PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES

INTRODUCCIÓN

La Constitución Política de Colombia estableció en el artículo 15 el derecho de protección de datos personales como el derecho de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas. Mediante la Ley 1581 del 17 de octubre de 2012, el Congreso de la República reglamentó el ya mencionado derecho al establecer las Disposiciones Generales para la Protección de Datos Personales en Colombia, igualmente reglamentada por los Decretos 1377 de 2013 y 886 de 2014 (hoy incorporados en el Decreto único 1074 de 2015), entre otros.

Finalmente, la Ley 1755 del 30 de Junio de 2015 a través de la cual se regula el Derecho de Petición, incorpora en su Artículo 24 información con carácter reservado, entre otras cosas, el referente a datos genéticos humanos (Datos sensibles).

REPRESENTACIONES MONTSERRAT SAS elaboro una política de protección de datos cuya aplicación es de carácter obligatorio para todas las personas naturales o jurídicas que hagan tratamiento de los datos personales registrados en las bases de datos de la Entidad, con el fin de proporcionar los lineamientos necesarios para el cumplimiento de las obligaciones legales en materia de protección de datos personales.

Este documento contiene la Política General para la Protección y el Tratamiento de Datos Personales (en adelante la “Política”) dirigida a los Empleados, Visitantes, Clientes, Proveedores, Profesionales de la Salud, y en general de cualquier persona que se encuentre en una base de datos (en adelante los “Titulares” o el “Titular”) cuyo responsable o encargado sea REPRESENTACIONES MONTSERRAT SAS. (en adelante “MONTSERRAT”), domiciliada en la Calle 17 No. 34 – 64 de Bogotá D.C.

OBJETIVO GENERAL

Informar a los diferentes grupos de interés, así como establecer los lineamientos que garanticen la protección de los datos personales en MONTSERRAT, para de esta forma, dar cumplimiento de la ley, políticas y procedimientos de atención de derechos de los titulares, criterios de recolección, almacenamiento, uso, circulación y supresión que se dará a los datos personales.

ALCANCE

La presente Política aplica a todas las bases de datos de las que es responsable o encargado MONTSERRAT. Por tanto, esta Política no cubre el tratamiento que hagan terceros de:

Información recolectada en páginas, plataformas y/o aplicaciones que no controle MONTSERRAT.

Información recolectada por los sitios de terceras partes cuyo acceso haya sido vía algún vínculo en la Página Web de MONTSERRAT.

DESTINATARIOS

Esta Política aplica a las bases de datos tanto físicas como digitales de personas naturales con las cuales MONTSERRAT tenga una relación comercial o cualquiera de los otros vínculos aquí descritos. Las personas jurídicas no son sujeto de la presente Política ni de la legislación en la materia. Consecuentemente, se entiende que cuando se tengan datos de contacto de individuos en representación de personas jurídicas, estos están excluidos y no es necesario obtener su autorización por cuanto el propósito de contacto no es con el individuo sino con la persona jurídica que este representa.

GLOSARIO

ACCESO RESTRINGIDO: Nivel de acceso a la información limitado a parámetros previamente definidos. MONTSERRAT no hará disponibles Datos Personales para su acceso a través de Internet u otros medios de comunicación masiva, a menos que se establezcan medidas técnicas que permitan controlar el acceso y restringirlo solo a las personas Autorizadas.

ÁREA RESPONSABLE DE PROTECCIÓN DE DATOS: Es el área dentro de MONTSERRAT, que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales y la implementación del Programa Integral de Protección de Datos Personales.

ÁREA RESPONSABLE DE LA ATENCIÓN A PETICIONES, QUEJAS, RECLAMOS Y CONSULTAS: Las peticiones, quejas, reclamos y consultas formuladas por los titulares de datos serán atendidas por el Oficial de Protección de Datos.

BASE DE DATOS: Conjunto organizado de Datos Personales que sean objeto de tratamiento. Incluye archivos físicos y electrónicos.

CALIDAD DEL DATO: El dato personal sometido a tratamiento deberá ser veraz, completo, exacto, actualizado, comprobable y comprensible. Cuando se esté en poder de datos personales parciales, incompletos, fraccionados o que induzcan a error, MONTSERRAT deberá abstenerse de someterlo a Tratamiento, o solicitar a su Titular la completitud o corrección de la información.

