FUNDACIÓN SOCYA.

POLÍTICAS Y PROCEDIMIENTOS SOBRE PROTECCIÓN DE DATOS PERSONALES.

1. PROPÓSITO.

Adoptar y establecer reglas aplicables al tratamiento de datos personales recolectados, tratados y/o almacenados por SOCYA en desarrollo de su objeto social, en calidad de encargado y/o responsable del tratamiento; dando cumplimiento a las normas Constitucionales, Legales y Reglamentarias sobre la materia.

2. ÁMBITO DE APLICACIÓN.

Las disposiciones de esta política se aplicarán a cualquier base de datos o información personal que se encuentre bajo custodia de SOCYA, bien sea, como responsable o encargado de la misma. Igualmente, se aplicarán a todos los procesos organizacionales de SOCYA que involucren el tratamiento de datos personales.

3. DESTINATARIOS.

La presente política será de obligatoria observancia, cumplimiento y aplicación para el personal directivo, asesor, empleado, contratista, proveedor y en general, toda persona natural o jurídica que en virtud de la relación legal, contractual, estatutaria y/o reglamentaria con SOCYA deba recopilar, tratar, acceder y/o almacenar bases de datos

de las cuales SOCYA sea responsable o encargado.

4. PRINCIPIOS.

La protección de datos personales de los cuales SOCYA sea el responsable o encargado

de su tratamiento, estará orientada por los principios establecidos por la Constitución, la

Ley 1581 del 2012 y demás normatividad relacionada con la materia, especialmente los

principios de: Legalidad, Libertad, Veracidad o Calidad, Transparencia, Acceso Restringido, Circulación Restringida, Seguridad y Confidencialidad; con el fin de velar y garantizar los derechos del titular de los datos.

5. DERECHOS DE LOS TITULARES DE LOS DATOS.

Los titulares de los datos personales respecto de los cuales SOCYA sea el responsable

o encargado de su recolección, tratamiento y/o almacenamiento, tendrán los derechos consagrados en la Constitución, la Ley, el Reglamento y en especial, los siguientes:

5.1. Acceder en todo momento y de forma gratuita a los datos personales proporcionados que hayan sido objeto de recolección, tratamiento y/o almacenamiento por parte de SOCYA.

5.2. Conocer, actualizar y rectificar su información frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté prohibido o no haya sido autorizado.

5.3. Solicitar prueba de la autorización otorgada.

5.4. Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por

infracciones a lo dispuesto en la normatividad vigente sobre tratamiento de datos personales.

5.5. Revocar la autorización y/o solicitar la supresión o cancelación del dato, siempre que no exista un deber legal o contractual que impida eliminarlos.

5.6. Abstenerse de responder las preguntas sobre datos sensibles. Tendrán carácter voluntario u opcional las respuestas que versen sobre datos sensibles de las niñas, niños y adolescentes.

6. DEBERES DE LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO DE DATOS:

 Cuando SOCYA y/o alguno de los destinatarios indicados en el Numeral 3 de la presente política, actúa en calidad de responsable y/o encargado de los datos personales recolectados, tratados y/o almacenados por SOCYA, deberá dar estricto cumplimiento a los deberes consagrados en los Artículos 17 y 18 de la Ley 1581 de 2012. Además, todos los destinatarios deberán dar especial aplicación a los siguientes deberes:

6.1. Aplicar las medidas de seguridad conforme la clasificación de los datos personales que trata SOCYA.

6.2. Adoptar procedimientos de recuperación de desastres aplicables a los bases de datos que contengan aquellos de carácter personal.

6.3. Adoptar procedimientos de respaldo o back up de las bases de datos.

6.4. Auditar de forma periódica el cumplimiento de esta política por parte de los destinatarios de la misma.

6.5. Gestionar de manera segura las bases de datos que contengan datos personales.

6.6. Aplicar esta política sobre protección de datos personales en armonía con la “Política de Seguridad de la Información”.

