manual interno de polÍticas y procedimientos para la
TRANSCRIPT
AÑO 2019
MANUAL INTERNO DE
POLÍTICAS Y
PROCEDIMIENTOS PARA LA
ADMINISTRACIÓN DE DATOS
PERSONALES
ELABORADO POR: PRINS&HERNANDEZ LTDA EDIFICIO PALMETTO I
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 1 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Contenido
Título I ............................................................................................................. 4
Disposiciones Generales ........................................................................................... 4
Capítulo I ........................................................................................................ 4
Responsable del Tratamiento .................................................................................. 4
Artículo 1 – Identificación del responsable ....................................................................... 4
Artículo 2 – Canales de Comunicación ................................................................................. 4
Artículo 3 – Objeto de la entidad y Régimen Jurídico Aplicable .............................. 4
Capítulo II ...................................................................................................... 5
Encargado del Tratamiento ..................................................................................... 5
Artículo 4 – Identificación del Encargado .......................................................................... 5
Capítulo III .................................................................................................... 5
Ámbito de Aplicación ................................................................................................. 5
Artículo 5 – Identificación del Encargado .......................................................................... 5
Artículo 6 – Objetivos .................................................................................................................. 5
Artículo 7 – Ámbito de Aplicación .......................................................................................... 5
Artículo 8 – Principios Rectores ............................................................................................. 6
Artículo 9 – Terminación y Definiciones ............................................................................. 7
Título II ......................................................................................................... 10
Derechos y Deberes ................................................................................................... 10
Capítulo I ...................................................................................................... 10
Derechos ....................................................................................................................... 10
Artículo 10. Derechos del Titular ........................................................................................ 10
Capítulo II .................................................................................................... 10
Deberes y Obligaciones ............................................................................................ 10
Artículo 11. Obligaciones del Titular ................................................................................. 10
Artículo 12. Deberes del Responsable del Tratamiento de Datos Personales .. 10
Artículo 14. Concurrencia de Calidades........................................................................... 12
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 2 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Título III ....................................................................................................... 13
Tratamiento de Datos ............................................................................................... 13
Capítulo I ...................................................................................................... 13
Autorización ................................................................................................................ 13
Artículo 15. Recolección de Datos Personales ............................................................... 13
Artículo 17. Aviso de Privacidad ......................................................................................... 13
Artículo 18. Autorización para el Tratamiento de datos personales sensibles 13
Artículo 19. Protección de los derechos de niños, niñas y adolescentes ............ 14
Artículo 20. Modos de Obtener Autorización ................................................................. 14
Artículo 21. Autorización obtenida en forma tácita .................................................... 14
Artículo 22. Autorización obtenida en forma expresa ............................................... 14
Artículo 23. Autorización obtenida en forma electrónica ........................................ 15
Artículo 24. Prueba de la Autorización ............................................................................ 15
Título IV ........................................................................................................ 16
Finalidad ....................................................................................................................... 16
Capítulo I ...................................................................................................... 16
Bases de Datos ............................................................................................................. 16
Artículo 25. Identificación de las Bases de Datos ........................................................ 16
Artículo 26. Licitud .................................................................................................................... 16
Artículo 27. Finalidad y Propósito ...................................................................................... 16
Artículo 27. Almacenamiento de documentos de identidad de personas
extranjeras ..................................................................................................................................... 17
Título V .......................................................................................................... 18
Ejercicio de los derechos ......................................................................................... 18
Capítulo I ...................................................................................................... 18
Reclamos ....................................................................................................................... 18
Artículo 28. Derecho de Revocatoria y Supresión. ...................................................... 18
Artículo 29. Derecho Corrección, Actualización y Consulta. .................................. 18
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 3 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Artículo 30. Procedimiento para atención de reclamos por corrección,
actualización o supresión. ....................................................................................................... 19
Título V .......................................................................................................... 20
Disposiciones Finales ................................................................................................ 20
Capítulo I ...................................................................................................... 20
Almacenamiento de la Información ...................................................................... 20
Artículo 31. Seguridad ............................................................................................................. 20
Capítulo II .................................................................................................... 20
Modificación de Políticas ......................................................................................... 20
Artículo 32. Aviso de Cambios .............................................................................................. 20
Artículo 33. Formatos. .............................................................................................................. 20
Artículo 34. Aprobación y Vigencia. ................................................................................... 21
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 4 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Título I
Disposiciones Generales
Capítulo I
Responsable del Tratamiento
Artículo 1 – Identificación del responsable
Para todo el efecto del presente manual, el responsable del tratamiento de datos
personales es el EDIFICIO PALMETTO, entidad sin ánimo de lucro, perteneciente
al régimen de propiedad horizontal, distinguida con el número de identificación
tributaria No. 900261409-2, con domicilio principal establecido en la ciudad de
Cartagena de Indias, barrio Bocagrande Cra 1#8-50, quien en adelante se denominará
simplemente como el EDIFICIO.
