de sus empleados, los clientes, los proveedores y los terceros. Por lo tanto, en el presente documento se articulan los procedimientos y actividades que involucran el tratamiento de los datos personales, los cuales están alineados con las normas y directrices que lo regulan.
IMPACTHUBMED S.A.S., como responsable del tratamiento de datos personales, podrá suscribir alianzas o convenios para el desarrollo de su objeto social, y encargar a otras entidades o personas del tratamiento de los datos personales de los cuales sea responsable para lo cual obtendrá el consentimiento previo, informado y expreso de los titulares de los datos, garantizando de esta manera los derechos a la protección de los datos.
Con el propósito de dar un adecuado tratamiento a los datos personales, La Empresa ha identificado el siguiente marco normativo que articula las disposiciones de protección de los datos personales, su confidencialidad y los derechos de los titulares:
- Constitución Política de 1991: En su artículo 15 la Constitución establece lo siguiente: “(…) Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución (…)”.
- El Decreto 1377 de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”.
- Ley 1581 de 2012: Por la cual se dictan las disposiciones generales para la protección de datos personales.
- Decreto Reglamentario 886 De 2014: por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos.
- En general, para la aplicación e interpretación del presente manual, cuando fuere procedente, se aplicarán las demás normas que regulen o complementen lo concerniente a la protección de datos personales.
De acuerdo con lo establecido en el artículo 3 de La Ley de Protección de Datos, se entenderá por:
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
- Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato, generado por el responsable del Tratamiento que se pone a disposición del Titular para el Tratamiento de sus datos personales. A través de este, se comunica al Titular de la información la existencia de las políticas aplicables para el tratamiento de sus datos personales, junto con la forma como acceder a las mismas y las características del tratamiento de los datos personales.
- Dato personal: Se trata de cualquier información vinculada o que pueda asociarse a una persona determinada, como su nombre o número de identificación, o que puedan hacerla determinable, como sus rasgos físicos.
- Dato público: Es uno de los tipos de datos personales existentes. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad de Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
- Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión
PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS
La Empresa está comprometida con el adecuado tratamiento de los datos personales, por lo cual, en todas las actividades que tengan manejo de datos personales, se deberá garantizar la aplicación de los siguientes principios, los cuales se encuentran alineados con los establecidos en el artículo 4 de la Ley 1581 de 2012:
- Legalidad: En todo el proceso de tratamiento de los datos personales, desde el momento de su captura, almacenamiento y eliminación, se debe cumplir con las disposiciones normativas, empleando los datos para fines que estén bajo la ley y a las disposiciones reglamentarias que la desarrollen.
- Finalidad: El Tratamiento debe obedecer a una finalidad legítima y esta siempre debe ser informada al Titular.
- Libertad: La recolección, almacenamiento y tratamiento de los datos personales solo puede realizarse con la autorización previa y expresa del titular, quien debe ser informado sobre el tratamiento que se les dará a sus datos personales. La divulgación o socialización de los datos personales sin la previa autorización, o sin una disposición legal que lo habilite, está prohibido.
- Veracidad o calidad: La Empresa debe promover que los datos personales que estarán sujetos a tratamiento deben ser veraces, exactos, completos y actualizados, pues de lo contrario pueden llevar a inducir a errores en la ejecución de tratamiento para el cual fueron capturados.
- Transparencia: Cualquier titular de información podrá tener acceso, en cualquier momento, a la información sobre sus datos personales tratados por la Empresa.
- Acceso y circulación restringida: El tratamiento de los datos personales solo podrá ser realizado por aquellos que el titular haya efectivamente autorizado, o por las personas habilitadas por las disposiciones legales vigentes.
- Seguridad: Toda la información asociada a los datos personales objeto de tratamiento por parte de la Empresa, deberán protegerse bajo estándares de seguridad adecuados, implementando medidas operativas, técnicas y humanas que eviten su pérdida, adulteración o acceso no autorizado.
- Confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.
