POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES
ÍNDICE GENERAL
1. OBJETIVO
1.1. ALCANCE.
2. DATOS DEL ENCARGADO DEL TRATAMIENTO DE LOS DATOS.
3. BASE LEGAL Y ÁMBITO DE APLICACIÓN.
4. DEFINICIONES.
5. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES.
5.1. Principios relacionados con la recolección de datos.
5.2. Principios relacionados con el uso de datos personales.
5.3. Principios relacionados con la calidad de la información.
5.4. Principios relacionados con la protección, del acceso y circulación de los datos.
6. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS Y LA FINALIDAD.
6.1. Tratamiento de datos sensibles y de menores de edad.
6.2. Registro nacional de bases de datos.
7. DERECHOS DE LOS TITULARES DE LOS DATOS.
8. DEBERES GENERALES PARA EL TRATAMIENTO DE LOS DATOS PERSONALES.
9. DEBERES DE FACILADMIN S.A.S., CUANDO OBRA COMO RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES.
9.1. Deberes de FACILADMIN S.A.S., respecto del titular del dato.
9.2. Deberes de FACILADMIN S.A.S., respecto de la calidad, seguridad y confidencialidad de los datos.
9.3. Deberes de FACILADMIN S.A.S., cuando realiza el tratamiento a través de un encargado.
9.4. Deberes de FACILADMIN S.A.S., respecto de la Superintendencia de Industria y Comercio.
10. DEBERES DE FACILADMIN S.A.S., CUANDO OBRA COMO ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES.
11. DE LA AUTORIZACIÓN.
11.1. Autorización para tratamiento de datos sensibles.
12. PROCEDIMIENTO PARA QUE LOS TITULARES PUEDAN EJERCER SUS DERECHOS, ATENCION DE CONSULTAS Y RECLAMOS.
12.1. Atención de Peticiones, Consultas y Reclamos.
13. CUMPLIMIENTO Y ACTUALIZACIÓN.
14. MEDIDAS DE SEGURIDAD.
15. FUNCIONES Y OBLIGACIONES DEL PERSONAL.
16. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE INCIDENCIAS.
17. VIGENCIA.
1. OBJETIVO
Establecer los criterios para la recolección, almacenamiento, uso, circulación y supresión de los datos personales tratados por FACILADMIN S.A.S., publicar y dar a conocer el compromiso de nuestra empresa, con el respeto a los derechos de los titulares de la información, en virtud del desarrollo de las actividades propias de la organización, aclarando que se transmiten y tratan datos, única y exclusivamente para las actividades misionales propias de la gestión interna, de acuerdo con los estatutos establecidos en el objeto social y al cumplimiento estricto de la ley.
1.1. ALCANCE
Por lo anterior FACILADMIN S.A.S, adopta la siguiente POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES, la cual es de obligatoria aplicación en todas las actividades que involucren el tratamiento de la información, directriz de obligatorio cumplimiento por parte de la entidad, sus administradores, empleados, funcionarios y terceros vinculados.
2. DATOS DEL ENCARGADO DEL TRATAMIENTO DE LOS DATOS.
FACILADMIN S.A.S., sociedad comercial legalmente constituida e identificada con el NIT. 901574240-2, Correo Electrónico: contacto@faciladmin.co , Teléfono: (+57) 3006320185 , cuya página web es : https://www.faciladmin.co/ , es quien realizará el tratamiento de sus datos personales.
3. BASE LEGAL Y ÁMBITO DE APLICACIÓN
Con el objeto de garantizar el adecuado cumplimiento a la protección de los datos personales; Ley Estatutaria 1581 de 2012, y demás normas concordantes, FACILADMIN S.A.S., adopta la presente Política de Privacidad y Protección de Datos Personales, donde se describen las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a todos los registros de la información, con el fin de impedir su adulteración, pérdida, uso inadecuado y acceso no autorizado o fraudulento, de acuerdo con el principio de seguridad recogido en el artículo 4 literal g) de la de Ley de Protección de Datos.
Las disposiciones en este documento se aplican a todas las bases de datos, así como a todos los sistemas de información, equipos empleados y que deben ser protegidos de acuerdo con la normativa vigente, sin importar el medio, formato o presentación. De igual forma aplica para todas las personas que participan en el tratamiento, tales como: titulares de los datos, usuarios, empleados, accionistas, socios, proveedores y entes de control, que accedan independiente de su ubicación (interna o externamente), a cualquier activo de la información.
El cumplimiento de la política de seguridad de la información es obligatorio y todos los usuarios de la aplicación están en la obligación de entender su rol, a cumplir, respetar la ley y asumir su responsabilidad, asegurando así la calidad del servicio, la seguridad y protección de la información.
Por consiguiente, en el caso de los empleados, contratistas o terceros que trabajen con la empresa, involucrados directa o indirectamente en cualquier presunta situación en la que se comprometa la integridad, confidencialidad y disponibilidad de la información, resultará este hecho en una acción disciplinaria o judicial según corresponda, con la terminación del contrato laboral por justa causa y/o a un posible proceso judicial ya sea por acciones civiles y/o penales según sea el caso.
4. DEFINICIONES
Establecidas en el artículo 3 de la Ley 1581 de 2012 y en el artículo 2.2.2.25.1.3 Decreto 1074 de 2015 (artículo 3 del Decreto 1377 de 2013).
Acceso autorizado: Autorización concedida a un usuario para el uso de determinados recursos. En dispositivos automatizados, es el resultado de una autenticación correcta, generalmente mediante el ingreso de usuario y contraseña.
Autenticación: Procedimiento de verificación de la identidad de un usuario.
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de datos personales.
Aviso de privacidad. Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas del Tratamiento de la información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
Contraseña: Seña secreta que permite el acceso a dispositivos, información o bases de datos antes inaccesibles. Se utiliza en la autentificación de usuarios que permite el acceso autorizado.
