POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES SIVAR S.A.S.

1. Información de la empresa Responsable del Tratamiento de información personal: SIVAR S.A.S. sociedad identificada con NIT 900.292.678-3, se permite informar a todos los interesados, que los datos personales que obtenga en virtud de las operaciones que se celebren con la sociedad, serán tratados conforme a los principios y deberes definidos en la ley 1581 de 2012, Decreto 1377 de 2013, Decreto 886 de 2014, Decreto único 1074 de 2015 y demás normas que traten y regulen esta materia, y en vista de su calidad de Responsable del Tratamiento de Datos personales de conformidad con la aludida normatividad, se permite dar a conocer la presente POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES (en adelante la “Política”), cuya aplicación es de carácter obligatorio para todas las personas naturales o jurídicas que hagan tratamiento de los datos personales registrados en las bases de datos de SIVAR S.A.S

Para todos los fines pertinentes, el domicilio de SIVAR S.A.S. será Carrera 30 #7AA-207, Oficina 5005 Edificio Torre Scaglia ciudad de Medellín, teléfono: (57) 3128039189. Correo electrónico: proyectos@sivargroup.com – info@sivargroup.com y página web http://www.sivargroup.com .

2. Objeto. La presente Política tiene como objeto dar la información necesaria y suficiente a los diferentes grupos de interés, como clientes, usuarios, clientes potenciales, proveedores, empleados, contratistas, aliados comerciales y accionistas; así como establecer los lineamientos que garanticen la protección de los datos personales que son objeto de tratamiento, a través de los procedimientos de SIVAR S.A.S., para de esta forma, dar cumplimiento a la ley, las políticas y los procedimientos de atención de derechos de los titulares, criterios de recolección, almacenamiento, uso, circulación y supresión que se dará a los datos personales

3. Destinatarios. Esta política se aplicará a todas las bases de datos tanto físicas como digitales, que contengan datos personales y que sean objeto de Tratamiento por parte de SIVAR S.A.S., considerada como responsable. Igualmente, en aquellos casos en que opere como encargada del tratamiento de datos personales. La política está dirigida a que los clientes, usuarios, clientes potenciales, proveedores, empleados, contratistas, aliados comerciales y accionistas de SIVAR tengan a su disposición la información necesaria y suficiente sobre los diferentes tratamientos y fines sobre los que serán objeto sus datos, así como los derechos que ellos pueden ejercer frente a SIVAR cuando esta tenga el rol de responsable del tratamiento de sus datos personales.

Esta política es de obligatorio conocimiento y cumplimiento por todos para todas las personas naturales o jurídicas responsables de la administración de bases de datos personales de SIVAR, y por aquellos funcionarios que reciben, atienden y dan respuesta directa o indirectamente a las peticiones (consultas o reclamos) de información relacionadas con la ley de protección de datos personales.

4. Alcance

• Garantizar el ejercicio del derecho a la intimidad de las personas y del habeas data, mediante la protección de las de datos personales contenidos en las bases de datos de SIVAR y que se encuentran en el marco de la Ley 1581 de 2011, el Decreto 1373 de 2013 las demás normas que lo modifiquen o reglamenten.

• Dar un trámite expedito y legal a las diferentes solicitudes y reclamaciones hechas por los Titulares de la Información, así como por sus causahabientes u otra persona que cuente con la debida autorización.

• Dar cumplimiento a las exigencias de la normatividad vigente en materia de Protección de Datos Personales, así como a cualquier exigencia originada en el principio de responsabilidad demostrada (accountability).

• Brindar la debida protección a los intereses y necesidades de los Titulares de la Información personal tratada por SIVAR.

