POLÍTICA GENERAL PARA EL SISTEMA INTEGRAL DE GESTIÓN DE DATOS PERSONALES
BINAPPS S.A.S., sociedad comercial debidamente constituida de conformidad a las leyes de la República de Colombia e identificada fiscalmente 900.619.134-1, (En adelante “la Sociedad” y/o “Empresa”) en cumplimiento de sus obligaciones constitucionales, legales y reglamentarias, y en especial de lo ordenado en la Ley 1581 del 2012 y su Decreto Reglamentario 1377 del 2013, compilado en el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, Decreto 1074 del 2015, así como de las órdenes e instrucciones que sobre la materia ha dictado la Superintendencia de Industria y Comercio (En adelante “SIC”), como Autoridad Nacional de Protección de Datos Personales, con el presente documento hace pública la presente Política General de Tratamiento de Datos Personales, reconociendo la importancia de realizar el tratamiento de los datos personales de sus empleados, clientes, proveedores, contratistas, accionistas y en general de todas las personas que directa o indirectamente tienen relación con la Sociedad, bajo estrictos criterios de seguridad, privacidad, confidencialidad, libertad y transparencia.
1. OBJETIVO
La presente Política General para el Sistema Integral de Gestión de Datos Personales, pretende definir las políticas y lineamientos a implementar por BINAPPS S.A.S.,para la recolección, almacenamiento, uso, circulación, supresión de datos personales; reflejando así, una cultura de respeto a la protección de los mismos, con el fin de adoptar medidas dentro de la organización que permitan aumentar sus estándares de protección, para que de esta manera, sea garantizado a los empleados, clientes, proveedores, contratistas, accionistas y en general todas las personas que directa o indirectamente tienen relación con la Sociedad un tratamiento idóneo de su información personal y materializar el derecho que tienen todas las personas a conocer, actualizar y rectificar la información que se almacene sobre ellas en bases de datos o archivos de conformidad con las disposiciones legales vigentes.
2. ALCANCE Y OBLIGATORIEDAD
El presente sistema Integrado de Gestión de Datos Personales se aplicará de conformidad al desarrollo normativo al interior de la Sociedad, de las disposiciones legales y reglamentarias que rigen el tratamiento y protección de datos personales en Colombia, en consecuencia constituirá el criterio general para el tratamiento de los datos que se encuentren incluidos en las bases de datos, ficheros y archivos de la compañía para los socios, directivos, empleados, contratistas, proveedores titulares de los datos personales y cualquier otra persona que tenga relación directa o indirecta con la Sociedad. Se exceptúan las bases de datos mantenidas en un ámbito exclusivamente personal o doméstico, es decir, de la vida privada o familiar de las personas naturales; así como las demás contenidas en el artículo 2 de la Ley 1581 de 2012.
La presente política constituye el marco general para el desarrollo de las políticas internas, protocolos, auditorías y procedimientos que permitan cumplir efectivamente los estándares de protección de datos personales exigidos por el ordenamiento jurídico colombiano. En consecuencia, las estipulaciones aquí consagradas son de estricto y obligatorio cumplimiento por parte de la sociedad BINAPPS S.A.S., identificada fiscalmente con NIT. 900.619.134-1, su representante legal, directivos, empleados, contratistas, proveedores y cualquier persona que tenga relación directa o indirecta con la Sociedad.
3. MARCO JURÍDICO
El tratamiento de datos personales que realiza BINAPPS S.A.S.,se sustenta en los siguientes fundamentos jurídicos:
- Constitución Política de Colombia.
- Ley Estatutaria 1581 del 2012.
- Sentencia C-748 del 6 de octubre del 2011.
- Decreto 1074 del 2015 “Decreto Único del Sector Comercio, Industria y Turismo”.
- Disposiciones de la Superintendencia de Industria y Comercio.
4. RESPONSABLE DEL TRATAMIENTO
El responsable del tratamiento de datos personales es la sociedad BINAPPS S.A.S., fiscalmente con NIT. 900.619.134-1, quien tiene los siguientes datos de contacto:
- Dirección: Carrera 23 C #62-72 Edificio PRANHA Oficina 708 MANIZALES, CALDAS
- Teléfono: 3104533574
- Correo electrónico: [email protected]
5. DEFINICIONES
Para efectos de la presente política se adoptan las siguientes definiciones:
- Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
- Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
- Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
- Dato público. Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
- Datos sensibles. Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
- Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
- Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
6. PRINCIPIOS RECTORES
Los principios que determinan el tratamiento de datos personales que realizará BINAPPS S.A.S.,y que permitirán la aplicación e interpretación armónica de las disposiciones normativas que regulan la protección de datos personales en Colombia son:
- Principio de legalidad: El Tratamiento a que se refiere la Ley 1581 del 2012 y que pretende desarrollar BINAPPS S.A.S., a través del sistema de protección de datos personales, es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
- Principio de finalidad: El Tratamiento de datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, a través de la cual la sociedad BINAPPS S.A.S.,desarrolla su objeto social y la cual debe ser informada al Titular de los datos personales.
- Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular de los datos personales. Estos no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
- Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Está prohibido a los empleados y contratistas de la Sociedad, el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
- Principio de transparencia: En el tratamiento de datos personales debe garantizarse el derecho del titular a obtener del responsable o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de sus datos personales, el tratamiento que se le han dado a los mismos y cualquier otra información directamente relacionada con estos y que sea solicitada por el titular o las personas legalmente habilitadas.
- Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la Ley 1581 del 2012. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la citada ley.
- Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en los términos de la Ley 1581 del 2012.
