Política de Tratamiento y Procedimientos en Materia de Protección de Datos Personales

SERES CONSULTING S.A.S. — NIT: 806 008 417 - 8

Vigente desde el 15 de noviembre de 2020

1. Justificación

El derecho fundamental al habeas data tiene por objeto garantizar a los titulares de los datos el poder de decisión y control sobre la información que les concierne, concretamente sobre el uso y destino que se da a sus datos Personales. En este sentido, el derecho a la protección de Datos Personales dota al Titular de un abanico de facultades para mantener el control sobre su información personal. Estas opciones van desde el derecho a saber quién conserva los Datos Personales, los usos a los que se están sometiendo los mismos, hasta la definición de quién tiene la posibilidad de consultarlos. La ley les atribuye incluso el poder de oponerse a esa posesión y utilización.

La Ley 1581 de 2012 y el Decreto 1377 de 2013, desarrollan una serie de garantías e instrumentos diseñados para garantizar la vigencia del referido derecho fundamental.

Así las cosas, el presente documento busca dar cumplimiento a las disposiciones previstas en la Ley 1581 de 2012 "Por la cual se dictan disposiciones generales para la protección de datos personales", que regula los deberes de los Responsables del Tratamiento de Datos Personales, dentro de los cuales se destaca el de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos; así como el Decreto 1377 de 2013 "Por el cual se reglamenta parcialmente la Ley 1581 de 2012", que establece la obligatoriedad por parte de los responsables del tratamiento de desarrollar sus políticas para el tratamiento de los datos personales y velar porque los encargados del tratamiento den cabal cumplimiento a las mismas.

2. Disposiciones Generales

Artículo 1. Marco Legal Aplicable

Este documento fue elaborado teniendo en cuenta las disposiciones contenidas en los artículos 15 y 20 de la Constitución Política Nacional, la Ley 1581 de 2012 "Por la cual se dictan disposiciones generales para la protección de datos personales" y el Decreto 1377 de 2013 "Por el cual se reglamenta parcialmente la Ley 1581 de 2012". A estas Políticas le serán aplicables todas las demás normas que complementen o sustituyan las anteriores.

De acuerdo con ello, SERES CONSULTING SAS expide la presente Política de Privacidad y Tratamiento de los Datos Personales que reposan en sus bases de datos (en adelante la "Política"), los cuales pertenecen a las personas naturales (Titulares de la información) que han autorizado a SERES CONSULTING SAS para manejarlos de conformidad con los lineamientos corporativos y la presente Política.

Artículo 2. Alcance

Este documento se aplica al tratamiento de los datos de carácter personal que recoja y maneje SERES CONSULTING SAS, identificada con NIT 806 008 417 – 8.

Artículo 3. Bases de Datos

Las políticas y procedimientos contenidos en el presente documento aplican a las Bases de Datos que maneja SERES CONSULTING SAS, con el fin de desarrollar su objeto social.

Artículo 4. Objeto

La presente política garantiza el cumplimiento de la Constitución Política de Colombia, la Ley 1581 de 2012, específicamente el literal k) del artículo 17, el cual regula los deberes que asisten a los Responsables del Tratamiento de Datos Personales, dentro de los cuales se encuentra el de adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos, así como lo estipulado por el artículo 13 del Decreto 1377 de 2013 que establece la obligatoriedad por parte de los Responsables del Tratamiento de desarrollar sus políticas para el Tratamiento de los Datos Personales y velar porque los Encargados del Tratamiento den cabal cumplimiento a las mismas.

Así mismo tiene la finalidad de regular los procedimientos de recolección, manejo y Tratamiento de los datos de carácter personal que realiza SERES CONSULTING SAS, a fin de garantizar y proteger el derecho fundamental de habeas data.

Artículo 5. Terminología

Para efectos de la aplicación de las reglas contenidas en el presente documento y de acuerdo con lo establecido en la Ley 1266 de 2008 y en la Ley 1581 de 2012, se aclaran los siguientes conceptos:

a) Administrador de la Base de Datos Personales:
Área encargada o Encargado que tiene a cargo y realiza Tratamiento a una o más Bases de Datos que tiene información personal.
b) Autorización:
Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
c) Aviso de Privacidad:
Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los Datos Personales.
d) Base de Datos:
Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
e) Dato Personal:
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
f) Datos Personales de los Niños, Niñas y Adolescentes:
Datos personales de los menores de edad, sobre los que se encuentra prohibido su Tratamiento, excepto cuando el fin que persiga con dicho Tratamiento responda al interés de los niños, niñas y adolescentes y se asegure sin excepción alguna el respeto a sus derechos prevalentes.
g) Dato Público:
Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público.
h) Dato Privado:
Es el dato que por su naturaleza íntima o reservada. Sólo es relevante para el Titular.
i) Dato Semiprivado:
El dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general.
j) Datos Sensibles:
Se entiende por Datos Sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
k) Encargado del Tratamiento:
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del Responsable del Tratamiento.
l) Entidades Autorizadas:
SERES CONSULTING SAS, las sociedades subordinadas a ella o vinculadas, su matriz o controlante, las sociedades subordinadas de su matriz o controlante.
m) Responsable del Tratamiento:
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.
n) Titular:
Persona natural cuyos Datos Personales sean objeto de Tratamiento.
o) Transferencia:
La Transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
p) Transmisión:
Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
q) Tratamiento:
Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos.

