EstraDigital - Marketing y Analítica

Tratamiento de Datos

1. INTRODUCCIÓN

ESTRADIGITAL S.A.S, como Responsable y/o Encargado del Tratamiento de datos personales, utilizará este Manual para el Tratamiento de Datos Personales para fijar los principios y bases fundamentales sobre las cuales se llevará a cabo el Tratamiento de datos personales que realice en el desarrollo de su objeto social.

ESTRADIGITAL SAS en su interés por hacer explícitas sus políticas en materia de protección de datos personales y actualizarlas de conformidad con las exigencias de la Ley 1581 de 2012 y su decreto regularizo, por la cual se dictan disposiciones generales para la protección de datos personales, así como de aquellas normas que la reglamenten o modifiquen, mediante el presente documento recoge los lineamientos que, en el marco de la Política de Información que ha acogido, rigen en particular las actividades de tratamiento de los datos personales contenidos en sus archivos o bases de datos.

El tratamiento de datos personales previsto en la Ley 1581 de 2012, no aplicable a las bases de datos de clientes o terceros que se monitorean bajo modalidad de servicio, en las que solo se realizan labores técnicas de monitoreo.

El presente Manual está destinado a aplicarse al Tratamiento de datos personales que no se encuentren excluidos de modo expreso por la Ley. Se excluyen de la aplicación de la Ley:

a)Bases de datos mantenidas en ámbitos exclusivamente personales o domésticos (siempre que no vayan a ser suministradas a terceros, caso en el cual, se deberá informar y solicitar autorización del Titular).

b)Bases de datos y archivos relacionados con seguridad y defensa nacional, así como la prevención, detección y monitoreo de lavado de activos o actividades de financiación del terrorismo.

c)Bases de datos que contengan información de inteligencia y contrainteligencia.

d)Bases de datos y archivos de información periodística y otros contenidos editoriales.

e)Bases de datos y archivos regulados por el régimen de hábeas data financiero y crediticio.

f)Bases de datos relacionadas con censos de población y vivienda.

2. OBJETIVO

Establecer y adoptar las reglas aplicables al Tratamiento de Datos Personales recolectados, tratados y/o almacenados por ESTRADIGITAL SAS, en desarrollo de su objeto social, bien sea en calidad de Responsable y/o Encargado del Tratamiento.

ESTRADIGITAL SAS, informa que su política en materia de protección de datos personales se marca como objetivo el implementar y cumplir todas y cada una de las disposiciones que contempla la Ley 1581 y sus decretos reglamentarios, frente a los datos personales que se encuentran en sus bases de datos y/o archivos.

Es así como este manual tiene como objetivo informar y permitir el correcto ejercicio de habeas data a todas las personas que tengan sus datos en bases de datos o archivos en ESTRADIGITAL SAS, es así como se garantiza a todos los titulares de información de carácter personal podrán en cualquier momento: conocer, actualizar, rectificar y suprimir los datos que se encuentren en nuestras bases de datos y/o archivos.

Comunicar al Titular del Dato Personal, las políticas de Tratamiento de la información que le serán aplicables a sus Datos Personales; y
Explicar la forma de acceder a sus Datos Personales, además de determinar la forma en cómo se dará Tratamiento y posterior uso a los mismos.

3. AMBITO DE APLICACIÓN

Las presentes políticas se aplicarán sin excepción a todos los datos de carácter personal registrados en soportes físicos o lógicos objeto de tratamiento por parte de ESTRADIGITAL SAS en condición de responsable y/o encargado, tal como es definido por la Ley 1581 de 2012.

Las presentes políticas se aplicarán al Tratamiento de Datos Personales efectuado en territorio colombiano, o cuando le sean aplicables las políticas al Responsable y/o Encargado ubicado fuera del territorio colombiano, en virtud de tratados internacionales, relaciones contractuales, entre otros.