CIRCULACIÓN RESTRINGIDA: Los datos personales sólo serán tratados por aquel personal de MONTSERRAT o quienes dentro de sus funciones tengan a cargo la realización de tales actividades. No podrán entregarse Datos Personales a quienes no cuenten con autorización o no hayan sido habilitados por para tratarlos

CONFIDENCIALIDAD: Elemento de seguridad de la información que permite establecer quienes y bajo qué circunstancias se puede acceder a la misma.

DATO PERSONAL: Cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural (persona individualmente considerada).

DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

DATO SEMIPRIVADO: Es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales.

DATO SENSIBLE: Aquel dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

DERECHO DE LOS NIÑOS, NIÑAS Y ADOLESCENTES: En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que sean de naturaleza pública.

ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del tratamiento. MONTSERRAT, actúa como encargado del tratamiento de datos personales en los casos, en los que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta de un responsable del tratamiento.

INFORMACIÓN DIGITAL: Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.

RESPONSABLE DEL TRATAMIENTO: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. MONTSERRAT actúa como responsable del tratamiento de datos personales frente a todos los datos personales sobre los cuales decida directamente, en cumplimiento de las funciones propias reconocidas legalmente.

TITULAR: Persona natural cuyos datos personales son objeto de Tratamiento.

TRATAMIENTO: Es cualquier operación o conjunto de operaciones sobre Datos Personales que realice MONTSERRAT tales como la recolección, almacenamiento, uso, circulación o supresión.

PRINCIPIOS

Principio de Legalidad en Materia de Tratamiento de Datos: El Tratamiento es una actividad reglada que debe sujetarse a lo establecido en la Ley 1581 del 17 de octubre de 2012, decretos reglamentarios y demás disposiciones que la desarrollen.

Principio de Finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

Principio de Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Principio de Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de Datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

Principio de Acceso y Circulación Restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.

Principio de Seguridad: La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de Confidencialidad: Todos los funcionarios y contratistas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma. MONTSERRAT se compromete a tratar los datos personales de los titulares tal y como lo define el literal g) del artículo 3 de la Ley 1581 de 2012 de forma absolutamente confidencial haciendo uso de estos, exclusivamente, para las finalidades indicadas en el apartado anterior, siempre que el titular no se haya opuesto a dicho tratamiento. MONTSERRAT informa que tiene implantadas las medidas de seguridad de índole técnica y organizativas necesarias que garanticen la seguridad de sus datos personales y eviten su alteración, pérdida, tratamiento y/o acceso no autorizado.

Principio de temporalidad: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Una vez cumplida la finalidad del tratamiento y los términos establecidos anteriormente, se procederá a la supresión de los datos.

Interpretación integral de los derechos constitucionales: Los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los derechos constitucionales aplicables.

Principio de Necesidad: Los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.

CATEGORÍAS ESPECIALES DE DATOS

Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

TRATAMIENTO DE DATOS SENSIBLES

Se prohíbe el Tratamiento de datos sensibles, excepto cuando:

El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.

AUTORIZACIÓN

La autorización de los Titulares de Datos Personales o de quien se encuentre legitimado para hacerlo es requisito indispensable para que MONTSERRAT recolecte, almacene, consulte, use, procese transmita y en general, dé Tratamiento a su información personal. Esta autorización será otorgada por el Titular en forma escrita, oral o a través de conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización. No obstante, no será necesaria la autorización del Titular cuando el tratamiento de los datos sea efectuado en el curso de las actividades legítimas, y con las debidas garantías por parte de la entidad; siempre que se refieran exclusivamente a las personas que mantengan contactos regulares por razón de su actividad profesional, y no se suministren a terceros por parte de MONTSERRAT; en la medida en que no se trate de un proveedor o de una entidad a la que se deban entregar en cumplimiento de un deber legal o para la efectiva prestación de sus servicios, como:

Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

Tratamiento de Datos Públicos.

Casos de urgencia médica o sanitaria.

Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

DEBER DE INFORMAR AL TITULAR

MONTSERRAT al momento de solicitar al Titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

El Tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.

El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.

Los derechos que le asisten como Titular.