5. Definiciones

En el desarrollo, interpretación y aplicación de la Ley, regulaciones, y normatividad vigente, se aplicarán, de manera armónica e integral, las siguientes definiciones:

a) Área responsable de protección de datos: Es el área dentro de SIVAR, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales.
b) Área responsable de la atención a peticiones, quejas, reclamos y consultas: Las peticiones, quejas, reclamos y consultas formuladas por los titulares de datos serán atendidas por SIVAR través de la figura del Oficial de Protección de Datos, adscrita a la misma.
c) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
d) Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
e) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
f) Calidad del dato: El dato personal sometido a tratamiento deberá ser veraz, completo, exacto, actualizado, comprobable y comprensible. Cuando se esté en poder de datos personales parciales, incompletos, fraccionados o que induzcan a error, SIVAR deberá abstenerse de someterlo a Tratamiento, o solicitar a su Titular la completitud o corrección de la información.
g) Circulación restringida: Los datos personales sólo serán tratados por aquel personal de SIVAR o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrán entregarse Datos Personales a quienes no cuenten con autorización o no hayan sido habilitados por SIVAR para tratarlos.}
h) Confidencialidad: Elemento de seguridad de la información que permite establecer quienes y bajo qué circunstancias se puede acceder a la misma.
i) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables;
j) Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
k) Dato semiprivado: Es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales
l) Dato sensible: Aquel dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
m) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento;
n) Información digital: Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.
o) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
p) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
q) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.
r) Transferencia: El responsable y/o encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
s) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
6. Principios rectores

Dentro del compromiso legal y corporativo de SIVAR para definir claramente el marco de protección de datos personales, el ejercicio del derecho de habeas data y garantizar la confidencialidad de la información personal, se acoge a los principios generales para el tratamiento, transferencia y transmisión de datos personales a los cuales tenga acceso.

a) Principio de Legalidad en Materia de Tratamiento de Datos: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 del 17 de octubre de 2012, decretos reglamentarios y demás disposiciones que la desarrollen.

b) Principio de Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

c) Principio de Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

d) Principio de Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de Datos parciales, incompletos, fraccionados o que induzcan a error.

e) Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

f) Principio de Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley.

g) Principio de Seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h) Principio de Confidencialidad: Todos los empleados y contratistas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. SIVAR se compromete a tratar los datos personales de los titulares tal y como lo define el literal g) del artículo 3 de la Ley 1581 de 2012 de forma absolutamente confidencial haciendo uso de estos, exclusivamente, para las finalidades contenidas en esta política, siempre que el titular no se haya opuesto a dicho tratamiento. SIVAR informa que tiene implantadas las medidas de seguridad de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos personales y eviten su alteración, pérdida, tratamiento y/o acceso no autorizado.

i) Principio de temporalidad: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de los datos.

j) Interpretación integral de los derechos constitucionales: Los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los derechos constitucionales aplicables.

k) Principio de Necesidad: Los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.

7. Responsabilidad

Toda persona que tenga acceso a consultar y realizar cualquier tipo de tratamiento a los datos personales contenidos en bases de datos a cargo de SIVAR, es responsable a título personal, por lo que debe dar cumplimento a la Política.

8. Tratamiento de datos sensibles: Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
c) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
d) El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

Autorización especial de datos personales sensibles: SIVAR S.A.S. informará a través de los diversos medios de obtención de la autorización a todos sus Titulares, que en virtud de la ley 1581 del 2012 y normas reglamentarias estos no están obligados a otorgar la autorización para el tratamiento de datos sensibles. Los datos sensibles biométricos tratados tienen como finalidad la identificación de las personas, la seguridad y la adecuada prestación de los servicios.

Derechos de los niños, niñas y adolescentes: El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7 de la Ley 1581 de 2012 y cuando dicho Tratamiento cumpla con los siguientes parámetros y requisitos:

1. Que responda y respete el interés superior de los niños, niñas y adolescentes.
2. Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal del niño niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

9. Tratamiento y Finalidades: De acuerdo con lo establecido en la Ley 1581 de 2012 y de conformidad con las autorizaciones impartidas por los titulares de la información, SIVAR S.A.S. realizará operaciones o conjunto de operaciones que incluyen recolección de datos, su almacenamiento, uso, transmisión, transferencia, circulación y/o supresión. Este Tratamiento de datos se realizará exclusivamente para las finalidades autorizadas y previstas en la presente Política y en las autorizaciones específicas otorgadas por parte del titular. Los datos personales serán tratados de acuerdo con el grupo de interés y en proporción a la finalidad o finalidades que tenga cada tratamiento, de la misma forma se realizará el tratamiento de Datos Personales cuando exista una obligación legal o contractual para ello, siempre bajo los lineamientos de las políticas de Seguridad de la Información.