Artículo 2 – Canales de Comunicación
Para los efectos del presente manual y de acuerdo con lo estipulado por la ley 1581 de
2012 y el decreto 1377 de 2013, el EDIFICIO habilita los siguientes canales de
comunicación
Teléfono(s): 655 2381
Correo Electrónico: [email protected]
Página Web: https://www.edificiopalmetto.com.
Artículo 3 – Objeto de la entidad y Régimen Jurídico Aplicable
El EDIFICIO se encuentra sometida al régimen de propiedad horizontal establecido
en la ley 675 de 2001, estipulándose en su artículo 32 que su objeto es administrar
correcta y eficazmente los bienes y servicios comunes, manejar los asuntos de interés
común de los propietarios de bienes privados y cumplir y hacer cumplir la ley y el
reglamento de propiedad horizontal.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 5 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Capítulo II
Encargado del Tratamiento
Artículo 4 – Identificación del Encargado
Serán encargados para el tratamiento de datos personales las personas naturales o
jurídicas, públicas o privadas, que por sí misma o en asocio con otros, realice el
Tratamiento de datos personales por cuenta del EDIFICIO Palmetto.
Capítulo III
Ámbito de Aplicación
Artículo 5 – Identificación del Encargado
El presente manual se soporta en la ley 1266 de 2008, mediante la cual “se dictan las
disposiciones generales del hábeas data y se regula el manejo de la información
contenida en bases de datos personales, en especial la financiera, crediticia, comercial,
de servicios y la proveniente de terceros países y se dictan otras disposiciones; ley
1581 de 2012: “Por la cual se dictan disposiciones generales para la protección de datos
personales”; el decreto 1377 de 2013 “Por del cual se reglamenta parcialmente la Ley
1581 de 2012” y el decreto 886 de 2014 “Por el cual se reglamenta el artículo 25 de la
Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos”
Artículo 6 – Objetivos
El presente manual se erige para proteger y garantizar los derechos fundamentales
establecidos en el artículo 15 y 20 de la Constitución Política de Colombia. Con ese
propósito se establecen un conjunto de reglas y procedimientos sobre la recolección de
datos por parte de la compañía, especificando los diferentes canales de comunicación
dispuestos para efectuar, por parte de los titulares, la consulta, corrección y
actualización de la información personal recopilada. Igualmente, se implementarán
los mecanismos para extender autorización al responsable del tratamiento para la
recolección y uso de la información, así como las condiciones de revocatoria, todo en
cumplimiento del marco legal previamente anotado.
Artículo 7 – Ámbito de Aplicación
Las normas y procedimientos contenidos en el presente documento serán aplicables a
todos los empleados y funcionarios de la entidad, personal de apoyo vinculado
mediante relación contractual civil, asesores externos, personal temporal y en general
a cualquier persona que utilice los recursos provistos por el EDIFICIO y demás
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 6 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
personas que la ley determine. No serán aplicables las normas contenidas en este
manual cuando se trate de:
A. Bases de datos o archivos mantenidos en un ámbito exclusivamente personal
o doméstico, salvo cuando estas bases de datos o archivos vayan a ser
suministrados a terceros.
