Professional Documents
Culture Documents
TABLA DE CONTENIDO
1. INTRODUCCION 1
2. OBJETIVO 4
3. ALCANCE 6
4. RESPONSABLES 6
5. POLITICA 7
6. RIESGOS 8
8. DIAGRAMA DE FLUJO
9. DOCUMENTOS RELACIONADOS
Comercial Allan S.A.S, sociedad comercial identificada con el NIT 860053831 - 1, con domicilio
principal en la Autopista Medellín, Kilometro 1.8, costado sur, Parque Industrial Soko, Bodega 4,
Cota (Cundinamarca, Colombia) (en adelante, “LA COMPAÑÍA”, “Helados Popsy” o “Comercial
Allan”), reconoce la importancia de la seguridad, privacidad y confidencialidad de los datos
personales de sus trabajadores, clientes, proveedores y, en general, de todos sus agentes de
interés respecto de los cuales ejerce tratamiento, por lo que en cumplimiento a los mandatos
constitucionales y legales, adoptamos el siguiente documento que contiene el Manual de Políticas y
Procedimientos Internos de Protección de Datos Personales y Privacidad.
2. OBJETIVO
El presente Manual tiene por objeto proteger el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
las bases de datos o archivos de propiedad de LA COMPAÑÍA, o cuyo tratamiento ha sido
encargado a LA COMPAÑÍA, en desarrollo y cumplimiento de su objeto social, así como los demás
derechos, libertades y garantías constitucionales a que se refieren los artículos 15 (derecho a la
intimidad) y 20 (derecho a la información) de la Constitución Política de Colombia.
En este manual de políticas de tratamiento de datos personales usted encontrará los lineamientos
generales legales y corporativos para la aplicación, monitoreo, sostenimiento y mejor continua de
las políticas y procedimientos bajo los cuales LA COMPAÑÍA realiza el Tratamiento de sus datos,
las Finalidades, sus derechos como titular, así como los procedimientos internos y externos que
existen para el ejercicio de tales derechos ante LA COMPAÑÍA.
LA COMPAÑÍA entiende por protección de datos todas aquellas medidas que tomamos, tanto a
nivel físico, técnico como jurídico para garantizar que la información de los Titulares –personas
naturales- (proveedores, clientes, empleados, ex empleados, etc.) registrados en la base de datos
de LA COMPAÑÍA, esté segura de cualquier ataque o intento de acceder a ella por parte de
personas no autorizadas, así como que su uso y conservación sea adecuado a las Finalidades
establecidas para la recolección de los Datos Personales.
Este manual tiene como objetivo dar cumplimiento a la legislación vigente en materia de protección
de datos, en especial la Ley 1581 de 2012, el capítulo 25 del decreto 1074 de 2015, el Decreto
1377 de 2013 y demás normas concordantes, así como todas aquellas que los modifiquen,
adicionen, complementen o desarrollen.
3. ALCANCE
El presente Manual Interno de Políticas y Procedimientos para el Tratamiento de Protección de Formatted: Justified
Datos Personales La presente Política de Tratamiento de Datos Personales está dirigidoa a todos los
que tengan o hayan tenido alguna relación con LA COMPAÑÍA: a saber, empleados, ex
empleados, proveedores, clientes tanto activos como inactivos o cualquier tercero cuyos Datos
Personales se encuentran incluidos en las Bases de Datos de LA COMPAÑÍA.
4. RESPONSABLES
FUNCIÓN ROL
Elabora el manual Director de IT- Director Legal Commented [j1]: Propongo hablemos del Oficial de Privacidad
Revisa el manual Gerencia administrativa y financiera (Iván, Karen y Ximena.)
5. POLITICA
LA COMPAÑÍA cuenta con un lineamiento organizacional tomando como base la “Política de
seguridad de la información” un espacio para la protección de datos personales:
6. RIESGOS
Con base en la Matriz de riesgo de bases de datos es extrae esta información para verificar los
riesgos.
Procedimiento derechos
titular
Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y Formatted: Not Highlight
Titular supresión) se presentaran vía electrónica al correo Formatted: Justified, Indent: Hanging: 0.1", No bullets or
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista numbering
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos: Formatted: Font: Verdana, 10 pt
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y
documento de identidad.