7. TRATAMIENTO Y FINALIDADES
La sociedad BINAPPS S.A.S.,realizará el tratamiento de los datos personales incluidos en sus bases de datos, con el fin de desarrollar su objeto social, cuya actividad principal es el diseño, desarrollo, pruebas, despliegue, administración, asesoría, consultoría, formación, soporte, mantenimiento y comercialización de todo lo relacionado a sistemas de tecnología, información y comunicación en general, así como el desarrollo de sistemas tecnológicos, software y hardware, la prestación de servicios a través de plataformas tecnológicas, la prestación de servicios de investigación de mercados, asistencia de venta, marketing y publicidad y la realización de actividades con páginas web On line, aplicaciones y plataformas informáticas en general, la prestación de servicios con apoyo en aplicaciones móviles, desarrollos en sitios web, acompañados de los productos y servicios que se muestren relacionados con estos, el desarrollo de proyectos de innovación que incorporen tecnología, la creación, generación, apropiación y adaptación de la misma, la organización, creación y apoyo a centros tecnológicos y de innovación, parques tecnológicos, incubadoras de empresas y empresas de base tecnológica; el desarrollo, administración y operación de plataformas electrónicas que permitan el acceso a productos financieros, de seguro y ahorro, la realización de actividades de análisis y procesamiento de datos, así como alojamiento (hosting), servicios administrativos y de apoyo, actividades de arquitectura empresarial e ingeniería, así como las demás actividades complementarias que se encuentran en el objeto social de la Sociedad.
El tratamiento de los datos personales por parte de la Sociedad se hará a partir de la recolección y almacenamiento en bases de datos y el uso en correspondencia con las finalidades señaladas en el acto de autorización. Para su registro, uso, consulta, modificación, supresión o cualquier otra operación relacionada con éstos, la Sociedad garantizará las medidas de seguridad necesarias para el reconocimiento y respeto de los derechos de sus titulares.
El uso de los datos personales se hará, preferiblemente, a través de llamadas telefónicas, comunicaciones físicas a las direcciones de contacto y el envío de correos electrónicos, mensajes de datos y en general por cualquier medio de comunicación que permita el contacto efectivo con el titular de la información.
Las finalidades del tratamiento de datos personales que hace la Sociedad, atendiendo a la naturaleza de los datos y a sus titulares, son:
- Tratamiento de datos personales de Trabajadores o ex empleados
BINAPPS S.A.S.,recolecta los datos personales de sus TRABAJADORES o EX EMPLEADOS los cuales son calificados por la Sociedad como de reserva, y solo serán revelados por la Sociedad con la expresa autorización del titular o cuando una Autoridad Competente lo solicite. Las finalidades para las cuales son utilizados los datos personales de los empleados de la empresa serán:
- Mantener un registro histórico, científico o estadístico.
- Gestionar las relaciones, derechos y deberes que se tienen con los titulares.
- Adelantar comunicaciones o contacto vía correo electrónico, SMS, teléfono u otro medio.
- Realizar actividades de gestión administrativa.
- Realizar la verificación de datos y referencias.
- Dar cumplimiento a las obligaciones que impone la ley laboral colombiana a los empleadores, o bien las órdenes que impartan las autoridades colombianas o extranjeras competentes.
- Emitir certificaciones relativas a la relación del titular del dato con la Empresa.
- Cumplir con las obligaciones impuestas a la empresa como empleador, en relación con las normas de Seguridad y Salud Ocupacional, y el denominado Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST).
- Gestionar las funciones desarrolladas por los trabajadores.
- Ejecutar las diferentes etapas de los procesos disciplinarios de la Empresa y consultar memorandos, llamados de atención o cualquier tipo de sanción impuesta a los colaboradores.
- Contactar a familiares en casos de emergencia.
- Dar gestión y control a la nómina.
- Controlar el horario de los trabajadores y las horas extra que laboren.
- Llevar un control de incapacidades, ausentismos, licencias y vacaciones de los trabajadores.
- Llevar un control de las capacitaciones dadas a los trabajadores.
- Almacenar sus datos personales como soporte de las actividades realizadas.
- Cumplir con los protocolos de bioseguridad aplicables a la Empresa de acuerdo con las disposiciones que emita el Gobierno Nacional.
- Llevar a cabo un control, seguimiento y evaluación de los trabajadores.
- Tomar imágenes y fotografías necesarias para el reconocimiento del trabajador, control de cumplimiento y recolección de evidencia de los servicios desarrollados.
- Adicionalmente se usan datos personales de los trabajadores para fines comerciales relacionados con el objeto social de la Empresa.
- Comunicar información de los trabajadores a terceras entidades con las que la Empresa mantenga una relación contractual, socios o aliados y clientes en la medida en que sea necesario para cumplir con el protocolo de los terceros, con los únicos efectos de que estos puedan gestionar el control y coordinación respecto del personal que preste de manera efectiva los servicios que se derivan de la relación profesional, así como posibilitar el cumplimiento de obligaciones legales, en materia fiscal y de seguridad social.
- Comunicar datos de carácter identificativo de los trabajadores a agencias de viajes, compañías de transportes, hoteles y demás entidades para la gestión de las reservas y liquidación de los gastos ocasionados.
- Realizar transferencia o transmisión internacional de datos a países que proporcionen una protección similar a la de Colombia.
- Entrega de la información a terceros encargados de procesos de evaluación, entrenamiento, certificación, y demás procesos requeridos en el desarrollo de la relación contractual.
- Verificar, comparar, evaluar las competencias laborales y personales de los empleados.
- Envío de información a cajas de compensación, AFP, ARL, aseguradoras entre otros.
- Iniciar investigaciones internas con base en las quejas presentadas por empleados activos y no activos, terceros o los mismos colaboradores.
- Gestión de denuncias a trabajadores por acoso laboral o violación de códigos de conducta, así como demás aspectos relacionados.
- Adelantar investigaciones en caso de presentarse situaciones de riesgo o violaciones a la seguridad.
- Cumplir con los requisitos legales para la prevención del lavado de activos y financiación del terrorismo.
- Cumplir con la atención de derechos de los ciudadanos.
- Gestionar la seguridad en todos sus aspectos.
- Realizar la aplicación de sanciones asociadas a incumplimiento de algún tipo.
- Adelantar campañas de Actualización de datos e información de cambios en el tratamiento de datos personales.
- Cumplir con los requisitos legales asociados a la formalización de contratos.
- Gestionar las actividades asociadas al manejo de personal.
- Cumplir lo dispuesto por el ordenamiento jurídico colombiano en materia laboral y de seguridad social, entre otras, aplicables a ex empleados o empleados actuales.
- Cumplir con los requisitos de gestión de riesgos laborales.
- Preservar la seguridad de los activos y personas.
- Gestionar y realizar el pago de nómina.