Control de acceso: Mecanismo que permite acceder a sitios, dispositivos, información o bases de datos mediante la autentificación.
Copia de respaldo: Copia de los datos de una base de datos en un soporte que permita su recuperación.
Dato Personal: Cualquier información que permita identificar o pueda asociarse directa o indirectamente a una o varias personas naturales determinadas o determinables. Esto incluye datos evidentes como aquellos que combinados con otros podrían identificar a una persona.
Dato privado: Es el dato que por su naturaleza íntima o reservada solo es relevante para el Titular de la información. Son considerados como datos privados, entre otros, los libros de los comerciantes, datos contenidos en documentos privados, gustos o datos de contacto personales.
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva, entre otros.
Dato semiprivado: Es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su Titular sino a cierto sector o grupo de personas. Su acceso está sujeto a algún grado de restricción, como datos financieros o crediticios, académicos, laborales, etc.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
Identificación: Proceso de reconocimiento de la identidad de los usuarios.
Incidencia: Cualquier anomalía que afecte o pueda afectar a la seguridad de los datos, constituyendo un riesgo para la confidencialidad, disponibilidad o integridad de las bases de datos o de los datos personales que contienen.
Información: Representación de conocimiento mediante datos digitales, escritos en cualquier medio, ya sea magnético, papel, visual u otro que genere (nombre empresa).
Menores de edad: Hace referencia a los menores de 18 años, corresponden a ellos los niños, niñas y adolescentes.
Oficial de protección de Datos: Es la persona natural que asume la función de coordinar la implementación del marco legal en protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012.
Persona identificable: Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, biométrica, morfológica, psíquica, económica, cultural o social. Una persona natural no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
Perfil de usuario: Grupo de usuarios a los que se da acceso.
Reclamo: Solicitud del Titular del dato o las personas autorizadas por éste o por la ley para corregir, actualizar o suprimir sus datos personales o para revocar la autorización en los casos establecidos en la ley.
Representante o responsable del menor: Persona encargada de velar y ejercer los derechos del menor a cargo, que acredite una relación filial con el menor, o en caso de ser acudiente una autorización por quien tenga la patria potestad del niño, niña o adolescente.
Recurso protegido: Cualquier componente del sistema de información, como bases de datos, programas, soportes o equipos, empleados para el almacenamiento y tratamiento de datos personales.
Responsable de administrar base de datos: Una o varias personas designadas como Responsables del Tratamiento, para el control y la coordinación de las medidas de seguridad.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los mismos.
Sistema de información: Conjunto de bases de datos, programas, soportes y/o equipos empleados para el tratamiento de los datos personales.
Soporte: Material en cuya superficie se registra información o sobre el cual se pueden guardar o recuperar datos, como el papel, la cinta de video, el CD, el DVD, el disco duro, las memorias USB, etc.
Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
Transferencia: Envío de datos que realiza el Responsable o el Encargado desde Colombia a un receptor, que a su vez es Responsable del Tratamiento que se encuentra dentro (transferencia nacional) o fuera del país (transferencia internacional).
Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento del Encargado por cuenta del Responsable.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, supresión, almacenamiento, uso o circulación de los mismos.
Usuario: Sujeto autorizado para acceder a los datos o recursos, o proceso que accede a los datos o recursos sin identificación de un sujeto.
5. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES.
En el desarrollo, interpretación y aplicación de la presente política, se aplicarán de manera armónica e integral los siguientes principios:
• Principio de Legalidad.
• Principio de Finalidad.
• Principio de libertad.
• Principio de veracidad o calidad.
• Principio transparencia.
• Principio acceso y circulación restringida.
• Principio de Seguridad.
• Principio de Confidencialidad.
• Principio de temporalidad.
• Principio de interpretación integral de derechos.
• Principio de privacidad desde el diseño.
• Principio de privacidad por defecto.
• Principio de responsabilidad demostrada.
5.1. Principios Relacionados con la Recolección de Datos Personales.
Principio de Libertad: Salvo norma legal en contrario, la recolección de datos sólo puede ejercerse con autorización previa, expresa e informada del titular. Los datos personales no podrán ser obtenidos o divulgados sin el previo consentimiento, o mandato legal o judicial que releve el consentimiento.
Se deberá informar al titular del dato de manera previa, clara y suficiente acerca de la finalidad de la información suministrada y por tanto, no podrá recopilarse datos sin la clara especificación acerca de la finalidad de los mismos.
El principio de libertad debe observarse tanto para el caso de los datos que se recolectan a través de formatos como los que hacen parte de los anexos o documentos que entregan los titulares.
Principio de Limitación de la Recolección: Sólo deben recolectarse los datos que sean estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, de tal forma que se encuentra prohibido el registro y divulgación de la información que no guarde estrecha relación con el objetivo del tratamiento. En consecuencia, debe hacerse todo lo razonablemente posible para limitar el procesamiento de datos personales al mínimo necesario. Es decir, los datos deberán ser: (i) adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron previstos.
5.2. Principios relacionados con el uso de datos personales.
Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular. Se deberá informar al titular del dato de manera previa, clara y suficiente, acerca de la finalidad de la información suministrada y, por tanto, no podrán recopilarse datos sin una finalidad específica.
Principio de Temporalidad: Los datos se conservarán únicamente por el tiempo razonable y necesario para cumplir con la finalidad del tratamiento y las exigencias legales o instrucciones de las autoridades de vigilancia y control u otras autoridades competentes. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Para determinar el término del tratamiento se considerarán las normas aplicables a cada finalidad y los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información.
5.3. Principios relacionados con la calidad de la Información.
Principio de Veracidad o Calidad: la información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan al error. Se deberán adoptar medidas razonables para asegurar que los datos sean precisos y suficientes, cuando así lo solicite el Titular o cuando FACILADMIN S.A.S., lo determine, serán actualizados, rectificados o suprimidos cuando sea procedente.