La identificación, dirección física o electrónica y teléfono del responsable del Tratamiento.

MONTSERRAT como responsable del Tratamiento, deberá conservar prueba del cumplimiento de lo previsto en el presente numeral y, cuando el Titular lo solicite, entregarle copia de esta.

PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN

La información que reúna las condiciones establecidas en la ley podrá ser suministrada a las siguientes personas: Los Titulares, sus causahabientes o sus representantes legales.

A las Entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.

A los terceros autorizados por el Titular o por la ley

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO

MONTSERRAT como responsable del Tratamiento, deberá cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

Solicitar y conservar, en las condiciones previstas en la ley, copia de la respectiva autorización otorgada por el Titular.

Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.

Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.

Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

Tramitar las consultas y reclamos formulados en los términos señalados en la ley.

Adoptar procedimientos específicos para garantizar el adecuado cumplimiento de la ley y en especial, para la atención de consultas y reclamos.

Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

Informar a solicitud del Titular sobre el uso de sus datos.

Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información delos Titulares.

DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO

Los Encargados del Tratamiento, y en el evento en el cual MONTSERRAT actúe como encargada, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Los encargados deberán cumplir las condiciones mínimas de seguridad definidas en el Registro Nacional de Bases de datos las cuales se pueden consultar en: https://www.sic.gov.co/

Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley 1581 de 2012 y demás normas concordantes y vigentes.

Actualizar la información reportada por los responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la presente política.

Adoptar un Manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares.

Registrar en las bases de datos la leyenda “reclamo en trámite” en la forma en que se regula en la ley.

Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

Verificar que el responsable del Tratamiento tiene la autorización para el tratamiento de datos personales del Titular.

AUTORIZACIÓN ESPECIAL DE DATOS PERSONALES SENSIBLES

MONTSERRAT informará a través de los diversos medios de obtención de la autorización a todos sus titulares, que en virtud de la ley 1581 del 2012 y normas reglamentarias estos no están obligados a otorgar la autorización para el tratamiento de datos sensibles.

En caso de tratamiento de datos relativos a la salud, MONTSERRAT implementará las medidas necesarias para proteger la confidencialidad de la información. Los datos sensibles biométricos tratados tienen como finalidad la identificación de las personas, la seguridad, el cumplimiento de obligaciones legales y la adecuada prestación de los productos.

DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES

El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos:

Que respondan y respeten el interés superior de los niños, niñas y adolescentes.

Que se asegure el respeto de sus derechos fundamentales.

Cumplidos los anteriores requisitos, el representante legal de los niños, niñas o adolescentes otorgará la autorización, previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.

INFORMACIÓN DE LA EMPRESA RESPONSABLE O ENCARGADO DEL TRATAMIENTO

La empresa responsable o encargado del tratamiento del dato personal:

Razón Social: REPRESENTACIONES MONTSERRAT SAS

Nit. 900.575.334-7

Domicilio: Bogotá D.C., República de Colombia.

Dirección de correspondencia: Calle 17 # 34-64

Email:  PTEE@alianzacalifornia.com

Teléfono: +57 744 78 78

TRATAMIENTO DE LOS DATOS PERSONALES

USUARIOS/CIUDADANIA EN GENERAL

MONTSERRAT dará tratamiento a los Datos Personales de los Titulares para cumplir las finalidades descritas en esta Política según aplique, a cada uno de los Titulares. Dentro de dichos tratamientos, y de manera enunciativa pero no taxativa, MONTSERRAT podrá realizar los siguientes:

La comunicación con los Titulares para efectos contractuales, informativos o comerciales.

Establecer comunicación entre MONTSERRAT y los Titulares para cualquier propósito relacionado con las finalidades que se establecen en la presente política, ya sea mediante llamadas, mensajes de texto, correos electrónicos y/o físicos o cualquier otro conocido o por conocer.

Ofrecer o informar al Titular sobre productos y/o servicios de MONTSERRAT que puedan serde su interés, así como suministrar información general como parte de una novedad, comunicación, boletín, noticia.

De ser el caso, usar la información para dar trámite a los reclamos, quejas, sugerencias respecto de los productos o servicios ofrecidos por MONTSERRAT.

Efectuar o implementar la adquisición u oferta de productos o servicios por parte de MONTSERRAT.

