1. ALCANCE
Esta Política de Protección de Datos Personales se aplicará a todas las Bases de Datos y/o Archivos de clientes, trabajadores de ADO, proveedores y terceros en general, tanto físicas como digitales que contengan Datos Personales que sean objeto de Tratamiento por ADO TECHNOLOGIES S.A.S. considerada como responsable y/o encargada del tratamiento de Datos Personales, en adelante ADO.
2. DEFINICIONES
Las palabras utilizadas en este documento se enmarcan dentro de los términos y definiciones desarrollados en la Ley 1581 de 2012 en el Decreto Reglamentario 1377 de 2013 y el Decreto Único Reglamentario 1074 de 2015, en este sentido en caso de que las normas referenciadas no definan el sentido de la palabra utilizada, está debe ser entendida de acuerdo con el significado común que se le otorga, no obstante, es preciso dar alcance a los siguientes términos:
- Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales.
- Aviso de Privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de sus Datos Personales, mediante la cual se le informa acerca de la existencia de las Políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
- Base de Datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
- Base de datos automatizada: Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.
- Base de datos física: Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software.
- Cliente: Persona natural que se vincula mediante la suscripción de contratos para adquirir productos y/o servicios ADO TECHNOLOGIES.
- Contacto de cliente: Persona natural que se encuentra vinculada mediante un contrato laboral o de prestación de servicios a cualquier cliente (persona jurídica) de ADO Technologies, a quien ADO TECHNOLOGIES le ofrece sus productos y/o servicios.
- Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Dato público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales.
- Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
- Dato Sensible: Información que afecta la intimidad de las personas o cuyo uso indebido puede generar discriminación (origen racial o étnico, orientación política, convicciones filosóficas o religiosas, pertinencia a sindicatos u organizaciones sociales o derechos humanos, datos de salud, vida sexual y datos biométricos).
- Dato semiprivado: Aquellos datos que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de personas o a la sociedad en general. En este caso, para su tratamiento se requiere la autorización expresa del Titular de la información. Por ejemplo: datos de carácter financiero, datos relativos a las relaciones con las entidades de seguridad social (EPS, AFP, ARL, Cajas de Compensación).
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de Datos Personales por cuenta del responsable del Tratamiento. En los eventos en que el responsable no ejerza como Encargado de la Base de Datos, se identificará expresamente quién será el Encargado.
- Información Digital: Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.
- Mercadeo: Hace referencia a la base de datos de aquellas personas naturales que, con ocasión a su actividad económica, profesional y/o comercial, pueden estar interesadas en los productos y/o servicios que ADO TECHNOLOGIES ofrece.
- Proveedor: Aquella persona natural que provee o abastece productos y/o servicios a ADO TECHNOLOGIES.
- Solicitantes de PQR: Hace referencia a aquellas personas naturales que radican ante ADO TECHNOLOGIES cualquier petición, queja y/o reclamo respecto de sus datos personales, sobre los cuales ADO Technologies se constituye como Responsable.
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la Base de Datos y/o el Tratamiento de los datos.
- Términos y Condiciones: Marco general en el cual se establecen las condiciones para los participantes de actividades comerciales o afines.
- Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
- Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
- Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
3. PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS
- Principio de legalidad: El tratamiento de datos es una actividad reglada, la cual deberá estar sujeta a las disposiciones legales vigentes y aplicables que rigen el tema.
- Principio de Finalidad: El Tratamiento de los datos personales recogidos debe obedecer a una finalidad legítima, la cual debe ser informada al Titular.
- Principio de Libertad: El Tratamiento sólo puede llevarse a cabo con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
- Principio de Veracidad o Calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. No será efectuado el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
- Principio de Transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener de ADO TECHNOLOGIES en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
- Principio de Acceso y Circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. Los datos personales, salvo la información pública, y lo dispuesto en la autorización otorgada por el titular del dato, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
- Principio de Seguridad: La información sujeta a Tratamiento por parte de ADO TECHNOLOGIES se deberá proteger mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Principio de Confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.
4. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES
| IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES | |
|---|---|
| Razón Social: | ADO TECHNOLOGIES COLOMBIA SAS |
| NIT: | 901030340-6 |
| Dirección – Domicilio: | Calle 93 # 16 – 46 Oficina 501 |
| Teléfono: | 7904237 |
| Oficial de Protección de Datos: | Coordinadora de Calidad |
| e-mail: | tratamientodedatos@ado-tech.com |
| Sitio web: | https://www.ado-tech.com/ |
5. DATOS PERSONALES TRATADOS POR ADO TECHNOLOGIES
ADO TECHNOLOGIES dará Tratamiento a los Datos Personales de proveedores, clientes, trabajadores de la compañía y terceros en general que sean necesarios para desarrollar las actividades contractuales, comerciales y/o de negocios inherentes a su objeto social, así como mantener y fortalecer las relaciones comerciales, contractuales, y de consumo con los Titulares de estos. Específicamente, ADO TECHNOLOGIES recopilará los siguientes datos personales, entre los que podrían ser necesarios para estos fines:
5.1. CLIENTES
Datos generales y específicos de identificación, datos de ubicación relacionados con la actividad comercial o profesional, datos de ubicación personal relacionados con actividad privada, datos de contenido socioeconómico, datos de información financiera, datos patrimoniales, datos relacionados con la actividad económica, datos y plantillas biométricas y cualquier otro dato que fuere necesario para lograr las finalidades para las cuales estos datos son recopilados.
5.2. CONTACTOS DE CLIENTES
Datos generales de identificación, datos de ubicación relacionados con la actividad comercial o profesional, datos de ubicación personal relacionados con actividad privada, datos relacionados con la actividad económica, datos y plantillas biométricas y cualquier otro dato que fuere necesario para lograr las finalidades para las cuales estos datos son recopilados.
5.3. Solicitantes de peticiones, quejas y reclamos
Datos generales de identificación, datos de ubicación relacionados con la actividad comercial, profesional y/o privada, datos de identificación y ubicación de terceros relacionados con la PQR y cualquier otro dato que fuere necesario para lograr la atención del requerimiento.
5.4. Proveedores
Datos generales y específicos de identificación, datos de ubicación relacionados con actividad comercial o profesional, datos socioeconómicos, datos de información tributaria, datos patrimoniales, datos relacionados con la actividad económica, datos relacionados con la historia laboral, y cualquier otro dato que fuere necesario para lograr las finalidades descritas.
5.5. Contactos de proveedores
Datos generales de identificación, datos de ubicación relacionados con la actividad comercial o profesional, datos de ubicación personal relacionados con actividad privada, datos relacionados con la actividad económica y cualquier otro dato que fuere necesario para lograr las finalidades descritas.
5.6. Trabajadores
Nombre, dirección, correo(s) electrónico(s), teléfono(s), documento de identidad, fecha de nacimiento, fotos, historial laboral, imagen corporativa, datos y plantillas biométricas, entre otros que permitan la ejecución de la labor de ADO TECHNOLOGIES ante entidades públicas y privadas del orden nacional e internacional.
5.7. Períodos de vigencia
Las Bases de Datos a las cuales ADO TECHNOLOGIES da tratamiento, así como los Datos Personales que las componen, incorporados en ellas previo otorgamiento de la autorización para el efecto, estarán vigentes durante el tiempo necesario para cumplir con las finalidades de tratamiento y acorde con las disposiciones legales. Una vez cumplido este plazo, ADO TECHNOLOGIES procederá a eliminar la base de datos y/o los datos de los titulares, según corresponda.
6. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES
La autorización para el tratamiento de los datos personales permite a ADO TECHNOLOGIES, recolectar, transferir, almacenar, usar, circular, suprimir, compartir, actualizar y transmitir, datos personales de los Terceros, con quienes tiene o ha tenido relación, tales como, trabajadores y familiares de éstos, accionistas, consumidores, clientes, distribuidores, proveedores, acreedores y deudores, para cumplir con el desarrollo normal de su objeto social y para dar cumplimiento a las obligaciones legales y contractuales de ADO TECHNOLOGIES.
7. FINALIDADES
Los Datos Personales son objeto de Tratamiento por parte de ADO con las siguientes finalidades generales
- Cumplir el objeto social de ADO.
- Gestionar, administrar y usar toda la información necesaria para el cumplimiento de las obligaciones legales y contractuales de ADO, así como las obligaciones tributarias, comerciales, corporativas y contables.
- Ejecutar contratos suscritos con ADO.
- Enviar información a entidades gubernamentales o judiciales por solicitud expresa de la misma.
- Recolectar datos para el cumplimiento de los deberes que como responsable o encargado de la información y datos personales le corresponde a ADO.
- Socializar políticas, proyectos, programas y cambios organizacionales.
- Buscar la satisfacción de los Titulares respecto de los productos y servicios ofrecidos por ADO.
- Prestar mejores beneficios, productos y servicios a los Titulares.
- Realizar procesos al interior de ADO, con fines de desarrollo u operativo y/o de administración de sistemas.
- Mantener comunicación con el Titular.
- Dar respuesta a preguntas, quejas, reclamos o comentarios de los Titulares.
- Enviar información comercial y/o corporativa, así como invitaciones a eventos y/o actividades que ADO organice.
- De ser el caso, usar la información para dar trámite a los reclamos, quejas, sugerencias respecto de los servicios ofrecidos por ADO.