SIVAR atendiendo a las diferentes relaciones que tiene con los titulares de los datos personales, podrá tratarlos para finalidades especiales; los diferentes tipos de titulares pueden ser: clientes, usuarios, clientes potenciales, proveedores, empleados, contratistas, aliados comerciales y accionistas de SIVAR.

a. Clientes, Usuarios y clientes potenciales: El tratamiento de Datos Personales por parte de SIVAR S.A.S. tendrá las siguientes finalidades:

a) Controlar las solicitudes relacionadas con los servicios prestados por la Empresa.
b) Remitir las respuestas de las peticiones, quejas y reclamos a los clientes y usuarios.
c) Adelantar los trámites relacionados con la prestación del servicio o la entrega del producto.
d) Adelantar gestiones de cobro.
e) Enviar información comercial y publicitaria relacionada con los productos y servicios que ofrece la empresa.
f) Realizar campañas, actividades de divulgación, capacitaciones y webinar.
g) Actualizar bases de datos.
h) Elaborar estudios, estadísticas, encuestas, análisis de tendencias, relacionados con las preferencias de los clientes y usuarios.
i) Transferir información a terceros. La transferencia de datos a terceros podrá conllevar una retribución económica por parte del tercero a favor de SIVAR S.A.S.
j) Contactar a los clientes potenciales, para la consecución de negocios.
k) Prestar los servicios y comercializar los productos ofrecidos por SIVAR.
l) Realizar campañas, actividades de divulgación en lo relacionado con promociones, ofertas, tarifas especiales, eventos y demás publicidad que sea de interés para el cliente
m) Elaborar estudios, estadísticas, encuestas, análisis de tendencias, y comportamiento de consumo relacionados con los productos y servicios que presta SIVAR.
n) Gestionar la información necesaria para el cumplimiento de las obligaciones tributarias, contractuales, comerciales y de registros comerciales, corporativos y contables.
o) Evaluar la calidad de los servicios prestados.
p) Mejorar las iniciativas promocionales de la oferta de prestación de servicios y actualización de productos de SIVAR.
q) Las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, y, en todo caso, de acuerdo con la Ley.

b. Trabajadores:

a) Controlar el cumplimiento de requisitos relacionados con el Sistema General de Seguridad Social.
b) Realizar campañas de bienestar laboral.
c) En caso de datos biométricos capturados a través de sistemas de videovigilancia o grabación su tratamiento tendrá como finalidad la identificación, seguridad y la prevención de fraude interno y externo.
d) Para el caso de los participantes en convocatorias de selección, los datos personales tratados tendrán como finalidad adelantar las gestiones de los procesos de selección; las hojas de vida se gestionarán garantizando el principio de acceso restringido.
e) Reportar pagos por parte de la empresa, emisión de certificados de ingresos y retenciones.
f) Realizar campañas del SG-SST.

c. Proveedores, contratistas y aliados comerciales:

a) Para todos los fines relacionados con el objeto de los procesos de selección, conocimiento de la contraparte, contractuales o relacionados con éstos.
b) Realizar todos los trámites internos y el cumplimiento de obligaciones contables, tributarias y de ley.
c) Reportar pagos y emitir certificados
d) Consulta de reportes en las centrales de riesgo financieras.
e) Gestionar la cadena presupuestal de SIVAR en lo relacionado con pagos, emisión de certificados de ingresos y retenciones (personas naturales y jurídicas) y relaciones de pagos.
f) Gestionar el proceso contable de SIVAR
g) Realizar todas las actividades necesarias para el cumplimiento de las diferentes etapas contractuales en las relaciones con proveedores, contratistas, distribuidores y aliados comerciales.
h) Expedir las certificaciones contractuales solicitadas por los contratistas o solicitudes de los entes de control.
i) Expedir las órdenes de compra para la solicitud de servicios y/o productos.
j) Para el procesamiento, recibo y pago de los servicios y/o productos prestados y comercializados por los contratistas, proveedores, distribuidores y aliados comerciales.
k) Mantener un archivo digital que permita contar con la información correspondiente a cada contrato.
l) Las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, y en todo caso de acuerdo con la Ley y en el marco de las funciones que lo son atribuibles a SIVAR.

d. Accionistas

Para todos los fines relacionados con el gobierno corporativo de la sociedad, en especial, aquellas actividades accionarias, económicas, financieras, comerciales y estratégicas, así como, las definidas en el Código de Comercio y en la regulación mercantil frente a los accionistas.