- Adelantar la gestión de riesgos laborales y la prevención y protección del recurso humano ante enfermedades y accidentes del ámbito laboral.
Para los efectos de este Tratamiento se recolecta la respectiva autorización que en todo caso será expresa y facultativa, indicando claramente los Datos Personales Sensibles objeto de Tratamiento y la finalidad del mismo. Así mismo, contará con sistemas de seguridad para el manejo de aquellos datos sensibles y su reserva, en el entendido que tales datos sensibles sólo serán usados por BINAPPS S.A.S.,para los fines antes mencionados.
Terminada la relación laboral, BINAPPS S.A.S.,procederá a almacenar todos los datos personales que haya obtenido del proceso de selección y la documentación generada en desarrollo de la relación laboral, en un archivo central con acceso restringido, sometiendo en todo momento la información a medidas y niveles de seguridad adecuados, dado que la información laboral pueda contener datos de carácter sensible.
- Tratamiento de datos personales de clientes:
BINAPPS S.A.S.,recolecta los datos personales de sus clientes y los almacena en una base de datos la cual es calificada por la Empresa como de reserva, y sólo será revelada con la expresa autorización del titular o cuando una Autoridad Competente lo solicite. Las finalidades para las cuales son utilizados los datos personales de los clientes de BINAPPS S.A.S., serán:
- Mantener un registro histórico, científico o estadístico.
- General modelos y datos para la toma de decisiones.
- Remitir o enviar información relacionada con el objeto social de la organización.
- Gestionar las relaciones, derechos y deberes que se tiene con los titulares.
- Gestionar y mantener un histórico de relaciones comerciales.
- Proceso de control y registro contable de las obligaciones contraídas con los clientes.
- Cumplimiento de aspectos tributarios y legales ante entidades públicas y regulatorias.
- Cumplimiento de obligaciones contractuales, por lo cual, la información podrá ser transferida a terceros, tales como entidades financieras, terceros aliados, notarías, abogados, etc.
- Cumplimiento con decisiones y requerimientos judiciales y disposiciones administrativas, legales, fiscales y regulatorias.
- Transmisión de información y datos personales en procesos de auditorías.
- Gestión administrativa para la ejecución de las etapas precontractual, contractual y pos contractual.
- Realizar la verificación de datos o referencias suministradas con terceros o entidades.
- Creación del cliente en las plataformas o software de la Empresa.
- Generar facturas.
- Cumplir con los deberes económicos y contables de la Sociedad.
- Realizar actividades de cobro y pago.
- Realizar análisis de perfiles.
- Realizar actividades de fidelización.
- Realizar la formalización de ajustes o acuerdo de pago.
- Garantizar la prestación de servicios de desarrollo, producción y comercialización de proyectos de software.
- Garantizar el cumplimiento de los derechos que les corresponden en virtud de la Ley.
- Realizar actividades de prospección comercial y marketing.
- Realizar encuestas de opinión.
- Evaluar el servicio de atención al cliente y realizar encuestas de satisfacción.
- Compartir la información con terceros aliados que colaboran con la sociedad, considerando que para el cumplimiento de sus encargos deben acceder en alguna medida a la información, los cuales estarán igualmente sujetos a las obligaciones de confidencialidad, manejo de la información y protección de datos personales a las que está sujeto esta sociedad.
- Dar trámite a las peticiones, quejas o reclamos establecidas de manera directa por el cliente a través de los canales de atención.
- Contactar al cliente a través de medios físicos y electrónicos – correo electrónico, SMS o chat para el envío de información de interés o relacionada con la relación contractual, invitarlo a capacitaciones o con el portafolio de servicios.
- Mantener contacto comercial aun después de la finalización de la relación contractual.
- Consultar como buena práctica empresarial u obligación legal, antecedentes de los clientes en listas restrictivas, listas OFAC, PEPS, Clinton y ONU, en aras de prevenir el lavado de activos y financiación del terrorismo.
En todo caso, la información no será objeto de tratamiento por un período superior al tiempo que dure la relación contractual entre el cliente y la Empresa, y el tiempo adicional que se requiera de acuerdo con las circunstancias legales o contractuales que hagan necesario el manejo de la información.
- Tratamiento de datos personales de Proveedores y Contratistas:
BINAPPS S.A.S.,recolecta los datos personales de sus Proveedores y contratistas los almacena en una base de datos la cual, aunque se compone en su mayoría de datos públicos, es calificada por la compañía como de reserva, y que, en el caso de datos privados, solo los revelará con la expresa autorización del titular o cuando una Autoridad Competente lo solicite. Las finalidades para las cuales son utilizadas los datos personales de los Proveedores y Contratistas de BINAPPS S.A.S.,serán:
- Mantener un registro histórico, científico o estadístico.
- Generar modelos y datos para la toma de decisiones.
- Remitir o enviar información relacionada con el objeto social de la organización.
- Gestionar las relaciones, derechos y deberes que se tienen con los titulares.
- Realizar el envío de comunicaciones a nivel general.
- Gestionar y mantener un histórico de relaciones comerciales.
- Realizar la verificación de cumplimientos legales o normativos.
- Gestionar las cuentas de cobro presentadas por los proveedores o los contratistas.
- Llevar un control de los aportes realizados al sistema de seguridad social por parte de los contratistas.
- Llevar a cabo evaluaciones y selección de proveedores potenciales.
- Cumplimiento de aspectos tributarios y legales con entidades públicas y regulatorias.
- Control y pagos por los bienes y servicios recibidos.
- Evaluaciones cualitativas y cuantitativas de los niveles de servicio recibidos.
- Proceso de control y registro contable de las obligaciones contraídas con los proveedores y los contratistas.
- Envío de invitaciones a contratar y realización de gestiones para las etapas precontractual, contractual y poscontractual.
- Las demás establecidas específicamente en las autorizaciones que sean otorgadas por los propios contratistas y proveedores.
- Contactarlos a través de medios físicos y electrónicos – correo electrónico, SMS o chat para el envío de información de interés o relacionada con la relación contractual, invitarlo a capacitaciones o con el portafolio de servicios.
- Mantener contacto comercial aun después de la finalización de la relación contractual.
- Gestionar la seguridad en todos sus aspectos.