- Suministrar la información y Datos Personales de los Titulares a las sociedades subsidiarias, filiales o afiliadas a ADO, aliados comerciales o a otras sociedades o personas que ADO encargue para realizar el procesamiento de la información y cumplir con las finalidades descritas en la presente Política.
- Cuando la información deba ser revelada para cumplir con leyes, regulaciones o procesos legales, para asegurar el cumplimiento de los términos y condiciones, para detener o prevenir fraudes, ataques a la seguridad de ADO o de otros, prevenir problemas técnicos o proteger los derechos de otros como lo requieran los términos y condiciones o la ley.
- Las demás finalidades que determinen los Responsables en procesos de obtención de Datos Personales para su Tratamiento, con el fin de dar cumplimiento a las obligaciones legales y regulatorias, así como de las políticas de ADO.
- Adelantar los análisis, evaluaciones y gestiones necesarios para el inicio, desarrollo o culminación de cualquier relación contractual que surja con ADO.
- Validar y verificar la identidad del cliente para el ofrecimiento y administración de productos y servicios.
- En caso de ser requerido, suministrar a la autoridad competente la información contenida en la base de datos del Titular.
- Dar cumplimiento a los sistemas de administración de riesgos de la compañía y a la normatividad aplicable vigente.
- Evaluar la calidad del servicio.
- Realizar gestión de cobranza (escrita, telefónica o personal), recaudo, control, comportamiento, hábito de pago, así como cualquier otra relacionada con nuestros productos y servicios.
7.1. Finalidades específicas aplicables al Tratamiento de Datos Personales de Clientes y Contactos de Clientes
- 7.1.1. Realizar encuestas de satisfacción y fortalecer los canales de servicio al cliente.
- 7.1.2. Enviar comunicaciones informando sobre nuevos servicios y/o sobre cambios en los mismos, enviar información de carácter comercial, relacionadas con los productos y servicios de ADO.
- 7.1.3. Proveer los servicios requeridos por sus clientes.
- 7.1.4. Los Datos Personales tomados de los documentos suministrados por el Titular al personal de seguridad que se encuentre en las instalaciones donde funcionan las diferentes oficinas de ADO, y los obtenidos de las videograbaciones y los registros de audio que se realizan mediante cámaras de videovigilancia equipadas con grabación sonora dentro o fuera de dichas instalaciones.
- 7.1.5. Los indicados en la autorización otorgada por el titular del dato o descritos en el aviso de privacidad respectivo, según sea el caso.
7.2. Finalidades específicas aplicables al Tratamiento de los datos personales de proveedores
- 7.2.1. Almacenar y clasificar la información suministrada por los proveedores para su fácil identificación.
- 7.2.2. Consultar, comprar y evaluar toda la información sobre el proveedor que se encuentre almacenada en las bases de datos de antecedentes judiciales o de seguridad legítimamente constituida, de naturaleza estatal o privada, nacional o extranjera, o de cualquier base de datos comercial o de servicios que permita establecer de manera integral el comportamiento como proveedor, incluidas las consultas en listas para la prevención y control de lavado de activos y financiación del terrorismo.
- 7.2.3. Analizar, procesar, evaluar y comparar la información suministrada por los proveedores.
- 7.2.4. Dar cumplimiento a la ley colombiana o extranjera y a las órdenes de autoridades judiciales y/o administrativas.
- 7.2.5. Emitir certificaciones sobre la relación entre el titular de los datos personales y ADO.
- 7.2.6. Entregar información a entes de inspección, vigilancia y control, a entidades regulatorias o auditores internos o externos.
- 7.2.7. Realizar el pago del contrato y para el control de los impuestos relacionados con dicha relación contractual.
- 7.2.8. Elaborar invitaciones a ofertar o cotizar.
- 7.2.9. Dar cumplimiento a todas las obligaciones derivadas de la relación contractual con los proveedores.
- 7.2.10. Los Datos Personales tomados de los documentos suministrados por el Titular al personal de seguridad que se encuentre en las instalaciones donde funcionan las diferentes oficinas de ADO, y los obtenidos de las videograbaciones y los registros de audio que se realizan mediante cámaras de videovigilancia equipadas con grabación sonora dentro o fuera de dichas instalaciones.
- 7.2.11. Conservarla para fines estadísticos e históricos y/o para cumplir con obligaciones legales en lo que a conservación de información y documentos se refiere.
7.3. Finalidades específicas aplicables al Tratamiento de los datos personales de los trabajadores de ADO
- 7.3.1. Consultar a cualquier médico, hospital, compañía de seguros, compañía de medicina prepagada o entidad promotora de salud (EPS), para que, en cualquier momento, pueda acceder a la información respecto de las incapacidades ordenadas por dichas entidades.