B. Bases de datos y archivos que tengan por finalidad la seguridad y defensa
nacional, así como la prevención, detección, monitoreo y control del lavado de
activos y el financiamiento del terrorismo;
C. Bases de datos que tengan como fin y contengan información de inteligencia y
contrainteligencia;
D. Bases de datos y archivos de información periodística y otros contenidos
editoriales;
E. Bases de datos y archivos regulados por la Ley 1266 de 2008;
F. Bases de datos y archivos regulados por la Ley 79 de 1993.
Artículo 8 – Principios Rectores
A. Finalidad. El titular de la información tiene derecho a conocer el uso que el
responsable del tratamiento dará a la información personal recolectada.
B. Autonomía. El titular de la información conocerá y autorizará la recolección,
almacenamiento y uso de sus datos personales, mediante consentimiento
expreso y previo.
C. Fidelidad. La información suministrada por el titular, en todos los casos y bajo
el principio de la buena fe, tendrá el carácter de verás.
D. Transparencia. El titular de la información tendrá siempre derecho y la
posibilidad de conocer, rectificar y modificar la información personal, que sobre
él se ha recogido por parte de la entidad responsable del tratamiento.
E. Integridad de la Información. Toda la información sometida al tratamiento
se mantendrá completa y exacta. En ningún momento el tratamiento de los
datos se realizará en forma parcial, incompleta o induciendo a error.
F. Privacidad y Seguridad. Los datos personales serán de carácter reservado.
En ningún momento se divulgarán en medios de comunicación masiva o
consulta pública. Su consulta estará restringida solo a su titular y contará con
las medidas de seguridad apropiada para garantizar tal restricción.
G. Restricción. La compartibilidad de los datos personales estará restringida a
los casos necesarios para el desarrollo del objeto social y los que se deriven de
este.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 7 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Artículo 9 – Terminación y Definiciones
A. Titular de la información. Es la persona natural o jurídica a quien se refiere
la información que reposa en un banco de datos y sujeto del derecho de hábeas
data y demás derechos y garantías a que se refiere la presente ley;
B. Fuente de información. Es la persona, entidad u organización que recibe o
conoce datos personales de los titulares de la información, en virtud de una
relación comercial o de servicio o de cualquier otra índole y que, debido a
autorización legal o del titular, suministra esos datos a un operador de
información, el que a su vez los entregará al usuario final. Si la fuente entrega
la información directamente a los usuarios y no, a través de un operador,
aquella tendrá la doble condición de fuente y operador y asumirá los deberes y
responsabilidades de ambos. La fuente de la información responde por la
calidad de los datos suministrados al operador la cual, en cuanto tiene acceso y
suministra información personal de terceros, se sujeta al cumplimiento de los
deberes y responsabilidades previstas para garantizar la protección de los
derechos del titular de los datos;
C. Operador de información. Se denomina operador de información a la
persona, entidad u organización que recibe de la fuente datos personales sobre
varios titulares de la información, los administra y los pone en conocimiento de
los usuarios bajo los parámetros de la presente ley. Por tanto, el operador, en
cuanto tiene acceso a información personal de terceros, se sujeta al
cumplimiento de los deberes y responsabilidades previstos para garantizar la
protección de los derechos del titular de los datos. Salvo que el operador sea la
misma fuente de la información, este no tiene relación comercial o de servicio
con el titular y por ende no es responsable por la calidad de los datos que le
sean suministrados por la fuente;
D. Usuario. El usuario es la persona natural o jurídica que, en los términos y
circunstancias previstos en la presente ley, puede acceder a información
personal de uno o varios titulares de la información suministrada por el
operador o por la fuente, o directamente por el titular de la información. El
usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al
cumplimiento de los deberes y responsabilidades previstos para garantizar la
protección de los derechos del titular de los datos. En el caso en que el usuario
a su vez entregue la información directamente a un operador, aquella tendrá la
doble condición de usuario y fuente, y asumirá los deberes y responsabilidades
de ambos;
E. Dato personal. Es cualquier pieza de información vinculada a una o varias
personas determinadas o determinables o que puedan asociarse con una
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 8 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
persona natural o jurídica. Los datos impersonales no se sujetan al régimen de
protección de datos de la presente ley. Cuando en la presente ley se haga
referencia a un dato, se presume que se trata de uso personal. Los datos
personales pueden ser públicos, semiprivados o privados;
F. Dato público. Es el dato calificado como tal según los mandatos de la ley o de
la Constitución Política y todos aquellos que no sean semiprivados o privados,
de conformidad con la presente ley. Son públicos, entre otros, los datos
contenidos en documentos públicos, sentencias judiciales debidamente
ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de
las personas;
G. Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima,
reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo
a su titular sino a cierto sector o grupo de personas o a la sociedad en general,
como el dato financiero y crediticio de actividad comercial o de servicios a que
se refiere el Título IV de la presente ley;
H. Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es
relevante para el titular;
I. Agencia de Información Comercial. Es toda empresa legalmente
constituida que tenga como actividad principal la recolección, validación y
procesamiento de información comercial sobre las empresas y comerciantes
específicamente solicitadas por sus clientes, entendiéndose por información
comercial aquella información histórica y actual relativa a la situación
financiera, patrimonial, de mercado, administrativa, operativa, sobre el
cumplimiento de obligaciones y demás información relevante para analizar la
situación integral de una empresa. Para los efectos de la presente ley, las
agencias de información comercial son operadores de información y fuentes de
información.
