Protección de Datos

Manual de Políticas de Protección y Tratamiento de Datos Personales

En el presente documento Saphety - Transacciones Electrónicas S.A.S. presenta en este documento todas las políticas de protección y tratamiento de los datos personales de personas naturales en cumplimiento de la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales” y sus decretos reglamentarios (o cualquier otra norma que reglamente, adicione, ejecute, complemente, modifique, suprima o derogue a la Ley 1581 de 2012).

I. Aspectos Generales

  1. Objeto

    Saphety - Transacciones Electrónicas S.A.S., presenta en este documento, sus Políticas de Protección y Tratamiento de Datos Personales, con el fin de estipular y dar a conocer los medios establecidos por nuestra compañía, por los cuales toda persona natural puede ejercer su derecho constitucional de protección de la información, y por tanto, ejercer los derechos que le asisten de conocer, actualizar y rectificar su información contenida en bases de datos o archivos.

  2. Ámbito de Aplicación

    (i) Los datos personales susceptibles de tratamiento, registrados en cualquier base de datos por entidades de naturaleza pública o privada, son objeto de protección de conformidad con las normas aplicables en la materia - Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013.

    (ii) La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma.

  3. Definiciones

    En lo que respecta al presente Manual y para su correcto entendimiento, se aplicarán los conceptos como a continuación se describen de conformidad con las normas aplicables la materia.

    Autorización: Documentos o medio por el cual el titular de los datos personales, otorga el consentimiento previo, expreso e informado a un tercero, para llevar a cabo el tratamiento de estos.

    Base de Datos: Conjunto de datos personales objeto de tratamiento por Saphety - Transacciones Electrónicas S.A.S., organizado en medios físicos o digitales.

    Dato Personal: Como lo describe la Ley 1581 de 2012, es cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

    Encargado del Tratamiento: Persona (natural o jurídica), pública o privada que realiza el tratamiento de datos personales por cuenta del “Responsable” del tratamiento;

    Responsable del Tratamiento: Persona (natural o jurídica), sin importar su naturaleza, que decida sobre la base de datos y/o el Tratamiento de los datos.

    Titular: Según la Ley 1581 de 2012, es la persona natural cuyos datos personales son objeto de tratamiento.

    Tratamiento: Se entiende por este, como cualquier operación sobre los datos personales, tales como la recolección, almacenamiento, uso, circulación, disposición final o supresión, entre otros.

    Datos Sensibles: La Ley 1581 de 2012 los describe como: “aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.

    Aviso de Privacidad: Comunicación verbal o escrita para el tratamiento de datos personales, mediante la cual se le informa al titular, acerca de la existencia de las políticas de tratamiento y protección de información que le serán aplicables, la forma de acceder a éstas y la finalidad del tratamiento a los datos personales.

    Datos Públicos: Son aquellos no catalogados como semiprivados, privados o sensibles. Son datos públicos, entre otros, los datos relativos al estado civil de las personas, su profesión u oficio (calidad de comerciante o de servidor público). Por su naturaleza, éstos pueden estar contenidos, en registros públicos, documentos públicos, gacetas / boletines oficiales y sentencias judiciales, debidamente ejecutoriadas que no estén sometidas a reserva.

    Transferencia: Esta tiene lugar cuando el Responsable y/o Encargado del tratamiento de datos personales, ubicado en Colombia, envía los datos personales del titular a un tercero receptor que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

    Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos, dentro o fuera del territorio nacional, cuando tenga por finalidad u objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.

  4. Derecho de Habeas Data

    (i) El derecho de hábeas data es aquel que tiene toda persona de conocer, actualizar y rectificar la información que se haya recogido sobre ella en archivos y bancos de datos de naturaleza pública o privada.

    (ii) La Corte Constitucional lo definió específicamente, como el derecho que otorga la facultad al titular de datos personales de exigir de las administradoras de esos datos el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de los datos, así como la limitación en las posibilidades de su divulgación, publicación o cesión, de conformidad con los principios que regulan el proceso de administración de datos personales. Asimismo, ha señalado que este derecho tiene una naturaleza autónoma que lo diferencia de otras garantías con las que está en permanente relación, como los derechos a la intimidad y a la información.

II: Principios

Principio de legalidad en materia de tratamiento de datos: El tratamiento es una actividad reglada que debe ceñirse a lo establecido en las normas que regulan la materia y en las demás disposiciones que la desarrollen.

Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima, la cual se debe informar al Titular.

Principio de libertad: El tratamiento de datos exclusivamente se ejercerse con el consentimiento, previo, expreso e informado del Titular. Por lo tanto, los datos personales no podrán ser obtenidos, recolectados o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que otorgue el consentimiento.