- 7.3.2. Realizar los trámites que se requieran para surtir el proceso de selección, vinculación y desvinculación de ADO, bien sea internamente o a través de terceros contratados por ADO para estos efectos, tales como, laboratorios médicos, entre otros.
- 7.3.3. Evaluar el perfil de los candidatos a empleados de ADO.
- 7.3.4. Suministrar información sobre actividades de bienestar promovidos por ADO.
- 7.3.5. En caso de ser requerido, suministrar a la autoridad competente la información contenida en la base de datos de empleados y exempleados.
- 7.3.6. Suministrar la información necesaria para efecto del manejo de la nómina, al outsourcing con el cual se encuentra tercerizado este proceso.
- 7.3.7. Confirmación de referencias laborales.
- 7.3.8. Crear base de datos para los fines descritos en la presente Política.
- 7.3.9. Acceder a la información personal de la cuenta de correo institucional asignada al Titular por ADO o de aquellos correos electrónicos o sitios web a los cuales el Titular ingrese desde los equipos de ADO.
- 7.3.10. Los Datos Personales recolectados a través de los esquemas de acceso y seguridad previstos en las instalaciones de ADO, así como, los Datos Personales tomados de los documentos suministrados por el Titular al personal de seguridad que se encuentre en las instalaciones donde funcionan las diferentes oficinas de ADO, y los obtenidos de las videograbaciones y los registros de audio que se realizan mediante cámaras de videovigilancia equipadas con grabación sonora dentro o fuera de dichas instalaciones, se utilizarán para fines de seguridad y vigilancia de las personas, los bienes e instalaciones de ADO, y podrán ser utilizados como prueba en cualquier tipo de proceso.
8. TRANSFERENCIA Y TRANSMISICIÓN DE DATOS PERSONALES
ADO TECHNOLOGIES podrá transferir y transmitir los datos personales a terceros con quienes tenga relación operativa que le provean de servicios necesarios para su debida operación, o de conformidad con las funciones establecidas a su cargo. En dichos supuestos, se adoptarán las medidas necesarias para que las personas que tengan acceso a sus datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas en la Ley.
En todo caso, cuando ADO transmita los datos a uno o varios encargados ubicados dentro o fuera del territorio de Colombia, establecerá cláusulas contractuales o celebrará un contrato de transmisión de datos personales en el que indicará:
- Alcances del tratamiento.
- Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales.
- Las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales.
Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.
Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:
- Dar Tratamiento, a nombre del responsable, a los datos personales conforme a los principios que los tutelan.
- Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.
- Guardar confidencialidad respecto del tratamiento de los datos personales.
En caso de transferencia se dará cumplimiento a las obligaciones estipuladas en la Ley 1581 de 2012 y normas reglamentarias.
9. DERECHOS DE LOS TITULARES
En el Tratamiento de Datos Personales por parte de ADO se respetarán en todo momento los derechos de los titulares de Datos Personales que son:
- Conocer, actualizar y rectificar los Datos frente a él o los Encargados del Tratamiento de datos.
- Solicitar prueba de la autorización otorgada, o cualquier otra que suscriba el titular de los Datos Personales para el efecto, salvo cuando expresamente se exceptúe como requisito para el Tratamiento de datos de conformidad con la ley.
- Ser informado por la compañía o el Encargado del Tratamiento, previa solicitud, respecto del uso que se les ha dado a los datos.
- Presentar ante la Autoridad Competente quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, sustituyan o adicionen.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Autoridad Competente haya determinado que, en el Tratamiento ADO o Encargados del Tratamiento de Datos Personales, han incurrido en conductas contrarias a la ley y a la Constitución. La revocatoria procederá siempre y cuando no exista la obligación legal o contractual de conservar el dato personal.
- Acceder en forma gratuita a los Datos Personales que hayan sido objeto de Tratamiento.
9.1. Autorización del Titular
Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización, como cuando, por ejemplo, se remite a la compañía una hoja de vida para participar en procesos de selección o cuando se ingresa a las instalaciones a sabiendas de la existencia de sistemas de videovigilancia equipados con grabación sonora.
9.2. Casos en los que no es necesaria la autorización
La autorización del Titular no será necesaria cuando se trate de:
- 9.2.1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
- 9.2.2. Datos de naturaleza pública.
- 9.2.3. Casos de urgencia médica o sanitaria.
- 9.2.4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
- 9.2.5. Datos relacionados con el Registro Civil de las Personas.
9.3. Prueba de la autorización
ADO TECHNOLOGIES conservará la prueba de la autorización otorgada por los titulares de los datos personales para su tratamiento, para lo cual utilizará los mecanismos disponibles a su alcance en la actualidad al igual que adoptará las acciones necesarias para mantener el registro de la forma, fecha y en la que obtuvo ésta. En consecuencia, ADO podrá establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin.