5.4. Principios relacionados con la protección del acceso y circulación de los datos personales.
Principio de Seguridad: Cada persona vinculada con FACILADMIN S.A.S., deberá cumplir las medidas técnicas, humanas y administrativas que establezca la entidad para otorgar seguridad a los datos, evitando su adulteración, pérdida, consulta, uso, acceso no autorizado o fraudulento.
Principio de Transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernen.
Principio de Acceso Restringido y Circulación Restringida: Sólo se permitirá el acceso a los datos y él envió o suministro de información personal a las siguientes personas:
1. Al titular del dato.
2. A las personas autorizadas por el titular del dato.
3. A personas que por mandato legal u orden judicial sean autorizadas para conocer de la información.
Principio de Confidencialidad: Las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de datos públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales si fuera el caso, cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
Todo nuevo proyecto al interior de la empresa, que implique el tratamiento de datos personales deberá ser consultado con El OFICIAL DE SEGURIDAD DE LA INFORMACIÓN, que es la persona y dependencia encargada de la función de protección de datos, para asegurar el cumplimiento de la política y de las medidas necesarias para mantener la confidencialidad del dato personal.
6. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES Y LA FINALIDAD DEL MISMO.
FACILADMIN S.A.S., encargada del tratamiento de los datos, realizará la recolección almacenamiento y uso de los mismos; de acuerdo a la ley y las condiciones establecidas previamente pactadas con el Responsable de los datos y sus autorizaciones correspondientes, por parte de los titulares de la información, datos que serán utilizados para cumplir exclusivamente con las actividades propias del servicio y del objeto social de FACILADMIN S.A.S.
Por tanto, se obliga en atender las peticiones, consultas, quejas o reclamos de los titulares de los datos sobre los que la empresa realice algún tipo de tratamiento y por ello ejercerá su derecho como encargado del tratamiento, para conocer de manera suficiente a sus clientes con quienes se propone entablar relaciones laborales y a prestar sus servicios, almacenar y procesar toda la información suministrada por los titulares en una o varias bases y en el formato que se estime conveniente.
FACILADMIN S.A.S., en el desarrollo de su objeto social y de sus relaciones con terceros, tratara entonces sus datos autorizados para las siguientes finalidades:
Conocer, almacenar y procesar toda la información suministrada por los titulares de datos en una o varias bases de datos, en el formato que estimen más conveniente. realizar todas las gestiones de orden tributario, contable, fiscal y de facturación.
FACILADMIN S.A.S., en el desarrollo de su objeto social y sus relaciones con terceros, entiéndase por estos clientes, empleados, contratistas, subcontratistas, acreedores, aliados estratégicos y comerciales, entre otros; recolecta datos de los titulares que otorgan su autorización para realizar sobre ellos el tratamiento correspondiente, con las siguientes finalidades:
1. Efectuar las gestiones administrativas, tecnológicas, contables y financieras, necesarias para el desarrollo del objeto social, en lo que tiene que ver con el cumplimiento del objeto del contrato.
2. Para dar cumplimiento a las obligaciones derivadas de los contratos que se perfeccionan con sus clientes, proveedores y empleados.
3. Para clasificar, ordenar, almacenar, compilar, custodiar, actualizar, recolectar, procesar, reproducir y/o disponer de información parcial o total, en los formatos y medios que para cada caso se estime conveniente, según los fines exclusivos y pertinentes del objeto del contrato.
4. Para dar cumplimiento a disposiciones legales o decisiones judiciales ordenadas por la autoridad competente de ser el caso.
5. Para transmitir datos fuera del país a terceros con los cuales la empresa haya suscrito servicios de almacenamiento, uso, circulación, supresión, alojamiento y/o procesamiento y que sea ello necesario para el cumplimiento del objeto contractual.
6. Para gestionar trámites relacionados con solicitudes, consultas, quejas y/o reclamos.
7. Para realizar procesos de facturación y cobro de servicios.
6.1. TRATAMIENTO DE DATOS SENSIBLES Y DE MENORES DE EDAD
Dentro de algunos procesos institucionales de FACILADMIN S.A.S., se requerirá del tratamiento de algunos datos sensibles, así:
• La firma. Es un dato biométrico, por lo tanto, es un dato sensible. Dentro de los contratos laborales y los de prestación de servicios será necesario recolectar la firma para formalizar las condiciones y obligaciones contractuales.
• Las fotos son datos biométricos, por tanto, son datos sensibles. En este caso, el Titular de la foto esta en total libertad de no dejar registro fotográfico y no autorizar el tratamiento de su fotografía por lo que podrá tomar la decisión de no querer dejar plasmada ninguna foto dentro del sistema a voluntad.
• Las imágenes y los audios son datos biométricos, por lo tanto, son datos sensibles. En este caso, Usted está en la facultad de decidir si permite o no que sus imágenes y su voz sean tratados por FACILADMIN S.A.S.,
TRATAMIENTO DE DATOS DE MENORES DE EDAD
Los productos y servicios de FACILADMIN S.A.S., están dirigidos a personas jurídicas y naturales mayores de edad. Por lo tanto, no se tiene establecido realizar tratamiento de datos personales de menores de edad.
Principio de Buena Fe de FACILADMIN S.A.S.
FACILADMIN S.A.S., se acoge al principio de buena fe consagrado en al artículo 83 de la Constitución Política de Colombia por lo que asume que la persona que ingresa los datos personales en nuestras aplicaciones, es una persona mayor de edad interesada en nuestros productos y/o servicios.