Artículo 6. Principios

Los principios que se establecen a continuación, constituyen los parámetros generales que serán respetados por SERES CONSULTING SAS en los procesos de recolección, uso y tratamiento de Datos Personales.

a) Principio de legalidad: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.

b) Principio de finalidad: El Tratamiento de los Datos Personales debe obedecer a una finalidad legítima de la cual debe ser informada al Titular.

c) Principio de libertad: El Tratamiento sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener información acerca de la existencia de datos que le conciernan en cualquier momento y sin restricciones.

f) Principio de acceso y circulación restringida: El Tratamiento sólo podrá hacerse por las personas autorizadas por el Titular y/o por las personas previstas en la Ley. Los Datos Personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación masiva, salvo que el acceso sea técnicamente controlable.

g) Principio de seguridad: La información sujeta a Tratamiento se deberá proteger mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

3. Autorización

Artículo 7. Autorización

La recolección, almacenamiento, uso, circulación y en general el Tratamiento de los Datos Personales que reposen en las Bases de Datos de SERES CONSULTING SAS requieren del consentimiento libre, previo, expreso e informado de los Titulares de los mismos. SERES CONSULTING SAS, en su condición de Responsable del Tratamiento de Datos Personales, ha dispuesto los mecanismos necesarios para obtener la Autorización de los Titulares de los datos, con anterioridad a la recolección de sus datos, garantizando en todo caso que sea posible verificar y probar el otorgamiento de dicha Autorización.

Los datos personales de los Titulares se mantendrán en las Bases de Datos de SERES CONSULTING SAS durante el tiempo que los mismos sean utilizados para los fines autorizados, a menos que el Titular solicite su eliminación.

Artículo 8. Forma y Mecanismos para Otorgar la Autorización

La Autorización puede constar en un documento físico, electrónico, mensaje de datos, Internet, sitio web o también de manera verbal o telefónica o en cualquier otro formato que permita garantizar su posterior consulta; o mediante una conducta inequívoca del Titular que permita concluir de forma razonable que otorgó la autorización.

La Autorización es una declaración que informa al Titular de los Datos Personales:

Artículo 9. Prueba de la Autorización

SERES CONSULTING SAS adoptará las medidas necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo la Autorización por parte de los titulares de Datos Personales para el Tratamiento de los mismos.

Artículo 10. Aviso de Privacidad

El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato, que es puesto a disposición del Titular para que éste se informe del Tratamiento que le va a dar SERES CONSULTING SAS a sus Datos Personales, con anterioridad al momento que se autorice la recolección de los Datos Personales.

Artículo 11. Contenido Mínimo del Aviso de Privacidad

El Aviso de Privacidad, como mínimo, deberá contener:

  1. La identidad y datos de contacto del Responsable del Tratamiento.
  2. El tipo de Tratamiento al cual serán sometidos los datos y la finalidad del mismo.
  3. Los derechos que le asisten al Titular.
  4. Los mecanismos generales dispuestos por el Responsable para que el Titular conozca la política de Tratamiento de la información y los cambios sustanciales que se produzcan en ella.

Artículo 12. Aviso de Privacidad y las Políticas de Tratamiento de la Información

SERES CONSULTING SAS conservará el modelo del Aviso de Privacidad que se transmitió a los Titulares mientras se lleve a cabo el Tratamiento de Datos Personales y perduren las obligaciones que de éste se deriven. Para el almacenamiento del modelo, SERES CONSULTING SAS podrá emplear medios informáticos, electrónicos o cualquier otra tecnología.

4. Derechos y Deberes

Artículo 13. Derechos de los Titulares de la Información

De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012, el Titular de los Datos Personales tiene los siguientes derechos:

  1. Conocer, actualizar y rectificar sus Datos Personales frente a SERES CONSULTING SAS.
  2. Solicitar prueba de la Autorización otorgada.
  3. Ser informado, previa solicitud, respecto del uso que le ha dado a sus Datos Personales.
  4. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012.
  5. Revocar la Autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
  6. Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.

