Política de Tratamiento de Datos Personales e Información

La presente Política de Tratamiento de Datos Personales e Información (en adelante la “Política”), implementa las disposiciones contenidas en la Ley 1.581 de 2012 y en el Decreto 1.377 de 2013 en lo que se refiere exclusivamente a las BASES DE DATOS, archivos e información que contenga datos personales susceptibles de TRATAMIENTO. Los términos definidos en estas normas deben ser entendidos con el significado técnico que en estas se les atribuye.

De esta manera se tiene por OBJETIVO establecer políticas y procedimientos comunes para la protección eficaz de la información personal de los TITULARES de DATOS PERSONALES que puedan ser TRATADOS por CoomÜnity o por su cuenta, y de esa manera proteger todos los Datos que sean considerados como información Personal o Sensible que sean TRATADOS cuando medie AUTORIZACIÓN para tal fin.

Esta política aplica a todo el personal que tenga a su cargo el manejo de Datos que se cataloguen como información Personal, Privada o Sensible. Abarca también a terceros que en virtud de un acuerdo deban manipular o procesar información Personal, Privada o Sensible. En todo caso, esta Política ampara cualquier formato bien sean sistemas, archivos electrónicos, bancos de datos, documentos físicos impresos o escritos, grabaciones, entre otros, que contenga Datos o información de personas naturales.

RESPONSABLE DEL TRATAMIENTO: CoomÜnity S.A.S. es una sociedad por acciones simplificada, constituida y existente de conformidad con las leyes de la República de Colombia, cuyo domicilio es la ciudad de Santiago de Cali, Valle del Cauca, Colombia.

Por facilidad, en estos Términos y Condiciones nos denominaremos simplemente CoomÜnity.

Nuestras oficinas están localizadas en la siguiente dirección:

  • Carrera 72 # 10 Bis – 129
  • Capri
  • Santiago de Cali, Valle del Cauca
  • Colombia

Para efectos de esta Política, podrán ponerse en contacto con Soporte a la Comunidad al siguiente correo electrónico: contacto@coomunity.co.

TRATAMIENTO DE LOS DATOS Y FINALIDAD: El RESPONSABLE DEL TRATAMIENTO, previa autorización de los TITULARES de la información (en caso que sea requerida), puede obtener información de personas naturales, clientes o usuarios, de diferentes fuentes (comercios vinculados, entidades financieras, entidades participantes del sistema de pago, proveedores de servicios de telecomunicaciones, y fuentes propias entre otros). También es posible que el RESPONSABLE DEL TRATAMIENTO tenga una relación directa con personas naturales (empleados, proveedores, etc.), que podrán optar por brindar información personal en conexión con esa relación. Los tipos de DATOS PERSONALES que recolectamos pueden ser datos Públicos, Semiprivados, Privados y Sensibles o de menores de edad, cuando tengamos autorización expresa y una finalidad válida en este sentido.

Los usuarios, clientes, trabajadores y proveedores y en general los TITULARES, autorizan expresamente al RESPONSABLE DEL TRATAMIENTO a confirmar la información personal suministrada acudiendo a entidades públicas, compañías especializadas o centrales de riesgo, a sus contactos o al empleador, así como a sus referencias personales, bancarias o laborales, entre otros. Esta información será tratada por el RESPONSABLE DEL TRATAMIENTO en forma confidencial.

Los DATOS PERSONALES proporcionados al RESPONSABLE DEL TRATAMIENTO serán recolectados, almacenados, usados, analizados, circulados, actualizados y reportados para las siguientes finalidades: (i) como elemento de análisis para establecer y mantener una relación contractual o comercial, cualquiera que sea su naturaleza, (ii) como elemento de análisis para hacer estudios de mercado o investigaciones comerciales o estadísticas, (iii) como herramienta para el ofrecimiento de productos o servicios propios o de terceros, (iv) como herramienta para el inicio de cualquier cobro prejudicial o judicial, (v) para que la información sea compartida, circulada y usada por CoomÜnity, su matriz, filiales y subordinadas, para cualquiera de los fines aquí previstos, (vi) para el adelantamiento de cualquier trámite ante una autoridad pública o una persona o entidad privada, respecto del cual la información resulte pertinente, (vii) para que toda la información referida al comportamiento crediticio, financiero, comercial, de servicios y datos de la misma naturaleza proveniente de terceros países sea consultada, suministrada, reportada, procesada o divulgada, en los términos y condiciones contenidos en la presente Política.