6.2. REGISTRO NACIONAL DE BASES DE DATOS
Conforme con el artículo 1 del Decreto 090 de 2018, FACILADMIN S.A.S., no está en la obligación de registrar sus bases de datos en el Registro Nacional de Bases de Datos establecido por la Superintendencia de Industria y Comercio.
7. DERECHOS DE LOS TITULARES DE LOS DATOS.
Los titulares de la información tienen derecho de acuerdo a la ley a:
1. Acceder a toda su información tratada, rectificar sus datos, cancelar el servicio y oponerse al tratamiento, ya sea por parte del Responsable o del Encargado del tratamiento.
2. Conocer, actualizar y rectificar sus datos, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté prohibido o no haya sido autorizado, para el efecto se identifica previamente la persona para evitar que terceros no autorizados accedan a la información del titular.
3. Obtener copia de la autorización del tratamiento de sus datos.
4. Obtener información sobre el uso dado a sus datos personales.
5. Dar trámite a las consultas y reclamos siguiendo las pautas establecidas en la ley y en la Política de Privacidad y Protección de Datos Personales.
6. Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas por infracciones a lo dispuesto en la normatividad vigente.
7. Revocar la autorización y solicitar la supresión del dato, cuando no exista un deber legal o contractual que le imponga el deber de permanecer en la base de datos o archivo del Responsable del tratamiento o del Encargado.
8. El titular del dato podrá acceder en forma gratuita a todos sus datos personales.
9. La información solicitada por parte del titular podrá ser suministrada al mismo, de la manera usual establecida o en cualquier medio físico normal o por medios electrónicos.
10. Abstenerse de responder preguntas sobre datos sensibles.
NOTA: Las respuestas que traten sobre datos sensibles o sobre datos de las niñas y niños y adolescentes tendrán carácter facultativo.
8. DEBERES GENERALES PARA EL TRATAMIENTO DE LOS DATOS PERSONALES
• Garantizar al titular el pleno y efectivo ejercicio del derecho de habeas data.
• Solicitar y conservar la autorización otorgada por el titular.
• Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
• FACILADMIN S.A.S., adoptará las medidas técnicas, administrativas y humanas necesarias para conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, cumpliendo con los protocolos de seguridad, los cuales son de obligatorio cumplimiento para todos los usuarios y personal con acceso a los sistemas de información.
• Mantener los sistemas y recursos tecnológicos adecuados, mejorando y actualizando la infraestructura con el fin de fortalecer el servicio y la seguridad de la información.
• Cumplir con los fundamentos, principios y leyes establecidas para el pleno desarrollo de la aplicación, brindando el mejor servicio con eficiencia y seguridad en la información.
• Establecer y comunicar la responsabilidad en el uso de los activos de la información, que soportan los procesos y sistemas del negocio.
• FACILADMIN S.A.S., garantiza a los titulares de datos personales la transparencia de la información, identificando los datos que se recolectarán, el Tratamiento que se realizará, y las Finalidades que los titulares autorizan expresamente.
9. DEBERES DE FACILADMIN S.A.S., CUANDO OBRA COMO RESPONSABLE DEL TRATAMIENTO DE LOS DATOS PERSONALES.
• Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir: conocer, actualizar o rectificar sus datos personales.
• Solicitar y conservar, en las condiciones previstas en esta política, copia de la respectiva autorización otorgada por el titular.
• Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.
• Informar a solicitud del titular del dato, sobre el uso que se le da a su información.
• Tramitar las consultas, peticiones, quejas o reclamos formulados de acuerdo a la ley y en los términos señalados en la presente política.
9.1. Deberes de FACILADMIN S.A.S., respecto de la calidad, seguridad y confidencialidad de los datos personales.
• Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en esta política.
• Conservar toda la información bajo las condiciones de seguridad necesarias, que impidan su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Actualizar la información cuando sea necesario.
• Rectificar los datos personales cuando ello sea procedente.
9.2. Deberes de FACILADMIN S.A.S., cuando realiza el tratamiento a través de un encargado.
• Suministrar al encargado del tratamiento, únicamente los datos personales de cuyo tratamiento esté previamente autorizado.
• Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• Comunicar de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le hayan suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
• Informar de manera oportuna al encargado del tratamiento las rectificaciones realizadas sobre los datos personales para que éste proceda a realizar los ajustes pertinentes.
• Exigir al encargado del tratamiento en todo momento y lugar; el correspondiente respeto a la ley y a las condiciones de seguridad y privacidad de la información del Titular de los datos.
• Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
9.3. Deberes de FACILADMIN S.A.S., respecto de la Superintendencia de Industria y Comercio.
• Informarle cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares de los datos.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
10. DEBERES DE FACILADMIN S.A.S., CUANDO OBRA COMO ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES.
FACILADMIN S.A.S., en este caso realiza en calidad de Encargado el tratamiento de los datos personales en nombre de otra entidad, (quien es el directo Responsable del Tratamiento de los datos), donde deberá cumplir con los siguientes deberes:
• Garantizar al titular de los datos, en todo momento, el pleno y efectivo ejercicio del derecho de hábeas data.
• Solicitar y conservar la autorización otorgada por el titular. * Entregar a los titulares la información mínima en la autorización.
• Conservar la información física y digital bajo las condiciones óptimas de seguridad necesarias, para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la Ley 1581 de 2012 y sus normas concordantes.
• Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
• Tramitar las consultas, peticiones, quejas o reclamos formulados por los titulares en los términos señalados en la en la Ley 1581 de 2012 y sus normas concordantes.
• Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la Ley 1581 de 2012 y sus normas concordantes y, en especial, para la atención de consultas y reclamos por parte de los Titulares.
• Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto.
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información.
• Cumplir con las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
• Registrar en la base de datos la leyenda "reclamo en trámite" en la forma en que se regula en la Ley 1581 de 2012 y sus normas concordantes.
• Insertar en la base de datos la leyenda "información en discusión judicial" una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
• Aplicar las políticas en las transferencias y transmisiones internacionales de datos personales.