J. Autorización: Consentimiento previo, expreso e informado del Titular para
llevar a cabo el Tratamiento de datos personales;
K. Base de Datos. Conjunto organizado de datos personales que sea objeto de
Tratamiento;
L. Dato personal. Cualquier información vinculada o que pueda asociarse a una
o varias personas naturales determinadas o determinables;
M. Encargado del Tratamiento. Persona natural o jurídica, pública o privada,
que por sí misma o en asocio con otros, realice el Tratamiento de datos
personales por cuenta del responsable del tratamiento;
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 9 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
N. Responsable del Tratamiento. Persona natural o jurídica, pública o privada,
que por sí misma o en asocio con otros, decida sobre la base de datos y/o el
Tratamiento de los datos;
O. Titular. Persona natural cuyos datos personales sean objeto de Tratamiento;
P. Tratamiento. Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la recolección, almacenamiento, uso, circulación o
supresión.
Q. Aviso de privacidad: Comunicación verbal o escrita generada por la ACI
Medellín, dirigida al titular para el tratamiento de sus datos personales,
mediante la cual se le informa acerca de la existencia de las políticas de
tratamiento de información que le serán aplicables, la forma de acceder a las
mismas y las finalidades del tratamiento que se pretende dar a los datos
personales
R. Datos sensibles: Se entiende por datos sensibles, aquellos que afectan la
intimidad del titular o cuyo uso indebido puede generar su discriminación, tales
como aquellos que revelen el origen racial o étnico, la orientación política, las
convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones
sociales, de derechos humanos o que promueva intereses de cualquier partido
político o que garanticen los derechos y garantías de partidos políticos de
oposición, así como los datos relativos a la salud, a la vida sexual, y los datos
biométricos, entre otros, la captura de imagen fija o en movimiento, huellas
digitales, fotografías, iris, reconocimiento de voz, facial o de palma de mano,
etc.
S. Transferencia: La transferencia de datos, tiene lugar cuando el responsable
y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía
la información o los datos personales a un receptor, que a su vez es responsable
del tratamiento y se encuentra dentro o fuera del país.
T. Transmisión: Tratamiento de datos personales, que implica la comunicación
de los mismos dentro o fuera del territorio de la República de Colombia, cuando
tenga por objeto la realización de un tratamiento por el encargado por cuenta
del responsable.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 10 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Título II
Derechos y Deberes
Capítulo I
Derechos
Artículo 10. Derechos del Titular
De acuerdo con la ley 1581 de 2012, el Decreto 1377 de 2013 y el presente manual, los
titulares tendrán los siguientes derechos:
A. Conocer, actualizar y corregir sus datos personales.
B. Solicitar prueba del consentimiento otorgado para la recolección y el
tratamiento de los datos personales.
C. Conocer el uso otorgado s sus datos personales.
D. Presentar reclamos ante las autoridades competentes en caso de violación por
parte del responsable del tratamiento.
E. Solicitar la revocatoria de la autorización otorgada para el tratamiento de los
datos personales y la supresión del dato, salvo que el Titular tenga un deber
legal o contractual de permanecer en la base de datos.
F. Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter
facultativo las respuestas que versen sobre datos sensibles o sobre datos de las
niñas y niños y adolescentes.
Capítulo II
Deberes y Obligaciones
Artículo 11. Obligaciones del Titular
Mientras el Titular tenga el deber legal o contractual de permanecer en la base de
datos de la Compañía, deberá mantener actualizada la información que de él reposa
en la Base de Datos. Con ese propósito, mientras dure la relación legal o contractual
se obliga a notificar, de manera oportuna, todo cambio de la información.
Artículo 12. Deberes del Responsable del Tratamiento de Datos Personales
Por virtud de la ley 1581 de 2012 y del decreto 1377 de 2013, el tratamiento de los
datos personales tendrá los siguientes deberes:
A. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho
de hábeas data;
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 11 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
B. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de
la respectiva autorización otorgada por el Titular;
C. Informar debidamente al Titular sobre la finalidad de la recolección y los
derechos que le asisten por virtud de la autorización otorgada;
D. Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento;
E. Garantizar que la información que se suministre al Encargado del Tratamiento
sea veraz, completa, exacta, actualizada, comprobable y comprensible;
F. Actualizar la información, comunicando al Encargado del Tratamiento, dentro
de los cinco (5) días hábiles contados a partir de su recibo, todas las novedades
respecto de los datos que previamente le haya suministrado y adoptar las
demás medidas necesarias para que la información suministrada a este se
mantenga actualizada;
G. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al
Encargado del Tratamiento;
H. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos
cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto
en la presente ley;
I. Exigir al Encargado del Tratamiento en todo momento, el respeto a las
condiciones de seguridad y privacidad de la información del Titular;
J. Tramitar las consultas y reclamos formulados en los términos no superior a 15
días hábiles;
K. Establecer políticas y procedimientos para garantizar la atención de consultas
y reclamos;
L. Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo;
M. Informar a solicitud del Titular sobre el uso dado a sus datos;
N. Informar a la autoridad de protección de datos cuando se presenten violaciones
a los códigos de seguridad y existan riesgos en la administración de la
información de los Titulares.
O. Cumplir las instrucciones y requerimientos que imparta la Superintendencia
de Industria y Comercio.
P. Artículo 13. Deberes del Responsable del Tratamiento de Datos Personales
Q. Registrar en la base de datos mediante la leyenda "reclamo en trámite” la
existencia de solicitudes sobre corrección, actualización o supresión, o cuando
adviertan el presunto incumplimiento de cualquiera de los deberes contenidos
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 12 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
R. Registrar en la base de datos mediante la leyenda " información en discusión
judicial” la existencia de solicitudes sobre corrección, actualización o supresión,
o cuando adviertan el presunto incumplimiento de cualquiera de los deberes
contenidos
S. Abstenerse de circular información que esté siendo controvertida por el Titular
y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y
Comercio;
T. Permitir el acceso a la información únicamente a las personas que pueden tener
acceso a ella;
U. Informar a la Superintendencia de Industria y Comercio cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de
la información de los Titulares;
V. Cumplir las instrucciones y requerimientos que imparta la Superintendencia
de Industria y Comercio.
Artículo 14. Concurrencia de Calidades
Si concurriesen en una misma persona las calidades de Responsable del Tratamiento
y Encargado del Tratamiento le será exigible el cumplimiento de los deberes previstos
para cada uno.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 13 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Título III
Tratamiento de Datos
Capítulo I
Autorización
Artículo 15. Recolección de Datos Personales
Para la compañía Responsable del Tratamiento de Datos Personales, la recolección de
estos estará limitada a aquellos datos personales que son pertinentes y adecuados
para la finalidad y desarrollo de la actividad comercial, así como los requeridos por la
normatividad vigente.
Artículo 16. Autorización
La recolección y tratamiento de datos personas estará sometida a la autorización
previa y expresa de su titular, salvo los siguientes casos:
a) Información requerida por una entidad pública o administrativa en ejercicio de
sus funciones legales o por orden judicial;
b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos,
estadísticos o científicos;
e) Datos relacionados con el Registro Civil de las Personas.
f) Y demás casos expresamente previstos en la ley.