IMPACTHUBMED S.A.S., como RESPONSABLE del tratamiento de datos personales, obtiene y obtendrá de los titulares de los datos personales su autorización clara, previa, expresa, informada y libre de vicios e Informará de antemano la finalidad para el tratamiento de los datos personales a los titulares, excepto en los casos expresamente autorizados por la Ley.
IMPACTHUBMED S.A.S., obtendrá la autorización mediante diferentes medios, entre ellos documentos físicos, electrónicos, mensaje de datos, internet, sitios web, o en cualquier otro formato que en todo caso permita el consentimiento del titular o mediante conductas inequívocas a través de las cuales se concluya que de no haberse surtido la misma por parte del titular o la persona legitimada para ello, los datos no se hubieran almacenado o capturado en la base de datos.
IMPACTHUBMED S.A.S., podrá a su vez ser ENCARGADA del tratamiento de datos personales. En ese caso se aplicará también está política y se observarán las obligaciones establecidas en la ley y reglamentos.
IMPACTHUBMED S.A.S., declara que no transfiere ni trasmite datos personales con ENCARGADOS de tratamiento en el exterior.
CASOS EN QUE NO ES NECESARIA LA AUTORIZACIÓN
La Empresa no requerirá Autorización del Titular para el Tratamiento de sus datos personales cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos públicos.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la Ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el Registro Civil de las Personas.
- PRUEBA DE LA AUTORIZACIÓN
La Empresa deberá conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.
TRATAMIENTO DE LOS DATOS PERSONALES
Los datos personales que La Empresa trate, en calidad de Responsable, serán recolectados, almacenados, organizados, usados, circulados, transmitidos, transferidos, actualizados, rectificados, suprimidos, eliminados y en general gestionados de acuerdo y en proporción a las finalidades que tenga cada Tratamiento
FINALIDADES PARA EL TRATAMIENTO DE DATOS PERSONALES
Los datos personales de los Titulares son recolectados, almacenados, usados, y excepcionalmente, puestos en circulación, por la Empresa en desarrollo de su objeto social, con la finalidad de:
- Proveer sus servicios.
- Informar sobre cambios de sus servicios.
- Lograr una eficiente comunicación relacionada con sus servicios, ofertas, alianzas, contenidos, así como los de sus Empresas vinculadas, y facilitar el acceso general a la información de estos.
- Adelantar convenios comerciales, eventos o programas institucionales, directamente o en asocio con terceros.
- Verificar los datos a través de consulta a bases de datos públicas o centrales de riesgos.
- Enviar información sobre actividades desarrolladas por la Empresa o enviar información que se considere de interés a través de diferentes medios.
- Dar cumplimiento a las obligaciones legales de información a los entes administrativos, así como a las autoridades competentes que así lo requieran.
- Compartir con terceros que colaboran con la Empresa y que para el cumplimiento de sus funciones deban acceder en alguna medida a la información.
- Soportar los procesos de auditoría de la Empresa.
- Garantizar una correcta ejecución del contrato que se haya celebrado con el Titular de los datos personales.
- Dar cumplimiento a las obligaciones contraídas con sus clientes, proveedores y empleados.
- Dar correcta ejecución al objeto social de la Empresa.
- Cualquier otra finalidad que llegaré a resultar en desarrollo del contrato o relación comercial o laboral existente entre la Empresa y el Titular.
La información suministrada por el Titular, solo será utilizada para los propósitos aquí señalados y una vez cese la necesidad del Tratamiento de los Datos Personales, los mismos deberán ser eliminados de las bases de datos de la Empresa, salvo que por disposición legal deban ser conservados, o archivados en términos seguros a efectos de solo ser divulgados cuando la Ley así lo exija.
PROCEDIMIENTO PARA EL TRATAMIENTO DE LOS DERECHOS PERSONALES
En cumplimiento de las normas sobre protección de datos personales, IMPACTHUBMED S.A.S. presenta el procedimiento y requisitos mínimos para el ejercicio de sus derechos:
Para la radicación y atención de su solicitud le solicitamos suministrar la siguiente información:
- Nombre completo y apellidos
- Datos de contacto (Dirección física y/o electrónica y teléfonos de contacto),
- Medios para recibir respuesta a su solicitud,
- Motivo(s)/hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información)
- Firma (si aplica) y número de identificación.