Los datos e información personal de los accionistas de SIVAR, se considera información reservada, pues la misma está registrada en los libros de comercio y tiene el carácter de reserva por disposición legal. En consecuencia, el acceso a tal información personal se realizará conforme las normas contenidas en el Código de Comercio que regulan la materia. SIVAR solo usará los datos personales de los accionistas para las finalidades derivadas de la relación estatutaria existente.

10. Transferencia y transmisión de datos personales

SIVAR podrá transferir y transmitir los datos personales a terceros con quienes tenga relación operativa que le provean de servicios necesarios para su debida operación, o de conformidad con las funciones establecidas a su cargo en las leyes. En dichos supuestos, se adoptarán las medidas necesarias para que las personas que tengan acceso a sus datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas en la Ley.

En todo caso, cuando SIVAR transmita los datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia, establecerá cláusulas contractuales o celebrará un contrato de transmisión de datos personales en el que indicará:

1. Alcances del tratamiento,
2. Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y,
3. Las obligaciones del Encargado para con el titular y el responsable.

Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones de SIVAR como responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.

Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

1. Dar Tratamiento, a nombre del responsable, a los datos personales conforme a los principios que los tutelan.
2. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
3. Guardar confidencialidad respecto del tratamiento de los datos personales.

Las transmisiones internacionales de datos personales no requerirán ser informadas al titular ni contar con su consentimiento o autorización cuando exista el contrato de transmisión.

En caso de transferencia se dará cumplimiento a las obligaciones estipuladas en la Ley 1581 de 2012 y normas reglamentarias.

SIVAR adoptará la prohibición de transferencia de datos personales a países que no proporcionen niveles adecuados de protección de datos. Solo podrá realizar la transferencia de datos en los casos excepcionales previstos por la Ley o siempre que, la Superintendencia de Industria y Comercio haya proferido declaración de conformidad o siempre que se suscriba contrato u otro instrumento negocial, a efectos de realizar la transferencia internacional, para lo cual contará con presunción de viabilidad y con declaratoria de conformidad cuando se logre demostrar los siguientes requisitos:

1. Se deberán señalar las condiciones que regirán la transferencia internacional y mediante las cuales se garantice el cumplimiento de los principios que rigen el tratamiento de datos personales.
2. Deberán determinarse las obligaciones que tienen a cargo las partes.
3. Deberá comunicar a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio sobre la operación que pretende realizar.
4. Deberá declarar que ha suscrito el contrato de transferencia u otro instrumento negocial que garantice la protección de datos personales.

11. Recolección de datos. Los datos son directamente otorgados por el titular, así:

a. Información de clientes y usuarios:

a) Al diligenciar el formato de solicitud de apertura de cliente.
b) En actividades de posicionamiento de la marca como webinar, capacitaciones y otros.
c) Al actualizar y crear los registros de usuario en las diferentes aplicaciones y plataformas administradas por SIVAR S.A.S.
d) Durante el contacto telefónico y virtual con los usuarios y clientes.

b. Información de trabajadores:

a) Al aportar la documentación solicitada en la lista de documentos del empleado.
b) Información contenida en las hojas de vida entregadas en los procesos de vinculación.
c) Información obtenida dentro de campañas del SG-SST.
d) Información obtenida para adelantar programas de bienestar laboral.

c. Información de proveedores:

a) Al aportar la documentación solicitada en la lista de documentos del prestador de servicios.
b) Solicitud de documentos para creación en base de datos (Registro Único Tributario, Certificado de existencia y Representación legal, Certificación bancaria).
c) Envío de circularizaciones de proveedores.
d) Actualización de datos de contactos

PARÁGRAFO. La recolección y el tratamiento de los datos se hacen con la previa autorización del titular.

