Política para el tratamiento de datos personales de Big Ads S.A.S. Colombia
ÍNDICE
Objetivo
Alcance
Definiciones
Responsables (Áreas y Departamentos intervinientes y responsabilidades)
Requisitos para el Tratamiento de Datos Personales
Incidentes de seguridad relacionados con la protección de datos personales
Procedimiento de ejercicio de los derechos por parte del titular del dato
Determinación del plazo para contestar al titular del dato.
Entrenamiento
Plazo de adecuación
Auditoría y cumplimiento
Incumplimiento
1. Objetivo
El objetivo de la presente es describir los procedimientos que deben aplicarse para el adecuado Tratamiento de Datos Personales en cumplimiento con la Política Corporativa de Protección de Datos Personales de BIG ADS S.A.S. y los requisitos que sobre esta materia establece la Ley Estatutaria No 1581; la Ley Estatutaria No 1666; sus Reglamentos; y las resoluciones de la Superintendencia de Industria y Comercio, así como los usos y prácticas locales.
2. Alcance
La presente política alcanza a todas las operaciones de tratamiento de datos de todas las entidades legales de BIG ADS S.A.S., o para las distintas plataformas que lo componen (Publicidad), cada una de ellas o en conjunto referidas en adelante como BIG ADS S.A.S.
También alcanza a todos los tratamientos de datos que lleven a cabo terceros que actúen por cuenta y orden de BIG ADS S.A.S.
Esta política aplica a todos los colaboradores internos y externos de BIG ADS S.A.S., quienes son responsables por el cumplimiento de las obligaciones de protección de datos personales relativas a los tratamientos de datos en los que participen.
3. Definiciones
Datos personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Se entenderá por determinable la persona que, sin estar individualizada, pueda ser identificada mediante algún identificador o por uno o varios elementos característicos de la identidad física, fisiológica, genética (datos genéticos), psíquica, económica, cultural o social de dicha persona. No será considerada persona determinable cuando, para lograr su identificación, se requiera la aplicación de medidas o plazos desproporcionados o inviables.
Datos sensibles: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. Tratamiento de datos: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos ylo el Tratamiento de los datos. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
Titular de los datos: Persona natural cuyos datos personales sean objeto de Tratamiento. Disociación de datos: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
4. Responsables (Áreas y Departamentos intervinientes y responsabilidades)
4.1. Todos los empleados de la compañía:
- Cumplir con los lineamientos establecidos en la presente política.
4.2. Departamentos de la Compañía:
- Implementación de esta política en relación con los datos personales que trate.
- Monitoreo continuo de cumplimiento de esta política con el asesoramiento del Departamento de Privacidad.
- Demostrar el cumplimiento de todos los requisitos aplicables de protección de datos personales y proporcionar los documentos, respuestas y aclaraciones necesarias durante cualquier auditoría o revisión interna.
- Participar del proceso de gestión de riesgos vinculados a la protección de datos personales.
- Iniciar los pasos necesarios para la mitigación oportuna de las deficiencias identificadas, los hallazgos de la auditoría y los riesgos de privacidad, si los hubiere, y evitar su recurrencia.
- Involucrar al Chief Financial Oficer (CFO) en el diseño de los productos o servicios que procesen información de carácter personal.
- Garantizar la participación obligatoria de los colaboradores en todas las capacitaciones obligatorias de protección de datos personales.
4.3. Departamento de Administrativo – Financiero:
- Supervisar la implementación de la presente política.
- Facilitarelcumplimientodelasregulacionesdeproteccióndedatos,brindandoasistencia y asesoramiento especializado.
- Ser responsable del diseño, desarrollo e implementación del Programa de Cumplimiento de Protección de Datos Personales de BIG ADS S.A.S..
- Capacitar a los colaboradores, de acuerdo a sus funciones, en lo relativo a los requisitos, políticas y lineamientos legales que rigen la protección de la información personal de la compañía.
- Facilitar y guiar a la compañía en la gestión sistemática de los riesgos de privacidad de datos asociados con los procesos de negocios relevantes a través de evaluaciones, controles y actividades de mitigación.
- Fomentardentrodelacompañíaunaculturadeproteccióndedatospersonales.