• Aplicar el principio de responsabilidad demostrada.
11. DE LA AUTORIZACIÓN.
Para el tratamiento de los datos, los obligados con el cumplimiento de esta política, deberán obtener de parte del titular de la información, su autorización previa, expresa e informada para recolectar y tratar sus datos personales. Esta obligación no es necesaria cuando se trate de datos de naturaleza pública. Previo a obtener la autorización se deberá informar de forma clara y expresa lo siguiente:
1. El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo;
2. El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;
3. Los derechos que le asisten, como titular de los datos y demás previstos en el Artículo 8 de la Ley 1581 de 2012;
4. La identificación, dirección física o electrónica de FACILADMIN S.A.S.
En segundo lugar, la empresa FACILADMIN S.A.S., obtendrá el consentimiento del titular a través de cualquier medio que pueda ser objeto de consulta posterior, tal como la página web, formularios, formatos, actividades de uso efectivo de la app por parte del titular, concursos, presenciales o en redes sociales, PQR, mensajes de datos o Apps.
Se deberá dejar prueba del cumplimiento de la obligación de informar y del consentimiento. La autorización también podrá obtenerse a partir de conductas inequívocas del Titular del Dato que permitan concluir de manera razonable que éste otorgó su consentimiento de forma tácita, para el tratamiento de su información. Dicha(s) conducta(s) debe(n) ser muy clara(s) de manera que no admita(n) duda o equivocación sobre la voluntad de autorizar el tratamiento.
11.1. Autorización para tratamiento de datos sensibles
Cuando se trate de la recolección de datos sensibles se deben cumplir los siguientes requisitos:
1. La autorización debe ser explícita.
2. Se debe informar al Titular que no está obligado a autorizar el tratamiento de dicha información.
3. Se debe informar de forma explícita y previa al Titular cuáles de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.
12. PROCEDIMIENTOS PARA QUE LOS TITULARES PUEDAN EJERCER SUS DERECHOS, ATENCION DE CONSULTAS Y RECLAMOS
A continuación, se detallan los procedimientos para que los titulares de los datos puedan ejercer sus derechos a conocer, actualizar, rectificar y suprimir información o a revocar la autorización. Los derechos de los Titulares, podrán ejercerse por las siguientes personas legitimadas de conformidad con el Artículo 20 del Decreto 1377 de 2013:
1. Por el Titular, quien deberá acreditar su identidad en forma suficiente.
2. Por sus causahabientes, quienes deberán acreditar tal calidad.
3. Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
4. Por estipulación a favor de otro o para otro. Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
Cualquier tipo de PQRS, se debe presentar de forma escrita, dirigida a la empresa FACILADMIN S.A.S., y contener en el escrito la siguiente información:
1. Nombre completo e identificación del titular del dato o persona legitimada para entablar la PQRS.
2. Descripción precisa y completa de los hechos que dan lugar a la PQRS, motivo(s) que dan lugar al reclamo con una breve descripción del derecho que desea ejercer (conocer, actualizar, rectificar, solicitar prueba de la autorización otorgada, revocarla, suprimir, acceder a la información).
3. Dirección física o electrónica para remitir la respuesta e informar sobre el estado del trámite.
4. Documentos y demás pruebas pertinentes que quiera hacer valer: Si la PQRS resulta incompleta o confusa, se requerirá al interesado dentro del término legal establecido a la recepción del escrito, para que sea subsanado por el peticionario, pero si transcurridos más de dos (2) meses, desde la fecha del requerimiento al usuario, sin que el solicitante presente la información requerida para dar trámite a su PQRS, se entenderá entonces que ha desistido de la misma.
5. Firma (si aplica).
El término máximo previsto por la ley para resolver su reclamación es de quince (15) días hábiles, contado a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, FACILADMIN S.A.S., informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo.
DESACUERDO CON LA RESPUESTA
Si considera que FACILADMIN S.A.S., no le ha negado el ejercicio de sus derechos, pero la respuesta no satisface sus necesidades, cuenta con un término de quince (15) días hábiles a partir de la recepción de la misma para solicitar que se revalúe en los casos en que esta haya sido desfavorable a sus intereses.
12.1. Atención de Peticiones, Consultas y Reclamos
La asistente administrativa de FACILADMIN S.A.S., es la persona que tiene a cargo dar trámite a las solicitudes de los titulares para hacer efectivos sus derechos para lo cual se ha establecido el correo electrónico: contacto@ faciladmin.co, o puede comunicarse al teléfono: (+57) 3006320185.
13. CUMPLIMIENTO Y ACTUALIZACIÓN
Las Políticas de Privacidad y de Tratamiento de Datos; son un documento interno de obligatorio cumplimiento de todo el personal asociado con los servicios de FACILADMIN S.A.S., con acceso a los sistemas de información que contengan las bases de datos, en especial las que contienen información de personas.
Este documento es sometido a permanente revisión y actualización siempre que se produzcan cambios estructurales en los sistemas de información, al sistema de tratamiento de los datos, a la organización o el contenido de la información, que puedan afectar las medidas de seguridad implementadas. Asimismo, se adaptará en todo momento a la normativa legal vigente en materia de seguridad de datos personales.
14. MEDIDAS DE SEGURIDAD
El personal de FACILADMIN S.A.S., debe acceder exclusivamente a aquellos datos y recursos necesarios para el desarrollo de sus funciones y sobre los cuales se encuentren autorizados previamente por el Responsable de administrar la base de información y por el titular de los mismos.
FACILADMIN S.A.S., como encargado del tratamiento de los datos, se ocupa del almacenamiento actualizado de los usuarios, perfiles y accesos autorizados para cada uno de ellos, además de contar con mecanismos tecnológicos para evitar el acceso a la información o con derechos distintos de los previamente autorizados.
