banner-politica-datos

acordion-politica-datos

Objetivo

Asegurar la protección y el tratamiento adecuado de los datos personales que ATH recopile y conserve en sus bases de datos y circuitos de vídeo vigilancia para la debida gestión con sus Colaboradores, clientes, visitantes y sus proveedores, dentro del marco que señala la Ley 1581 de 2012 reglamentada parcialmente por el Decreto 1377 de 2013 y por el Decreto 886 de 2014 en lo referente al registro nacional de bases de datos

Así mismo, esta política establece los mecanismos que le permiten a los titulares de estos datos, ejercer su derecho constitucional de conocer, actualizar y rectificar los datos que se hayan recogido sobre ellos mismos en virtud de las actividades propias de ATH.

 

Alcance

Esta política aplica para los datos personales que ATH recopila, conserva y procesa en sus bases de datos y en las imágenes grabadas por los circuitos de vídeo vigilancia, de las personas naturales que actúan como Colaboradores, proveedores, clientes y visitantes.

Cubre desde la autorización que dan los titulares de esta información, la recopilación de los respectivos datos, su conservación, consulta, transmisión, actualización, corrección y eliminación.

 

Glosario

• Dato Personal:

El literal C del artículo 3 de la Ley 1581 de 2012, considera dato personal a cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Incluye conceptos como el nombre, estado civil, estudios realizados, número de documento de identidad, afiliación a organizaciones de diversa índole, entre otros conceptos que pueden ser incluidos como información de una persona natural.

• Dato Privado:

Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular de la información y para su tratamiento requiere de su autorización expresa. (Ej. Nivel de escolaridad).

• Dato Semiprivado:

Es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas. Para su tratamiento se requiere la autorización expresa del titular de la información. (Ej. Dato financiero y crediticio).

• Dato sensible:

Menciona el artículo 5º de la Ley 1581 de 2012 lo siguiente: “Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.” siendo esta una enumeración enunciativa ya que existen otros datos personales, en el caso particular, del trabajador o proveedor, que pueden ocasionar su discriminación.

• Dato Público:

Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. (Ej. Dirección, teléfono, datos contenidos en sentencias judiciales ejecutoriadas, datos sobre el estado civil de las personas, entre otros).

• Tratamiento de Datos:

Se entiende como el uso que se haga de los datos en el curso de las actividades legítimas y con las debidas garantías de su privacidad, la actualización, corrección y conservación, así como la transferencia que se haga de la misma para efectos de validación de referencias, consulta a centrales de riesgos, consulta de antecedentes y demás necesarias para la vinculación ya sea de Colaboradores como de proveedores.

• Titular de datos personales:

Persona natural cuyos datos personales sean objeto de Tratamiento.

• Autorización:

Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

• Base de Datos:

Conjunto organizado de datos personales que sea objeto de Tratamiento.

• Responsable del Tratamiento:

Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

• Encargado del Tratamiento:

Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.

• Transmisión:

Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

• Aviso de privacidad:

Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de la política de tratamiento de información que le serán aplicables, la forma de acceder a la misma y las finalidades del tratamiento que se pretende dar a los datos personales.

• Causahabiente:

Es aquella persona natural o jurídica que ha sucedido o sustituido a otra. Entiéndase también al representante legal del titular.

• Circuito Cerrado de Vídeo Vigilancia:

Es un sistema de tecnología de vigilancia visual que implica la instalación de cámaras de grabación, fijas o móviles, en lugares estratégicos para que capten imágenes y las envíen a uno o varios monitores en otro punto de la instalación. Las imágenes recibidas pueden ser almacenadas en un equipo videograbador para su análisis posterior.

• SIC:

Abreviatura que hace referencia a la Superintendencia de Industria y Comercio de Colombia.

Directrices Generales

- ATH sólo recopilará y dará tratamiento a los datos personales previa autorización por parte de sus respectivos titulares. Es de señalar que ATH únicamente recopila datos personales que son requeridos para el cumplimiento de su objeto social, tales como: nombres, apellidos domicilio, teléfono, correo electrónico, firma, fecha de nacimiento, edad, nacionalidad, estado civil, datos biométricos, información laboral, referencias personales y bancarias, entre otros.