- Realizar la aplicación de sanciones asociadas a incumplimientos de algún tipo.
- Cumplir con los deberes económicos y contables de la organización.
- Realizar actividades de cobros y pago.
- Adelantar campañas de actualización de datos e información de cambios en el tratamiento de datos personales.
- Realizar la formalización de ajustes o acuerdos de pago.
- Cumplir con los requisitos legales asociados a la formalización de contratos
- Cumplir lo dispuesto por el ordenamiento jurídico colombiano en materia de seguridad y salud en el trabajo.
- Trámite de requerimientos por parte de entidades como IPS, EPS, ARL.
- Registro en aplicativos y formularios de entidades y organismos estatales por requerimiento legal.
- Adelantar procedimientos administrativos y de control interno.
- Realizar la verificación de requisitos jurídicos, técnicos y/o financieros.
- Gestionar las relaciones, derechos y deberes que se tienen con proveedores.
- Tratamiento de datos personales de Accionistas.
BINAPPS S.A.S.,recolecta los datos personales de sus accionistas, los almacena en una base de datos la cual, es calificada por la compañía como de reserva, y que solo los revelará por la empresa con la expresa autorización del titular o cuando una Autoridad Competente lo solicite. Las finalidades para las cuales son utilizadas los datos personales de los Accionistas serán:
- Permitir el ejercicio de los deberes y derechos derivados de la calidad de accionista.
- Permitir el envío de invitaciones a eventos programados por la compañía.
- Emitir certificaciones relativas a la relación del Titular con la sociedad.
- Dar cumplimiento a los preceptos y normatividad establecida en el Código de Comercio y demás normatividad aplicable.
- Convocar a las diferentes asambleas ordinarias y extraordinarias de naturaleza societaria a las que deba asistir por su calidad de accionista y de acuerdo con lo establecido en los Estatutos sociales de la organización.
- Compartir información de identificación con terceros, con el fin de que cumplan con las obligaciones propias de los sistemas de gestión de riesgos LA/FT.
En todo caso, la información no será objeto de tratamiento por un período superior al tiempo de existencia de la sociedad, y el tiempo adicional que se requiera de acuerdo con las circunstancias legales o contractuales que hagan necesario el manejo de la información.
- Tratamiento de datos personales de Registro de Videovigilancia
BINAPPS S.A.S., podrá recolectar datos biométricos de sus trabajadores y visitantes a través de sus Cámaras de Vigilancia y los almacena en una base de datos la cual es calificada por la compañía como de reserva, y solo será revelada con la expresa autorización del titular o cuando una Autoridad Competente lo solicite. Las finalidades para las cuales son utilizadas los datos personales contenidos en las Cámaras de Vigilancia,serán:
- Garantizar la seguridad en las instalaciones de la Sociedad.
- Permitir ambientes adecuados para el desarrollo seguro de actividades de la compañía.
- Controlar el ingreso, permanencia y salida de empleados y contratistas en las instalaciones.
- Servir como soporte probatorio en el marco de procesos judiciales.
- Tratamiento de datos personales de los aspirantes en procesos de selección:
BINAPPS S.A.S.,recolecta los datos personales de los candidatos o aspirantes de los procesos de selección adelantados por el Empresa y los almacena en una base de datos la cual es calificada como de reserva, y sólo será revelada con la expresa autorización del titular o cuando una Autoridad Competente lo solicite. Las finalidades para las cuales son utilizados los datos personales de los candidatos o aspirantes de los procesos de selección adelantados por BINAPPS S.A.S., serán:
- Mantener un registro histórico, científico o estadístico.
- General modelos y datos para la toma de decisiones.
- Atender requerimientos de autoridades judiciales o administrativas.
- Gestionar las relaciones, derechos y deberes que se tienen con los titulares.
- Realizar el envío de comunicaciones a nivel general.
- Realizar encuestas de opinión.
- Realizar la verificación de cumplimientos legales o normativos.
- Realizar actividades de gestión administrativa.
- Realizar actividades de gestión administrativa.
- Realización de gestión administrativa interna y externa para la ejecución transparente del proceso de selección del personal.
- Envío de comunicaciones programadas para realizar diferentes pruebas de selección.
- Corroborar cualquier requerimiento que relacione con el proceso de selección.
- Verificación de referencias laborales, académicas y personales del aspirante.
- Adelantar el proceso de vinculación en general del personal seleccionado.
- Realizar estudios de seguridad y visitas domiciliarias.
- Cumplir con la atención de derechos de los ciudadanos.
- Gestionar la seguridad en todos sus aspectos.
- Cumplir con los deberes económicos y contables de la organización.
- Realizar análisis de perfiles.
- Adelantar campañas de Actualización de datos e información de cambios en el tratamiento de datos personales.
- Cumplir con los requisitos legales asociados a la formalización de contratos
- Generar estadísticas internas.
8. INVENTARIO DE LAS BASES DE DATOS CON INFORMACIÓN PERSONAL
La organización debe conocer qué datos personales almacenan, cómo los utilizan y si realmente los necesitan, teniendo en cuenta la finalidad para la cual los recolectan, pues los Responsables y Encargados del Tratamiento sólo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el Tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate ya los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
Una vez cumplida la o las finalidades del Tratamiento y sin perjuicio de normas legales que dispongan lo contrario, el Responsable y el Encargado deberán proceder a la supresión de los datos personales en su posesión. No obstante, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
9. CLASIFICACIÓN DE LAS CLASES DE DATOS RECOLECTADOS
- Datos de identificación:
- Públicos: Datos generales de la persona, familiares, beneficiarios o terceros. Nombre, apellido, tipo de identificación, número de identificación, fecha y lugar de expedición, estado civil, sexo, entre otros.
- Semiprivados: Datos específicos de identificación de la persona. Firma, nacionalidad, datos de familiares, firma electrónica, documentos de identificación, fecha de nacimiento, muerte, edad, entre otros.
- Sensibles: Datos biométricos de la persona y de descripción morfológica de la persona. Huella dactilar, ADN, iris, geometría facial o corporal, fotografías, vídeos, fórmula dactiloscópica, voz, entre otros. Color de piel, color de iris, color y tipo de cabello, señas particulares, estatura, peso, complexión, entre otros.