El término máximo previsto por la ley para resolver su reclamación es de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, IMPACTHUBMED S.A.S. informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Una vez cumplidos los términos señalados por la Ley 1581 de 2012 y las demás normas que la reglamenten o complementen, el Titular al que se deniegue, total o parcialmente, el ejercicio de los derechos de acceso, actualización, rectificación, supresión y revocación, podrá poner su caso en conocimiento de la Superintendencia de Industria y Comercio —Delegatura para la Protección de Datos Personales
ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS
El procedimiento de consultas y reclamos se ejecutará de acuerdo con los términos incluidos en la ley y acogidos por la Política de Protección de Datos Personales.
Las solicitudes que pueden ser catalogadas como consultas o reclamos pueden llegar por los canales habilitados de protección de datos, los cuales son: [email protected] y [email protected]. Este contendrá como mínimo la identificación del Titular, nombre completo, teléfono y correo electrónico de contacto.
Los tiempos de respuesta de las consultas serán de diez (10) días hábiles desde la fecha de recibo, y de los reclamos serán de quince (15) días hábiles desde su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (8) días hábiles siguientes al vencimiento del primer término
La respuesta a la consulta se dará de manera electrónica al titular interesado al correo electrónico indicado en la solicitud y en esta se suministrará toda la información personal que repose del titular en las bases de datos de IMPACTHUBMED S.A.S. o que esté vinculada con la identificación del Titular.
También se entregará con la respuesta a la consulta prueba(s) de la autorización(es) para el tratamiento otorgado (s) por el titular o en su defecto, prueba de la publicación del aviso de continuidad en el tratamiento de datos personales y/o el aviso de privacidad.
PROCEDIMIENTO PARA LA ATENCIÓN DE RECLAMOS (CORRECCIÓN, ACTUALIZACIÓN O SUPRESIÓN DE DATOS)
El reclamo se formulará mediante solicitud escrita dirigida al área responsable de la atención de peticiones, consultas y reclamos relacionados con el tratamiento de datos personales y se enviará al correo electrónico [email protected] y [email protected]
1. Este contendrá la identificación del titular, el nombre, la dirección, el teléfono, el correo electrónico, la copia del documento de identificación y la descripción de los hechos que dan lugar al reclamo y podrá estar acompañada de los documentos que se quiera hacer valer.
2. Si el reclamo resulta incompleto, se requerirá al interesado al correo electrónico informado, dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas.
3. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
4. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al correo electrónico del interesado.
5. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
6. El término máximo para atender el reclamo será de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al correo electrónico del interesado los motivos de
7. La demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
PROCEDIMIENTO PARA LA REVOCATORIA DE LA AUTORIZACIÓN.
1. La revocatoria se formulará mediante solicitud escrita dirigida al área responsable de la atención de peticiones consultas y reclamos relacionados con el tratamiento de datos personales y se enviará al correo electrónico [email protected] y [email protected]
2. Este contendrá la identificación del titular, el nombre, el teléfono, el correo electrónico y la copia del documento de identificación y se deberá indicar si es total o parcial o para cuál o cuáles fines se revoca la autorización
3. Si la petición de revocatoria resulta incompleta, se requerirá al interesado al correo electrónico informado, dentro de los ocho (8) días siguientes a la recepción de la petición para que subsane las fallas.
4. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de la petición.
5. En caso de que quien reciba la petición de revocatoria no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al correo electrónico del interesado.
6. Una vez recibida la petición completa, se incluirá en la base de datos una leyenda que diga “Revocatoria en trámite”, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que la petición sea decidida.
7. El término máximo para atender la petición será de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender la petición dentro de dicho término, se informará al correo electrónico del interesado los motivos de la demora y la fecha en que se atenderá su petición, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
DERECHOS DE LOS TITULARES:
Como titular de sus datos personales Usted tiene derecho a:
- Acceder de forma gratuita a los datos proporcionados que hayan sido objeto de tratamiento.
- Conocer, actualizar y rectificar su información frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté prohibido o no haya sido autorizado.