6.7. Llevar un registro central de las bases de datos que contengan datos personales que comprenda el historial desde su creación, tratamiento de la información y cancelación de las bases de datos.

6.8. Gestionar de manera segura el acceso a las bases de datos personales contenidos en los sistemas de información, en los que actúe SOCYA como responsable o encargado del tratamiento.

6.9. Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales.

6.10. Regular en los contratos con terceros el acceso a las bases de datos que contengan datos de carácter personal.

6.11. Consultar las listas vinculantes, restrictivas, sancionatorias, y demás, nacionales e internacionales, de manera segura, procurando así el buen uso de los datos suministrados por el cliente.

7. ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS.

Dando cumplimiento a lo establecido en las normas Constitucionales, Legales y Reglamentarias sobre la materia, el titular de los datos que reposen en los sistemas de información de Socya, tendrá derecho a interponer quejas, reclamos o ejercer acciones. Para el ejercicio de derechos aludidos en el Numeral 5 de la presente política, se establecen los siguientes canales, para la radicación o solicitud de información relacionada con el ejercicio de los derechos sobre los datos personales:

7.1 Control interno es el encargado de recolectar, tratar y/o almacenar los datos personales y esta se encargará de remitir la petición, consulta y/o reclamo a cada área para darle respuesta y hacer efectivos sus derechos.

7.2 Sede Administrativa en Medellín (Calle 30 No. 55 – 198).

7.3 Correo Electrónico: socya@socya.org.co

7.4 Teléfono en Medellín: 444 – 2088.

8. PROCEDIMIENTO PARA EL EJERCICIO DEL DERECHO DE HABEAS DATA.

En cumplimiento de las normas Constitucionales, Legales y Reglamentarias sobre protección de datos personales y del Derecho Fundamental de Habeas Data, la Fundación SOCYA, presenta el procedimiento y requisitos mínimos para el ejercicio de los derechos de los titulares de la información personal:

8.1. Para la radicación y atención de solicitudes, se deberá indicar la siguiente información:

• Nombre completo y apellidos.
• Datos de contacto (Dirección física y/o electrónica y teléfonos de contacto).
• Medios para recibir la notificación de la respuesta a su solicitud.
• Motivo(s) y/o hecho(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información entre otros).
• Firma (si aplica) y número de identificación.
• Copia de la Cédula de Ciudadanía. (Física o Digital).
• En caso de actuar a través de apoderado, el apoderado deberá presentar poder debidamente autenticado en Notaria y copia del documento de identidad del apoderado y del poderdante. Si quien pretende ejercer los derechos es el causahabiente o representante del titular de los datos, deberá acreditar la calidad en la que actúa, mediante el documento que la Ley señale como idóneo para el efecto.

8.2. La comunicación se deberá radicar a través de los canales indicados en el Numeral 7.

8.3. Si faltare alguno de los requisitos aquí indicados, SOCYA así lo comunicará al interesado dentro de los 5 días hábiles siguientes a la recepción de la solicitud, para que los subsane, procediendo a dar respuesta a la solicitud una vez subsanada la misma.

Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud.

8.4. El término máximo previsto por la Ley para resolver la reclamación es de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo y cumplimiento de los requisitos mínimos aquí establecidos. Cuando no fuere posible atender el reclamo dentro de dicho término, el área o dependencia encargada informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

8.5. Una vez cumplidos los términos señalados por la Ley 1581 de 2012 y las demás normas que la reglamenten o complementen, el titular al que se le deniegue, total o parcialmente, el ejercicio de los derechos de acceso, actualización, rectificación, supresión y revocación, podrá poner su caso en conocimiento de la Superintendencia de Industria y Comercio –Delegatura para la Protección de Datos Personales.

8.6. SOCYA documentará y almacenará las solicitudes realizadas por los titulares de los datos o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes.

8.7. SOCYA podrá disponer de formatos físicos y/o digitales para el ejercicio de estos derechos y en ellos indicará si se trata de una consulta o de un reclamo del interesado.