Principio de integridad, veracidad o calidad: La información objeto de tratamiento debe tener características como veracidad, integridad, exactitud, actualizada, comprobable y comprensible. Entre tanto, las normas aplicables prohíben el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de transparencia: El tratamiento de datos realizado por el responsable o por el encargado, debe garantizar el ejercicio de los derechos del titular, a obtener información acerca de la existencia de datos que le conciernan en cualquier momento y sin restricciones.

Principio de acceso y circulación restringida: El tratamiento debe sujetarse a los límites impuestos en la norma y de forma exclusiva sólo podrá realizarse por las personas autorizadas por el Titular y/o por las personas previstas en la presente ley. Igualmente, los datos personales no podrán circular en Internet u otros medios de comunicación masiva.

Principio de seguridad: La información sujeta a tratamiento se deberá contar con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales (a excepción de naturaleza pública), están obligadas garantizar la reserva de la información, inclusive después de finalizada su relación.

Principio de la temporalidad: El principio de temporalidad de la información se refiere a la necesidad de que el dato del titular no podrá ser suministrado a los usuarios cuando deje de servir para la finalidad establecida en la base de datos.

Principio de la interpretación integral: La interpretación integral de derechos constitucionales, consiste en que las normas que rigen los datos personales se interpretarán en el sentido que se amparen otros derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Asimismo, se refiere a que los derechos de los titulares se interpretarán en armonía con el derecho a la información y demás derechos constitucionales aplicables.

III. Derechos y Bases de Datos

  1. Derechos

    Saphety - Transacciones Electrónicas S.A.S., garantiza y reconoce a los titulares de los datos personales contenidos en nuestras bases de datos, los derechos fundamentales mencionados a continuación:

    (i) Comunicarse con Saphety - Transacciones Electrónicas S.A.S., a través del correo electrónico definido para tal fin y solicitar información acerca del tratamiento y protección que tienen los datos personales.

    (ii) Conocer el aviso de privacidad establecido por Saphety - Transacciones Electrónicas S.A.S., así como las políticas y manuales de protección y tratamiento de datos personales.

    (iii) Conocer y actualizar, los datos personales frente a Saphety - Transacciones Electrónicas S.A.S., como responsable del tratamiento de los mismos.

    (iv) Rectificar los datos personales ya sean datos parciales, inexactos, incompletos, fraccionados o erróneos.

    (v) Eliminar los datos personales que hayan sido recolectados sin autorización por Saphety - Transacciones Electrónicas S.A.S., o cuyo tratamiento y finalidad no haya sido expresamente el autorizado.

    (vi) Solicitar prueba de la autorización otorgada a Saphety - Transacciones Electrónicas S.A.S., para el almacenamiento y tratamiento de datos personales, salvo en las situaciones en que, por ley no se requiera.

    (vii) Acceder de manera fácil, ágil y gratuita a través del canal dispuesto para tal fin por Saphety - Transacciones Electrónicas S.A.S., a los datos personales que sean o hayan sido objeto de tratamiento.

    (viii) Modificar y revocar la autorización y/o solicitar la supresión de los datos personales, cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales vigentes.

    (ix) Presentar queja ante la Superintendencia de Industria y Comercio (SIC) por infracción o violación a los derechos sobre los datos personales, luego de haber ejercido el derecho ante Saphety - Transacciones Electrónicas S.A.S.

  2. Autorización

    Saphety - Transacciones Electrónicas S.A.S., cuenta con la autorización expresa del titular de los datos personales, la cual ha sido recolectada y podrá ser objeto de consulta posterior.

    No obstante, se presentan excepciones como las previstas en la ley.

    No se requiere autorización del titular en los siguientes casos:
    (i) Datos de naturaleza pública;
    (ii) Datos relacionados con el Registro Civil de las Personas;
    (iii) Para proteger al Titular del dato en caso de emergencias médicas o desastres;
    (iv) En objeto de las actividades propias de una fundación, ONG, asociaciones, etc., de manera exclusiva para sus miembros o quienes tengan contacto regular por razón de su finalidad;
    (v) Datos solicitados por un ente judicial o gubernamental y
    (vi) Cuando exista una finalidad histórica, estadística o científica.

    La autorización deberá contener información clara y concisa con respecto a los deberes, derechos y en general las consideraciones de ley incluyendo las excepciones, de manera tal que no haya lugar a confusiones y malos entendidos por parte del titular de los datos personales.

    Adicionalmente, se incluirá toda la información relacionada con la finalidad o finalidades, tipo de tratamiento a efectuar o efectuado, canal establecido por Saphety - Transacciones Electrónicas S.A.S., para la notificación y solicitud de información sobre los derechos y datos personales, dirección física y teléfono del responsable del tratamiento de datos personales, entre otros.

