MANUAL DE POLÍTICAS Y PROCEDIMIENTOS PARA LA PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES Y ATENCIÓN DE SOLICITUDES, CONSULTAS Y RECLAMOS DE CONFORMIDAD CON LA LEY 1581 DE 2012 Y EL DECRETO ÚNICO REGLAMENTARIO 1074 DE 2015
I. PROPÓSITO.
La presente política se expide en cumplimiento de la Ley 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015, sobre el régimen de protección de datos personales y busca garantizar que Crosettes, en condición de responsable de manejo de datos personales, realice el tratamiento de los mismos en estricto cumplimiento de la normatividad aplicable, garantizando asimismo los derechos de los titulares de los datos.
II. RESPONSABLE.
Denominación: Crosettes
Dirección: Calle 84 # 42 c - 355
Ciudad: Barranquilla
Correo Electrónico: info@crosettes.com
Teléfono: (57) 3005656745
III. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES.
En el desarrollo, interpretación y aplicación de la presente política, se aplicarán, de manera armónica e integral, los siguientes principios:
1. Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente política es una actividad reglada que debe sujetarse a lo establecido en la Ley y en las demás disposiciones que la desarrollen.
2. Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
3. Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
4. Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
5. Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
6. Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley.
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley.
7. Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
8. Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley.
IV. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS Y FINALIDADES DEL MISMO.
En el desarrollo de sus actividades, Crosettes realiza el tratamiento de datos personales de los usuarios de nuestras plataformas, clientes, afiliados, empleados, funcionarios, proveedores; tratamiento que ejecuta directamente, a través de sus empleados, funcionarios o por parte de contratistas o mandatarios encargados de ello.
Asimismo, comparte los datos con terceros ubicados en Colombia y en exterior con quienes se celebra un Contrato para la Transferencia y/o Trasmisión de Datos Personales, según corresponda, con el propósito de mantener la seguridad y protección de los datos de conformidad con las reglas y estándares aplicables. En todo caso, Crosettes le exigirá al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
Si hubiere lugar a una venta, fusión, escisión, consolidación, cambio en el control societario, transferencia de activos sustancial o transferencia global de activos, reorganización o liquidación de Crosettes, entonces, Crosettes, podrá discrecionalmente y bajo cualquier título, transferir, transmitir, vender o asignar los datos personales recabados, a cualquier tercero o a una o más partes relevantes. De conformidad con las presentes políticas los titulares de datos personales otorgan su autorización expresa e inequívoca para la transferencia, transmisión, venta o asignación de todos y cada uno de sus datos personales a cualquier persona ubicada en Colombia y/o en el exterior.
Crosettes, tiene la obligación de mantener la confidencialidad de los datos personales objeto de Tratamiento y sólo podrá divulgarlos por solicitud expresa de las entidades de vigilancia y control y autoridades que tengan la facultad legal de solicitarla y permitirá en todo momento y de manera gratuita conocer, actualizar y corregir la información personal del Titular de conformidad con el artículo 8 de la Ley 1581 de 2012.
En desarrollo del principio de finalidad, la recolección de datos personales por parte de Crosettes, se limita a aquellos datos personales que son pertinentes y adecuados para cumplir con las finalidades expresadas en la presente política. Salvo en los casos expresamente previstos en la Ley, no se podrán recolectar datos personales sin autorización del Titular.
Serán recolectados, entre otros, los siguientes datos personales del Titular: nombres, apellidos, número de teléfono, celular, correo electrónico, dirección, imagen, datos de contacto de tutores y estudiantes, así como certificaciones laborales y académicas de tutores.
El Tratamiento de datos incluye la recolección, almacenamiento, administración, utilización, transferencia, transmisión y destrucción, en la forma permitida por la Ley y se realiza con las siguientes finalidades específicas:
1. Mantener comunicación constante y efectiva con los usuarios de nuestras plataformas, clientes, afiliados, empleados, funcionarios, proveedores, y cualquier persona respecto de la cual estemos autorizados para efectuar el tratamiento de sus datos personales.
2. Ofrecer y promocionar, por cualquier medio, productos y servicios de Crosettes, o de compañías que tengan algún vínculo jurídico con Crosettes.