Invitar y contactar a los Titulares para que participen en conferencias, talleres, y cualquier otro evento desarrollado por MONTSERRAT.

Auditar, estudiar y analizar la información de las Bases de Datos para diseñar estrategias comerciales y aumentar y/o mejorar los productos y servicios que ofrece MONTSERRAT.

Suministrar la información y Datos Personales de los Titulares a aliados comerciales o a otras sociedades o personas que MONTSERRAT encargue para realizar el procesamiento de la información y cumplir con las finalidades descritas en la presente Política.

Cuando la información deba ser revelada para cumplir con leyes, regulaciones o procesos legales, para asegurar el cumplimiento de los términos y condiciones, para detener o prevenir fraudes, ataques a la seguridad de MONTSERRAT o de otros, prevenir problemas técnicos o proteger los derechos de otros como lo requieran los términos y condiciones o la ley.

Los demás descritos en la presente Política o permitidos en la Ley, así como aquellos necesarios para cumplir las finalidades descritas en este documento.

FUNCIONARIOS

Realizar las actividades necesarias para dar cumplimiento a las obligaciones legales en relación con los funcionarios y exfuncionarios de la Entidad.

Controlar el cumplimiento de requisitos relacionados con el Sistema General de Seguridad Social.

Publicar el directorio corporativo con la finalidad de contacto de los empleados.

En caso de datos biométricos capturados a través de sistemas de videovigilancia o grabación su tratamiento tendrá como finalidad la identificación, seguridad y la prevención de fraude interno y externo.

Los datos personales de menores serán tratados con la finalidad de dar cumplimiento a las obligaciones legales.

Para el caso de los participantes en convocatorias de selección, los datos personales tratados tendrán como finalidad adelantar las gestiones de los procesos de selección; las hojas de vida se gestionarán garantizando el principio de acceso restringido.

Gestionar el proceso Contable de la Entidad.

PROVEEDORES/CONTRATISTAS

Para todos los fines relacionados con el objeto de los procesos de selección, contractuales o relacionados con éstos.

Realizar todos los trámites internos y el cumplimiento de obligaciones contables, tributarias y de ley

Gestionar el proceso Contable de la Entidad.

Realizar todas las actividades necesarias para el cumplimiento de las diferentes etapas contractuales en las relaciones con proveedores y contratistas.

Expedir las certificaciones contractuales solicitadas por los contratistas de la Entidad o solicitudes de los entes de control.

Mantener un archivo digital que permita contar con la información correspondiente a cada contrato.

Las demás finalidades que se determinen en procesos de obtención de Datos Personales para su tratamiento, y en todo caso de acuerdo con la Ley y en el marco de las funciones que lo son atribuibles a MONTSERRAT.

DERECHOS DEL TITULAR

La Ley 1581 de 2012 desarrolla el derecho constitucional de los titulares respecto de sus Datos y en virtud de ello, éstos podrán:

Conocer, actualizar y rectificar sus Datos Personales.

Solicitar prueba de la autorización otorgada.

Ser informado, previa solicitud, respecto del uso que le ha dado a sus Datos Personales.

Presentar ante la Autoridad Competente quejas por infracciones a la ley de protección de datos personales, según la ley aplicable. La revocatoria y/o supresión procederá cuando la Autoridad Competente haya determinado que en el Tratamiento el responsable o Encargado han incurrido en conductas contrarias a esta ley y a la Constitución.

Revocar la autorización y/o solicitar la supresión del dato.

Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.

MECANISMO DE CONTACTO

Para el efecto, MONTSERRAT podrá ser contactada al correo electrónico ptee@alianzacalifornia.com, contacto 7447878 o en sus oficinas ubicadas en la Calle 17 No. 34 – 64 de la ciudad de Bogotá D.C., Colombia.

El área de Servicio al Cliente de MONTSERRAT es la encargada de atender las peticiones, consultas y reclamos de los titulares para ejercer sus derechos a conocer, actualizar, rectificar y suprimir sus datos y revocar su autorización. Dicho departamento se encargará de canalizar cada petición al área que directamente administra la base de datos, para que ésta de la atención correspondiente.