Tutores: Sentencia judicial que confiere representación
legal.
Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar Formatted: Indent: Left: -0.14", Hanging: 0.1", No bullets
a la Petición, el Reclamo, o consulta, de los datos personales que el titular or numbering
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos Formatted: Font: Verdana, 10 pt
Notificación vía correo electrónico de la ejecución de conocer, actualizar,
rectificar y suprimir información en la plataforma ERP.
Finalidad de recolección La finalidad de LA COMPAÑÍA para utilizar los datos personales de los
de datos clientes y prospectos es comunicar información relacionada con los
productos, eventos y servicios, estudios de mercadeo, procesos de auditoría
interna y externa, encuestas de opiniones sobre bienes y servicios,
respuestas PQR’s, para el desarrollo de operaciones recaudo de cartera,
tesorería, contabilidad y cobros.
Consulta de información histórica en bases de datos públicas.
Temporalidad Para clientes sin movimiento los datos privados deben permanecer acorde al
tiempo estipulado por estatuto tributario por 5 años atrás. Una vez vencidos
los 5 años se deberán eliminar los datos privados del Titular.
Para prospectos los datos personales serán suprimidos en tiempo no mayor a
### en compañía del área de contraloría.
BASE DE DATOS PROVEEDORES
Definición Descripción
Recolección El área de compras es la encargada de recolectar información de los
proveedores que estén en capacidad de suministrar productos, bienes y/o
servicios.
En cada caso y de acuerdo a la normatividad aplicable al protocolo, se
solicita al Titular su autorización para recolectar sus datos personales, salvo
los que por ley no sea requerido el otorgamiento de dicha autorización.
Metodología de La recolección de datos básicos se realiza a mediante internet, páginas web
recolección de compañías, contactos web y directorios telefónicos, datos referenciados
por la gerencia interesada y/o terceros.
Herramientas de Se utiliza como herramienta un formato en Excel protegido para recopilar
recolección datos importantes que posteriormente se trasladan al ERP.
Almacenamiento Lugar donde se guardan las bases de datos para uso exclusivo de personal
calificado: Plataforma ERP que automáticamente se guarda en el datacenter
de la compañía.
Procedimiento de
almacenamiento FORMATO REGISTRO DE PROVEDORES - SOLICITUD CREACION BD ---
Procedimiento derechos
titular
Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y
documento de identidad.
Tutores: Sentencia judicial que confiere representación
legal.
Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar a
la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos
Notificación vía correo electrónico de la ejecución de conocer, actualizar,
rectificar y suprimir información en la plataforma ERP.
Finalidad de recolección La finalidad de LA COMPAÑÍA para utilizar los datos personales de los
de datos clientes y prospectos es comunicar información relacionada con los
productos, eventos y servicios, estudios de mercadeo, procesos de auditoría
interna y externa, encuestas de opiniones sobre bienes y servicios,
respuestas PQR’s, para el desarrollo de operaciones recaudo de cartera,
tesorería, contabilidad y cobros y pagos.
Consulta de información histórica en bases de datos públicas.
Temporalidad Los seleccionados tendrán una temporalidad indefinida, mientras exista la
relación contractual con el proveedor. Los no seleccionados tendrán una
temporalidad limitada a ********, caducado este tiempo los datos serán
destruidos con acompañamiento del área de contraloría.
BASE DE DATOS EMPLEADOS
Definición Descripción
Recolección La recolección de la información de empleados así como de los aspirantes a
vacantes, será diferenciada así: antes, durante y después de la relación
laboral.
Antes: LA COMPAÑÍA informara de manera anticipada a los
participantes en el proceso de selección, las reglas que se aplican al
tratamiento de los datos personales que suministre el aspirante, de
igual manera los datos que se obtengan durante el proceso de
selección. Una vez termine el proceso de selección, se informará el
resultado negativo.
La información que se obtenga de quienes no fueron seleccionados,
resultados de pruebas sicotécnicas y entrevistas serán eliminados de
los sistemas de información. La finalidad de la entrega de los datos se
limita a la participación en el proceso de selección, por tal razón
cualquier uso diferente está prohibido.