3. Invitar a eventos organizados por Crosettes, compañías vinculadas y terceros, organizar concursos y otorgar premios.
4. Desarrollar actividades comerciales conjuntas con compañías o entidades vinculadas o aliadas.
5. Mantener información sobre Peticiones, quejas y reclamos presentados por los usuarios de las plataformas, clientes y afiliados con ocasión de actividades desarrolladas por la compañía.
6. Conservar información relacionada con el cumplimiento de las Políticas de Calidad.
7. Permitir la identificación y relación entre diferentes personas a través de las plataformas operadas por Crosettes.
8. Efectuar análisis estadísticos, demográficos y de mercado.
9. Elaboración de estudios y publicaciones de carácter académico y periodístico relacionadas con las actividades de Crosettes, y el mercado que atiende.
10. Cumplir con las obligaciones que Crosettes, tenga a cargo.
11. Cualquier otra finalidad que corresponda según el vínculo que se genere entre los titulares de los datos personales y la compañía.
V. TRATAMIENTO DE DATOS PERSONALES DE NIÑOS, NIÑAS Y ADOLECENTES.
En cumplimiento del artículo 7 de la Ley 1581 de 2012 y el artículo 2.2.2.25.2.9 del Decreto 1074 de 2015, el tratamiento de los datos personales de los niños, niñas y adolescentes sólo se realizará, en el marco de las finalidades señaladas anteriormente, cuando se trate de datos de naturaleza pública o cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:
1. Que responda y respete el interés superior de los niños, niñas y adolescentes.
2. Que se asegure el respeto de sus derechos fundamentales.
3. La autorización de tratamiento de datos personales de niños, niñas y adolescentes debe ser otorgada por alguno de sus representantes legales.
El representante legal garantizará el ejercicio del derecho del menor a ser escuchado previamente al otorgamiento de la autorización y valorará la opinión del menor teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto.
Para el efecto, Crosettes, sus empleados, funcionarios y encargados tendrán en cuenta que el tratamiento de los datos personales de menores de edad debe responder al interés superior de ellos y que debe asegurarse el respeto de sus derechos fundamentales.
El Responsable y el Encargado del Tratamiento de datos personales del niño, niña o adolescente velarán por el uso adecuado de los datos y aplicarán los principios y obligaciones consagrados en la Ley 1581 de 2012 y su decreto reglamentario.
VI. TRATAMIENTO DE DATOS SENSIBLES
Conforme a lo previsto en el artículo 5 de la Ley 1581 de 2012, son datos sensibles “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.”
Ninguno de los datos que serán objeto de tratamiento tiene el carácter de dato sensible.
En todo caso, si para cumplir cualquiera de las finalidades del tratamiento de los datos personales consagradas en la presente política llegase a ser necesaria la recolección de datos sensibles, la persona encargada de la recolección informará al Titular sobre el carácter facultativo de las respuestas y sólo se procederá al tratamiento de dichos datos cuando el Titular haya dado su autorización explícita.
El Titular no está obligado a suministrar datos sensibles, en consecuencia, cualquier respuesta a las preguntas que versen sobre datos sensibles tendrán carácter facultativo.
Ningún empleado, funcionario o encargado del Responsable o Encargado del Tratamiento está autorizado para exigirle al Titular que revele datos sensibles suyos o de terceros.
VII. DERECHOS DE LOS TITULARES.
Los Titulares de los datos personales o sus causahabientes tienen los siguientes derechos:
1. Recibir información sobre: (i) el tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo, (ii) el carácter facultativo de las respuestas a las preguntas que versen sobre datos sensibles, y (iii) los derechos que le asisten como titular, (iv) la identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
2. Obtener, del Responsable o Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
3. Ser informado por el Responsable o Encargado del Tratamiento, previa solicitud, respecto del uso que se les ha dado a sus datos personales.
4. Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
5. A que sus datos personales no sean divulgados sin previa autorización, salvo mandato legal o judicial que releve dicho consentimiento.
6. Recibir de forma gratuita toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular, cuando el Titular o sus causahabientes así lo soliciten a través de los canales que para el efecto haya dispuesto el Responsable o Encargado del Tratamiento.