Artículo 14. Deberes de SERES CONSULTING SAS como Responsable

SERES CONSULTING SAS tendrá presente, en todo momento, que los Datos Personales son propiedad de las personas a las que se refieren y que sólo ellas pueden decidir sobre los mismos. Se compromete a cumplir con los siguientes deberes:

  1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
  2. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten.
  4. Garantizar que la información suministrada al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  5. Realizar oportunamente la actualización, rectificación o supresión de los datos.
  6. Suministrar al Encargado del Tratamiento únicamente datos cuyo Tratamiento esté previamente autorizado.
  7. Exigir al Encargado del Tratamiento el respeto a las condiciones de seguridad y privacidad de la información del Titular.
  8. Informar a solicitud del Titular sobre el uso dado a sus datos.
  9. Tramitar las consultas y los reclamos formulados por los Titulares.
  10. Insertar en la Base de Datos la leyenda "información en discusión judicial" cuando corresponda.
  11. Insertar en la Base de Datos la leyenda "reclamo en trámite" en un término no mayor a dos (2) días hábiles de recibido el reclamo.
  12. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la SIC.
  13. Permitir el acceso a la información únicamente a las personas autorizadas.
  14. Informar a la SIC cuando se presenten violaciones a los códigos de seguridad.
  15. Designar a un área encargada de la protección de Datos Personales.
  16. Cumplir las instrucciones y requerimientos que imparta la SIC.

Artículo 15. Derecho de Acceso

SERES CONSULTING SAS debe garantizar al Titular su derecho de acceso en tres vías:

  1. Que el Titular pueda conocer la efectiva existencia del Tratamiento a que son sometidos sus Datos Personales.
  2. Que el Titular pueda tener acceso a sus Datos Personales que están en posesión del Responsable.
  3. El derecho a conocer las circunstancias esenciales del Tratamiento.

Artículo 16. Rectificación y Actualización de Datos

El Titular del dato tiene derecho a solicitar la actualización o rectificación de sus Datos Personales. SERES CONSULTING SAS tiene la obligación de rectificar y actualizar a solicitud del Titular, la información de éste que resulte ser incompleta o inexacta.

Artículo 17. Supresión de Datos

El Titular tiene el derecho, en todo momento, a solicitar a SERES CONSULTING SAS la supresión (eliminación) de sus Datos Personales cuando:

  1. Desee que sus datos sean eliminados de las Bases de Datos.
  2. Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la ley.
  3. Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
  4. Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados.

El derecho de cancelación no es absoluto y el Responsable puede negar el ejercicio del mismo cuando: el Titular tenga un deber legal o contractual de permanecer en la Base de Datos; la eliminación obstaculice actuaciones judiciales o administrativas; o los datos sean necesarios para proteger intereses jurídicamente tutelados del Titular.

Artículo 18. Revocatoria de la Autorización

Los Titulares de los Datos Personales pueden revocar el consentimiento al Tratamiento de sus Datos Personales en cualquier momento, siempre y cuando no lo impida una disposición legal o contractual. Existen dos modalidades: la revocación total (SERES CONSULTING SAS deja de tratar por completo los datos) y la revocación parcial (sobre tipos de Tratamiento determinados, como fines publicitarios o de estudios de mercado).

5. Procedimientos para el Ejercicio de los Derechos

Artículo 19. Consultas

Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier Base de Datos, bajo las siguientes reglas:

  1. El Titular podrá consultar de forma gratuita sus datos personales al menos una vez cada mes calendario.
  2. El derecho de consulta se podrá ejercer por el Titular o sus causahabientes, previa acreditación de su identidad, o por su representante y/o apoderado.
  3. Cuando la solicitud sea formulada por persona distinta del Titular sin acreditar representación, se tendrá por no presentada.
  4. Información mínima requerida: nombre, domicilio, documentos de identidad, descripción de los datos y elementos que faciliten su localización.
  5. Se deberán utilizar los medios de comunicación habilitados para las consultas:
    Correo electrónico: info@seresconsulting.com
  6. Las solicitudes serán atendidas en un término máximo de quince (15) días hábiles. Cuando no fuere posible, se informará al interesado y la fecha de respuesta no podrá superar los diez (10) días hábiles adicionales.

Artículo 20. Reclamos

El Titular o sus causahabientes que consideren que la información contenida en una Base de Datos debe ser objeto de rectificación, actualización o supresión, podrán presentar un reclamo ante el Responsable del Tratamiento:

  1. Los derechos se podrán ejercer por el Titular, su representante, o por estipulación a favor de otro.
  2. La solicitud debe contener: nombre, domicilio, documentos de identidad, descripción de los datos, descripción de los hechos y documentos de soporte.
  3. Si el reclamo no cuenta con información completa, se requerirá al interesado dentro de los diez (10) días siguientes. Transcurrido un (1) mes sin respuesta, se entenderá que ha desistido.
  4. Si el reclamo no corresponde a SERES CONSULTING SAS, se dará traslado en máximo dos (2) días hábiles.
  5. El término máximo para atender el reclamo será de quince (15) días hábiles, prorrogable hasta diez (10) días hábiles adicionales.