Uso de datos Los datos recolectados se definirán como empleados y aspirantes. Los
empleados tendrán una temporalidad indefinida, mientras exista la relación
laboral con la compañía. Los aspirantes que no fueron seleccionados,
tendrán durante el tiempo de selección una carpeta digital o física donde
repose su información, la cual al final del proceso de selección una vez
notificado será entregada o destruida previa autorización del titular.
Circulación Los datos privados no serán publicados en internet u otros medios de
divulgación o comunicación masiva, solo tendrán acceso a estos datos el
personal de las áreas autorizadas a través del ERP, salvo la debida Formatted: Highlight
autorización otorgada por el titular.
El consolidado de la base de datos se encuentra en un servidor protegido con
medidas tecnológicas de protección, protocolos y todo tipo de medidas
administrativas necesarias para otorgar seguridad a los registros y
repositorios electrónicos evitando su adulteración, modificación, perdida,
consulta externa y en general en contra de cualquier uso o acceso no
autorizado.
Procedimiento de RECURSOS HUMANOS--- PRICE WATERHOUSE - *******
circulación
Derechos titular El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, por medio de los canales establecidos para la atención
de PQR’s, como fin último se busca garantizar el ejercicio de los derechos de
Acceso, consulta, reclamo y rectificación.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, se pide la presentación o envío del documento de
identificación vía electrónica que lo acredite como titular de la información
para proceder con la solicitud realizada.******
Procedimiento derechos
titular
Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y Formatted: Indent: First line: 0"
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y
documento de identidad.
Tutores: Sentencia judicial que confiere representación
legal.
Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar Formatted: Indent: Left: 0", Hanging: 0.05"
a la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos
Notificación vía correo corporativo de la ejecución de conocer, actualizar,
rectificar y suprimir información en la plataforma ******.
Finalidad de recolección La finalidad de LA COMPAÑÍA para utilizar los datos personales de los Formatted: Highlight
de datos clientes y prospectos es comunicar información relacionada con los
productos, eventos y servicios, estudios de mercadeo, procesos de auditoría
interna y externa, encuestas de opiniones sobre bienes y servicios,
respuestas PQR’s, para el desarrollo de operaciones recaudo de cartera,
tesorería, contabilidad y cobros
Consulta de información histórica en bases de datos públicas.
Procedimiento finalidad
recolección de datos
Procedimiento derechos
titular
Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y
documento de identidad.
Tutores: Sentencia judicial que confiere representación
legal.
Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar
a la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos
Finalidad de recolección
de datos
Procedimiento finalidad
recolección de datos
Uso de datos El principal uso de los fotogramas capturados son para fines de control,
auditoria y seguridad de los puntos de venta e instalaciones de LA
COMPAÑÍA.
Circulación Los datos personales en este caso las imágenes del titular, salvo la
información personal no serán publicados en internet u otros medios de
divulgación o comunicación masiva, solo tendrán acceso a estos datos el
personal de las áreas autorizadas o terceros autorizados exclusivamente por
el responsable de los datos a través del sistema de videograbación y
vigilancia.
Procedimiento de ……………..
circulación
Derechos titular El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.
Cuando el titular realiza la solicitud para conocer, actualizar, rectificar y
suprimir información, por medio de los canales establecidos para la atención
de PQR’s, como fin último se busca garantizar el ejercicio de los derechos
de Acceso, consulta, reclamo y rectificación.
El área encargada de suministrar información a los titulares de datos
personales, será el área Legal de la compañía; así como de actualizar,
rectificar y suprimir información que repose en las bases de datos.
Procedimiento derecho
titular
Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y
documento de identidad.
Tutores: Sentencia judicial que confiere representación
legal.
Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar
a la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos
--------------
Finalidad de recolección La finalidad de la video vigilancia es garantizar la seguridad de los bienes del
de datos sitio donde se encuentra instalado el sistema de monitoreo así como el de la
seguridad de las personas, grabando lo eventos ocurridos en tiempo real.