12. Clase de información que reposa en nuestras bases de datos. Los datos que reposan en nuestras bases de datos son los siguientes:

a) Datos de identificación: Nombre, apellido, tipo de identificación, número de identificación, fecha y lugar de expedición, nombre, estado civil, sexo, firma, nacionalidad, datos de familia, otros documentos de identificación, lugar y fecha de nacimiento, edad, huella, etc.
b) Datos de ubicación: como los relacionados con la actividad comercial o privada de las personas como dirección, teléfono, celular, correo electrónico, etc.
c) Datos de contenido socio económico: como estrato, propiedad de la vivienda, Datos financieros, crediticios y/o de carácter económico de las personas, Datos patrimoniales como bienes muebles e inmuebles, ingresos, egresos, inversiones, historia laboral, experiencia laboral, cargo, fechas de ingreso y retiro, anotaciones, llamados de atención, nivel educativo, capacitación y/o historial académico de la persona, responsabilidades tributaras, etc.
d) Datos sensibles: como los relacionados con la salud de la persona en cuanto a exámenes médicos ocupacionales.
e) Especificaciones de productos y precios de nuestros clientes: como los precios de los productos y servicios ofrecidos por nuestros clientes, cantidad y características de los productos ofrecidos y vendidos.

13. Tratamiento al cual son sometidos los datos personales. Todos los miembros de SIVAR al realizar las actividades propias de su cargo, asumirán las responsabilidades y las obligaciones que se tiene en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.

Este es el tratamiento que le damos a los datos personales proporcionados por usted:

Seguridad de la información. Restringimos el acceso a la información personal de nuestros clientes, clientes potenciales, usuarios, empleados, contratistas, proveedores y proveedores Los empleados que necesitan conocer tal información para procesarla por nosotros están obligados a suscribir un acuerdo de confidencialidad y puedan ser sancionados o despedidos si no cumplen con las obligaciones allí establecidas.

Almacenamiento de los datos personales.
El almacenamiento de la información digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

Uso de la información. La información de carácter personal contenida en las bases de datos debe ser utilizada y tratada de acuerdo con las finalidades descritas en la presente política.

En caso de que algún área identifique nuevos usos diferentes a los descritos en la presente política de tratamiento de datos personales, deberá informar al Oficial de Protección de Datos Personales o el área que haga sus veces, quien evaluará y gestionará, cuando aplique, su inclusión en la presente política.

Igualmente, se deben tomar en consideración los siguientes supuestos:

a. En caso de que un área diferente de la que recolectó inicialmente el dato personal requiera utilizar los datos personales que se han obtenido, ello se podrá hacer siempre que se trate de un uso previsible por el tipo de servicios que ofrece SIVAR y para una finalidad contemplada dentro de la presente Política de Tratamiento de Datos Personales.

b. Cada área debe garantizar que en las prácticas de reciclaje de documentos físicos no se divulgue información confidencial ni datos personales. Por lo anterior, no se podrán reciclar hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona.

c. En caso de que un encargado haya facilitado datos personales o bases de datos a algún área para un fin determinado, el área que solicitó los datos personales no debe utilizar dicha información para una finalidad diferente de la relacionada en la Política de Tratamiento de Datos Personales; al finalizar la actividad, es deber del área que solicitó la información, eliminar la base de datos o los datos personales utilizados evitando el riesgo de desactualización de información o casos en los cuales durante ese tiempo un titular haya presentado algún reclamo.

d. Los funcionarios no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja el sistema de información, por lo que deberán validar la información a través de otros instrumentos físicos o de manera manual, y, si es necesario, de manera directa por parte del titular del dato, en los casos en que así sea necesario.

e. Únicamente los funcionarios y contratistas autorizados pueden introducir, modificar o anular los datos contenidos en las bases de datos o documentos objeto de protección. Los permisos de acceso de los usuarios son concedidos por el Área de tecnología e informática o quien haga sus veces, de acuerdo a los perfiles establecidos, los cuales serán previamente definidos por los líderes de los procesos donde se requiera el uso de información personal.

f. Cualquier uso de la información diferente al establecido, será previamente consultado con el Oficial de Protección de Datos Personales o el área responsable de protección de datos.

Destrucción. La destrucción de medios físicos y electrónicos será realizada a través de mecanismos que no permiten su reconstrucción. Se realizar únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción.