En el caso de los soportes informáticos, asignación de contraseñas, entrega de llaves o mecanismos de apertura de dispositivos de almacenamiento donde se archive la documentación si es del caso, se observará en todo momento y lugar el cumplimiento estricto a la ley de privacidad de datos personales y de nuestra política de cero papel.
La modificación sobre algún dato o información, así como la concesión, alteración, inclusión o anulación de los accesos autorizados de los usuarios, corresponde de manera exclusiva al personal autorizado por FACILADMIN S.A.S.
Cualquier personal ajeno o tercero contratista a la organización FACILADMIN S.A.S., que, de forma autorizada y legal, tenga acceso a los recursos protegidos, estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio de la empresa.
Bases de datos temporales, copias y reproducciones: Las bases de datos temporales o copias de documentos creadas para trabajos temporales o auxiliares deben cumplir con el mismo nivel de seguridad que corresponde a las bases o documentos originales. Una vez que dejan de ser necesarias, estas bases de datos temporales o copias serán borradas o destruidas, impidiendo así el acceso o recuperación de la información que contienen.
Responsable de administrar las bases de datos: FACILADMIN S.A.S., ha designado personal capacitado, responsable en la seguridad, coordinación y control de las medidas de seguridad contenidas en la presente Política de privacidad y Tratamiento de los Datos.
De acuerdo con la normativa sobre protección de datos, la designación del personal encargado en los temas de seguridad de la información, no exonera de la responsabilidad correspondiente según corresponda y de acuerdo con la ley al Responsable directo del tratamiento de los datos o al encargado del tratamiento de los mismos.
Por lo anterior, la empresa implementa una serie de medidas de seguridad técnicas, administrativas y físicas para proteger la información personal de sus usuarios frente a accesos no autorizados, alteraciones, divulgación o destrucción. Estas medidas incluyen, pero no se limitan a:
1. Cifrado de Datos: Utilizamos protocolos de cifrado (como SSL/TLS) para proteger la transmisión de datos personales a través de la aplicación y garantizar así la confidencialidad de la información intercambiada.
2. Control de Acceso: El acceso a la información personal de los clientes está completamente restringida a todos los empleados, contratistas y demás agentes de la empresa, por lo anterior, si por alguna razón extraordinaria se llegare a necesitar conocer estos datos, en este hipotético caso, sería entonces con el único fin del desempeño propio de las funciones exclusivas del servicio prestado. Por lo cual, todos nuestros empleados están sujetos a las estrictas obligaciones y normas de confidencialidad consagradas en los contratos, de las cuales su incumplimiento puede acarrear las sanciones correspondientes conforme lo dicte la ley.
3. Autenticación y contraseñas: Requerimos métodos de autenticación robustos, como contraseñas complejas y autenticación de dos factores, para acceder a la aplicación y a la información personal.
4. Auditorías y Monitoreo: Realizamos auditorías periódicas de nuestros sistemas de seguridad para identificar y corregir vulnerabilidades, así mejoramos la seguridad general de nuestros servicios, monitoreando continuamente los sistemas para detectar y prevenir posibles actividades sospechosas.
5. Almacenamiento Seguro: Los datos personales se almacenan en servidores seguros y protegidos por firewalls, controles de acceso y otras tecnologías avanzadas.
6. Gestión de Vulnerabilidades: Implementamos prácticas de gestión de vulnerabilidades que incluyen pruebas de seguridad, actualizaciones de software regulares y mecanismos de respuesta rápida ante incidentes de seguridad.
Auditorías
Las bases de datos que contengan datos personales, objeto de tratamiento por parte de FACILADMIN S.A.S., clasificadas con nivel de seguridad sensible o privado, se han de someter, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad contenidas en esta política. Igualmente serán objeto de auditoría tanto los sistemas de información como las instalaciones de almacenamiento y tratamiento de datos.
FACILADMIN S.A.S., realizará una auditoría extraordinaria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan afectar el cumplimiento de las medidas de seguridad, con el fin de verificar la adaptación, adecuación y eficacia de las mismas.
Las auditorías concluirán con un informe que contendrá:
• Dictamen sobre la adecuación y controles a la normativa sobre protección de datos.
• Identificación de deficiencias, hallazgos sugerencias y correcciones.
• Descripción de los datos, hechos y observaciones en que se basen los dictámenes y las recomendaciones propuestas.
El Oficial de Protección de Datos estudiará el informe y trasladará las conclusiones o hallazgos al Responsable, para que implemente las medidas correspondientes.
Medidas de seguridad para bases de datos no automatizadas o en papel
FACILADMIN S.A.S., fija los criterios y procedimientos de actuación que se deben utilizar para el archivo de documentos que contengan datos personales conforme a la Ley. Los criterios de archivo garantizan la conservación, localización y consulta que hacen posible los derechos y reclamo de los titulares.
Los documentos deben ser archivados considerando, entre otros, criterios como el grado de consulta de los usuarios con acceso autorizado a los mismos, la actualidad de su gestión y/o tratamiento y la diferenciación entre bases de datos históricas y de administración o gestión de la empresa.
Cuando los documentos que contienen datos personales se encuentren en proceso de revisión o tramitación y por tanto fuera de los dispositivos de almacenamiento o custodia, ya sea antes o después de su archivo, la persona que se encuentre a cargo de los mismos, debe custodiar e impedir en todo caso que personas no autorizadas puedan acceder a ellos sin los permisos correspondientes. La destrucción de documentos o archivos se debe hacer mediante mecanismos que realicen un corte adecuado del papel, que garantice que el documento no se pueda restaurar.
Acceso a los documentos
El acceso a los documentos ha de realizarse exclusivamente por el personal autorizado, siguiendo los mecanismos y procedimientos definidos, estos últimos deben identificar y conservar los accesos realizados a la documentación clasificada como Sensible, tanto por usuarios autorizados como por personas no autorizadas de manera permanente, tal y como se refleja en el numeral referido anteriormente.