PROCEDIMIENTO DE CONSULTAS, RECTIFICACIONES Y RECLAMOS

A continuación, se señalan las acciones que pueden presentar los Titulares o sus causahabientes en relación con las consultas rectificaciones y reclamos que se relacionen con los datos de los Titulares registrados en las Bases de Datos de MONTSERRAT.

RESPUESTA DE CONSULTAS

Las consultas y solicitudes de los Titulares o sus causahabientes serán atendidas en un término máximo de diez (10) días hábiles contados a partir del día siguiente de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado en la dirección de notificación que haya incluido en la respectiva consulta, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término, siempre que el titular haya ofrecido la totalidad de la información solicitada con el fin de identificar la base de datos en la que se encuentran alojados sus datos y el uso que de los mismos se esté haciendo. La respuesta a las consultas que los Titulares o sus causahabientes presenten podrá ser entregada por cualquier medio físico o electrónico.

RECTIFICACIONES Y RECLAMOS

MONTSERRAT debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar su solicitud o reclamo ante MONTSERRAT así:

El reclamo o solicitud se formulará mediante comunicación dirigida al área encargada, de acuerdo con lo establecido en la presente Política de Privacidad, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la indicación del tipo de comunicaciones que está recibiendo y la fuente, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado. Sin perjuicio de lo anterior, se recuerda a los titulares que el canal apropiado para la atención de sus solicitudes es a través del correo ptee@alianzacalifornia.com, o en sus oficinas ubicadas en la Calle 17 No. 34 – 64 de la ciudad de Bogotá D.C., Colombia, dirigida al área de SERVICIO AL CLIENTE. El término máximo para resolver el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. La respuesta a las rectificaciones o reclamos que los Titulares o sus causahabientes presenten podrá ser entregada por MONTSERRAT por cualquier medio físico o electrónico al solicitante.

REVOCATORIA DE LA AUTORIZACIÓN

Los Titulares de los Datos Personales pueden revocar el consentimiento al tratamiento de sus Datos Personales en cualquier momento, siempre y cuando no lo impida la disposición legal o contractual. Para ello, el Titular deberá seguir el mismo procedimiento establecido para las Rectificaciones y Reclamos.

Se deberá tener en cuenta que existen dos modalidades en las que la revocación del consentimiento puede darse: (i) Puede ser sobre la totalidad de las finalidades consentidas, en este sentido MONTSERRAT y/o los Encargados del Tratamiento deben dejar de tratar por completo los datos del Titular y, (ii) Puede ser parcial, es decir, sobre alguno(s) tipos de tratamiento determinados, como, por ejemplo: para fines publicitarios o de estudios de mercadeo.

Por lo anterior, será necesario que el titular al momento de elevar la solicitud de revocatoria indique en ésta si la revocación que pretende realizar es total o parcial. En el segundo caso, se deberá indicar con cuál Tratamiento el Titular no está conforme. En caso de que el Titular no lo indique con claridad, se entenderá que la solicitud es total.

Los mecanismos o procedimiento que MONTSERRAT establezca para atender las solicitudes de revocatoria no podrán exceder los plazos previstos para atender las reclamaciones.

TRANSFERENCIA Y TRANSMISIÓN DE DATOS PERSONALES

MONTSERRAT podrá transferir y transmitir los datos personales a terceros con quienes tenga relación operativa que le provean de servicios necesarios para su debida operación, o de conformidad con las funciones establecidas a su cargo en las leyes. En dichos supuestos, se adoptarán las medidas necesarias para que las personas que tengan acceso a sus datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas en la Ley.

En todo caso, cuando MONTSERRAT transmita los datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia, establecerá cláusulas contractuales o celebrará un contrato de transmisión de datos personales en el que indicará:

Alcances del tratamiento.

Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el responsable.

Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes. Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

Dar Tratamiento, a nombre del responsable, a los datos personales conforme a los principios que los tutelan.

Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.

Guardar confidencialidad respecto del tratamiento de los datos personales.

En caso de transferencia se dará cumplimiento a las obligaciones estipuladas en la Ley 1581 de 2012 y normas reglamentarias

ALMACENAMIENTO DE INFORMACIÓN

El almacenamiento de la información digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental en áreas restringidas, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

DESTRUCCIÓN

La destrucción de medios físicos y electrónicos se realiza a través de mecanismos que no permiten su reconstrucción. Se realiza únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción.