- Datos de ubicación:
- Públicos: Datos de ubicación relacionados con la actividad comercial o profesional. Dirección, teléfono, correo electrónico, entre otros .
- Privados (Reservados): Datos de ubicación personal relacionados con actividad privada de las personas. Domicilio, teléfono, correo electrónico, entre otros.
- Datos sensibles: Aquellos datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación.
- Datos relacionados con la salud y/o el estado de salud de la persona. En cuanto a órdenes y relación de pruebas complementarias como pruebas de laboratorio, imágenes diagnósticas, pruebas patológicas, estudios, entre otros. Resultado de pruebas, laboratorios, estudios, diagnósticos médicos, generales o especializados, psicológicos o psiquiátricos, medicamentos y/o tratamientos médicos de cualquier tipo.
- Datos relacionados con la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, religiosas, políticas.
- Datos de preferencia, identidad y orientación sexual, origen étnico-racial, y otros.
- Datos en relación con población en condición vulnerable.
- Datos socioeconómicos.
- Públicos: Relacionados con la actividad económica de la persona.
- Privados (Reservados): Estrato, propiedad de la vivienda, entre otros.
- Semiprivados: Datos financieros, tributarios, crediticios y/o derechos de carácter económico de la persona. Historial laboral de la persona, experiencia laboral, cargo, fechas de ingreso y egreso, anotaciones y llamados de atención. Nivel educativo, capacitación y/o historial académico. Datos generales de afiliación y aportes al Sistema Integral de Seguridad Social (EPS, IPS, ARL, fechas de ingreso/retiro EPS, AF).
- Otra clase de datos:
- Públicos: Antecedentes judiciales y/o disciplinarios.
- Semiprivados: Datos sobre gustos e intereses particulares.
- Privados: Datos personales de acceso a sistemas de información. Usuarios, claves, IP, perfiles y entre otros.
10. AUTORIZACIÓN
El tratamiento de los datos personales que haga sociedad BINAPPS S.A.S.,deberá estar soportado en la autorización previa, expresa, informada y suficiente que obtenga del titular de los datos personales, a través de los distintos medios señalados en el ordenamiento jurídico. Ésta deberá documentarse y estar a disposición del titular y de la Superintendencia de Industria y Comercio. La documentación de la autorización dependerá del sistema de recolección utilizado por la Sociedad según la naturaleza del dato a tratar y su titular.
Por regla general será a través de formato físico y/o digital que sea preestablecido porlasociedad BINAPPS S.A.S., adoptado e implementado dentro del sistema general de protección de datos personales. Cuando la finalidad del tratamiento de los datos personales varíe, deberá informarse al titular y obtenerse nueva autorización para estos fines.
11. CICLO DE GESTIÓN DE LOS DATOS PERSONALES
- Recolección:
- Finalidad y necesidad
En desarrollo de los principios de finalidad y libertad, deberá identificarse de acuerdo con el grupo de interés, en qué parte del procedimiento o actividad se obtienen los datos, así como la finalidad de la recolección de los mismos y una explicación sobre la necesidad de recolectar datos en cada caso. La recolección de datos deberá limitarse a aquellos que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a la normatividad vigente y a la Política de Protección de Datos Personales.
En caso de haber cambios sustanciales en el contenido de la política del Tratamiento referidos a la identificación del Responsable y a la finalidad del Tratamiento de los datos personales, los cuales puedan afectar el contenido de la autorización, se deberán comunicar estos cambios al Titular antes de o a más tardar al momento de implementar las nuevas políticas. Además, deberá obtener del Titular una nueva autorización cuando el cambio se refiera a la finalidad del Tratamiento. No se podrán utilizar medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales.
En los casos en los que no sea posible poner a disposición del Titular las políticas de Tratamiento de la Información, se deberá informar por medio de un Aviso de Privacidad al Titular sobre la existencia de tales políticas y la forma de acceder a las mismas, de manera oportuna y en todo caso a más tardar al momento de la recolección de los datos personales. No obstante, cuando se recolecten datos personales sensibles, el Aviso de Privacidad deberá señalar expresamente el carácter facultativo de la respuesta a las preguntas que versen sobre este tipo de datos.
Finalmente, se deberá conservar el modelo del Aviso de Privacidad que se utilice para cumplir con el deber de dar a conocer a los Titulares la existencia de políticas del Tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven.
Para el almacenamiento del modelo, se podrán emplear medios informáticos, electrónicos o cualquier otra tecnología que garantice el cumplimiento de lo previsto en la Ley 527 de 1999.
- Autorización.
Salvo en los casos expresamente previstos en la ley, no se podrán recolectar datos personales sin autorización del Titular. La Autorización del Titular no será necesaria cuando se trate de:
- Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- Datos que sean de naturaleza pública.
- Casos de urgencia médica o sanitaria.
- Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- Datos relacionados con el Registro Civil de las Personas.
Aquellos datos o bases de datos que se encuentren a disposición del público pueden ser tratados por cualquier persona siempre y cuando, por su naturaleza, sean datos públicos. La administración de datos semi – privados y privados requiere el consentimiento previo y expreso del titular de los datos, salvo en el caso del dato financiero, crediticio, comercial, de servicios y el proveniente de terceros países, el cual no requiere autorización del titular.
El Tratamiento de los datos sensibles está prohibido, a excepción de los casos expresamente señalados en el artículo 6 de la ley 1581 de 2012. En el Tratamiento de datos personales sensibles, cuando dicho Tratamiento sea posible deberán cumplirse las siguientes obligaciones:
- Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
- Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles.
- Mecanismos para obtener la autorización.
Los mecanismos podrán ser predeterminados a través de medios técnicos que faciliten al titular su manifestación automatizada, por escrito, de forma oral o mediante conductas inequívocas del titular. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
- Prueba de la autorización.
Los Responsables deberán conservar prueba de la autorización otorgada por los Titulares de datos personales para el Tratamiento de los mismos.
Seguridad de la Información:
- Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.
- Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.
- Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
Calidad de la información:
- Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.
- Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.
- Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones.
- Medidas de seguridad:
La compañía podrá implementar un Sistema de Gestión de Seguridad de la Información, adoptando medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta o acceso no autorizado o fraudulento, el cual contará con los siguientes ítems, a saber:
- Conocimiento de dónde se almacenan los datos.