9. REGISTRO CENTRAL DE BASES DE DATOS PERSONALES.

SOCYA, como responsable del tratamiento de datos personales bajo su custodia, así como respecto de aquellos en los cuales tenga la calidad de encargado del tratamiento, dispondrá de un registro central, en el cual relacionará cada una de las bases de datos contenidas en sus sistemas de información y demás archivos. El registro central de bases de datos personales debe cumplir los siguientes requisitos:

9.1. Incluir todas las bases de datos personales contenidas en los sistemas de información y demás archivos de SOCYA. A cada base se le asignará un número de registro.

9.2. La inscripción de las bases de datos personales indicará:

9.2.1. El tipo de dato personal que contiene.

9.2.2. La finalidad y uso previsto para la base de datos.

9.2.3. Identificación del área de SOCYA que hace el tratamiento de la base de datos.

9.2.4. Sistema de tratamiento empleado (automatizado o manual) en la base de datos.

9.2.5. Indicación del nivel y medidas de seguridad que aplican a la base de datos en virtud del tipo de dato personal que contiene.

9.2.6. Ubicación de la base de datos en los sistemas de información de SOCYA.

9.2.7. El colectivo de personas o grupos de interés cuyos datos están contenidos en la base de datos.

9.2.8. La condición de SOCYA como RESPONSABLE o ENCARGADO del tratamiento de las bases de datos.

9.2.9. Autorización de comunicación o cesión de la base de datos, si existe.

9.2.10. Procedencia de los datos y procedimiento en la obtención del consentimiento.

9.2.11. Servidor de SOCYA custodio de la base de datos.

9.3. Con el fin de actualizar el registro central de bases de datos, en los meses de abril, julio, octubre y enero de cada año, el área encargada de la obtención de los datos personales, enviará un reporte mensual con los cambios surtidos en las bases de datos personales, en relación con los requisitos mencionados en el literal anterior. En caso de que las bases de datos no hayan sufrido cambios así se dejará constancia por el custodio de la misma.

9.4. La ocurrencia e historial de los incidentes de seguridad que se presenten contra alguna de las bases de datos personales custodiadas por SOCYA, serán documentados en este registro central.

9.5. El registro indicará las sanciones que llegaren a imponerse respecto del uso de la base de datos personales, indicando el origen de la misma.

9.6. La cancelación de la base de datos personales será registrada indicando los motivos y las medidas técnicas adoptadas por SOCYA para hacer efectiva la cancelación.

10. TRATAMIENTO DE LOS DATOS PERSONALES.

10.1. TRATAMIENTO DE DATOS PERSONALES RELACIONADO CON LA GESTIÓN DEL RECURSO HUMANO.

 SOCYA tratará los datos personales del recurso humano en tres momentos, a saber:

10.1.1. ANTES: 1. Cuando el proceso de selección se adelante directamente por SOCYA: Se informará de manera anticipada a las personas interesadas en las convocatorias de la entidad, las reglas aplicables al tratamiento de los datos. 2. Cuando el proceso de selección lo realiza un tercero: Se regulará en el correspondiente Contrato el tratamiento que deben dar a los datos de los postulados. 3. De no ser seleccionado, la información recolectada en el proceso de selección no podrá ser usada para otro propósito que los fines perseguidos con la participación en el proceso de selección.

10.1.2. DURANTE: 1. Los datos personales del colaborador serán almacenados en su carpeta personal, su acceso y tratamiento deberá ser vigilado y autorizado por la Dirección de Gestión Humana, acorde con los procedimientos que la misma establezca. 2. Está prohibido el uso de la información personal de los colaboradores para fines distintos de los estrictamente laborales.

10.1.3. DESPUÉS: 1. Finalizada la relación laboral, los datos personales del ex colaborador serán almacenado bajo niveles altos de seguridad. 2. Está prohibido la cesión total o parcial de los datos personales a terceras personas ajenas a la organización, salvo solicitud y/o autorización previa del titular del dato.