DERECHOS DE LOS TITULARES: El TITULAR de los DATOS PERSONALES tiene los siguientes derechos frente al RESPONSABLE DEL TRATAMIENTO:

1. Conocer, actualizar y rectificar sus DATOS PERSONALES;

2. Solicitar prueba de la Autorización otorgada;

3. Ser informado por el RESPONSABLE DEL TRATAMIENTO previa solicitud, respecto del uso que le ha dado a sus DATOS PERSONALES;

4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1.581 de 2012 y en el Decreto 1.377 de 2013, una vez haya agotado el trámite de consulta o reclamo ante el RESPONSABLE DEL TRATAMIENTO;

5. Revocar la autorización y/o solicitar la supresión del dato cuando en el TRATAMIENTO no se respeten los principios, derechos y garantías constitucionales y legales; y

6. Acceder en forma gratuita a sus DATOS PERSONALES que hayan sido objeto de tratamiento.

PROCEDIMIENTO PARA EJERCER LOS DERECHOS: Los TITULARES de la información podrán ejercer los derechos a conocer, actualizar, rectificar, revocar la autorización mediante el envío de una comunicación a la dirección indicada en la presente Política.

Esta comunicación deberá contener como mínimo lo siguiente:

1. El nombre, domicilio del TITULAR y un medio de contacto para recibir la respuesta como teléfono, correo electrónico, dirección de residencia.

2. Los documentos que acrediten la identidad y la representación el mandatario, si los hubiere.

3. La descripción clara y precisa de los datos personales respecto de los cuales el TITULAR busca ejercer alguno de los derechos.

4. En caso dado, otros elementos o documentos que faciliten la localización de los DATOS PERSONALES.

Una vez recibida la comunicación por parte del RESPONSABLE DEL TRATAMIENTO, se procederá a dar respuesta dentro de los términos establecidos en la regulación aplicable.

MODIFICACIÓN O ACTUALIZACIÓN DE LA POLÍTICA DE PROTECCIÓN DE DATOS Y MANEJO DE INFORMACIÓN: Cualquier cambio sustancial en las Políticas se comunicará de forma oportuna a los TITULARES de los Datos a través de los medios habituales de contacto o por medio de la página de Internet coomunity.co

VIGENCIA: Las presentes Políticas tienen una vigencia indefinida. Los DATOS PERSONALES recolectados se conservarán por el tiempo que dure la relación existente entre CoomÜnity y el TITULAR y por el tiempo necesario para el cumplimiento de sus deberes legales.

La presente Política comienza a regir el día 1 de enero de 2020.

CONCEPTO GENERAL PARA TRATAMIENTO DE DATOS EN COOMÜNITY

La Ley 1.581 de 2012 estableció el régimen general de protección de datos personales registrados en cualquier base de datos para ser tratados por entidades públicas o privadas. Dicha norma, igualmente, designó a la Superintendencia de Industria y Comercio - SIC como la Autoridad de Protección de Datos la cual debe (i) garantizar que en el tratamiento de datos se respeten las reglas establecidas en la ley, y (ii) llevar el Registro Nacional de Bases de Datos – RNBD.

A continuación, se presentan las normas que rigen la materia para evitar cualquier situación que conlleve a una sanción por parte de la SIC.

1. LEY DE HABEAS DATA

En diciembre de 2008 se expidió la Ley 1.266, que se aplica a todos los datos personales en especial los financieros, crediticios, comerciales y de servicios registrados en un banco de datos.

Esta Ley desarrolla el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con el artículo 15 de la Constitución Política de Colombia, así como el derecho a la información establecido en el artículo 20 de la misma.

2. LEY DE PROTECCIÓN DE DATOS PERSONALES

En octubre de 2012, se expidió la Ley 1.581 que tiene por objeto desarrollar el derecho constitucional de todas las personas a conocer, actualizar y rectificar los datos personales que se hayan recogido sobre ellas en bases de datos o archivos.

Estableció, entre otros temas importantes, los principios rectores de la protección de datos, así como los derechos de los titulares de la información y los deberes de los responsables y encargados del tratamiento de datos personales, entre los cuales se encuentra la de adoptar un Manual Interno de Políticas y Procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.