El procedimiento de acceso a los documentos que contienen datos clasificados como sensibles implica el registro de accesos a la documentación, la identidad de quien accede, el momento en que se produce el acceso y los documentos a los que se han accedido. El acceso a documentos con este tipo de datos se realiza por personal autorizado; si se realiza por personas no autorizadas deberá supervisarse por algún usuario autorizado o por el Responsable de administrar la base de datos.
Medidas de seguridad para bases de datos automatizadas
FACILADMIN S.A.S., identifica y autentica de forma correcta a los usuarios de los sistemas de información, con el fin de garantizar que solo el personal autorizado pueda acceder a las bases de datos.
También establece mecanismos que permiten la identificación personalizada e inequívoca de todo usuario que intente acceder al sistema de información y verifica en todo momento que si está autorizado. La identificación se realiza mediante un sistema único para cada usuario que accede a la información teniendo en cuenta el nombre de usuario, identificación de empleado, el nombre del departamento, etc.
Teniendo en cuenta que el sistema de autenticación está basado en la introducción de contraseñas, se implementa un procedimiento de asignación, distribución y almacenamiento de las mismas.
Para garantizar la integridad y confidencialidad de estas contraseñas, se recomienda que, estas deben tener un mínimo de nueve caracteres y contener mayúsculas, minúsculas, números y letras, también recomienda que las contraseñas sean cambiadas de forma periódica.
FACILADMIN S.A.S., También garantiza el almacenamiento automatizado, interno y cifrado, de las contraseñas, y adoptará mecanismos para limitar los intentos de accesos no autorizados y bloquear el acceso tras tres intentos.
Entrada y salida de documentos o soportes
La entrada de documentos o soportes debe registrarse indicando el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen según la clasificación de la información, la forma de envío y la persona responsable de la recepción. La salida o envío de documentos o soportes, debidamente autorizada, ha de registrarse indicando el tipo de documento o soporte, la fecha y hora, el receptor, el número de documento o soporte incluido en el envío, el tipo de información que contienen según el nivel de seguridad, la forma de envío y la persona responsable del mismo.
Copias de respaldo y recuperación de datos
FACILADMIN S.A.S., debe llevar a cabo los procedimientos de actualización necesarios para realizar copias de respaldo, excepto cuando no se haya producido ninguna actualización de los datos durante ese periodo. Todas las bases de datos deben tener copia de respaldo a partir de las cuales se puedan recuperar los datos.
De igual modo, se deben establecer los procedimientos para la recuperación de los datos con el objetivo de garantizar en todo momento la reconstrucción al estado en el que éstos se encontraban antes de su pérdida o destrucción. Cuando la pérdida o destrucción afecte bases de datos parcialmente automatizadas se grabarán o complementaran manualmente los datos.
FACILADMIN S.A.S., se encargará de controlar el correcto funcionamiento y aplicación de los procedimientos que realicen copias de respaldo y recuperación de los datos.
FACILADMIN S.A.S., debe conservar copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar distinto a aquel en el que se encuentren los equipos donde se lleva a cabo su tratamiento. Este lugar deberá cumplir en todo caso las mismas medidas de seguridad exigidas para los datos originales.
Registro de acceso
De los intentos de acceso a los sistemas de información FACILADMIN S.A.S., guarda, como mínimo, la identificación del usuario, la fecha y hora en que se lleva a cabo, la base de datos a la que se accede, el tipo de acceso y si ese acceso ha sido autorizado o no. En caso de que el registro haya sido autorizado, se guarda la información que permita identificar el registro consultado.
Los Responsables de administrar las bases de datos automatizadas se encargan de controlar los mecanismos que permiten el registro de acceso, revisar periódicamente la información de control registrada y elaborar informes de las revisiones realizadas, hallazgos u observaciones.
Los datos que contiene el registro del acceso deben conservarse, al menos, durante dos años.
15. FUNCIONES Y OBLIGACIONES DEL PERSONAL
Todas las personas que intervienen en el almacenamiento, tratamiento, consulta o cualquier otra actividad relacionada con los datos personales y sistemas de información de FACILADMIN S.A.S., deben actuar de conformidad a las funciones y obligaciones recogidas en el presente apartado.
FACILADMIN S.A.S., informa y capacita en todo momento a su personal de servicio, sobre las medidas y normas de seguridad que les compete en el marco del desarrollo propio de sus funciones, así como de las consecuencias legales de su incumplimiento. De igual modo, pone a disposición del personal el presente documento y en función del cargo que ocupan suscribe los correspondientes acuerdos de confidencialidad y deber de secreto sobre las bases de datos y sistemas de información. Las funciones y obligaciones de los usuarios de las bases de datos personales bajo responsabilidad de FACILADMIN S.A.S., son las siguientes:
Deber de secreto: Aplica a todas las personas que, en el desarrollo de su profesión o trabajo, acceden a las bases de datos y vincula tanto a usuarios como a prestadores de servicios contratados; en cumplimiento de este deber, los usuarios de FACILADMIN S.A.S., no pueden comunicar o revelar a terceras personas, datos que manejen o de los que tengan conocimiento en el desempeño de sus funciones y deben velar por la confidencialidad e integridad de los mismos.
Funciones de control y autorizaciones delegadas:
FACILADMIN S.A.S., puede delegar el tratamiento de datos a terceros, para que actúe como encargado del tratamiento, mediante un contrato de transmisión de datos.
Obligaciones relacionadas con las medidas de seguridad implantadas:
• Acceder a las bases de datos solamente con la debida autorización del titular del dato y cuando sea necesario para el ejercicio de sus funciones.
• No revelar información a terceras personas ni a usuarios no autorizados.