- Solicitar prueba de la autorización otorgada por el titular de los datos personales a IMPACTHUBMED S.A.S., salvo cuando expresamente se exceptúe en los términos de la ley 1581 de 2012.
- Ser informado por IMPACTHUBMED S.A.S., o por los encargados del tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en la normatividad vigente.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.
- Acceder en forma gratuita a sus datos personales, que hayan sido objeto de tratamiento por parte de IMPACTHUBMED S.A.S., como responsable del tratamiento de datos personales.
- Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de las niñas y niños y adolescentes.
ÁREA RESPONSABLE DE LA ATENCIÓN DE PETICIONES CONSULTAS Y RECLAMOS RELACIONADOS CON EL TRATAMIENTO DE DATOS PERSONALES
IMPACTHUBMED S.A.S., ha designado a la gerencia, como el responsable de la atención de las consultas, quejas y reclamos, relacionados con el tratamiento de datos personales.
PROCEDIMIENTOS PARA EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES
Los procedimientos que se describen a continuación solo pueden ser ejercidos por el titular, sus causahabientes o representantes, siempre que se acredite previamente la identidad o la representación.
En caso de que los datos personales deban ser objeto de consulta, reclamo (corrección, actualización o supresión), o cuando se advierta un presunto incumplimiento de cualquiera de los deberes contenidos en la ley 1581 de 2012, los titulares podrán presentar un reclamo ante el responsable del Tratamiento o el Encargado del Tratamiento y en especial al área responsable de la atención de peticiones, consultas y reclamos relacionados con el tratamiento de datos personales.
Los titulares de los datos personales o sus representantes, pueden también en cualquier momento revocar la autorización otorgada a IMPACTHUBMED S.A.S., para el tratamiento de sus datos siempre y cuando no lo impida una disposición legal o contractual. Para lo anterior, deberá tenerse en cuenta que la revocatoria del consentimiento puede expresarse de manera total en relación con las finalidades autorizadas, y por lo tanto IMPACTHUBMED S.A.S., deberá cesar cualquier actividad de tratamiento de los datos, y de manera parcial en relación con ciertos tipos de tratamiento, en cuyo caso serán estos sobre los que cesarán las actividades de tratamiento. En este último caso, IMPACTHUBMED S.A.S., podrá continuar tratando los datos personales para aquellos fines en relación con los cuales el titular no hubiera revocado su consentimiento.
DEBERES DEL RESPONSABLE DEL TRATAMIENTO
De conformidad con el art. 17 de la Ley 1581 de 2012, el Responsable del Tratamiento tendrá los siguientes deberes:
- Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Habeas Data.
- Solicitar y conservar, en las condiciones previstas en esta Política y en la Ley, copia de la respectiva autorización otorgada por el Titular.
- Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
- Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado.
- Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
- Tramitar las consultas y reclamos del Titular o los Interesados.
- Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
- Informar al Titular o a los Interesados, previa solicitud, sobre el uso dado a sus datos.
- Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
VIGENCIA
La presente política rige a partir de la fecha de su publicación y deja sin efectos las demás disposiciones institucionales que le sean contrarias. Las bases de datos se mantendrán vigentes mientras ello resulte necesario, para cumplir las finalidades establecidas en el numeral 2 de esta política.
OTRAS DISPOSICIONES
- La Compañía, para el Tratamiento de Datos Sensibles, informará a los Titulares de la información: (i) que por tratarse de este tipo de datos, no está obligado a autorizar su Tratamiento e (ii) informará cuáles datos son Sensibles y la finalidad de su Tratamiento.
- Para efectos del Tratamiento de Datos Personales de niños, niñas y adolescentes, la Compañía responderá y respetará el interés superior de estos y además, asegurará el respeto de sus derechos fundamentales. Adicionalmente, la Compañía solicitará autorización del representante del niño, niña o adolescente a efectos de efectuar el Tratamiento de sus Datos Personales.
- La Compañía recolectará, almacenará, usará o circulará los Datos Personales sobre los que se cuente con la debida autorización, por el término que sea razonable y necesario.