De acuerdo con esta ley, se entiende por:

  • TITULAR – la persona natural con DATOS PERSONALES PERSONALES – la información que pueda asociarse a una o más personas
  • TRATAMIENTO – cualquier operación sobre los DATOS PERSONALES (como recolección, almacenamiento, uso, circulación, supresión)
  • ENCARGADO del TRATAMIENTO – quien efectúa el TRATAMIENTO por cuenta del RESPONSABLE
  • RESPONSABLE del TRATAMIENTO – quien decide sobre el TRATAMIENTO y sobre la BASE DE DATOS
  • BASE DE DATOS – conjunto organizado de DATOS PERSONALES

Tipos de Datos. Se establecen tipos de datos según distintos criterios, a saber:

1) Según el mayor o menor grado de posibilidad de divulgación:

  • Dato Público: es el dato que la ley o la Constitución determina como tal, así como todos los que no sean semiprivados o privados.
  • Dato Semiprivado: es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas.
  • Dato Privado: es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información.
  • Dato Sensible: es el dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como los relacionados con la salud de la persona, los relacionados con la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, religiosas, políticas; datos relacionados con las convicciones religiosas, filosóficas y/o políticas, los datos de preferencia, identidad y orientación sexual de la persona, origen étnico-racial, personas de la tercera edad o menores de 18 años en condición de pobreza, datos sobre personas en situación de discapacidad personas con limitaciones sicomotoras, auditivas y visuales en condiciones de pobreza, personas víctimas de la violencia, personas en situación de desplazamiento forzado por violencia, madres gestantes o lactantes o cabeza de familia en situación de vulnerabilidad, menores en condición de abandono o protección, etc.

2) Según sus características, los datos personales pueden ser, entre otros:

  • Datos de Identificación: hacen referencia al nombre, apellido, tipo de identificación, número de identificación, fecha y lugar de expedición, nombre, estado civil, sexo, firma, nacionalidad, datos de familia, firma electrónica, otros documentos de identificación, lugar y fecha de nacimiento o muerte, edad, huella, ADN, iris, Geometría facial o corporal, fotografías, videos, fórmula dactiloscópica, voz, etc.
  • Datos de Ubicación: los relacionados con la actividad comercial o privada de las personas como dirección, teléfono, correo electrónico, etc.
  • Datos de Contenido Socio Económico: como estrato, propiedad de la vivienda, datos financieros, crediticios y/o de carácter económico de las personas, datos patrimoniales como bienes muebles e inmuebles, ingresos, egresos, inversiones, historia laboral, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, nivel educativo, capacitación y/o historial académico de la persona, etc. y
  • Datos Sensibles: aquellos que afectan la intimidad de la persona arriba mencionados.

Todos RESPONSABLES y ENCARGADOS DEL TRATAMIENTO DE DATOS deben adoptar un Manual Interno de Políticas y Procedimientos, que deben dar a conocer a todos los grupos de interés de la empresa. Esta política debe contener como mínimo el nombre e identificación de la empresa; nombre de la persona responsable del tratamiento de datos personales; derechos de los titulares de la información y los procedimientos establecidos para realizar consultas o reclamos por el tratamiento de esos datos.

Asimismo, se debe contar con un aviso de privacidad, el cual es una comunicación verbal o escrita, dirigida al TITULAR, en la que se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

Autorización del Titular

La autorización es el consentimiento previo, expreso e informado del TITULAR para llevar a cabo el tratamiento de datos personales, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. El RESPONSABLE DEL TRATAMIENTO deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del TITULAR para el TRATAMIENTO de los mismos e informarle los datos personales que serán recolectados, así como todas las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento.

Se entenderá que la autorización cumple con estos requisitos cuando se manifieste por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización.

Deberes de los Responsables y Encargados del Tratamiento de datos personales

Los básicos son:

  • Informar y garantizar el ejercicio de los derechos de los Titulares de los datos personales.
  • Tramitar las consultas, solicitudes y reclamos.
  • Utilizar únicamente los datos personales que hayan sido obtenidos mediante autorización, a menos que los mismos no la requieran.
  • Respetar las condiciones de seguridad y privacidad de la información del titular.
  • Cumplir las instrucciones y los requerimientos impartidos por la autoridad administrativa competente.

Información que debe indicar el Responsable y/o Encargado del Tratamiento cuando está recolectando información del Titular

Debe indicar lo siguiente:

  • El TRATAMIENTO al cual serán sometidos y la finalidad con la que es recaudado el DATO PERSONAL.
  • Los derechos que le asisten como TITULAR.
  • La información y los canales de comunicación a través de los cuales los TITULARES pueden ejercer sus derechos ante el RESPONSABLE y el ENCARGADO DEL TRATAMIENTO.
  • El carácter facultativo que tiene el TITULAR de dar o no respuesta a preguntas que versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

Transferencia y transmisión de datos personales

La Transferencia de Datos tiene lugar cuando el RESPONSABLE o ENCARGADO DEL TRATAMIENTO de DATOS PERSONALES, ubicado en Colombia, los envía a un receptor que a su vez es RESPONSABLE DEL TRATAMIENTO y se encuentra dentro o fuera del país.