    Finalmente, contará con una sección u opción para solicitar no volver a ser contactado por algún o todos los medios registrados con fines comerciales, publicitarios y estadísticos.

  3. Bases de Datos

    Dentro del desarrollo de las actividades cotidianas de Saphety - Transacciones Electrónicas S.A.S., la entidad cuenta con las siguientes bases de datos:

    (i) Empresas usuarias del servicio
    (ii) Documentos intercambiados

  4. Finalidad

    Las finalidades de la información personal que es tratada en Saphety - Transacciones Electrónicas S.A.S., es la siguiente, según cada grupo de interés:

    Empresa usuarias del servicio: Listados de las empresas y sus usuarios, con información de la identificación fiscal, datos de dirección y datos de los usuarios registrados.

    Documentos intercambiados: Registro de transacciones y documentos intercambiados por las empresas usuarias del servicio. Detalle de esos documentos, registro de transacciones en el sistema contable y tributario

    .
  5. Vigencia

    La información contenida en las bases de datos se conservará conforme con los principios de archivística, caducidad, razonabilidad y temporalidad dispuesto por la normativa vigente. Por lo tanto, las autorizaciones tienen por vigencia la duración de la relación contractual y hasta diez (10) años más. Sin perjuicio que durante la vigencia de la autorización o contrato que dio origen a la relación comercial o contractual, alguna norma exija o modifique el tiempo de permanencia de la información contenida o atinente a dicha relación.

  6. Canal de Comunicación

    Ha establecido como canal único de comunicación para toda solicitud relacionada con la protección y el tratamiento de los datos personales, el siguiente correo electrónico: dataprotection@saphety.com

IV. Obligaciones

  1. Deberes Del Responsable

    Conforme con la normativa vigente, el responsable es aquella persona (natural o jurídica), pública o privada que realiza el tratamiento de datos personales, por si misma o en asocio con otros, tiene acceso y control sobre las bases de datos y el tratamiento de los mismos y como tal define los fines, medios, utilización y circulación de los datos personales.

    Saphety - Transacciones Electrónicas S.A.S., es consiente que los datos personales son única y exclusivamente propiedad de las personas a las que se refieren y solamente ella pueden decidir. Asimismo, Saphety - Transacciones Electrónicas S.A.S., hará uso de estos datos, sólo para las finalidades para las que se encuentra debidamente autorizada por sus titulares y facultada por la norma, respetando en todo caso la protección y privacidad de los datos personales.

    Teniendo claro el concepto de responsable, los deberes de Saphety - Transacciones Electrónicas S.A.S., como responsable de la protección y el tratamiento de los datos personales contenidos en sus bases de datos de acuerdo con la ley 1581 de 2012, son los siguientes:

    • Garantizar al titular de los datos, a través del canal de comunicación establecido por Saphety - Transacciones Electrónicas S.A.S., para tal fin, el pleno y efectivo derecho de Habeas Data.

    • Conservar adecuadamente y mantener bajo custodia, todas las autorizaciones otorgadas por los titulares, ya sea en archivo físico, electrónico o vía web.

    • Informar oportuna y adecuadamente a los titulares de los datos que otorgaron la autorización, conocer la finalidad, tratamiento y medidas de seguridad con las que cuenta su información y los derechos que lo asisten.

    • Informar el uso que hace de los datos personales en desarrollo de las relaciones comerciales y contractuales establecidas con clientes y usuarios.

    • Conservar la información bajo condiciones de seguridad físicas, electrónicas y ambientales que permitan impedir la adulteración, pérdida, consulta, uso y acceso no autorizado o fraudulento.

    • Garantizar que la información suministrada al encargado del tratamiento y protección de los datos personales, sea clara, completa, exacta, oportuna, veraz, actualizada, comprensible y comprobable.

    • Consolidar todos los datos existentes y correspondientes en un mismo titular y verificar las fechas de actualización y consolidación con el fin de complementar y actualizar la información y no duplicar registros ni información innecesaria por fuera de las bases de datos establecidas por Saphety - Transacciones Electrónicas S.A.S. y previamente determinadas.

    • Comunicar de manera oportuna al encargado del tratamiento de los datos, todas las novedades con respecto a los datos que haya suministrado previamente el titular de la información y adoptar las medidas necesarias para que la información suministrada se mantenga autorizada.

    • Celebrar contratos y/o acuerdos de confidencialidad con los encargados del tratamiento de los datos personales que cuenten con las medidas de seguridad necesarias, responsabilidades y deberes adquiridos con respecto a la protección de la información y las sanciones correspondientes en caso de violación alguna.

    • Desarrollar, mantener y socializar los procedimientos de PQRS para que los titulares ejerzan los derechos sobre protección y tratamiento de datos personales.