- Todo Colaborador de ATH se compromete a guardar confidencialidad en referencia a los datos personales que llegue a conocer por naturaleza de las labores que desempeña y que en cualquier momento tenga a su disposición.

- El uso de los datos personales de los participantes en el proceso de selección de personal como de los que se vinculen laboralmente a ATH, serán los necesarios para:

  • Validar las referencias.
  • Validar experiencia y estudios.
  • Consultar centrales de riesgo.
  • Consultar antecedentes judiciales.
  • Dar información a los Entes de Seguridad Social.
  • Dar información a los Entes Administradores de Aportes Parafiscales.
  • Controlar el acceso a las instalaciones mediante datos biométricos.
  • Demás consultas y o vinculaciones de Ley.

- El uso de los datos personales de los proveedores personas naturales será el necesario para:

  • Validar las referencias.
  • Validar experiencia.
  • Consultar centrales de riesgo.
  • Consultar listas inhibitorias.

- Los datos personales de visitantes se recopilarán para:

  • Registro de ingreso y salida de las instalaciones, por seguridad y en caso de presentarse alguna novedad o emergencia.
  • Para el registro de equipos.

- ATH dispone de un sistema biométrico para el control de acceso a sus instalaciones, por tanto, durante el proceso de contratación cada colaborador es informado al respecto y se le realiza la captura de sus datos biométricos, los cuales son utilizados exclusivamente para el fin anteriormente citado.

- En ATH se tiene instalado un circuito cerrado de vídeo vigilancia, a través del cual se monitorean las instalaciones físicas con el propósito de preservar los bienes y el bienestar de las personas que allí se encuentran. También como mecanismo para revisar y reconstruir hechos que alteren la seguridad dentro de las instalaciones, tales como hurtos, altercados y/o emergencias.

- La autorización por parte del titular, para la grabación y tratamiento de sus imágenes, se obtiene a través de “conductas inequívocas” toda vez que al ingreso de las instalaciones de ATH se ubican avisos claramente visibles informando al titular de datos personales, que a partir de su ingreso estará siendo monitoreado a través de un sistema de vídeo vigilancia.

- El acceso y tratamiento de las imágenes está restringido y a cargo del Jefe de Compras y Procesos Administrativos. En su defecto lo suple el Director Administrativo y Financiero.

- El acceso a las imágenes por parte de terceros sólo se da a su titular o representante legal o, por solicitud de una autoridad en ejercicio de sus funciones.

- Reconociendo el derecho a la intimidad, en ningún caso se instalarán sistemas de vídeo vigilancia en los baños.

- Cuando menores de edad van a ingresar a las instalaciones de ATH, deben hacerlo en compañía de sus padres o representantes legales quienes, mediante conducta inequívoca, al ingresar en las instalaciones sabiendo que se les va a grabar, están dando su autorización.

Principios para el Tratamiento de Datos Personales

- Según el artículo 4° de la Ley 1581 de 2012 se deben aplicar de manera armónica e integral los siguientes principios al tratamiento de los datos personales:

  • Principio de legalidad: El tratamiento de datos debe sujetarse a lo establecido en la Ley y demás disposiciones que se desarrollen.

  • Principio de finalidad: El Tratamiento de datos debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley y por tanto debe ser informado al Titular de los datos.

  • Principio de libertad: El Tratamiento de datos sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

  • Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.

  • Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable o el Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de los datos.

  • Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones legales y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley.

  • Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  • Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

Oficial de Protección de Datos Personales en ATH

- El artículo 23 del Decreto 1377 de 2013 hace claridad sobre la necesidad de designar un rol que asuma la administración de todo lo concerniente con la protección de datos personales. Adicionalmente en su artículo 27 señala que debe existir una estructura administrativa para la adopción e implementación de las políticas y procesos de protección de datos.

- Dado lo anterior la SIC emitió la cartilla “Guía para la implementación del Principio de Responsabilidad Demostrada”, en esta se estipula el rol de Oficial de Protección de Datos. En ATH este rol es asumido por la Dirección de Calidad y Métodos. Sus responsabilidades son:

  • Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.

  • Promover la definición e implementación de los controles del Programa Integral de Gestión de Datos Personales.

  • Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal de la Gestión de Datos Personales.

  • Impulsar una cultura de protección de datos dentro de la organización.