• Observar las normas de seguridad y trabajar para mejorarlas.
• No realizar acciones que supongan un peligro para la seguridad de la información.
• No sacar o extraer ningún tipo de información o datos sin la debida autorización.
Obligación de notificar incidencias: Los usuarios tienen la obligación de notificar las incidencias o hallazgos de las que tenga conocimiento a los Responsables de administrar las bases y al Oficial de protección de datos, quienes se encargarán de su gestión y resolución.
Algunos ejemplos de incidencias son: la caída de los sistemas de información o módulos que permitan el acceso a los datos a personas no autorizadas, el intento no autorizado de salida de un documento, dato o soporte, la pérdida de información o la destrucción total o parcial de soportes, el cambio de ubicación física de bases de datos, el conocimiento por terceras personas de contraseñas, la modificación de datos por personal no autorizado, entre otros.
Deber de custodia de los soportes utilizados: Obliga al usuario autorizado a vigilar y controlar que personas no autorizadas accedan a la información contenida en los soportes. Los soportes que contienen bases de datos deben identificar el tipo de información que contienen mediante un sistema de etiquetado y ser inventariados.
Uso limitado de Internet y correo electrónico: El envío de información por vía electrónica y el uso de Internet por parte del personal está limitado al desempeño de las actividades propias de FACILADMIN S.A.S.
Salvaguarda y protección de contraseñas: Las contraseñas proporcionadas a los usuarios son personales e intransferibles, por lo que se prohíbe su divulgación o comunicación a personas no autorizadas. Cuando el usuario accede por primera vez con la contraseña asignada es necesario que la cambie. Cuando sea necesario restaurar o recuperar la contraseña, el usuario debe comunicarlo al administrador del sistema.
Copias de respaldo y recuperación de los datos: Para ello deben realizarse copias periódicas de seguridad de toda la información de las bases de datos y de la empresa.
Deber de archivo y gestión de documentos y soportes: Los documentos y soportes deben de ser debidamente archivados con las medidas de seguridad establecidas en la presente política.
FACILADMIN S.A.S., identifica al Oficial de Protección de Datos, cuando exista contrato de transmisión de datos, los encargados del tratamiento se identificarán en un anexo sobre transmisión de los datos.
16. PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE INCIDENCIAS
FACILADMIN S.A.S., establece un procedimiento de notificación, gestión y respuesta ante incidencias con el fin de garantizar la confidencialidad, disponibilidad e integridad de la información contenida en las bases de datos que están bajo su responsabilidad.
Todos usuarios, responsables de procedimientos, así como cualquier persona que tenga relación con el almacenamiento, tratamiento o consulta de bases de datos recogidas en este documento, deben conocer el procedimiento para actuar en caso de incidencia.
El procedimiento de notificación, gestión y respuesta ante incidencias es el siguiente:
Cuando una persona tenga conocimiento de una incidencia (pérdida, hurto y/o acceso no autorizado) que afecte o pueda afectar la confidencialidad, disponibilidad e integridad de la información protegida de la empresa o alguno de los Encargados deberá comunicarlo, de manera inmediata, al correo electrónico : contacto@faciladmin.co , dirigido a FACILADMIN S.A.S., describiendo detalladamente el tipo de incidencia producida, e indicando las personas que hayan podido tener relación con la incidencia, la fecha y hora en que se ha producido el error, la persona que notifica la incidencia, la persona a quién se le comunica y los efectos que ha producido.
Una vez comunicada la incidencia ha de solicitar al Oficial de Protección de Datos un acuse de recibo en el que conste la notificación de la incidencia con todos los requisitos enumerados anteriormente.
FACILADMIN S.A.S., crea un registro de incidencias que debe contener: el tipo de incidencia (fraude Interno o externo, daños a activos físicos, fallas tecnológicas, de ejecución y administración de procesos), fecha y hora de la misma, persona que la notifica, persona a la que se le comunica, efectos de la incidencia y medidas correctoras cuando corresponda. Este registro es gestionado por el Oficial de Protección de Datos, en un documento denominado: Registro de incidencias y plan de acción.
Asimismo, se debe implementar los procedimientos para la recuperación de los datos cuando aplica, indicando quien ejecuta el proceso, los datos restaurados y en su caso, los datos que han requerido ser grabados manualmente en el proceso de recuperación.
Adicional a ello, el Oficial de Protección de Datos debe informar a la Superintendencia de Industria y Comercio, mediante un documento dentro del término legal establecido, el haber sido detectada dicha incidencia.
Finalmente, FACILADMIN S.A.S., notificará del incidente a los Titulares, cuando se identifique que puedan verse afectados de manera significativa.
17. VIGENCIA
Esta política fue aprobada luego de la expedición de la Ley 1581 de 2012 y modificada para incorporar algunos aspectos que establece el Decreto 1377 del 27 de junio de 2013, por lo cual se encuentra vigente a partir del primero de enero de 2023.
Las bases de datos tendrán una permanencia conforme al tiempo razonable y necesario para cumplir con las finalidades propias del tratamiento de la información y conforme a cualquiera de las siguientes situaciones:
• Una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta política.
• Mientras se mantenga la relación contractual con el Titular de los datos personales.
• Mientras no se solicite su supresión por el interesado y siempre que no exista un deber legal de conservarlos.
Una vez se cumpla(n) esta(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar su información, sus datos serán eliminados de nuestras bases de datos.
ELABORACIÓN Y APROBACIÓN DEL DOCUMENTO
Con miras a mantener la vigencia y actualización de la Política de Privacidad y Protección de Datos Personales, FACILADMIN S.A.S., puede ajustar y modificar la misma, de acuerdo a la ley vigente en Colombia.
Cualquier cambio sustancial será comunicado a los titulares mediante cualquiera de los siguientes medios de comunicación: correo electrónico o avisos en la página web.