- Conocimiento de la información según su necesidad y control de acceso a la información.
- Adopción de política de seguridad específica para datos sensibles.
- Mecanismos de protección de las bases de datos como son herramientas actualizadas de firewall y un software antivirus.
- Estrategias de respaldo múltiple que incluya respaldos en cinta fuera de línea y fuera de las instalaciones.
- Inventario.
- Controles de seguridad en la tercerización de servicios. Corresponde a aquellos implementados en los procesos o tratamientos de datos que se realizan a través de terceros ajenos a la organización. Con estos se deberán suscribir contratos de transmisión de datos personales.
- Adopción de medidas que garanticen de forma confiable la consulta, uso o extracción de la información de manera remota.
- Efectuar trazabilidad o seguimiento de cualquier consulta que realice sobre la base de datos con información personal.
- Implementación de herramientas que permitan y faciliten los procesos de prevención, mitigación y preparación de las capacidades de la Sociedad para evitar, disminuir o transferir los efectos adversos o impactos negativos de las amenazas detectadas en un proceso de análisis del entorno durante las etapas del ciclo del dato y la naturaleza de los mismos.
- Elaboración de protocolos de respuesta que anticipen riesgos y/o acciones que conlleven una vulnerabilidad de seguridad; previéndose junto con lo anterior, mecanismos para rendir informes internos y reportar incidentes de seguridad a titulares de la información, la Superintendencia de Industria y Comercio y la Alta Dirección.
De igual manera, se deberá comunicar de manera eficiente a los titulares afectados sobre el incidente ocurrido y las posibles consecuencias y proporcionar herramientas para minimizar el daño potencial o causado. La Ley 1581 de 2012 no hace distinción entre los incidentes que deben ser reportados a la Superintendencia, por lo que, independientemente de su impacto, deben reportarse a esta entidad todos los incidentes ocurridos, informando como mínimo:
- El tipo de incidente ocurrido.
- Fecha en que ocurrió.
- Fecha en que se tuvo conocimiento del mismo.
- La causal.
- Tipo de datos personales comprometidos.
- Cantidad de titulares afectados.
La información personal recolectada tendrá un tratamiento conforme a la finalidad de los datos y para el suministro de la información al titular previa autorización; de la misma manera se podrá suministrar a los operadores autorizados para su administración, de manera verbal o escrita, o puesta a disposición de las siguientes personas y en los siguientes términos:
- A los titulares, a los terceros debidamente autorizadas por estos o por la ley y a sus causahabientes o sus representantes legales.
- A los usuarios de la información, dentro de los parámetros de la ley 1266 de 2008 Habeas Data.
- A cualquier autoridad judicial, previa orden judicial.
- A las entidades públicas o administrativas en el ejercicio de sus funciones legales..
- A los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.
- A otros operadores de datos, cuando se cuente con autorización del titular.
- Conservación y supresión:
La Sociedad como responsable del Tratamiento, solo podrá recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la o las finalidades del tratamiento y sin perjuicio de normas legales que dispongan lo contrario, deberá proceder a la supresión de los datos personales en su posesión. No obstante, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
Sin perjuicio de lo anterior de acuerdo a las disposiciones de Debida Diligencia frente a los posibles riesgos en términos del Lavado de Activos y de la Financiación al Terrorismo, luego de terminada la relación comercial todos los registros necesarios sobre las transacciones, tanto locales como internacionales podrán estar por un periodo de al menos cinco (5) años, para que estas puedan cumplir con las peticiones de información emanadas de las autoridades competentes. Estos registros deben ser suficientes para permitir la reconstrucción de transacciones individuales de manera tal que se ofrezca evidencia, de ser necesario, para procesamiento de una actividad criminal; una vez cumplida la o las finalidades, deberán proceder a la supresión de los datos personales en su posesión.
Por otro lado, por disposición expresa de la Superintendencia de Sociedades, con ocasión de la expedición y entrada en vigencia de la Ley 962 de 2005, específicamente su artículo 28, los comerciantes en general, tienen la obligación de conservar los libros y la documentación, por los medios que le facilita la ley, por un periodo mínimo de diez (10) años, término a partir del cual cesa la obligación; por ende, nada obsta para proceder a su destrucción pasado este tiempo, sin perjuicio que con posterioridad decidan continuar conservándolos. Una vez identificados los riesgos asociados con el tratamiento de datos, se deben implementar controles en cuanto a lo que se decida hacer con la información como eliminación (borrado seguro), destrucción o conservación, de manera que nunca se expongan a un uso no autorizado o fraudulento.
- Revocatoria de la autorización y/o supresión del dato.
Los Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de una solicitud, de acuerdo con lo establecido en el artículo 8 de la Ley 1581 de 2012. La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos. Se pondrán a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada. Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.
12. INCIDENTES DE SEGURIDAD DE DATOS PERSONALES
Un Incidente de seguridad de datos personales se refiere a la violación de los códigos de seguridad, pérdida, robo y/o acceso no autorizado de datos personales que sean tratados bien sea por el Responsable del Tratamiento o por su Encargado.
- Causales de los incidentes:
- Fraude interno. Delito efectuado con la participación de los empleados o personas de confianza del Responsable o Encargado del Tratamiento, bien sea en forma directa o indirecta.
- Fraude externo. Cualquier acto efectuado por una persona ajena al Responsable o Encargado del tratamiento, buscando acceder, apropiarse, causar adulteración o eliminación a los datos personales a los cuales, estos les realizan tratamiento.
- Daños a activos físicos. Pérdida, deterioro o cualquier afectación de los datos personales, causados por daños a los activos físicos de los mismos, a saber: Daño físico en los computadores de la empresa, archivos físicos como papel, cintas, discos, etc., causados por cualquier tipo de incidencia como fenómenos naturales, accidentales o por problemas de orden público.
- Falla de tecnología informática. Pérdida, indisponibilidad, adulteración o cualquier afectación de los datos personales, causados por fallas en la infraestructura tecnológica de uno u otro, a saber: Daño en el funcionamiento de los sistemas de información, daño en las redes de datos, problemas con los canales de transmisión de información, VPN, aplicaciones, etc.