10.2. TRATAMIENTO DE DATOS PERSONALES DE PROVEEDORES Y CONTRATISTAS.

Los datos personales de las personas naturales y/o jurídicas que sean recolectados, tratados y almacenados en virtud de una relación legal, contractual o estatutaria con un proveedor y/o contratista, bien se trate de datos cuya titularidad pertenezca a dicho proveedor, contratista o a sus dependientes o colaborados serán utilizados exclusivamente para efectos de la selección, evaluación y/o ejecución de las obligaciones derivadas del vínculo legal, contractual y/o estatutario.

Los datos de los empleados, dependientes y/o colaboradores de los proveedores y/o contratistas solo serán recolectados, tratados y almacenados para los fines derivados de la selección, evaluación y/o ejecución y cumplimiento de las obligaciones del proveedor y/o contratista.

Los anteriores datos, también serán utilizados para revisar y consultar, de manera segura, las listas vinculantes, restrictivas, sancionatorias, y demás, nacionales e internacionales, con el fin de conocer los reportes, antecedentes, procesos y demás actividades que se encuentren reportadas en estas a nombre del proveedor o contratista.

Asimismo, los datos podrán ser usados por SOCYA para efectos de adelantar cualquier tipo de acción judicial y/o extrajudicial en contra de las personas antes aludidas, sus dependientes y/o colaboradores derivadas de la relación negocial, en virtud de la cual fueron recolectados, tratados y almacenados.

Cuando en virtud de las relaciones con sus proveedores y/o contratistas, SOCYA deba entregarles a estos cualquier tipo de información personal, confidencial o privilegiada, deberá estipular dentro de las condiciones contractuales bajo qué condiciones realiza la entrega de datos personales al proveedor o contratista.

En caso de incumplimiento por parte de los proveedores o contratistas de SOCYA, en el manejo de los datos personales de SOCYA, sus empleados y/o sus bases de datos, será considerado como causa grave para dar terminación al contrato, sin perjuicio de las acciones judiciales y/o extrajudiciales a que haya lugar.

En los contratos con proveedores, donde el objeto contratado tenga relación con datos personales, se pactará una previsión en relación con los perjuicios que se pueden llegar a ocasionar a SOCYA como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente o negligente del proveedor. La cesión o comunicación de datos personales deberá ser inscrita en el registro central de datos personales de SOCYA y contar con la autorización del custodio de la base de datos.

10.3. TRATAMIENTO DE DATOS PERSONALES CON CONTRATANTES DE SOCYA.

Los contratantes de SOCYA que accedan, usen, traten y/o almacenen datos personales de empleados de SOCYA y/o de terceros relacionados con dichos procesos contractuales, adoptarán en lo pertinente lo dispuesto en esta política, así como las medidas de seguridad que le indique SOCYA según el tipo de dato de carácter personal tratado. De igual forma, cuando SOCYA tenga acceso a datos personales derivados del desarrollo del objeto contractual, debe atender la política de protección de datos establecida por el contratante, si así lo establecen los términos contractuales, o en su defecto, aplicar un tratamiento igual al establecido en esta política para datos personales de la comunidad en general.

10.4. TRATAMIENTO DE DATOS PERSONALES DE LA COMUNIDAD EN GENERAL.

La recolección de datos de personas naturales o jurídicas que SOCYA trate en desarrollo de su objeto social, relacionadas con la comunidad, se sujetará a lo dispuesto en esta norma. Para el efecto, previamente SOCYA informará y obtendrá la autorización de los titulares de los datos en los documentos e instrumentos que utilice para el efecto y relacionados con estas actividades. En cada uno de los casos antes descritos, las áreas de la Entidad que desarrollen los procesos que involucren datos de carácter personal, deberán considerar en sus estrategias de acción la formulación de reglas y procedimientos que permitan cumplir y hacer efectivas las disposiciones aquí adoptadas, además de prevenir posibles sanciones legales.