- Dar soporte al cumplimiento del requisito legal de que las bases de datos cuenten con suficientes y adecuadas medidas de seguridad contra riesgos tales como pérdida o acceso no autorizado, destrucción, uso, modificación o divulgación de información confidencial.
- Ser responsable del proceso de gestión de incidentes de seguridad informática, brindando asistencia en el cumplimiento de los requisitos regulatorios vinculados a la protección de datos personales.
- Llevar a cabo los desarrollos de nuevos productos, servicios o sistemas adoptando las medidas técnicas apropiadas a fin de garantizar un tratamiento adecuado de los datos personales.
- Velar porque los productos, servicios o sistemas que se desarrollen cumplan con los principios y los derechos de los titulares de los datos establecidos en las regulaciones de protección de datos personales.
- Coordinar el proceso de gestión de riesgos integral de la compañía, brindando colaboración al Chief Financial Oficer (CFO) con los riesgos vinculados a la protección de los datos personales.
- Auditar el cumplimiento de la presente política.
5. Requisitos para el Tratamiento de Datos Personales
5.1 Principios del tratamiento de datos personales:
- Legalidad: El Tratamiento debe sujetarse a lo establecido en la legislación aplicable y en las demás disposiciones que la desarrollen.
- Finalidad:El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
- Libertad:El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
- Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. No se admite el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
- Transparencia:En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
- AccesoyCirculaciónRestringida:El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la legislación aplicable. El Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la ley.
- Seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Confidencialidad:Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
5.2. Procedimiento para el tratamiento de datos
5.2.1. Registro de Actividades de Tratamiento de Datos y Evaluación de Impacto a la Privacidad
Debe desarrollarse y mantenerse un inventario de las actividades de tratamiento de datos personales. El propietario o responsable del producto o actividad de procesamiento de datos debe registrar la actividad en el archivo de seguimiento de actividad y el Chief Financial Oficer (CFO) evaluará la necesidad de llevar a cabo una Evaluación de Impacto a la Privacidad, de acuerdo a la legislación aplicable, en forma previa a la puesta en producción de la base de datos o actividad de procesamiento de datos.
5.2.2. Responsabilidad por las bases de datos
Debe existir un proceso que asegure que las bases de datos tengan un dueño o responsable (responsable del negocio).
5.2.3. Creación de una base de datos
La creación y el mantenimiento de una base de datos que contenga información personal debe realizarse siguiendo los principios y procesos de la Política Corporativa de Protección de Datos y la presente política local.
Cada base de datos deberá tener asignado un propietario o responsable y su creación deberá ser notificada al Chief Financial Oficer (CFO) para su oportuno registro en el Inventario.
5.2.4. Gestión de accesos a las bases de datos
El Departamento de la Compañía que implemente la base de datos debe asegurar:
- quese encuentren definidos los controles de acceso;
- que se otorgue permisos de acceso únicamente a las personas autorizadas en funciónde su rol y necesidades del negocio;
- que cada usuario autorizado pueda acceder únicamente a la información personal que le corresponda de acuerdo a su función;
- que se monitoree de manera continua los roles y privilegios de acceso con el fin de detectar cambios de funciones y egresos en el personal autorizado;
- que se establezca un registro de accesos y actividades, en la medida que sea factible técnicamente.
5.2.5. Recolección de los datos personales
Los Datos Personales serán recolectados y tratados con el consentimiento de los Titulares de los Datos, siempre que no sean aplicables alguna de las excepciones previstas en la legislación aplicable.
Al momento de la recolección se notificará e informará a los Titulares de los Datos el Tratamiento de sus Datos Personales y su finalidad, así como también de los derechos que les asisten.
Los Datos Personales se recolectarán con fines específicos y legítimos, y serán destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales fueron recolectados y en cumplimiento de los principios establecidos en el punto 5.1 de la presente política.
5.2.6. Transmisión de los datos a terceros
La información sólo puede ser compartida bajo motivos comerciales legítimos, cuando haya sido informado previamente mediante el correspondiente aviso o declaración de privacidad y cumpliendo con los estándares de seguridad razonables para garantizar el resguardo de la información. No se podrá compartir información personal de terceros sin su consentimiento, a no ser que sea aplicable alguna de las excepciones previstas en la legislación o que esté contemplada y sea aplicable alguna otra base legal.
Se recomienda el uso de cifrado de la información, siempre que sea posible.