10. DEBERES DE ADO TECHNOLOGIES RESPECTO DEL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
Todos los obligados a cumplir esta política deben tener presente que ADO está obligada a cumplir los deberes que al respecto imponga la ley. En consecuencia, se deben cumplir las siguientes obligaciones:
10.1. Deberes cuando actúa como Responsable
- 10.1.1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
- 10.1.2. Solicitar y conservar, en las condiciones previstas en la presente política, copia de la respectiva autorización otorgada por el titular.
- 10.1.3. Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- 10.1.4. Informar a solicitud del titular sobre el uso dado a sus datos personales.
- 10.1.5. Atender las consultas y reclamaciones interpuestas por los titulares de la información de conformidad con los procedimientos y tiempos de respuesta establecidos en la presente política y en lo no indicado, por los términos establecidos en la ley.
- 10.1.6. Obtener autorización del titular, cuando se requiera suministrar a un tercero, los datos personales en custodia.
- 10.1.7. Adoptar las medidas de seguridad necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales.
- 10.1.8. Actualizar la información cuando sea necesario.
- 10.1.9. Rectificar los datos personales cuando ello sea procedente.
- 10.1.10. Aplicar esta política sobre protección de datos personales en armonía con la Política de Seguridad de la Información.
- 10.1.11. Regular en los contratos con terceros el acceso a los ficheros que contengan datos de carácter personal.
10.2. Deberes cuando ADO obra como encargado del tratamiento de datos personales
Si realiza el tratamiento de datos en nombre de otra entidad, compañía u organización (Responsable del tratamiento) deberá cumplir los siguientes deberes:
- 10.2.1. Establecer que el Responsable del tratamiento esté autorizado para suministrar los datos personales que tratará como Encargado.
- 10.2.2. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.
- 10.2.3. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- 10.2.4. Realizar oportunamente la actualización, rectificación o supresión de los datos.
- 10.2.5. Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
- 10.2.6. Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente política.
- 10.2.7. Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se establece en la presente política.
- 10.2.8. Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
- 10.2.9. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
- 10.2.10. Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto.
- 10.2.11. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
- 10.2.12. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
11. REVOCATORIA DE LA AUTORIZACIÓN
Los titulares de los datos personales pueden en cualquier momento revocar la autorización otorgada a ADO TECHNOLOGIES para el tratamiento de sus datos personales o solicitar la supresión de los mismos, siempre y cuando no lo impida una disposición legal o contractual. ADO establecerá mecanismos sencillos y gratuitos que permitan al titular revocar su autorización o solicitar la supresión sus datos personales, al menos por el mismo medio por el que lo otorgó.
Para lo anterior, deberá tenerse en cuenta que la revocatoria del consentimiento puede expresarse, por una parte, de manera total en relación con las finalidades autorizadas, y por lo tanto ADO deberá cesar cualquier actividad de tratamiento de los datos; y por la otra de manera parcial en relación con ciertos tipos de tratamiento, en cuyo caso serán estos sobre los que cesarán las actividades de tratamiento, como para fines publicitarios, entre otros. En este último caso, ADO podrá continuar tratando los datos personales para aquellos fines en relación con los cuales el titular no hubiera revocado su consentimiento. ADO mantendrá realizando el tratamiento de datos personales, particularmente su almacenamiento, en cumplimiento de obligaciones legales.
12. AUTORIZACION PARA EL TRATAMIENTO DE DATOS SENSIBLES
Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garantizan los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. ADO solo recopilará y/o tratará datos considerados como Datos Sensibles en los casos permitidos por la ley.
La recolección de estos datos se hará informando el carácter facultativo de las respuestas a las preguntas que le sean hechas al tratarse de datos sensibles. Una vez suministrados dichos datos y otorgado el correspondiente consentimiento, los datos serán recopilados y tratados únicamente para las finalidades descritas en la presente Política de Privacidad.
ADO no pondrá como condición para alguna actividad el suministro de datos personales sensibles, a menos que resulten absolutamente necesarios para la misma.
13. DATOS DE MENORES DE EDAD (NIÑOS, NIÑAS Y ADOLESCENTES – NNA)
ADO en el normal desarrollo de sus funciones y prestación de servicios no realiza el tratamiento de datos personales de NNA. No obstante lo anterior, en caso que su recolección se presente, este será facultativo, y la información se usará, almacenará y realizará el tratamiento con el expreso consentimiento de sus padres o representantes legales.
Para tales efectos, ADO tendrá en cuenta el respeto y prevalencia de los derechos de los menores, su interés superior y sus derechos fundamentales.