11. DISPOSICIONES VARIAS.

11.1. Todas las anteriores estipulaciones se entienden establecidas sin perjuicio de los requerimientos que válidamente realicen las autoridades judiciales y/o administrativas y las demás excepciones establecidas en la Constitución, la Ley y el Reglamento sobre la materia. En estos casos, corresponderá al Área Jurídica, establecer la viabilidad, veracidad y procedencia de éstas excepciones y requerimientos de acceso a los datos personales. En caso de acceder a la entrega de la información, dejará constancia de la solicitud y la entrega de los datos personales a la autoridad solicitante, advirtiendo a ésta última sobre la protección, confidencialidad y/o privilegio de la información personal que se le remite.

11.2. La transferencia internacional de datos personales se regirá por el Artículo 26 de la Ley 1581 de 2012 y sus decretos reglamentarios.

11.3. SOCYA prohíbe el tratamiento de datos personales de niños y adolescentes menores de edad, salvo autorización expresa de sus representantes legales. Todo tratamiento que se llegare a hacer respecto de los datos de los menores, deberá asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con el Código de la Infancia y la Adolescencia.

11.4. Lo no previsto en la presente política será complementado y entendido de conformidad con lo normado en el Artículo 15 de la Constitución Política, la Ley 1581 de 2012, el Decreto 886 de 2014, en lo pertinente el Decreto 1074 de 2015 y las demás normas concordantes que gobiernan la materia.

11.5. Los datos personales de los miembros de Junta Directiva serán recolectados, tratados y almenados de conformidad con las normas generales de tratamiento de datos y solo podrán ser usados para los fines relacionados con la función estatutaria que desempeñan.

11.6. Cualquier recolección, tratamiento y/o almacenamiento de datos personales que realicen los colaboradores de SOCYA deberá hacerse con autorización previa y escrita del titular. El incumplimiento de este deber acarreará las sanciones que establece la Ley o el Contrato.

11.7. La permanencia de los datos en los sistemas de información de SOCYA estará determinada por la finalidad de dicho tratamiento. En consecuencia, agotada la finalidad para la cual se recolectaron los datos, SOCYA procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la Ley, en el acto o contrato en virtud del cual se obtuvieron, adoptando las medidas técnicas que impidan un tratamiento inadecuado.

11.8. SOCYA ha adoptado medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, de conformidad con el riesgo de los datos personales tratados.

11.9. La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionada con el tratamiento de datos personales, deberá ser comunicada de manera inmediata a la Dirección Ejecutiva de SOCYA, con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones previstas en la legislación colombiana, en particular las consignadas en el Título VII, Capítulo II de la Ley 1581 de 2012. Como consecuencia de los riesgos que asume SOCYA, bien en calidad de responsable y/o encargado del tratamiento de los datos personales; el incumplimiento de esta política por parte de sus destinatarios, se considera una falta grave y dará lugar a la terminación del contrato respectivo sin perjuicio de las demás acciones legales.

11.10. Cuando no se haya previsto la finalidad de recolección, tratamiento y/o almacenamiento de los datos personales, se entenderá que los mismos son recolectados única y exclusivamente para las finalidades del acto o contrato en virtud del cual fue autorizado por el titular su recolección, tratamiento y/o almacenamiento.

11.11. Los datos suministrados por el proveedor y/o cliente de la Fundación SOCYA podrán ser utilizados para realizar consultas de antecedentes penales, fiscales, disciplinarios y en la Oficina de Control de Activos Extranjeros de Estados Unidos (lista OFAC) previo a su contratación y /o realización de cualquier negocio jurídico.

11.12. La presente política tendrá una vigencia indefinida a partir del día 6 de junio del 2020. Se aclara que la presente política no realiza cambios sustanciales respecto de su antecesora, simplemente se emite con fines de hacerla más corta y entendible para el público en general.

Propiedad intelectual de Socya
Código: DAPC 09 Versión: 03 Fecha: Febrero 2020