  • Mantener un inventario de las bases de datos personales en poder de la organización y clasificarlas según su tipo.

  • Velar por el registro y actualización de las bases de datos de la organización en el Registro Nacional de Bases de Datos atendiendo las instrucciones que sobre el particular emita la SIC.

  • Gestionar para que se realice análisis de las responsabilidades de cada cargo de la organización, para diseñar un programa de entrenamiento en protección de datos personales específico para cada uno de ellos.

  • Velar porque los colaboradores de la compañía sean entrenados en protección de datos personales, incluyendo a aquellos que por la naturaleza de su cargo tengan acceso a datos personales gestionados por la organización.

  • Acompañar y asistir a la organización en la atención de las visitas y los requerimientos que realice la SIC.

  • Velar porque haya seguimiento al Programa Integral de Gestión de Datos Personales.

Aviso de Privacidad, Autorización y Recopilación

- ATH sólo recopilará y dará tratamiento a los datos personales que estrictamente requiera para los fines necesarios en el giro de su negocio y de apoyo al mismo tales como los de las personas que participen en el proceso de selección de personal y aquellas que se vinculen laboralmente, así como de las personas naturales que se inscriban para ser proveedores de bienes y/o servicios y de las personas que ingresen a las instalaciones en calidad de visitante.

- Los procesos de selección de personal y de compras, incluyen la actividad de informar a las personas que van a participar, sobre la recopilación de datos personales que de ellos se va a requerir, se les explicará el tratamiento que ATH dará a dichos datos, el derecho que como titulares tienen para conocer, actualizar y rectificar tales datos.

- Al iniciar el proceso de Selección de Personal como al iniciar el proceso de Inscripción de Proveedores, se diligenciará un formato que anuncia que ATH recopilará y tratará datos personales del aspirante y éste mediante su firma autoriza a ATH para ello. En este formato se indica que el titular tiene el derecho de conocer en cualquier momento dichos datos, actualizarlos y corregirlos.

Custodia y Tratamiento

- Los Datos Personales serán recopilados en formatos físicos o electrónicos y registrados en bases de datos electrónicas específicas tanto para Colaboradores como para Proveedores. Los formatos físicos son archivados y conservados en áreas y personal exclusivamente designado. Las bases de datos electrónicas hacen parte de los sistemas respectivamente de Gestión del Talento Humano como de Compras, cuyo acceso está restringido mediante Usuario y Clave, que son de uso personal e intransferible.

- Los Datos Personales, deben ser conocidos y tratados exclusivamente por el personal que ejecuta labores propias como son:

  • Para gestión del Recurso Humano: quienes llevan a cabo el proceso de selección de candidatos, el jefe inmediato del cargo vacante, los Analistas y los Auxiliares de Nómina y demás colaboradores relacionados con los procesos de Gestión Humana.

  • Para la gestión de Proveedores: El Analista de Compras, el Jefe de Compras y Servicios Administrativos, los integrantes del Comité de Compras y los Colaboradores que participen en el proceso de evaluación de propuestas y selección de proveedores.

  • Para la administración de las imágenes almacenadas en el circuito cerrado de vídeo vigilancia: El Jefe de Compras y Procesos Administrativos y los vigilantes pertenecientes al proveedor de seguridad contratado por ATH.

Renovación de la Autorización de Tratamiento de Datos por Cambios Significativos

- De acuerdo con lo establecido en el Artículo 5 del Decreto 1377 de 2013 la compañía informará a sus colaboradores y proveedores cuando se presente alguna de las siguientes situaciones:

  • Cambios sustanciales en las políticas de la compañía referentes a protección de datos.

  • Cambios en la finalidad del tratamiento de los datos personales que reposan en las bases de la compañía.

En cualquiera de los anteriores casos el responsable respectivo (Director de Gestión Humana y/o Jefe de Compras y Procesos Administrativos) deberá validar la necesidad de realizar las siguientes gestiones:

  • Actualizar Políticas, Procedimientos y/o Guías referentes a la protección y tratamiento de datos personales.

  • Actualizar formatos tales como la Autorización de tratamiento de datos con la nueva información según el cambio realizado.

  • Comunicar a los titulares de los datos personales por medios físicos o electrónicos sobre el cambio, con anterioridad a su implementación.