Artículo 17. Aviso de Privacidad
Cuando no sea posible poner a disposición del titular la Política de Tratamiento de la
Información, el EDIFICIO. Informará por medio de un Aviso de Privacidad, sobre la
existencia de tales políticas. El Aviso de Privacidad se expedirá en medios físicos,
electrónicos o en cualquier otro formato, en donde se ponga a disposición del titular
de los datos, además de la existencia de políticas de tratamiento de datos, la forma de
acceder a ellas y la finalidad que se pretende dar a la información; el aviso se enviará
al correo electrónico o dirección física cuando se disponga de dicha información. En
caso contrario, se publicará en la página web de la entidad en documento dirigido al
titular de los datos.
Artículo 18. Autorización para el Tratamiento de datos personales sensibles
Por regla general se prohíbe el tratamiento de datos sensible, excepto cuando:
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 14 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo
en los casos que por ley no sea requerido el otorgamiento de dicha
autorización;
b) El Tratamiento sea necesario para salvaguardar el interés vital del
Titular y este se encuentre física o jurídicamente incapacitado. En estos
eventos, los representantes legales deberán otorgar su autorización;
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y
con las debidas garantías por parte de una fundación, ONG, asociación o
cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política,
filosófica, religiosa o sindical, siempre que se refieran exclusivamente a
sus miembros o a las personas que mantengan contactos regulares por
razón de su finalidad. En estos eventos, los datos no se podrán
suministrar a terceros sin la autorización del Titular;
d) El Tratamiento se refiera a datos que sean necesarios para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial;
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En
este evento deberán adoptarse las medidas conducentes a la supresión
de identidad de los Titulares.
Artículo 19. Protección de los derechos de niños, niñas y adolescentes
Se prohíbe el Tratamiento de datos personales de niños, niñas y adolescentes, salvo
aquellos datos que sean de naturaleza pública. No obstante, el registro para ingreso y
tránsito de niños, niñas y adolescentes a las instalaciones del EDIFICIO deberá
tramitarse a través de sus padres y ser suscrito por ambos.
Artículo 20. Modos de Obtener Autorización
La autorización para el tratamiento de datos personales se extenderá de manera
escrita, bien sea en forma manual, electrónica o tácita.
Artículo 21. Autorización obtenida en forma tácita
Se entenderá que el titular de la información autoriza su tratamiento cuando ejecute
conductas inequívocas que permitan concluir en forma razonable, que aprueba la
realización de una operación o conjunto de operaciones sobre sus datos personales,
tales como la recolección, almacenamiento, uso, circulación o supresión, todo conforme
a la finalidad determinada en el presente documento.
Artículo 22. Autorización obtenida en forma expresa
La autorización para el tratamiento de datos personales se extenderá de manera
expresa mediante el diligenciamiento del formato CEP-AGTDP-2019 por parte del
titular. El diligenciamiento podrá ser en forma física o electrónica. En caso de
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 15 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
extenderse autorización en forma física, el EDIFICIO como responsable del
tratamiento, digitalizará el documento escrito quedando facultada para destruir el
físico.
Artículo 23. Autorización obtenida en forma electrónica
Es la que extiende el titular a través de la página web del EDIFICIO
https://www.edificiopalmetto.com marcando en la casilla que indique aceptación sobre
el tratamiento de datos personales.
Artículo 24. Prueba de la Autorización
El EDIFICIO como responsable del Tratamiento de Datos Personales conservará
prueba de la autorización otorgada por los Titulares de datos personales para el
Tratamiento de estos, bien sea en forma física o digital por un tiempo de seis (6) meses
contados a partir de su otorgamiento.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 16 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Título IV
Finalidad
Capítulo I
Bases de Datos
Artículo 25. Identificación de las Bases de Datos
El EDIFICIO hará uso, como mínimo de las siguientes bases de datos: Propietarios,
Poseedores, Tenedores y ocupantes de Unidades Privadas, Personal Laboral,
Proveedores, Contratistas y Clientes.
Artículo 26. Licitud
El tratamiento de datos realizado por la compañía obedece a fines legítimos y legales,
relacionados directa o indirectamente con la actividad comercial desempeñada y el
objeto y objetos sociales de la entidad.