14. FORMA DE RECOLECCIÓN
Los datos podrán ser suministrados explícitamente a ADO TECHNOLOGIES mediante formatos de ingreso o vinculación, recolectados personalmente a través de sus empleados, prestadores de servicios o representantes, obtenidos mediante consulta a terceros que administren Bases de Datos, o recolectados implícitamente de las operaciones de análisis de grupos objetivo, adquisición de los productos o servicios que son ofrecidos por ADO, o de los comportamientos de los Titulares como reclamaciones, solicitudes de información, encuestas, propuestas, ofertas, visita de las instalaciones de ADO, de participación en proyectos, programas y eventos, entre otros.
ADO puede recibir información personal del Titular por medio de otras fuentes como Bases de Datos públicas e información de terceras partes a las que el Titular ha otorgado autorización para compartir su información.
15. AVISO DE PRIVACIDAD
El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato, puesto a disposición del titular para informarle acerca del tratamiento de sus datos personales. En el evento en el que ADO TECHNOLOGIES no pueda poner a disposición del titular del dato personal la presente política de tratamiento de la información, lo pondrá en conocimiento de los titulares de la información mediante un aviso de privacidad, en él se le comunicará al titular la información relacionada con la existencia de las políticas de tratamiento y que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales.
El aviso de privacidad, como mínimo, contendrá la siguiente información:
- a. Nombre o razón social y datos de contacto del responsable del tratamiento.
- b. El tratamiento al cual serán sometidos los datos y la finalidad de este.
- c. Los derechos que le asisten al titular.
- d. Los mecanismos generales dispuestos por el responsable para que el titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella. En todos los casos, debe informar al titular cómo acceder o consultar la política de tratamiento de información.
- e. El carácter facultativo de la respuesta relativa a preguntas sobre datos sensibles.
16. OFICIAL DE PROTECCIÓN DE DATOS
Los procesos relacionados con el tratamiento de los datos de carácter personal en ADO estarán confiados a la Coordinación de Calidad.
El Oficial de Protección de Datos será la persona responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización. Por lo tanto, si usted tiene preguntas, consultas o reclamos con sus Datos Personales, puede contactar al Oficial de Protección de Datos de ADO TECHNOLOGIES al correo electrónico tratamientodedatos@ado-tech.com.
17. PROCEDIMIENTO PARA ATENDER LOS DERECHOS DE LOS TITULARES
Los titulares de Datos Personales, sin importar el tipo de vinculación que tengan con ADO TECHNOLOGIES, pueden ejercer sus derechos a conocer, actualizar, rectificar y suprimir información y/o revocar la autorización otorgada, de la siguiente forma:
17.1. Procedimiento de consultas
ADO y/o los Encargados, garantizan a los titulares de datos personales contenidos en sus bases de datos o personas autorizadas, el derecho de consultar toda la información contenida en su registro individual o toda aquella que esté vinculada con su identificación conforme se establece en la presente Política de Tratamiento de Datos Personales.
Responsable de atención de consultas:
El Oficial de Protección de Datos Personales de ADO, será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley 1581 de 2012 y en las presentes políticas.
Las consultas dirigidas a ADO deberán contener como mínimo la siguiente información:
- a. Nombres y apellidos del Titular y/o su representante.
- b. Lo que se pretende consultar.
- c. Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes o representantes.
- d. Firma, número de identificación o procedimiento de validación correspondiente.
- e. Haber sido presentada por los medios de consulta habilitados por ADO.
Una vez sea recibida la solicitud de CONSULTA de información por parte del Titular de los datos o su representante o tercero debidamente autorizado, el Oficial de Protección de Datos Personales, procederá a verificar que la solicitud contenga todas las especificaciones requeridas a efectos de poder valorar que el derecho se ejerza por un interesado o por un representante de éste, acreditando con ello, que se cuenta con la legitimidad legal para hacerlo.
17.1.1. Plazos de Respuesta a consultas
Las solicitudes recibidas mediante los anteriores medios serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.
17.1.2. Prórroga del plazo de Respuesta
En caso de imposibilidad de atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los diez (10) días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
17.2. Procedimiento de reclamos
Derechos Garantizados mediante el procedimiento de reclamos:
a) Corrección o Actualización: ADO TECHNOLOGIES y/o los Encargados, garantizarán a los titulares de datos personales contenidos en sus bases de datos o a sus causahabientes, el derecho de corregir o actualizar los datos personales que reposen en sus bases de datos, mediante presentación de reclamación, cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales para que sea procedente la solicitud de Corrección o Actualización.
b) Revocatoria de la autorización o Supresión de los datos Personales: ADO y/o los Encargados, garantizarán a los titulares de datos personales contenidos en sus bases de datos, el derecho de Solicitar la Revocatoria de la autorización o solicitar la supresión de la información contenida en su registro individual o toda aquella que esté vinculada con su identificación cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales. Así mismo se garantiza el derecho de presentar reclamos cuando adviertan el presunto incumplimiento de la Ley 1581 de 2012 o de la presente Política de tratamiento de datos personales.