La destrucción comprende información contenida en poder de terceros como instalaciones propias.

14. Derechos de los titulares. De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012 y el decreto 1377 de 2013, el titular de los datos personales tiene los siguientes derechos frente a la empresa responsable del tratamiento de datos:

a) Conocer, actualizar y rectificar sus datos personales frente a SIVAR S.A.S. como responsable y encargada del tratamiento. Este derecho se podrá ejercer entre otros ante datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado;
b) Solicitar prueba de la autorización otorgada a SIVAR S.A.S. como responsable y encargada del tratamiento, salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
c) Ser informado por SIVAR S.A.S. previa solicitud, respecto al uso que ha dado a los datos personales del titular;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás que la modifiquen, una vez haya agotado el trámite de consulta o reclamo ante el responsable del Tratamiento;
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la Ley 1581 de 2012 y la Constitución. La revocatoria procederá siempre y cuando no exista la obligación legal o contractual de conservar el datos personal
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

Sin perjuicios de las excepciones previstas en la ley, en el tratamiento se requiere la autorización previa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consultas posterior. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste: (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización.

La información solicitada por los titulares de la información personal será suministrada principalmente por medios electrónicos, o por cualquier otro solo sí así lo requiere el titular. La información suministrada por SIVAR será entregada sin barreras técnicas que impidan su acceso; su contenido será de fácil lectura, acceso y tendrá que corresponder en un todo a aquella que repose en la base de datos.

SIVAR, al momento de solicitar al titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

a) El tratamiento al cuál serán sometido sus datos personales y la finalidad del mismo.
b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles.
c) Los derechos que le asisten al titular.
d) La identificación, dirección física o electrónica y teléfono del responsable del tratamiento.

SIVAR como responsable del tratamiento, deberá conservar prueba del cumplimiento de los previsto en el presente numeral, y cuando el titular lo solicite, entregarle copia de esta.

15. Personas a quienes se les puede suministrar la información

La información que reúna las condiciones establecidas en la ley podrá ser suministrada a las siguientes personas:

a) A los Titulares, sus causahabientes o sus representantes legales.
b) A las Entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
c) A los terceros autorizados por el Titular o por la ley.

16. Deberes de los responsables del tratamiento

SIVAR como responsable del tratamiento, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijas su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b) Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que la información que se suministre al encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

j) Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
k) Adoptar procedimientos específicos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.
l) Informar al encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
m) Informar a solicitud del titular sobre el uso de sus datos.
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
o) Adoptar y conservar el Aviso de Privacidad para cumplir con el deber que tienen de dar a conocer a los titulares la existencia de políticas del tratamiento de la información y la forma de acceder a las mismas, mientras se traten datos personales conforme al mismo y perduren las obligaciones que de este se deriven.

17. Deberes de los encargados del tratamiento

Los encargados del Tratamiento, y en el evento en el cual SIVAR actúe como encargada, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Los encargados deberán cumplir las condiciones mínimas de seguridad definidas en el Registro Nacional de Bases de datos las cuales se pueden consultar en: https://www.sic.gov.co/
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley 1581 de 2012 y demás normas concordantes y vigentes.
d) Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente política.

f) Adoptar un Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
g) Registrar en las bases de datos la leyenda «reclamo en trámite» en la forma en que se regula en la ley.
h) Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
j) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
m) Verificar que el responsable del Tratamiento tiene la autorización para el tratamiento de datos personales del Titular.

18. Área ante la cual el titular puede ejercer sus derechos. SIVAR S.A.S. cuenta con una infraestructura administrativa destinada, entre otras funciones, a asegurar la debida atención de peticiones, consultas, quejas y reclamos relativos a protección de datos, a fin de garantizar el ejercicio de los derechos contenidos en la Constitución y la ley, especialmente el derecho a conocer, actualizar, rectificar y suprimir información personal; así como el derecho a revocar el consentimiento otorgado para el tratamiento de datos personales.

Para peticiones, consultas, quejas y reclamos, o para el ejercicio de los derechos que le asisten como titular de la información, podrá comunicarse con SIVAR S.A.S. al teléfono: (57) 3128039189 y al correo electrónico: info@sivargroup.com o a través de la página web http://www.sivargroup.com .