4. DEFINICIONES

Para el Tratamiento de datos personales, ESTRADIGITAL tendrá en cuenta las siguientes definiciones:

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales. (Fuente: Ley Estatutaria 1581 del 17 de octubre de 2012).
Base De Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. (Fuente: Ley Estatutaria 1581 del 17 de octubre de 2012).
Consentimiento del titular: Es una manifestación de la voluntad, informada, libre e inequívoca, a través de la cual el titular de los datos de carácter personal acepta que un tercero utilice su información con fines comerciales.
Consultas: Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos, sea esta del sector público o privado. El Responsable del Tratamiento o Encargado del Tratamiento deberán suministrar a éstos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. (Fuente: Ley Estatutaria 1581 del 17 de octubre de 2012).
Datos de carácter personal: Se refiere a la información de las personas naturales (identificadas o identificables), relativa tanto a su identidad (nombre y apellidos, domicilio, filiación, etc.) como a su existencia y ocupaciones (estudios, trabajo, enfermedades, etc.)
Dato Público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas. (Fuente: Ley Estatutaria 1266 de 2008).
Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la presente ley. (Fuente: Ley Estatutaria 1266 de 2008).
Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular. (Fuente: Ley Estatutaria 1266 de 2008).
Encargado del tratamiento: Es quien manipula los datos de carácter personal, pero no decide cómo, ni con qué fin. Su trabajo es operativo y se hace con base a las indicaciones e instrucciones del responsable del tratamiento.
Habeas Data: Es el derecho que todo titular de información tiene de conocer, actualizar, rectificar u oponerse a la información concerniente a sus datos personales.
Protección de datos de carácter personal: Es un derecho fundamental que tienen todas las personas naturales. Busca la protección de su intimidad y privacidad frente a una posible vulneración por el tratamiento indebido de datos personales capturados por un tercero.
Reclamo: El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento. (Fuente: Ley Estatutaria 1581 del 17 de octubre de 2012).
Responsable Del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. (Fuente: Ley Estatutaria 1581 del 17 de octubre de 2012.
Tratamiento: Cualquier operación o procedimientos físicos o automatizados que permita captar, registrar, reproducir, conservar, organizar, modificar, transmitir los datos de carácter personal.
Tratamiento de los datos: Como regla general se requiere el consentimiento por parte del titular de los datos personales para poder realizar cualquier tratamiento de sus datos.
Titular de los datos personales: Es la persona natural cuyos datos personales son objeto de tratamiento por parte de un tercero.

5. RESPONSABILIDADES

El responsable de dar cumplimiento al siguiente procedimiento es gestión integral de procesos.

Deberes de los Responsables del Tratamiento.

Los responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a)Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

b)Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular.

c)Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

d)Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

e)Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

f)Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.

g)Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

h)Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.

i)Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

j)Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.

k)Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos.

l)Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

m)Informar a solicitud del Titular sobre el uso dado a sus datos.

n)Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

o)Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Deberes de los encargados de Datos Personales:

Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

a)Garantizar al Titular, en todo tiempo. el pleno y efectivo ejercicio del derecho de hábeas data.

b)Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración. pérdida, consulta, uso o acceso no autorizado o fraudulento.

c)Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la presente ley.

d)Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

e)Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente ley.

f)Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.

g)Registrar en la base de datos la leyenda «reclamo en trámite» en la forma en que se regula en la presente ley.

h)Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

i)Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

j)Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

k)Informar a la Superintendencia de Industria y Comercio cuando se le presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

l)Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

6. PROCEDIMIENTO DE HABEAS DATA

PARA EL EJERCICIO DE LOS DERECHOS DE INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACION, CANCELACION Y OPOSICION. En desarrollo de la garantía constitucional de Habeas Data respecto de los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del Titular de Datos Personales, o interesado habilitado legalmente, esto es, sus causahabientes y representantes legales, ESTRADIGITAL adopta el siguiente procedimiento:

6.1. El Titular del dato y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad, que podrá suministrar por medio físico o digital. En caso de que el Titular esté representado por un tercero deberá allegarse el respectivo poder, el cual deberá tener reconocimiento de firma y contenido ante notario público. El apoderado deberá igualmente acreditar su identidad en los términos indicados.