17.3. Responsable de atención de Reclamos
El Oficial de Protección de Datos Personales de ADO TECHNOLOGIES, será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley 1581 de 2012 y en la presente política.
Las reclamaciones presentadas deberán contener como mínimo la siguiente información:
- Nombres y apellidos del Titular y/o su representante y/o causahabientes;
- Lo que se pretende consultar.
- Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes o representantes;
- Firma, número de identificación o procedimiento de validación correspondiente.
- Haber sido presentada por los medios de consulta habilitados por ADO TECHNOLOGIES.
Una vez sea recibida la solicitud de Actualización o de Rectificación de información por parte del Titular de los datos o su representante o tercero debidamente autorizado, a través de los canales establecidos ADO, el Oficial de Protección de Datos Personales, quien procederá a verificar que la solicitud contenga todas las especificaciones requeridas a efectos de poder valorar que el derecho se ejerza por un interesado o por un representante de éste, acreditando con ello, que se cuenta con la legitimidad legal para hacerlo.
17.4. Reclamaciones sin cumplimiento de Requisitos legales
En caso de que la reclamación se presente sin el cumplimiento de los anteriores requisitos legales, se solicitará al reclamante dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas y presente la información o documentos faltantes.
Desistimiento del Reclamo
Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
Recepción de reclamos que no correspondan a la Compañía
En caso de que ADO reciba un reclamo dirigido a otra organización, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al reclamante.
Inclusión de leyenda en la base de datos
Recibida la reclamación de forma completa, en un término máximo de dos (2) días hábiles
contados desde la recepción, ADO incluirá en la base de datos donde se encuentren los datos
personales del Titular, una leyenda que diga "Reclamo en trámite" y el motivo de este.
Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
Plazos de Respuesta a los Reclamos
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir
del día siguiente a la fecha de su recibo.
Prórroga del plazo de Respuesta
Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al
interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en
ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer
término.
17.5. Procedimiento de Supresión de Datos Personales
En caso de resultar procedente la Supresión de los datos personales del titular de la base de datos conforme a la reclamación presentada, ADO, deberá realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, sin embargo, el Titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la organización por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.
18. Procedimiento de Gestión de Incidentes con Datos Personales
Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o información contenida en las mismas.
En caso de conocer alguna incidencia ocurrida, el usuario debe comunicarla al Oficial de Protección de Datos que adoptará las medidas oportunas frente al incidente reportado.
Las incidencias pueden afectar tanto a bases de datos digitales como físicas y generarán las siguientes actividades:
-
Notificación de Incidentes
Cuando se presuma que un incidente pueda afectar o haber afectado a bases de datos con información personal datos personales se deberá informar al Oficial de Protección de Datos Personales quién gestionará su reporte en el Registro Nacional de Bases de Datos. -
Gestión de Incidentes
Es responsabilidad de cada funcionario, contratista, consultor o tercero, reportar de manera oportuna cualquier evento sospechoso, debilidad o violación de políticas que pueden afectar la confidencialidad, integridad y disponibilidad de los activos e información personal de la Compañía. -
Identificación
Todos los eventos sospechosos o anormales, tales como aquellos en los que se observe el potencial de perdida de reserva o confidencialidad de la información, deben ser evaluados para determinar si son o no, un incidente y deben ser reportados al nivel adecuado en la organización.
Cualquier decisión que involucre a las autoridades de investigación y judiciales debe ser hecha en conjunto entre el Oficial de Protección de Datos Personales y la Oficina Asesora Jurídica. La comunicación con dichas autoridades será realizada por ellos mismos. -
Reporte
Todos los incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible a través de los canales internos establecidos ADO.
Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, el Oficial de Protección de Datos Personales, debe ser notificado de forma inmediata.
Los funcionarios deben reportar a su jefe directo y al Oficial de Protección de Datos Personales cualquier daño o pérdida de computadores o cualquiera otro dispositivo, cuando estos contengan datos personales en poder de la Compañía.
A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún funcionario debe divulgar información sobre sistemas de cómputo, y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, los Asesores Jurídicos deberán intervenir con el fin de prestar el asesoramiento adecuado.
-
Contención, Investigación y Diagnóstico
El Oficial de Protección de Datos Personales debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado, apoyado con el Director de Tecnología.