19. Procedimiento para que los titulares puedan ejercer sus derechos. SIVAR S.A.S. garantiza el ejercicio de sus derechos a los titulares, así:

a) Consultas. SIVAR S.A.S. Consultas. SIVAR y/o los Encargados, garantizan a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes o personas autorizadas, el derecho de consultar toda la información contenida en su registro individual o toda aquella que esté vinculada con su identificación conforme se establece en la presente Política de Tratamiento de Datos Personales.

Responsable de atención de consultas:

El Oficial de Protección de Datos Personales o quien haga sus veces, d será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley 1581 de 2012 y en las presentes políticas.

Las consultas dirigidas a SIVAR deberán contener como mínimo la siguiente información:

a. Nombres y apellidos del Titular y/o su representante y/o causahabientes;
b. Lo que se pretende consultar.
c. Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes o representantes;
d. Firma, número de identificación o procedimiento de validación correspondiente.
e. Haber sido presentada por los medios de consulta habilitados por SIVAR.

Para la atención de solicitudes de consulta de datos personales, SIVAR S.A.S. ha puesto a disposición de los titulares el teléfono: (57) 3128039189 y el correo electrónico: info@sivargroup.com .

En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.

Reclamos.

Derechos garantizados mediante el procedimiento de reclamo.

a) Corrección o Actualización: SIVAR y/o los Encargados, garantizarán a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de corregir o actualizar los datos personales que reposen en sus bases de datos, mediante presentación de reclamación, cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales para que sea procedente la solicitud de Corrección o Actualización.

b) Revocatoria de la autorización o Supresión de los datos Personales: SIVAR y/o los Encargados, garantizarán a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de Solicitar la Revocatoria de la autorización o solicitar la supresión de la información contenida en su registro individual o toda aquella que esté vinculada con su identificación cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales. Así mismo se garantiza el derecho de presentar reclamos cuando adviertan el presunto incumplimiento de la Ley 1581 de 2012 o de la presente Política de tratamiento de datos personales.

Responsable de atención de Reclamos:

El Oficial de Protección de Datos Personales o quien haga sus veces, será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley 1581 de 2012 y en las presentes políticas.
Las reclamaciones presentadas deberán contener como mínimo la siguiente información:

a. Nombres y apellidos del Titular y/o su representante y/o causahabientes;
b. Lo que se pretende consultar
c. Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes o representantes;
d. Firma, número de identificación o procedimiento de validación correspondiente.
e. Haber sido presentada por los medios de consulta habilitados por SIVAR.

El reclamo se formulará mediante solicitud dirigida al responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Procedimiento de supresión de datos personales:

En caso de resultar procedente la Supresión de los datos personales del titular de la base de datos conforme a la reclamación presentada, SIVAR realizará operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, sin embargo, el Titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la organización por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.

PARÁGRAFO: El Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante SIVAR S.A.S.

20. Procedimiento de gestión de incidentes con datos personales.

Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o información contenida en las mismas, y se materializa cuando fallan o no se toman las medidas preventivas adecuadas para salvaguardar la confidencialidad de la información

El incidente puede tener una variedad de efectos adversos sobre los titulares que puede dar lugar a problemas de discriminación, suplantación de identidad o fraude, pérdidas financieras, daño reputacional, pérdida del carácter confidencial de datos sujetos al carácter profesional o cualquier otro tipo de perjuicio económico o social significativo.

Las incidencias pueden afectar tanto a bases de datos digitales como físicas y generarán las siguientes actividades:

a. Notificación de Incidentes

Cuando se presuma que un incidente pueda afectar o haber afectado a bases de datos con información personal datos personales se deberá informar al Oficial de Protección de Datos Personales quién gestionará su reporte en el Registro Nacional de Bases de Datos.

b. Gestión de Incidentes

Es responsabilidad de cada funcionario, contratista, consultor o tercero, reportar de manera oportuna cualquier evento sospechoso, debilidad o violación de políticas que pueden afectar la confidencialidad, integridad y disponibilidad de los activos e información personal de SIVAR.

c. Identificación

Todos los eventos sospechosos o anormales, tales como aquellos en los que se observe el potencial de perdida de reserva o confidencialidad de la información, deben ser evaluados para determinar si son o no, un incidente y deben ser reportados al nivel adecuado en la organización. Cualquier decisión que involucre a las autoridades de investigación y judiciales debe ser hecha en conjunto entre el Oficial de Protección de Datos Personales y el área legal encargada. La comunicación con dichas autoridades será realizada por ellos mismos.

d. Reporte

Todos los incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible a través de los canales internos establecidos por la Superintendencia de Industria y Comercio.

Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, el Oficial de Protección de Datos Personales, debe ser notificado de forma inmediata.

Los funcionarios deben reportar a su jefe directo y al Oficial de Protección de Datos Personales cualquier daño o pérdida de computadores o cualquiera otro dispositivo, cuando estos contengan datos personales en poder SIVAR.

A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún funcionario debe divulgar información sobre sistemas de cómputo, y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, Oficina Asesora Jurídica deberá intervenir con el fin de prestar el asesoramiento adecuado.

e. Contención, Investigación y Diagnostico

El Oficial de Protección de Datos Personales o quien haga sus veces, debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado, apoyado con el Área de tecnología e informática.

En caso de que se identifique un delito informático, en los términos establecidos en la Ley 1273 de 2009, el Oficial de Protección de Datos Personales y el área legal encargada, reportara tal información a las autoridades de investigaciones judiciales respectivas.

Durante los procesos de investigación se deberá garantizar la “Cadena de Custodia” con el fin de preservarla en caso de requerirse establecer una acción legal.

SIVAR comunicará a los titulares del incidente relacionado con sus datos personales y las posibles consecuencias del mismo, además les proporcionará herramientas para minimizar el daño potencial o causado.

La comunicación debe ser suficiente, clara y precisa para permitir que los titulares de la información comprendan la importancia del incidente y tomen medidas para protegerse del incidente y reducir los riesgos.

Una vez tomadas las medidas para mitigar los riesgos asociados con el incidente SIVAR ejecutará un plan de prevención para evitar futuros eventos que puedan afectar los datos personales que han tratado.

f. Solución

El Área de tecnología e informática o quien haga sus veces, así como cualquier área comprometida y los directamente responsables de la gestión de datos personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes.

g. Cierre de Incidente y Seguimiento

El Área de tecnología e informática o quien haga sus veces, juntamente con el Oficial de Protección de Datos Personales y las áreas que usan o requieren la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad.

El Oficial de Protección de Datos Personales preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización que ayuden a minimizar la probabilidad de incidentes futuros.

h. Reporte de incidentes ante la SIC como autoridad de control

Se reportarán como novedades los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:

En la parte inferior del menú de cada base de datos registrada en el sistema, se presentan dos (2) opciones para informar las novedades:

La violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el responsable del Tratamiento o por su Encargado, deberán reportarse al Registro Nacional de Bases de Datos dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

Los líderes de proceso y/o propietarios de activos de información, reportarán de forma interna los incidentes asociados a datos personales ante el Oficial de Protección de Datos Personales, quién dentro del plazo legal procederá a reportarlos ante el Registro Nacional de Bases de Datos

21. Periodo de vigencia de la base de datos. Las bases de datos SIVAR tendrá el periodo de vigencia que corresponda a la finalidad para la cual se autorizó su tratamiento y de las normas especiales que regulen la materia.

22. De conformidad con el artículo 25 de la Ley 1581 de 2012 y sus decretos reglamentarios, SIVAR registrará sus bases de datos junto con la presente política de tratamiento de Datos Personales, en el Registro Nacional de bases de datos administrado por la Superintendencia de Industria y Comercio, de conformidad con el procedimiento establecido para el efecto

23. Vigencia de la política de tratamiento de la información. La presente política de tratamiento de datos personales rige a partir de su firma y complementa las políticas asociadas, con vigencia indefinida.

Cualquier cambio sustancial en las políticas de Tratamiento de datos personales, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto.

Para los titulares que no tengan acceso a medios electrónicos o aquellos a los que no sea posible contactar, se comunicará a través de avisos abiertos en la sede principal del establecimiento.

Carlos Augusto Gallego Salazar
Representante legal
SIVAR S.A.S