Administración del Circuito Cerrado de Vídeo Vigilancia

- ATH dispone de cámaras de vídeo vigilancia en las instalaciones que ocupa en la ciudad de Bogotá. Las cámaras graban de manera continua los siete días de la semana. El ciclo de grabación es de aproximadamente 90 días, tiempo después del cual el sistema de grabación regraba.

- La administración de los equipos de grabación está bajo la responsabilidad del Jefe de Compras y Procesos Administrativos, quien de acuerdo con los siguientes criterios coordina la ubicación de las cámaras:

  • El Impacto del área en el negocio.
  • La confidencialidad de la información que se maneja en el área.
  • Existencia de cajas fuertes.
  • Aseguramiento de equipos, muebles y enseres.
  • Cualquier otra directriz que emane de la alta dirección de la Compañía, sobre el sistema de vídeo vigilancia.

- La instalación de las cámaras y su mantenimiento técnico está a cargo del proveedor contratado, atendiendo las recomendaciones del fabricante.

- El Jefe de Compras y Procesos Administrativos es la única persona autorizada en ATH para la observación y custodia de las grabaciones, quien deberá mantener la debida reserva y confidencialidad sobre las imágenes respectivas. Cuando se identifican imágenes que violan la seguridad y/o el bienestar de las personas, está facultado para mostrarlas a las Directivas de la Organización y a las autoridades competentes.

- El guarda de seguridad de la respectiva oficina tiene acceso a las filmaciones en vivo, como apoyo a las actividades de vigilancia y protección de las personas, bienes e instalaciones. Por tal motivo, el Jefe de Compras y Procesos Administrativos informará al personal de vigilancia con acceso a las imágenes y datos personales, sobre sus obligaciones de confidencialidad, dejando como constancia su firma en el “Acuerdo de Confidencialidad”.

Disposición final de las grabaciones

- Cumplido el tiempo de almacenamiento de las imágenes, estas serán borradas.

- Se conservarán aquellas grabaciones en donde se detecten actividades que atenten contra la seguridad de los bienes y/o el bienestar de las personas.

Derechos de los Titulares

El titular de los datos personales o a quien este delegue, puede ejercer sus derechos sobre la recolección y tratamiento de sus datos personales. Sus derechos son:

  • Dar su consentimiento o aprobación para la recolección y tratamiento de sus datos personales.
  • Acceder de forma gratuita a sus datos personales conservados por ATH.
  • Solicitar la actualización, corrección o eliminación de sus datos personales conservados por ATH.
  • Revocar la autorización de conservación y/o de tratamiento de sus datos personales.
  • Presentar quejas por infracciones al Régimen General de Protección de Datos Personales.
  • Derecho a la intimidad y a la vida privada en las instalaciones de ATH.

Atención a Titulares

Consultas, actualizaciones y correcciones en Bases de Datos:

- Los titulares de datos o sus causahabientes presentarán sus solicitudes por escrito anexando copia del documento de identidad. Cuando sea a través de causahabiente debe anexar documento de identidad del titular, del causahabiente y el documento que lo acredita como tal

- Para los datos personales que se recopilan y tratan en el proceso de Gestión del Talento Humano, actuará como responsable por el debido tratamiento quien desempeñe el cargo de Director Gestión Humana, quien atenderá a los titulares en cuanto a la actualización y corrección de sus datos, a través de los siguientes canales:

  • Correo electrónico: adminpersonal@ath.com.co
  • Oficina sede carrera 11 # 87 A – 51 Piso 8vo. Bogotá D.C.
  • Los colaboradores de la compañía tienen acceso al aplicativo “SAP Success Factors” mediante el cual pueden realizar la consulta de sus datos personales.

- Para los datos personales que se recopilen y traten de las personales naturales que actúen como proveedores de ATH, así como de la administración de las imágenes que se graban a través del sistema de videovigilancia, es responsable por el debido tratamiento quien se desempeñe como Jefe de Compras y Procesos Administrativos, quien atenderá a los titulares en cuanto a conocer el estado de sus datos, su actualización y corrección a través de los siguientes canales:

  • Correo electrónico: comprasyadquisiciones@ath.com.co
  • Oficina sede carrera 11 # 87 A – 51 Piso 8vo. Bogotá D.C.