- Ejecución y/o administración de procesos. Pérdida, indisponibilidad, adulteración o cualquier afectación de los datos personales a los cuales el Responsable o Encargado realicen tratamiento, causados por fallas en la ejecución, aplicación y/o administración de procesos ,protocolos, políticas de uno u otro, a saber: Toda vulneración que se detecte por la mala aplicación o ejecución de un procedimiento ya establecido, el cual debe estar documentado y llevar una trazabilidad de su correcta ejecución.
- Falla por negligencia o actos involuntarios de los titulares. Pérdida, indisponibilidad, adulteración o cualquier afectación de los datos personales a los cuales el Responsable o Encargado realicen tratamiento, causados por negligencia o actos involuntarios del titular, que puede ver afectados tanto sus propios datos como los de otros titulares.
- Tipo de incidente de seguridad
- Afecta la Confidencialidad de los datos personales. Todos aquellos incidentes que afecten el principio de seguridad relacionado con la Confidencialidad de los datos personales, siendo ésta, la característica que evita la divulgación de la información a personas o procesos que no estén debidamente autorizados.
- Afecta la Disponibilidad de los datos personales. Todos aquellos incidentes que afecten el principio de seguridad relacionado con la Disponibilidad de los datos personales, que es la característica que garantiza el acceso a la información por las personas o procesos autorizados, siempre que sea requerida.
- Afecta la Integridad de los datos personales. Todos aquellos incidentes que afecten la Integridad de los datos personales, como aquella característica que garantiza que la información se mantenga, tal como fue recolectada o generada, sin alteraciones o modificaciones no solicitadas o autorizadas.
- Afecta la Confidencialidad, Disponibilidad e Integridad de los datos personales. Son aquellos incidentes en los cuales se afecta al mismo tiempo y de acuerdo con las definiciones anteriores los pilares de la seguridad de la información relacionados con la confidencialidad, disponibilidad e integridad de los datos personales. Acceso no autorizado a la base de datos con información personal y adulteración de algunos o todos los datos personales encontrados en la misma y que para perpetrar el hecho, se realice cualquier acción en forma temporal o definitiva en la que se evite el acceso a la información del (los) titular (es) por parte de personas o procesos autorizados.
- Medición y evaluación
Tiene por objetivo determinar la posibilidad de ocurrencia de los riesgos relacionados con el tratamiento de bases de datos personales y su impacto en caso de materializarse.
Control: Se relacionan las acciones que se deben tomar para controlar y/o mitigar los riesgos a los que se ven expuestos los datos personales, con el fin de disminuir la posibilidad y/o las consecuencias de la materialización de los mismos. ElSistema Integral de Gestión de Datos Personales exige una evaluación y revisión continúa de los controles que lo integran, con el fin de determinar la pertinencia y eficacia del plan de gestión. En consecuencia, el Oficial de Protección de Datos Personales será la persona encargada al interior de la organización de desarrollar un plan de supervisión y revisión anual que tome en cuenta las siguientes etapas:
- Fase de diagnóstico: Deberá evaluarse en qué estado de cumplimiento se encuentra la Sociedad, acudiendo, entre otras, a: i) elaboración de auditorías internas; ii) Identificación de debilidades en la atención de consultas y reclamos y; (iii) Revisión de las tendencias y obligaciones legales que surjan con ocasión a la protección de datos personales.
- Fase de adecuación: Consiste en determinar las acciones a implementar en aras de hacer más efectivo el Sistema Integral de Gestión de Datos Personales.
- Fase de implementación: Es la materialización de los cambios que resulten pertinentes, según los resultados de las dos fases previas.
- Fase de revisión: Se deberá aplicar una revisión del Sistema Integral de Gestión de Datos Personales mínimo de manera anual, sin embargo, esto no es impedimento para realizar revisiones periódicos si se considera necesario.
Procedimientos operacionales: Consisten en la elaboración de procedimientos que hagan alusión a la recolección y utilización de los datos personales al interior de la compañía. Por lo tanto, exige la definición de funcionarios, roles y actividades que deberán observarse para cumplir con las actividades propuestas.
Monitoreo y evaluación: Consiste en el seguimiento para velar porque las medidas que se hayan establecido sean efectivas, para lo cual se deben implementar las siguientes acciones:
- Contemplar un proceso de seguimiento efectivo que facilite la rápida detección y corrección de las deficiencias en la administración de los riesgos identificados.
- Establecer indicadores que evidencien la efectividad del sistema de administración de riesgos adoptado.
- Asegurar que los controles estén funcionando en forma oportuna, efectiva y eficiente.
- Asegurar que los riesgos residuales se encuentren en niveles de aceptación establecidos.
- Llevar un registro de incidentes que contemple: Base de Datos y datos comprometidos, titulares, fecha del incidente y de descubrimiento, acciones correctivas realizadas y responsables.
- Auditorías de seguridad. Establecer procedimientos automatizados que permitan evaluar la eficiencia y suficiencia de los controles implementados a un sistema de información mediante el cual se tratan datos personales para evitar su perdida, uso o acceso no autorizado o fraudulento, donde sea además posible evaluar el cumplimiento de requisitos, políticas y normas que específicamente apliquen.
13. DEBERES DE LA SOCIEDAD BINAPPS S.A.S.
Cuando la Sociedad, de conformidad con los presupuestos jurídicos señalados en la Ley 1581 del 2012 y el capítulo 25 del Decreto 1074 de 2015, realice tratamiento de datos personales en calidad de responsable, le será exigible el cumplimiento de las siguientes obligaciones:
- Garantizar a los titulares de los datos personales objeto de tratamiento, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
- Solicitar y conservar soporte de la autorización otorgada por el titular para el tratamiento de sus datos personales.
- Informar al titular de los datos personales sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.
- Conservar los datos personales de los titulares bajo las condiciones de seguridad que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información que se suministre a los encargados del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las medidas necesarias para que la información se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
- Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley.
- Exigir al encargado del tratamiento, en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
- Recepcionar, tramitar y resolver las consultas y reclamos formulados en los términos señalados en la Ley 1581 del 2012, su decreto reglamentario y el manual de procedimientos de habeas data adoptado.