La destrucción comprende información contenida en poder de terceros como en instalaciones propias.

CONTROL DE ACCESO Y VIDEO VIGILANCIA

CONTROL ACCESO

Las áreas donde se ejecutan procesos relacionados con información confidencial o restringida deben contar con controles de acceso que sólo permitan el ingreso a los colaboradores autorizados y que permita guardar la trazabilidad de los ingresos y salidas.

VIDEO VIGILANCIA

La Entidad cuenta con cámaras de video vigilancia que tienen como finalidad dar cumplimiento a las políticas de seguridad física, cumpliendo con los parámetros establecidos en la Guía para la Protección de Datos Personales en Sistemas de Videovigilancia, expedidos por la SIC como autoridad de control.

Las imágenes deberán ser conservadas por un tiempo máximo de 90 días. En caso que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto

CAPACITACIÓN DE FUNCIONARIOS Y CONTRATISTAS

MONTSERRAT desarrollará programas anuales de capacitación y concientización en Protección de datos personales y seguridad de la información. La Entidad debe poner en conocimiento estas políticas por el medio que considere adecuado y con ello, capacitar a sus funcionarios y contratistas en la administración de los datos personales con una periodicidad al menos anual, con el fin de medir sus conocimientos sobre el particular.

Los nuevos funcionarios y contratistas, al momento de vincularse con la Entidad, deben recibir capacitación sobre Protección de datos personales y seguridad de la información dejando constancia de su asistencia y conocimiento.

En el desarrollo de los programas de capacitación y concientización se deberá asegurar que los funcionarios, contratistas y terceros conozcan sus responsabilidades con respecto a Protección de datos personales y seguridad de la información.

Los programas de capacitación serán actualizados de forma periódica.

Desde el proceso de Gestión de Talento Humano, con juntamente con el Oficial de Protección de Datos Personales, se definirán los planes de capacitación y evaluación de los empleados de acuerdo con los cambios normativos que se vayan presentando.

PROCESOS DE REVISIÓN Y AUDITORÍAS DE CONTROL

La Entidad realizará procesos de revisión o auditorías en materia de protección de datos personales verificando de manera directa o a través de terceros, que las políticas y procedimientos se han implementado adecuadamente en la Entidad.

Con base a los resultados obtenidos, se diseñarán e implementarán los planes de mejoramiento (preventivos, correctivos y de mejora) necesarios.

Por regla general MONTSERRAT realizará estos procesos de revisión con una periodicidad mínima de un año o de forma extraordinaria ante incidentes graves que afecten a la integridad de las bases de datos personales.

Los resultados de la revisión junto con los eventuales planes de mejoramiento serán presentados por el Oficial de Protección de Datos Personales a la Secretaría General para su valoración y aprobación

PERIODO DE VIGENCIA DE LAS BASES DE DATOS

Las Bases de Datos a las cuales dará Tratamiento MONTSERRAT, así como los Datos Personales debidamente autorizados incorporados en ellas estarán vigentes durante el plazo necesario para cumplir sus finalidades. Una vez cumplido este plazo, MONTSERRAT procederá, si así lo considera, a eliminar la base de datos o eliminar los datos de los titulares, según correspondiere.

REGISTRO NACIONAL DE BASE DE DATOS

De conformidad con el artículo 25 de la Ley 1581 y sus decretos reglamentarios, MONTSERRAT registrará sus bases de datos junto con la presente política de tratamiento de Datos Personales, en el Registro Nacional de bases de datos administrado por la Superintendencia de Industria y Comercio, de conformidad con el procedimiento establecido para el efecto.

REQUISITO DE PROCEDIBILIDAD

El Titular o causahabiente sólo podrá elevar queja ante la Autoridad Competente una vez haya agotado el trámite de consulta, reclamo o de revocatoria de la autorización ante el área encargada, de acuerdo con lo establecido en la presente Política de Privacidad para este fin.

VIGENCIA DE LA POLÍTICA PARA EL TRATAMIENDO DE DATOS PERSONALES

La presente Política para el Tratamiento de Datos Personales rigen a partir de la fecha de aprobación del presente documento.