Una vez recibida la solicitud, se cuenta con 10 días hábiles para emitir respuesta al titular.

Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Consultas, actualizaciones y correcciones para el Sistema de Vídeo Vigilancia:

Cuando el titular de las imágenes requiera ver o eliminar sus imágenes, debe realizar la solicitud de la siguiente manera según corresponda:

- Colaborador de ATH

Informa a su Director o Gerente la situación que demanda acudir a las grabaciones del sistema de video vigilancia.

El Director o Gerente valida si es o no procedente la solicitud. Cuando así lo considera, mediante correo electrónico dirigido al Jefe de Compras y Procesos Administrativos, solicita el acceso a las grabaciones, indicando la ubicación de la cámara, la fecha y hora requerida y adjunta copia de la cédula de ciudadanía del Colaborador solicitante.

El tiempo para la atención de solicitudes de los Colaboradores para la validación de las imágenes es de dos días hábiles.

- Visitante o Persona Externa

Presenta la solicitud al Jefe de Compras y Procesos Administrativos, a través del correo electrónico comprasyadquisiciones@ath.com.co, pidiendo acceso o eliminación de las imágenes donde él aparece; indicando la ubicación de la cámara, la fecha y hora respectiva y adjunta copia de la cédula de ciudadanía del solicitante.

El Jefe de Compras y Procesos Administrativos recibe la solicitud y valida la identidad del solicitante.

Ubica las imágenes dentro del periodo de tiempo referido en la solicitud, valida las imágenes solicitadas y verifica si en ellas se encuentran registros de menores de edad y/o de terceros, en cuyo caso, deberá solicitar a un proveedor experto la distorsión de las imágenes con el fin de proteger la identidad de estos menores/terceros.

Cuando la solicitud haga referencia al acceso visual de las imágenes, se programará cita con el solicitante y se llevará a cabo en la privacidad de la oficina del Jefe de Compras y Procesos Administrativos.

Cuando la solicitud requiera la emisión y entrega de la grabación, el Jefe de Compras y Procesos Administrativos descargará los registros y los enviará según el tamaño de la grabación así:

  • Cuando el vídeo tiene un tamaño reducido, se envía por correo electrónico cifrado al solicitante.
  • b) Cuando el vídeo es de un tamaño mayor al permitido en el correo electrónico, se entregará personalmente al titular, en un CD/DVD o una USB suministrada por el solicitante, junto con la carta de entrega y copia para confirmación de recibido por parte del solicitante.

Reclamos:

Cuando un Titular o sus causahabientes consideren que sobre la información contenida en una base de datos personales, se ha incumplido alguna de las obligaciones señaladas en la Ley 1581 de 2012, podrá presentar el reclamo por escrito ante el Responsable del Tratamiento utilizando los canales señalados en el numeral 5.8.1 de la presente política, incluyendo copia del documento de identidad, la descripción de los hechos que dan lugar al reclamo, la dirección y acompaña con los documentos que se quiera hacer valer.

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Revocatoria de la autorización y/o eliminación del dato

Los Titulares de los datos podrán solicitar la supresión de estos y/o revocar la autorización otorgada para el tratamiento de estos mediante solicitud dirigida a ATH, la cual debe contener: la Identificación del Titular, la descripción de los hechos que dan lugar al reclamo y la dirección del Titular; adicional se deben adjuntar los documentos que se quiera hacer valer.

Los canales habilitados para el envío de este tipo de solicitudes son:

  • Oficina sede carrera 11 # 87 A – 51 Piso 8vo. Bogotá D.C.
  • Buzón para colaboradores adminpersonal@ath.com.co
  • Buzón para proveedores comprasyadquisiciones@ath.com.co

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

Si vencido el término legal respectivo no se han eliminado los datos personales, el titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales.

Reporte de Incidentes de Seguridad

Cuando se presente un incidente de seguridad (Pérdida, hurto, transgresión de información), en las bases de datos personales al interior de ATH, el Jefe Jurídico es responsable de realizar el reporte en la página de la Superintendencia de Industria y Comercio, en un tiempo no mayor a quince días, a partir del informe que le notifique el responsable de la base de datos.

Trabaje con Nosotros