- Adoptar una política de seguridad y un manual de procedimientos de habeas data, para garantizar el adecuado cumplimiento de las obligaciones señaladas en la Ley y en especial para la atención de consultas y reclamos.
- Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
- Informar, a solicitud del titular, sobre el uso dado a sus datos personales.
- Informar a la Superintendencia de Industria y Comercio, como Autoridad Nacional de Protección de Datos Personales, cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
14. DEBERES DEL ENCARGADO
Cuando la sociedad BINAPPS S.A.S., de conformidad con los presupuestos jurídicos señalados en la Ley 1581 del 2012 y el capítulo 25 del Decreto 1074 de 2015, realice tratamiento de datos personales en calidad de encargado, le será exigible el cumplimiento de los anteriores deberes señalados.Así mismo, con ocasión de la transmisión de datos personales regulada por el Capítulo 25 del Decreto 1074 del 2015, la Sociedad exigirá a sus contratistas, encargados del tratamiento de los datos personales, que además de cumplir con las obligaciones y requisitos establecidos en la Ley 1581 del 2012 para su tratamiento, cumpla especialmente los siguientes deberes:
- Garantizar a los titulares de los datos personales objeto de tratamiento por parte de la Sociedad en calidad de responsable, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
- Conservar los datos personales bajo condiciones de seguridad que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Realizar oportunamente la actualización, rectificación o supresión de los datos personales, en los términos señalados en la Ley 1581 del 2012.
- Actualizar la información reportada por la Sociedad dentro de los cinco (5) días hábiles contados a partir de su recibo.
- Recepcionar, tramitar y resolver las consultas y reclamos formulados por los titulares de los datos personales, en los términos señalados en la Ley 1581 del 2012.
- Adoptar una política de seguridad y un manual de procedimientos de habeas data, para garantizar el adecuado cumplimiento de las obligaciones señaladas en la Ley y en especial para la atención de consultas y reclamos.
- Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en la Ley 1581 del 2012.
- Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- Permitir el acceso a la información únicamente a las personas autorizadas.
- Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio como Autoridad Nacional de Protección de Datos Personales.
En el evento en que concurran las calidades de responsable y encargado del tratamiento en la Sociedad o las funciones que desarrolle la sociedad no permitan establecer con claridad la condición en la que se actúa, le será exigible el cumplimiento de los deberes previstos para cada una de estas categorías.
15. ÁREA RESPONSABLE DE HABEAS DATA
La sociedad BINAPPS S.A.S., de conformidad con su tamaño social, su capacidad institucional, la naturaleza y cantidad de datos personales respecto de los cuales realiza tratamiento, designa como área encargada de la adopción e implementación de esta Política General de Tratamiento de Datos Personales y del sistema de protección de datos personales, al área administrativa. Para el debido cumplimiento de las obligaciones consagradas en la Ley 1581 del 2012 y el capítulo 25 del Decreto 1074 del 2015, así como de las órdenes e instrucciones que la Superintendencia de Industria y Comercio haga en la materia, esta área deberá dar trámite y resolución a todas las situaciones que se presenten en cuanto a lo consagrado en la normatividad vigente en el momento de su ocurrencia de tal situación.
16. DATOS DE NIÑOS, NIÑAS Y ADOLESCENTES
El Tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7° de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los y requisitos allí previstos.
En caso de que en el desarrollo de su objeto social la sociedad BINAPPS S.A.S., llegara a realizar tratamiento de datos personales de niños, niñas y adolescentes, en tal sentido, se aplicaran medidas especiales de seguridad en el tratamiento de esta información, tendiente a garantizar el debido tratamiento de los datos personales de este grupo poblacional, comprometiéndose a no poner en riesgo sus derechos fundamentales y usarlos únicamente cuando responda al interés superior de los menores. La autorización previa, expresa e informada para el tratamiento de estos datos personales, será otorgada por representante legal del menor.
17. DERECHOS DE LOS TITULARES
El Derecho Fundamental al Habeas Data, faculta al titular del dato para solicitar el acceso, actualización, rectificación y supresión de sus datos personales que se encuentran en posesión de un tercero, a su vez, puede revocar la autorización que ha otorgado para el tratamiento. Si un titular de datos personales considera que BINAPPS S.A.S., tiene acceso a sus datos personales, esta persona puede en todo momento solicitar la consulta de sus datos, o si considera que se está haciendo mal uso de sus datos, puede realizar la respectiva reclamación. El titular está facultado para:
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
- Conocer, actualizar y rectificar su información. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
- Conocer por qué y para qué se recolecta información en base de datos.
- Revocar la autorización dada para contener información personal en las bases de datos de BINAPPS S.A.S., y/o solicitar la supresión del dato siempre que no exista un deber legal o contractual que impida eliminarlos.
- Presentar queja ante la Superintendencia de Industria y Comercio, cuando no se hayan atendido satisfactoriamente consultas o reclamos.
- Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
- Abstenerse de responder las preguntas sobre datos sensibles, pues tendrán carácter facultativo las respuestas que versen sobre datos de esta naturaleza o sobre datos de las niñas y niños y adolescentes.
18. PROTECCIÓN DE LOS DATOS PERSONALES
La sociedad BINAPPS S.A.S., ha implementado un sistema general de protección de datos personales que cumple con los estándares y requisitos exigidos por el ordenamiento jurídico para el tratamiento de esta información.
19. PROCEDIMIENTOS DE HABEAS DATA
Los titulares de los datos personales podrán hacer valer sus derechos a través de comunicación física en la Carrera 23 C #62-72 Edificio PRANHA Oficina 708 MANIZALES, CALDAS o al correo electrónico [email protected]; las solicitudes que pretendan iniciar un procedimiento de habeas data deberán cumplir con los requisitos establecidos en la Ley 1581 del 2012.
20. DISPOSICIONES FINALES
La sociedad BINAPPS S.A.S., está facultada para modificar en cualquier momento la presente política general de tratamiento de datos personales. Cualquier cambio sustancial será comunicado al titular de los datos personales a más tardar al momento de entrada en vigor de las nuevas políticas. La presente política general de tratamiento de datos personales entra en vigencia a partir de agosto del año dos mil veinticinco (2025).
BINAPPS S.A.S.