6.2. La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, sea este físico o digital. La solicitud de ejercicio de los derechos mencionados podrá dirigirse a la dirección principal de ESTRADIGITAL ubicada en la cra. 85E # 45 – 66 AP 502 TO A, o al correo electrónico info@estradigital.com ESTRADIGITAL a su entera discreción, podrá disponer de otros medios para que el Titular de los Datos Personales ejerza sus derechos.

6.3. La solicitud de ejercicio de cualquiera de los derechos mencionados contendrá la siguiente información:

6.3.1. Nombre del Titular del Dato Personal y de sus representantes, de ser el caso.

6.3.2. Petición concreta y precisa de información, acceso, actualización, rectificación, cancelación, oposición o revocatoria del consentimiento. En cada caso la petición deberá estar razonablemente fundamentada para que ESTRADIGITAL proceda como Responsable de la Base de Datos Personales a dar respuesta.

6.3.3. Dirección física y/o electrónica para notificaciones.

6.3.4. Documentos que soportan la solicitud.

6.3.5. Firma de la solicitud por parte del Titular del Dato Personal.

(i) Si faltare alguno de los requisitos aquí indicados, ESTRADIGITAL así lo comunicará al interesado dentro de los 5 días siguientes a la recepción de la solicitud, para que los mismos sean subsanados. Si transcurridos dos (2) meses sin que presente la información requerida, se entenderá que se ha desistido de la solicitud. ESTRADIGITAL podrá disponer de formatos físicos y/o digitales para el ejercicio de este derecho y en ellos indicará si se trata de una consulta o de un reclamo del interesado.

(ii) Dentro de los dos (2) días hábiles siguientes a la recepción completa de la solicitud, ESTRADIGITAL indicará que se trata de un reclamo en trámite. En la respectiva Base de Datos se deberá consignar una casilla en la que se indique las siguientes Leyendas: “Reclamo en trámite” y “Reclamo resuelto”.

(iii) ESTRADIGITAL, cuando sea Responsable del Tratamiento de la Base de Datos de Datos Personales contenidos en sus sistemas de información, dará respuesta a la solicitud en el término de diez (10) días hábiles si se trata de una consulta; y de quince (15) días hábiles si se trata de un reclamo. En igual término se pronunciará cuando verifique que en sus sistemas de información no tiene Datos Personales del interesado que ejerce alguno de los derechos indicados.

(iv) En caso de consulta, si no fuere posible dar respuesta dentro del término de diez (10) días hábiles, se informará al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento de los primeros diez (10) días hábiles.

(iv) En caso de reclamo, si no fuere posible dar respuesta dentro del término de quince (15) días hábiles, se informará al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento de los primeros quince (15) días hábiles.

(v) ESTRADIGITAL en los casos que detente la condición de Encargado del Tratamiento informará tal situación al Titular o interesado en el Dato Personal, y comunicará al Responsable del Dato Personal la solicitud, con el fin de que éste dé respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida al Titular del Dato Personal o interesado, para que tenga conocimiento sobre la identidad del Responsable del Dato Personal y en consecuencia del obligado principal de garantizar el ejercicio de su derecho.

(vi) ESTRADIGITAL documentará y almacenará las solicitudes realizadas por los Titulares de los Datos Personales o por los interesados en ejercicio de cualquiera de los derechos, así como las respuestas a tales solicitudes. Esta información será tratada conforme a las normas aplicables a la correspondencia de la organización.

(vii) Para acudir a la Superintendencia de Industria y Comercio en ejercicio de las acciones legales contempladas para los Titulares de datos o interesados, se deberá agotar previamente el trámite de consultas y/o reclamos aquí descrito.

MEDIDAS DE SEGURIDAD

En desarrollo del principio de Seguridad de los Datos personales, Estradigital SAS adoptará una directriz general sobre estas medidas, que serán de obligatorio acatamiento por parte de los destinatarios de estas políticas.

Es obligación de los destinatarios de estas políticas informar a Estradigital SAS por medio del correo electrónico info@estradigital.co , cualquier sospecha que pueda implicar una violación a las medidas de seguridad adoptadas por la organización para proteger los Datos Personales confiados a ella, así como cualquier Tratamiento inadecuado de los mismos, una vez tengan conocimiento de esta situación.