Procedimiento finalidad SEÑALES DISTINTIVAS EN CADA SITIO ESTRATÉGICO- PARA INFORMAR AL
recolección de datos CLIENTE DE LA RECOLECCION DE IMAGNES DE VIDEO VIGILANCIA
Procedimiento derechos
titular
Entregable derechos Los Derechos de los titulares (Acceso, consulta, reclamo, rectificación y
Titular supresión) se presentaran vía electrónica al correo
contacenos@heladospopsy.com, y por medio físico al domicilio Autopista
Medellín, Kilometro 1.8, Costado Sur, Parque Industrial SOKO, Bodega 4. En
tal sentido el titular de los datos deberá aportar como minimo; (i) Nombre y
domicilio donde recibirá respuesta,(ii) Documento que acredite la identidad y
capacidad de su representante, tal como se indica en los siguientes casos:
- Titular: Documento de identificación.
- Causahabiente: Registro civil y documento de identificación.
- Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y
documento de identidad.
Tutores: Sentencia judicial que confiere representación
legal.
Representante legal autorizado por el titular: Poder
autenticado.
(iii) deberá hacer una descripción clara y precisa de los hechos que dan lugar
a la Petición, el Reclamo, o consulta, de los datos personales que el titular
realiza, sus causahabientes o representantes, así mismo, como precisar la
pretensión, y (iv) finalmente, hará una descripción clara y precisa, de los
Datos Personales respecto de los cuales el titular busca ejercer el o los
derechos
Procedimiento finalidad
recolección de datos
8. DIAGRAMA DE FLUJO
9. DOCUMENTOS RELACIONADOS
- Formato de autorización de tratamiento de datos personales.
- Aviso de privacidad
- Aviso de video vigilancia
- Cláusula contractual para tratamiento de datos personales
10. DEFINICIONES
Para los efectos de la presente manual y en concordancia con la normatividad vigente en materia de protección de datos
personales, se tendrán en cuenta las siguientes definiciones:
Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos
personales.
Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento
de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de
información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende
dar a los datos personales.
Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas
o determinables. Se entiende por “Dato personal” una información relacionada con una persona natural (persona
individualmente considerada). Son algunos ejemplos de datos personales los siguientes: nombre, número de
identificación ciudadana, dirección postal, dirección de correo electrónico, número telefónico, estado civil, datos de salud,
huella dactilar, salario, bienes, estados financieros, etc. Los Datos Personales se clasifican en públicos, privados,
semiprivados y sensibles, entre otras clasificaciones.
Dato personal privado: Cualquier Dato Personal que sólo puede ser conocido por el Titular o su entorno más cercano, a
menos que exista expresa Autorización para su divulgación.
Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los
datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público.
Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
Dato personal semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo
conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad
en general. Ejemplo de estos Datos Personales son los relativos al comportamiento financiero y crediticio comercial y de
servicios administrados por las centrales de riesgo.
Dato personal privado sensible:Cualquier Dato Personal relacionado directamente con la esfera íntima del Titular. En
general, el uso indebido de Datos Personales sensibles puede ser fuente de discriminación. Los Datos Personales
relativos a la salud, la vida sexual, la orientación política y los Datos Personales biométricos son considerados Dato
Personal Sensible.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido
puede generar su discriminación, tales como que revelen el origen racial o étnico, la orientación política, las convicciones
religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva
intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así
como los datos relativos a la salud, a la vida sexual, y los datos biométricos entre otros, imagen personal fija o en
movimiento, las huellas digitales, las fotografías, el iris, el registro de la voz, facial o de palma de mano, etc.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros,
realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.
Oficial de protección de datos personales: Es la persona designada para ejercer la función de vigilancia y control de la
aplicación del Régimen Colombiano de Protección de Datos Personales al interior de LA COMPAÑÍA, cuyas funciones se
precisan en este Manual.
RCPDP: Es el Régimen Colombiano de Protección de Datos Personales, conformado, en la fecha de expedición de este
Manual, por la Ley Estatutaria 1581 del 2012, la Ley 1266 de 2008 y el Decreto 1074 de 2015, así como cualquier norma
que en el futuro modifique, sustituya, adicione o complemente las leyes y el decreto antes enunciados.
Reclamo: Solicitud del Titular del Dato Personal, o de las personas autorizadas por éste o por la ley para corregir,
actualizar o suprimir sus Datos Personales o para revocar la Autorización en los casos establecidos en la ley.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros,
decida sobre la base de datos y/o el Tratamiento de los datos.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección,
almacenamiento, uso, circulación o supresión.
Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos
personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es
responsable del tratamiento y se encuentra dentro o fuera del país.
Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio
de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del
responsable.