7. Acceder a sus datos personales y ejercer sus derechos sobre los mismos a través de los mecanismos que para el efecto disponga el Responsable o Encargado del Tratamiento.
8. Consultar de forma gratuita sus datos personales: (i) al menos una vez cada mes calendario, y (ii) cada vez que existan modificaciones sustanciales de las políticas de Tratamiento de la información; todo a través de los mecanismos que para el efecto disponga el Responsable o Encargado del Tratamiento.
9. Recibir respuesta a todas las consultas que realice sobre sus datos personales dentro de los términos legales y en todo caso, en un término no superior a 15 días hábiles, en los términos previstos en el artículo 14 de la Ley 1581 de 2012.
10. Recibir respuesta a todos los reclamos que realice sobre sus datos personales dentro de los términos legales y en todo caso, en un término no superior a 23 días hábiles, en los términos previstos en el artículo 15 de la Ley 1581 de 2012.
11. Solicitar la actualización y/o rectificación de sus datos personales al Responsable o Encargado del Tratamiento.
12. Revocar la autorización y/o solicitar la supresión de sus datos personales, mediante los procedimientos de PQR dispuestos para el efecto por el Responsable o Encargado del Tratamiento. El Titular no podrá revocar la autorización y/o solicitar la supresión de sus datos personales cuando tenga un deber legal o contractual de permanecer en la base de datos.
13. Ser informado sobre cualquier cambio sustancial, referidos a la identificación del Responsable o a la finalidad del Tratamiento, en el contenido de las políticas de Tratamiento, antes de o a más tardar al momento de implementar las nuevas políticas.
14. Presentar ante las autoridades competentes quejas por infracciones a la Ley.
VIII. PROCEDIMIENTO PARA EJERCICIO DE DERECHOS POR PARTE DE TITULARES.
Los Titulares de datos personales deben dirigir sus solicitudes o reclamos al correo electrónico servicioalcliente@maestrik.co o físicamente a las oficinas a nivel nacional para el efecto podrán hacer uso del Formato de Solicitudes y Reclamaciones sobre el Tratamiento de Datos Personales.
1. Procedimiento para solicitudes y consultas: Crosettes, debe atender las solicitudes y consultas en un término de diez (10) días hábiles contados a partir de la fecha en que se reciba la solicitud. Cuando no fuere posible cumplir con este tiempo, se deberá informar al interesado expresando los motivos de la demora y la fecha en que se atenderá su solicitud o consulta en un término no mayor a cinco (5) días hábiles siguientes al vencimiento del primer término.
2. Procedimiento en caso de reclamos: El Titular o causahabiente que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en la ley o en la presente Política, podrá presentar un reclamo a Crosettes, el cual será tramitado bajo las siguientes reglas:
a. El reclamo se formulará mediante solicitud dirigida a la Oficina de Protección y Tratamiento de Datos Personales, a la dirección física o al correo electrónico servicioalcliente@maestrik.co con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del mismo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
b. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
c. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
3. Procedimiento para la revocatoria de la autorización y/o solicitud de supresión del dato: Los Titulares podrán en todo momento solicitar a Crosettes, la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012, el artículo 2.2.2.25.2.6 del Decreto 1074 de 2015 y el Procedimiento indicado en esta Política.
Si vencido el término legal respectivo, Crosettes, no hubiere eliminado los datos personales, el Titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales.
No obstante lo anterior, de acuerdo con los artículos 2.2.2.25.2.6 y 2.2.2.25.2.8 del Decreto 1074 de 2015, la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
IX. LIMITACIONES TEMPORALES AL TRATAMIENTO DE LOS DATOS PERSONALES.
MAESTRIK S.A.S., solo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
Una vez cumplida la o las finalidades del Tratamiento, Crosettes, o el Encargado del Tratamiento, según corresponda, procederán a la supresión de los datos personales en su posesión. No obstante lo anterior, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
X. VIGENCIAS.
El período de vigencia de la base de datos será indefinido.
La presente política entra en vigencia a partir del 1 de agosto de 2017.