Artículo 27. Finalidad y Propósito
La información personal que ha recopilado el EDIFICIO y la que recopile en adelante,
se usará para los siguientes fines:
a) Envío de información, requerimientos, notificaciones y documentos relacionados
con las obligaciones reglamentarias y legales de la Propiedad Horizontal que
deban ser remitidos a propietarios, poseedores, tenedores, ocupantes de
unidades privadas a cualquier título y en general a las personas con las que
tenga relación el EDIFICIO.
b) Envío de información, requerimientos, notificaciones y documentos a empleados,
proveedores y contratistas dentro del EDIFICIO que se encuentran registrados
en nuestras bases de datos.
c) Envío de correo electrónico y demás mensajes de datos publicitarios, informando
sobre los eventos y actividades que realice el EDIFICIO.
d) Realizar encuestas de opinión sobre la satisfacción de Propietarios, Poseedores,
Tenedores y ocupantes de Unidades Privadas, bien sea a través de medios
electrónicos, telefónicos, redes sociales y en general cualquier medio de
comunicación que se encuentre registrado en las bases de datos.
e) Publicación de fotos o videos en diferentes medios impresos y digitales captados
únicamente en los eventos y actividades realizadas previamente informados con
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 17 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
el aviso de privacidad correspondiente y la protección pertinente en el uso de
estos datos.
f) Las imágenes captadas por las cámaras del sistema de circuito cerrado de
televisión serán utilizadas únicamente para su seguridad y de las personas que
nos visitan, por tanto, toda persona que ingrese a las instalaciones del EDIFICIO
podrá ser video grabada por cámaras de seguridad y sistemas de video de
vigilancia.
g) Cumplir requerimientos de las autoridades judiciales y las exigencias legales.
h) Realizar actualización de datos e información personal en forma periódica.
i) Realizar cobros prejurídicos o prejudiciales mediante el envío de mensajes de
textos, llamadas, email, bien sea en forma directa o mediante agencias de
cobranzas u oficinas de abogado.
j) Análisis y segmentación de la información para elaborar estudios y estadísticas
sobre preferencias de consumo.
k) Envío de propuestas, campañas, estrategias, tácticas, archivos digitales de
piezas y acciones publicitarias o de comunicación.
l) Envío de mensajes que contribuyan al normal desarrollo de actividades y de
servicio.
Artículo 27. Almacenamiento de documentos de identidad de personas
extranjeras
Los documentos de identidad de personas extranjeras se almacenarán en formato
digital y permanecerán en las bases de datos del responsable por el termino de seis
meses, con el propósito de cumplir eventuales requerimientos por parte de entidades
administrativas, de extranjería y judiciales en cumplimiento de sus funciones.
Los videos e imágenes captadas por las cámaras de video vigilancia se almacenarán
en formato digital y permanecerán en las bases de datos del responsable por el
término de ocho días, con el propósito de cumplir eventuales requerimientos por parte
de entidades administrativas, de extranjería y judiciales en cumplimiento de sus
funciones.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 18 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Título V
Ejercicio de los derechos
Capítulo I
Reclamos
Artículo 28. Derecho de Revocatoria y Supresión.
Es un derecho del Titular de la información y de sus causahabientes, revocar y
suprimir los datos personales, siempre el responsable o encargado del tratamiento no
respeten los principios, derechos y garantías constitucionales y legales. La solicitud
de supresión de la información y la revocatoria de la autorización no procederán
cuando el Titular tenga un deber legal o contractual de permanecer en la base de
datos. La revocatoria y/o supresión solo procederá cuando la Superintendencia de
Industria y Comercio haya determinado que en el Tratamiento el Responsable o
Encargado han incurrido en conductas contrarias a la Constitución Política de
Colombia, a la ley 1581 de 2012 y el decreto 1377 de 2013. Para efectos de ejercer este
derecho, los titulares de la información cuentan con el formulario CEP-REC-TDP-
2019, disponible en forma física en la oficina de la administración del EDIFICIO y en
forma digital a través de la página web https://www.edificiopalmetto.com.
Artículo 29. Derecho Corrección, Actualización y Consulta.