    • Desarrollar, mantener y monitorear procedimientos para atender incidentes de seguridad que se puedan presentar y vulnerar la integridad y salvaguarda de los datos personales.

    • Informar al titular de los datos personales y a la Superintendencia de Industria y Comercio (SIC) sobre cualquier incidente de seguridad o acto de violación de privacidad de la que haya sido objeto y a la que se haya visto expuesta la integridad y salvaguarda de los datos personales.

    • Rectificar la información cuando sea incorrecta y comunicarla al encargado del tratamiento y usuarios autorizados.

    • Exigir al encargado del tratamiento y protección de los datos personales, así como a los usuarios de la información, respeto y cumplimiento por las políticas y manuales adoptados por la Saphety - Transacciones Electrónicas S.A.S.

    • Tramitar las consultas, reclamos y solicitudes de los titulares en los términos señalados por la ley.

    • Adoptar los manuales, políticas y procedimientos que garanticen el cumplimiento de la ley 1581 de 2012.

    • Exigir a toda persona que intervenga en cualquier fase del tratamiento de los datos personales de carácter privado, sensible o de menores, el secreto profesional con respecto a los mismos y el deber de guardarlos, aun cuando las relaciones contractuales hayan finalizado con Saphety - Transacciones Electrónicas S.A.S., La violación a este deber por parte de los encargados, usuarios o todos aquellos que hayan intervenido en las fases del tratamiento de datos personales, será sancionado de acuerdo a la normativo vigente.

    • Cumplir con todas las disposiciones, instrucciones y/o requerimientos de la Superintendencia de Industria y Comercio (SIC).

V. Procedimientos

Con el fin de proteger y garantizar la protección y el tratamiento de datos personales conforme a las directrices legales, contractuales y lo contemplado en la autorización otorgada a Saphety - Transacciones Electrónicas S.A.S., se describen a continuación los medios y formas por los cuales los titulares pueden ejercer sus derechos.

  1. Procedimiento de acceso o consulta de información:

    Los Titulares o sus herederos pueden realizar consultas referentes a su información personal que se encuentre en nuestras bases de datos. La consulta se deberá formular por el medio del correo electrónico que hemos habilitado y descrito en el Capítulo 3 (dataprotection@saphety.com).

  2. Procedimiento para reclamos por rectificación, modificación, actualización, supresión y eliminación de datos y revocar autorización

    El titular de los datos o sus herederos pueden presentar reclamación, con el fin de solicitar corrección, actualización o supresión, de la información contenida en una de nuestras bases de datos o cuando adviertan del posible incumplimiento de cualquiera de los deberes contenidos en la ley o incluso la revocación de autorización previamente entregada.

    El reclamo se formulará mediante solicitud dirigida al correo electrónico dataprotection@saphety.com con la siguiente información:

    • Identificación del Titular;
    • La descripción de los hechos que dan lugar al reclamo;
    • La dirección de notificación; y
    • Los documentos que se tengan como soporte o se quiera hacer valer, en caso de tenerlos.

  3. Procedimiento para atender reclamaciones por parte del responsable

    Saphety - Transacciones Electrónicas S.A.S., como responsable del tratamiento de datos personales y sensibles contenidos en nuestras bases de datos, atenderá las reclamaciones en el tema bajo los siguientes postulados:

    • Si se recibe un reclamo incompleto, se le solicitará al interesado la información faltante dentro de los cinco (5) días siguientes a la recepción del reclamo. En caso que no se reciba ésta dentro de los dos (2) meses siguientes a la fecha del requerimiento, se entenderá que ha desistido.

    • El funcionario, encargado o contratista, que reciba un reclamo y no sea el competente para dar respuesta, lo debe remitir a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

    • Recibida la reclamación y si contiene la información pertinente para dar respuesta, se incluirá en la base de datos en un término no mayor a dos (2) días hábiles, la leyenda que diga “reclamo en trámite” y su motivo. Esta leyenda permanecerá hasta tanto se decida el reclamo.

  4. Términos de respuesta

    Las peticiones de acceso o consulta serán atendidas en un término máximo de diez (10) días hábiles, contados estos a partir de la fecha de recibo de la misma, en caso de no ser posible atender la consulta dentro de dicho término, se le informará, así como los motivos de la demora y la fecha de respuesta; sin embargo, este tiempo adicional no superará los cinco (5) días hábiles siguientes al primer vencimiento.

    El término máximo para dar respuesta a una reclamación en cuanto a rectificación, modificación, actualización o supresión de información, será de quince (15) días hábiles, contados a partir del día siguiente a la fecha de su recibo. En caso de no ser posible atenderla en el término, se debe informar los motivos de la demora y la fecha en que se atenderá esta, pero no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.