En caso de que se identifique un delito informático, en los términos establecidos en la Ley 1273 de 2009, el Oficial de Protección de Datos Personales reportará tal información a las autoridades de investigaciones judiciales respectivas.
Durante los procesos de investigación se deberá garantizar la “Cadena de Custodia” con el fin de preservarla en caso de requerirse establecer una acción legal. -
Solución
La Oficina de Tecnologías e Informática, así como cualquier área comprometida y los directamente responsables de la gestión de datos personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes. -
Cierre de Incidente y Seguimiento
El Director de Tecnología en conjunto con el Oficial de Protección de Datos Personales y las áreas que usan o requieren la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad.
El Oficial de Protección de Datos Personales preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización que ayuden a minimizar la probabilidad de incidentes futuros. -
Reporte de incidentes ante la SIC como autoridad de control
Se reportarán como novedades los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:
En la parte inferior del menú de cada base de datos registrada en el sistema, se presentan dos (2) opciones para informar las novedades:
La violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, deberán reportarse al Registro Nacional de Bases de Datos dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
Los dueños de proceso y/o propietarios de activos de información, reportarán de forma interna los incidentes asociados a datos personales ante el Oficial de Protección de Datos Personales, quién dentro del plazo legal procederá a reportarlos ante el Registro Nacional de Bases de Datos.
19. CONTROL DE ACCESO, VIDEO VIGILANCIA Y GRABACIÓN SONORA
19.1. CONTROL DE ACCESO
Las áreas donde se ejecutan procesos relacionados con información confidencial o restringida deben contar con controles de acceso que sólo permitan el ingreso a los colaboradores autorizados y que permita guardar la trazabilidad de los ingresos y salidas.
19.2. VIDEO VIGILANCIA
La compañía cuenta con cámaras de video vigilancia que tienen como finalidad dar cumplimiento a las políticas de seguridad física, cumpliendo con los parámetros establecidos en la Guía para la Protección de Datos Personales en Sistemas de Videovigilancia, expedidos por la Superintendencia de Industria y Comercio quien es la autoridad de control en la materia.
19.3. GRABACIÓN SONORA
Los Sistema de Videovigilancia se encuentran equipados con capacidad de grabación sonora, generando registros de audio para cumplir con las políticas de seguridad física que serán implementados a partir de la emisión del presente documeno.
Complementando el sistema de videovigilancia, este proceso se lleva a cabo de acuerdo con los parámetros establecidos en la Guía para la Protección de Datos Personales en Sistemas de Audiovigilancia de la Superintendencia de Industria y Comercio.
20. CAPACITACIÓN DE FUNCIONARIOS Y CONTRATISTAS
ADO TECHNOLOGIES desarrollará programas anuales de capacitación y concientización en Protección de datos personales y seguridad de la información. La Compañía debe poner en conocimiento estas políticas por el medio que considere adecuado y con ello, capacitar a sus funcionarios y contratistas en la administración de los datos personales con una periodicidad al menos anual, con el fin de medir sus conocimientos sobre el particular.
Los nuevos funcionarios y contratistas, al momento de vincularse con la Compañía, deben recibir capacitación sobre Protección de datos personales y seguridad de la información dejando constancia de su asistencia y conocimiento.
En el desarrollo de los programas de capacitación y concientización se deberá asegurar que los funcionarios, contratistas y terceros conozcan sus responsabilidades con respecto a Protección de datos personales y seguridad de la información.
Los programas de capacitación serán actualizados de forma periódica.
Desde el proceso de Gestión de Talento Humano, en conjunto con el Oficial de Protección de Datos Personales, se definirán los planes de capacitación y evaluación de los empleados de acuerdo con los cambios normativos que se vayan presentando.
21. MEDIDAS DE SEGURIDAD
En desarrollo del principio de seguridad establecido en la Ley 1581 de 2012 y en el marco de la Política de Seguridad de la Información de la compañía, ADO TECHNOLOGIES adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
El personal que realice el tratamiento de los datos personales ejecutará los protocolos establecidos con el fin de garantizar la seguridad de la información.
En este sentido, ADO exigirá los mismos estándares de seguridad a cualquier tercero que maneje o procese datos personales por encargo nuestro.
El acceso a la información personal está restringido para evitar accesos no autorizados, modificaciones o usos indebidos, y estará permitido su tratamiento únicamente por personas vinculadas a ADO o encargadas expresamente por ADO.
22. VIGENCIA, MODIFICACIÓN Y/O ACTUALIZACIÓN DE LA POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES
La presente política para el tratamiento de datos personales se encuentra vigente a partir del mes de agosto del año 2023.
Cualquier cambio sustancial en las políticas de Tratamiento, se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto, correo electrónico enviado a los titulares, o a través de una comunicación corporativa informando la actualización o modificación.