En estos casos, ESTRADIGITAL comunicará a la autoridad de control tal situación y procederá a gestionar el respectivo incidente de seguridad respecto de los Datos Personales, con el fin de establecer las repercusiones jurídicas del mismo, sean estas a nivel penal, laboral, disciplinario o civil.

A continuación, se describen los procesos con los cuales cuenta actualmente la compañía para la seguridad y confidencialidad de la información:

Sistema de Información: Las aplicaciones con las cuales la compañía cuenta, poseen los siguientes niveles de seguridad:

Perfiles de Usuario: Los cuales son definidos por TI y los líderes de los procesos.
Claves de acceso: Son programadas por el área de TI para que el usuario realice el cambio de su clave y evitar acceso no autorizado a los registros.
Seguridad y conservación de la información (Backups).

Política	Objetivo
Política: Gestión de contraseña de usuarios	Todos los recursos de información críticos de Estradigital S.A.S tienen asignados los privilegios de acceso de usuarios con base en los roles y perfiles que cada empleado requiera para el desarrollo de sus funciones, definidos y aprobados por el proceso de gestión de tecnología y el líder del proceso.
Política: Disposición o reutilización segura de la información contenida en equipos y medios	Identificar los riesgos potenciales que puede generar, reparar o eliminar información contenida en equipos y medios de almacenamiento. Para ello, debe definir e implementar los mecanismos y controles adecuados para que la información sensible contenida en ellos sea eliminada de manera segura.
Política: Protección de registros	Se obliga a proteger todos los registros que muestren evidencia del cumplimiento de los requerimientos normativos, legales o regulatorios de pérdida, destrucción o falsificación. Es por ello que los registros están identificados en el “Listado Maestro de Registros”, de acuerdo con lo que se establece en el “Procedimiento de Control de Registros” y son protegidos de acuerdo a su nivel de clasificación según lo establecido en el “procedimiento de Gestión de activos de información

8. REALIZAR ANUNCIO

Siempre que se realice una captura de datos personales en los eventos o actividades tanto académicas como comerciales se debe indicar claramente a las personas el motivo y uso de la información personal que entregan a Estradigital. Para esto se utilizará el siguiente mensaje:

Ejemplo:

Anuncio para solicitar datos personales

Toda la información aquí consignada se entrega bajo consentimiento del entrevistado a las Empresas Estradigital con el fin de enviar información comercial y realizar contactos comerciales sobre los servicios de estas compañías.

8.1. Exclusión de la responsabilidad – disclaimer

Todas las comunicaciones oficiales de Estradigital deberán contener un disclaimer o exclusión de responsabilidad que indique que si el mensaje llega por error al destinatario debe ser borrado inmediatamente.

8.2. Canales de atención

A continuación, se presentan los canales oficiales que tiene Estradigital SAS para atender consultas, solicitudes y reclamos sobre protección de datos personales.

Correo electrónico info@estradigital.com

Teléfono Móvil: 322 289 24 65 (Consulta)

Dirección Física: Carrera 85E No. 45-66 AP 502 TO A – Cali

El área encargada en Estradigital de atender y responder eventos relacionados con la protección de los datos personales es el área administrativa en cabeza del Gerente General.

8.3. Grupos de interés

Consultores: Son los prestadores de servicios profesionales que prestan sus conocimientos en el desarrollo de los proyectos de la organización.
Posibles clientes: Son las personas jurídicas y naturales a las que enviamos propuestas e intercambiamos información comercial.
Clientes: Son las personas que trabajan y representan las organizaciones públicas y privadas a las que Estradigital presta sus servicios.
Empleados: las personas que prestan sus servicios en la empresa como empleados.

Conducto regular y canales físicos y electrónicos definidos para que el titular ejerza sus derechos de acceso, rectificación y supresión.

Para ejercer el derecho de suprimir, tener acceso o rectificación de los datos personales solicitar a:

Correo físico a la dirección Carrera 85E No. 45-66 AP 502 TO A en la ciudad de Cali
Correo electrónico: info@estradigital.com