La Transmisión de Datos Personales por su parte implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia y tiene por objeto la realización de un TRATAMIENTO por el ENCARGADO por cuenta del RESPONSABLE.

Transferencia de datos personales

La Ley 1.581 de 2012 prohíbe la transferencia de DATOS PERSONALES de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos.

Esta prohibición no regirá cuando se trate de:

  • Información respecto de la cual el TITULAR haya otorgado su autorización expresa e inequívoca para la transferencia.
  • Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del TITULAR por razones de salud o higiene pública.
  • Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
  • Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
  • Transferencias necesarias para la ejecución de un contrato entre el TITULAR y el RESPONSABLE DEL TRATAMIENTO, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del TITULAR.
  • Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

3. REGISTRO NACIONAL DE BASES DE DATOS

Como se dijo atrás, la Ley 1.581, crea el Registro Nacional de Bases de Datos - RNBD y asigna a la SIC su implementación y administración, y cuyo objetivo principal es ser el directorio de todas las bases de datos personales que operan en el país (artículo 25).

El RNBD está reglamentado por las siguientes normas: el Decreto 886 de 2014, la Circular SIC 002 de 2015 y por el Decreto Único 1.074 de 2015.

De acuerdo con las normas anteriores, todas las personas jurídicas de naturaleza privada que se encuentren inscritas en Cámara de Comercio tenían la obligación de realizar el registro de sus bases de datos en el RNBD, en el término de un (1) año, contado a partir del 9 de noviembre de 2015, con vencimiento el 8 de noviembre de 2016, plazo que fue ampliado hasta el 8 de junio de 2017.

Sin embargo, en esos plazos se inscribieron solo el 25% de las personas jurídicas y menos del uno por ciento (1%) de personas naturales, por lo que mediante Decreto 90 de 2018 se limitó esa obligación a las personas jurídicas Públicas y a las Sociedades y Entidades sin Ánimo de Lucro - ESAL que tengan activos totales superiores a 100.000 Unidades de Valor Tributario - UVT ($3.560.700.000 en 2020).

En el evento de incumplimiento con el Registro de las bases de datos personales, las personas jurídicas pueden ser objeto de sanciones impuestas por la Superintendencia de Industria y Comercio, consistentes en multas de hasta 2.000 salarios mínimos legales mensuales vigentes - SMLMV.

RECOMENDACIONES

Teniendo en cuenta lo anterior, se debería efectuar lo siguiente:

  • Adoptar una política interna de tratamiento de datos personales, junto con el aviso de privacidad;
  • Solicitar a los titulares de la información la debida autorización para adelantar el tratamiento de los datos personales. Esta autorización puede ser obtenida por cualquier medio, comunicación escrita, correo electrónico, link en página web, etc., y debe ser archivada por la compañía, como quiera que la SIC podrá solicitar copia de las mismas, cuando lo considere necesario.
  • Aunque solo como previsión para el futuro y no de inmediata adopción, realizar un inventario de las bases de datos (de empleados, clientes y proveedores) con información personal que reposen o no en las instalaciones de la empresa, bien sea, en medio físico (papel) o electrónico (listas o archivos en cualquier formato, bases de datos relacionales, etc.). Al efectuar este inventario se debe obtener la siguiente información:
  • Cantidad de bases de datos con información personal.
  • Cantidad de titulares por cada base de datos.
  • Información detallada de los canales o medios que se tienen previstos para atender las peticiones y reclamos de los titulares.
  • Tipos de datos personales contenidos en cada base de datos a los que se realiza Tratamiento, como: datos de identificación, ubicación, socioeconómicos, sensibles u otros.
  • Ubicación de las bases de datos.
  • Los datos de identificación y ubicación de los Encargados del tratamiento.
  • Medidas de seguridad y/o controles implementados en la base de datos para minimizar los riesgos de un uso no adecuado de los datos personales tratados.
  • Conocer si se cuenta con la autorización de los titulares de los datos contenidos en las bases de datos.
  • Forma de obtención de los datos (directamente del titular o mediante terceros).