6. Directrices y Fin del Tratamiento

Artículo 21. Directrices

SERES CONSULTING SAS tiene como directriz general cumplir con las disposiciones vigentes del Régimen de Protección de Datos Personales en Colombia. Las directrices específicas son:

  1. Obtener la Autorización de todos los Titulares para el Tratamiento de sus Datos Personales.
  2. Mantener la prueba de la Autorización otorgada y dar el Tratamiento correspondiente sin finalidades distintas a las autorizadas.
  3. Todo Tratamiento se llevará a cabo acorde con la Autorización otorgada por el Titular.
  4. El Tratamiento se realizará en virtud de las finalidades mencionadas en la Autorización.
  5. Los Datos Personales únicamente serán tratados por el Administrador de la Base de Datos.
  6. Todo Dato Personal que no sea público se tratará como confidencial por un periodo indefinido.
  7. El Titular podrá consultar sus Datos Personales en todo momento.
  8. La presente Política podrá ser modificada en cualquier momento con apego a la normatividad legal.
  9. Los Datos Personales serán tratados con todas las medidas de seguridad posibles.
  10. La Transferencia y Transmisión de Datos Personales será únicamente a Terceros y Entidades Autorizadas con niveles de seguridad acordes con la Ley.
  11. Los datos se Transferirán únicamente para los fines autorizados por el Titular.
  12. Se mantendrá informados a las Entidades Autorizadas y Encargados de todos los cambios solicitados por el Titular.
  13. Las Bases de Datos se encuentran registradas en el Registro Nacional de Bases de Datos.
  14. Se implementarán procedimientos para garantizar el cumplimiento de la Política.
  15. Se publicará el Aviso de Privacidad con anterioridad a la recolección de los Datos Personales.

Artículo 22. Finalidad del Tratamiento

SERES CONSULTING SAS recolecta, almacena, usa, circula, Transmite y Transfiere Datos Personales de sus clientes, proveedores, empleados, posibles clientes, posibles empleados y posibles proveedores con fines de control, seguridad, establecimiento de relaciones comerciales o jurídicas, procesos judiciales, requerimientos de autoridades administrativas y para futuras referencias, dentro y fuera de Colombia. Los Datos Personales serán tratados con el objeto de:

  1. Cumplir con las obligaciones legales y/o contractuales de las Entidades Autorizadas.
  2. Gestionar datos relacionados con recursos humanos, procesos de selección, análisis organizacional, gestión de relaciones laborales, nómina y cumplimiento de obligaciones legales.
  3. Administrar los asuntos internos incluyendo contabilidad, reportes financieros, impuestos, auditoría interna o externa.
  4. Realizar el proceso de Debida Diligencia del Cliente o Proveedor.
  5. Lograr una eficiente comunicación con el Titular relacionada con productos, servicios, promociones, alianzas, eventos y campañas publicitarias.
  6. Proveer servicios y/o productos.
  7. Informar sobre cambios de productos o servicios.
  8. Dar cumplimiento a obligaciones contraídas con clientes, proveedores y empleados.
  9. Evaluar la calidad del servicio.
  10. Entregar información, contenido y/o publicidad de forma general o segmentada.
  11. Elaborar y reportar información estadística, encuestas de satisfacción y estudios de mercado.
  12. Anonimizar la información para estadísticas y análisis de mercado.
  13. Transferir datos dentro o fuera de Colombia a Entidades Autorizadas y/o terceros para actividades comerciales.
  14. Transferir datos a compañías que puedan administrar o adquirir total o parcialmente a SERES CONSULTING SAS.
  15. Recolección y entrega de información ante autoridades públicas o privadas para cumplimiento de deberes legales.
  16. Hacer perfilamientos de bases de datos y generar perfiles básicos y demográficos.
  17. Contactar clientes, empleados y/o proveedores para envío de información o cualquier finalidad contractual.
  18. Solicitar, capturar, consultar y reportar información crediticia, financiera y comercial de los Clientes.
  19. Propósitos de seguridad, prevención, investigación y persecución del fraude.
  20. Respecto de Datos Sensibles, el Titular no está obligado a autorizar su Tratamiento. Los Datos de Niños, Niñas y Adolescentes se tratarán conforme al artículo 7 de la Ley 1581 de 2012.

7. Seguridad de la Información

Artículo 23. Medidas de Seguridad

En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012, SERES CONSULTING SAS adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

El Administrador de la Base de Datos velará por la seguridad de las Bases de Datos y vigilará la debida aplicación de la Política de Privacidad.

Artículo 24. Implementación de las Medidas de Seguridad

SERES CONSULTING SAS implementará protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.

8. Disposiciones Finales

Artículo 25. Vigencia

La presente Política rige desde el 15 de noviembre de 2020.