El titular de la información o sus causahabientes podrá, mediante el formulario CEP-
REC-TDP-2019, solicitar la corrección o actualización de esta. El formulario está
disponible en forma física en la oficina de la administración del EDIFICIO y en forma
digital a través de la página https://www.edificiopalmetto.com. De igual manera,
podrán consultar la información personal del Titular que repose en la base de datos
del EDIFICIO., en forma gratuita, al menos una vez cada mes calendario, y cada vez
que existan modificaciones sustanciales de las Políticas de Tratamiento de la
información que motiven nuevas consultas. Para consultas cuya periodicidad sea
mayor a una por cada mes calendario, se cobrará al titular los gastos de envío,
reproducción y certificación de documentos. La consulta será atendida en un término
máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma.
Cuando no fuere posible atender la consulta dentro de dicho término, se informará al
interesado, expresando los motivos de la demora y señalando la fecha en que se
atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles
siguientes al vencimiento del primer término.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 19 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Artículo 30. Procedimiento para atención de reclamos por corrección,
actualización o supresión.
El titular del derecho o sus causahabientes, deberán presentar las reclamaciones a
través de los canales de comunicación provistos por el EDIFICIO indicando la
identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la
dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamante
o solicitante es causahabiente del titular, deberá aportar la prueba que demuestre tal
calidad. En caso de ser incompleto el reclamo, se requerirá al interesado dentro de los
cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas.
Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante
presente la información requerida, se entenderá que ha desistido del reclamo. Si quien
reciba el reclamo no sea competente para resolverlo, dará traslado a quien
corresponda en un término máximo de dos (2) días hábiles e informará de la situación
al interesado. Una vez recibido el reclamo completo, se incluirá en la base de datos
una leyenda que diga "reclamo en trámite" y el motivo del mismo, en un término no
mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo
sea decidido.
El término máximo para atender el reclamo será de quince (15) días hábiles contados
a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el
reclamo dentro de dicho término, se informará al interesado los motivos de la demora
y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los
ocho (8) días hábiles siguientes al vencimiento del primer término.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 20 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Título V
Disposiciones Finales
Capítulo I
Almacenamiento de la Información
Artículo 31. Seguridad
El EDIFICIO. Garantiza el uso de medidas técnicas, humanas y administrativas
necesarias para otorgar seguridad a los datos personales y demás información sujeta
a tratamiento, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado
o fraudulento.
Capítulo II
Modificación de Políticas
Artículo 32. Aviso de Cambios
El EDIFICIO notificará a los titulares de la información, a través de correo electrónico
del portal web https://www.edificiopalmetto.com sobre cualquier cambio sustancial en
las políticas. Si el cambio obedece a la finalidad del tratamiento, se deberá obtener
nueva autorización por parte del titular.
Artículo 33. Formatos.
Para la recolección de los datos personales y atención a reclamos y solicitudes se
utilizarán los siguientes formatos:
Nombre Descripción CEP-AGTDP-2019 Autorización para tratamiento de datos personales y aviso de privacidad.
CEP-AGTDP-MYA-2019 Autorización para tratamiento de datos personales de y aviso de privacidad de
niños, niñas y adolescentes.
CEP-CECPS-ATDP-2019 Clausulas especiales para contratos de prestación de servicios.
CEP-COM-TDP-2019 Consultas para conocer uso de datos personales, la información almacenada y copia
de la autorización otorgada.
CEP-OCL-ATDP-2019 Clausulas especiales en contratos laborales que incorporan las normas de la ley
1581 de 2012.
CEP-REC-TDP-2019 Revocatoria de autorización o solicitud de corrección de datos personales.
MANUAL INTERNO DE POLÍTICAS Y PROCEDIMIENTOS PARA LA ADMINISTRACIÓN DE DATOS
PERSONALES Página 21 de 21
ELABORADO POR: PRINS&HERNANDEZ LTDA
Artículo 34. Aprobación y Vigencia.
El presente manual sobre las políticas internas para el tratamiento de datos
personales es aprobado por el Consejo de Administración mediante reunión celebrada
el día __________________________________, tal y como consta en acta No.
____________.
El presente manual empezará a regir desde el momento de su aprobación por parte
del Consejo de Administración del EDIFICIO Palmetto.