En el caso de que se trate de Datos Sensibles que sean transferidos a través de una red, o distribuidos mediante cualquier tipo de soporte, la encriptación de la información es obligatoria.
5.2.7. Procesamiento de datos por terceras partes
En caso de procesamiento de información personal por parte de terceros, se deberá:
- asegurarunaadecuadagestióndelosproveedores;
- incorporar cláusulas contractuales que establezcan las obligaciones de las partes vinculadas a la protección de datos personales y cumplan con los requisitos dispuestos en la legislación aplicable;
5.2.8. Transferencias internacionales de datos
Los Datos Personales no serán transferidos a terceros países que no posean una legislación adecuada en materia de privacidad y protección de datos personales, a menos que, de conformidad a la legislación aplicable:
- se implemente un mecanismo de Normas Corporativas Vinculantes;
- se suscriba un Acuerdode Transferencia de Datos;
- se adopte algún otro mecanismo previsto en la legislación aplicable.
5.2.9. Decisiones Automatizadas y elaboración de perfiles
En los casos en los que el tratamiento de Datos Personales implique la toma de Decisiones Automatizadas, incluyendo la elaboración de perfiles, se adoptarán medidas adecuadas para salvaguardar los intereses legítimos de los Titulares de los Datos y asegurar el debido ejercicio de sus derechos, de conformidad con la legislación aplicable.
5.2.10. Tratamiento de datos financieros, comerciales o crediticios
Para el tratamiento de los datos financieros, comerciales o crediticios regulados por la Ley 1266 de 2008, se deberá cumplir con las siguientes obligaciones:
- Garantizar que la información que se suministre a los operadores de los bancos de datos o a los usuarios sea veraz, completa, exacta, actualizada y comprobable.
- Actualizar de manera oportuna la información suministrada al operador.
- Rectificarlainformaciónincorrectaeinformaraloperador.
- Solicitar y documentar la autorización del titular de los datos cuando sea necesaria, y no compartir datos con el operador en caso de no obtenerla.
- Certificarsemestralmentealoperadorquesecuentaconlaautorizacióndeltitular.
- Resolverlosreclamosypeticionesdelostitularesdelosdatosconformeelprocedimiento establecido en el punto 7 de la presente política, informando al operador aquellos casos en los que el titular haya solicitado rectificación o actualización, para que se incluya la correspondiente mención.
5.2.11. Seguridad de la información
Los Datos Personales serán protegidos con todas las medidas de seguridad físicas, técnicas y organizativas necesarias para impedir un acceso no autorizado, el tratamiento ilegal y la pérdida, destrucción o daños accidentales o no autorizados a los mismos.
5.2.12. Inscripción o notificación ante la Autoridad de Control local
Debe verificarse que la base de datos o actividad de procesamiento se encuentre debidamente registrada ante el Registro Nacional de Bases de Datos que lleva la Superintendencia de Industria y Comercio.
6. Incidentes de seguridad relacionados con la protección de datos personales
En caso de incidentes de seguridad que involucren datos personales, se deberá seguir la POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN y el Plan de Escalamiento y Comunicación o las que oportunamente las reemplacen.
7. Procedimiento de ejercicio de los derechos por parte del titular del dato
Se deberá garantizar a los Titulares de los Datos el debido ejercicio de sus derechos de acuerdo con lo dispuesto por la legislación aplicable en materia de privacidad y protección de Datos Personales.
- Derecho de acceso: El Titular de los Datos tiene derecho a acceder a sus datos personales que obren en poder del responsable, así como conocer el Aviso de Privacidad al que está sujeto el tratamiento. BIG ADS S.A.S. tiene la obligación de proporcionar dicha información de manera clara y sencilla.
- Derecho de rectificación: El titular de los datos tendrá derecho a rectificarlos cuando sean inexactos o incompletos.
- Derecho de cancelación: el Titular de los Datos tiene el derecho a solicitar la supresión o cancelación de sus Datos Personales en las siguientes circunstancias;
-
- los Datos Personales ya no sean necesarios para los fines por los que fueron recolectados;
- cuando el Titular de los datos desee revocar el consentimiento para el tratamiento de sus Datos Personales basado en el consentimiento y no aplique alguna otra base legal para su tratamiento;
- cuando el Titular de los Datos objete el tratamiento para fines de promoción directa y/o marketing; y
- cuando se requiera la cancelación de los Datos Personales para dar cumplimiento con una obligación legal que implique a BIG ADS S.A.S..
BIG ADS S.A.S. cumplirá con la solicitud de supresión, salvo cuando:
- los datos se refieran a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;
- los datos deban ser tratados por disposición legal;
- la supresión de los datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;
- los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular;
- los datos sean necesarios para realizar una acción en función del interés público;
- los datos sean necesarios para cumplir con una obligación legalmente adquirida por el titular,
- los datos sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto.
La cancelación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. Durante el bloqueo de los datos, BIG ADS S.A.S. podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia.
- Derecho de oposición: los Titulares de los Datos tienen el derecho a limitar y objetar el tratamiento de sus Datos Personales.
Esto podría afectar la correcta prestación de servicios o cumplimiento de las obligaciones contractuales por parte de BIG ADS S.A.S.. En consecuencia, BIG ADS S.A.S. explicará a los Titulares de los Datos los efectos en caso de que decidan ejercer este derecho.
- Derecho a no ser objeto de toma de Decisiones Automatizadas, para el caso en que ocurra una toma de Decisión Automatizada basada en los Datos Personales, los Titulares de los Datos tienen el derecho, de solicitar información e impugnar la Decisión Automatizada, así como ejercer los derechos de acceso, rectificación y supresión de los datos generados a través de decisiones basadas en tratamientos automatizados basados en sus Datos Personales.
- Derecho a revocar el consentimiento, cuando la base legal para el tratamiento de los Datos Personales sea el consentimiento de los Titulares de los Datos, los mismos tendrán derecho a revocar dicho consentimiento en cualquier momento.
Los Titulares de los Datos deberán ponerse en contacto con BIG ADS S.A.S. a través de un canal de comunicación establecido para tales fines. - Realizar reclamos ante la autoridad de supervisión competente, para el caso en que el Titular del Dato desee realizar un reclamo sobre la manera en la cual BIG ADS S.A.S. ha tratado sus Datos Personales, el mismo deberá ponerse en contacto con la autoridad de supervisión correspondiente en su jurisdicción local.
Para el caso en que el Titular del Dato desee iniciar un reclamo judicial o administrativo, se le aplicará la jurisdicción local para el ejercicio de sus derechos.
A fin de que los Titulares de los Datos ejerzan de manera efectiva sus derechos, BIG ADS S.A.S. debe implementar un sistema que permita atender quejas y reclamos respecto del tratamiento de Datos Personales.
7.1. Determinación del plazo para contestar al titular del dato.
Identificado el derecho concreto objeto de la solicitud, puede determinarse el plazo legal disponible para contestar al afectado:
- Acceso10 días (hábiles) + 5 (por demora)
- Rectificación15 días (hábiles) + 8 (por demora)
- Cancelación15 días (hábiles) + 8 (por demora)
- Oposición 15 días (hábiles) + 8 (por demora)
Todos los plazos se computan a partir de la fecha de recepción de la solicitud del interesado.
8. Entrenamiento
Los Departamentos de la Compañía, en coordinación con el Departamento de Administrativo-finaciero, deberán formar a los empleados en materia de privacidad para que sean conscientes de la necesidad de proteger y asegurar los Datos Personales de los Titulares de los Datos y estén informados de la importancia que esto reviste.
9. Plazo de adecuación
Los Departamentos de la Compañía, en coordinación con el Departamento de Administrativo-finaciero, deberán adecuar sus procesos a los requisitos de la presente política en un plazo de 12 meses contados desde su entrada en vigencia.
10. Auditoría y cumplimiento
El Departamento de Administrativo-finaciero auditará la adecuación y la eficiencia de los controles para el cumplimiento de la Política Corporativa de Protección de Datos Personales, esta política y la legislación aplicable.
Cada Departamento deberá implementar un monitoreo continuo de cumplimiento con el asesoramiento del equipo del Departamento de Administrativo-finaciero.
11. Incumplimiento
Será considerada una falta grave y será pasible de sanciones el empleado que cometa alguna infracción a las previsiones establecidas en el presente documento. BIG ADS S.A.S. podrá tomar medidas disciplinarias que considere pertinentes en los casos de incumplimiento de las obligaciones aquí estipuladas por parte de los empleados.