Accede a todos tus servicios en línea Pagos, consultas, extractos y movimientos
Acceso a clientes

Manual de Protección de Datos Personales

Presentación

CRESI S.A.S., para dar cumplimiento a lo contemplado en la Constitución Política, la Ley 1581 de 2012 y los decretos 1377 de 2013 y capítulo 25 del decreto 1074 de 2015, normatividad que recopila las garantías que se deben ofrecer a las personas en el territorio nacional para tratar sus datos personales; procede a suscribir las políticas y procedimientos de seguridad de la información para el tratamiento de datos dentro de la empresa.

Consideraciones

  1. Que CRESI S.A.S., ha venido trabajando en la Protección y adecuación de la entidad a la norma de datos Personales desde el momento mismo de la creación y expedición de la ley.
  2. Que la Ley 1581 de 2012, otorgo un plazo de 6 meses a las empresas para adecuarse a la misma.
  3. Que CRESI S.A.S.,es una empresa que cumple con los mandatos legales y por ello se dispone a plasmar en este documento las políticas y procedimientos que garanticen el debido manejo de las bases de datos suministrados por los titulares de la información.
  4. Que en pro de mejorar e implementar un programa adecuado de protección de la información, CRESI S.A.S., se dispone a crear procedimientos que permitan el cumplimiento de la norma y la supervisión y control de los mecanismos propuestos para lograr la plena garantía de los derechos de los usuarios, dentro de un marco de calidad, seguridad y transparencia.
  5. Que el cumplimiento y acatamiento de las normas legales y las políticas aquí expuestas, corresponde, tanto a los socios, directivos, empleados, contratistas y demás personal vinculado a la compañía.
  6. Que para proteger la privacidad de la información y el debido respeto por los datos personales de los titulares, se han credo normas que regulan su tratamiento e imponen sanciones, civiles, administrativas y penales a quienes divulguen, manipulen y circulen información personal sin la debida autorización y sin el lleno de los requisitos exigidos para el tratamiento de datos personales.
  7. Que para proteger los datos personales de los empleados, CRESI S.A.S., asume la responsabilidad de custodiar y conservar los datos sensibles, hojas de vida e historias laborales de sus trabajadores, bajo protocolos de seguridad que eviten la filtración de información personal y confidencial.
  8. Que estas políticas se tendrán como un complemento de las obligaciones de los empleados y de la Empresa, entrando a formar parte del reglamento interno de trabajo, sin que ello vaya contra de la legislación laboral vigente.
  9. Con la publicación y divulgación de estas políticas y procedimientos, cada socio, directivo y empleado de CRESI S.A.S., asume la responsabilidad de evitar cualquier difusión, divulgación y manipulación de información de carácter personal sin el cumplimiento de los requisitos legales. En caso de presentarse un imprevisto que, por fuerza mayor o caso fortuito, ponga en riesgo la seguridad de la información, los empleados asumen la responsabilidad de actuar en pro de la recuperación y construcción de la información que por hechos ajenos a la voluntad de la empresa o sus directivos resulte afectada. Atendiendo a las anteriores consideraciones, CRESI S.A.S. imparte el siguiente manual de políticas y procedimientos internos para el tratamiento de datos personales.

Capitulo I. Apectos Generales

Identificación de la Empresa

  • Nombre: CRESÍ S.A.S
  • NIT: 900.576.847-8
  • Dirección: Carrera 8 # 12-44
  • Teléfono: (602) 886 2370
  • E-mail: servicioalcliente@cresi.com.co

CRESI S.A.S., para dar cumplimiento a lo contemplado en la Constitución Política, la Ley 1581 de 2012 y los decretos 1377 de 2013 y capítulo 25 del decreto 1074 de 2015, normatividad que recopila las garantías que se deben ofrecer a las personas en el territorio nacional para tratar sus datos personales; procede a suscribir las políticas y procedimientos de seguridad de la información para el tratamiento de datos dentro de la empresa.

Alcance

Este manual tiene por objeto cumplir con toda la normatividad creada a partir de la promulgación de la ley 1581 de 2012 en relación con el Tratamiento y la Protección de los Datos Personales.

CRESI S.A.S. en desarrollo de sus procesos internos captura, conserva y procesa la información de sus clientes, así como procesa información de los clientes de sus aliados estratégicos, es por eso que en su condición de Responsable y Encargado, incluye en este documento todos los procedimientos y políticas adoptados para garantizar la seguridad de esta información, la recolección, conservación y tratamiento de los datos, así como velar por el cumplimiento de los derechos de las personas que suministran su información a esta empresa.

El presente manual tiene aplicación para todos los datos recolectados, independientemente del medio a través del cual se capturen.

Objeto

Adecuar y aplicar la normatividad legal vigente en materia de protección de datos personales al objeto social de la compañía, identificando en que calidad obtendrá CRESI S.A.S, la información y como actuará frente a los titulares de la misma, en calidad de responsable, encargado, transmitente o transmisor.

Adicional a lo anterior, dar cumplimiento a lo establecido en la normatividad legal vigente, Constitución Política de Colombia, ley 1581 de 2012 y sus decretos reglamentarios, decreto 1377 de 2013 y capítulo 25 del decreto 1074 de 2015; creando las políticas y procedimientos que garanticen la debida protección y tratamiento de datos de carácter personal, entregando a los titulares de la información los mecanismos para hacer
efectivos sus derechos en cuanto a la utilización de sus datos con los fines para los cuales fueron suministrados o recolectados.

Definiciones

Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

Es cualquier dato y/o información que identifique a una persona física o la haga identificable. Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de cualquier otro tipo.

Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.

Tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario.

Es la persona física que tiene bajo su custodia la base de datos personales al interior de una empresa.
Es la persona física o jurídica, autoridad pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable.

Se refiere a aquellas bases contentivas de datos personales cuya consulta puede ser realizada, por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación.

Es la creación de información respecto de una persona, a partir del análisis y tratamiento de los datos personales recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de comportamiento, que generan un valor agregado sobre la información obtenida del titular de cada dato personal.

Hace referencia a todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho a la información.

Dentro de los procesos de negocios de CRESI S.A.S, es propietaria de la base de datos el área que tiene bajo su responsabilidad el tratamiento de los mismos y su gestión.

Es la persona física o jurídica, de naturaleza pública o privada, que recolecta los datos personales y decide sobre la finalidad, contenido y uso de la base de datos para su tratamiento.

Es la persona física cuyos datos sean objeto de tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente.

Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre datos personales, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.

Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal.
Es el delito creado por la ley 1273 de 2009, contenido en el artículo 269 F del Código Penal Colombiano. La conducta prohibida es la siguiente: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en base de datos, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.

Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por CRESI para proteger los datos personales entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los datos personales en poder de CRESI deberá ser informado a la autoridad de control en la materia.

Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.
Persona que asume la función de protección de datos personales, que dará trámite a las solicitudes de los Titulares, para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y cumplirá con las funciones estipuladas en la ley y mantendrá actualizados el Registro nacional e bases de datos.

Ámbito de Aplicación

La aplicabilidad de estas políticas está sujeta a los datos recolectados en el territorio nacional o datos que sean recolectados fuera del territorio colombiano y que cuenten con el debido contrato de transferencia internacional de datos, atendiendo a los tratados o normatividad internacional que permitan el desarrollo y debida garantía de los derechos de los titulares de los datos personales.

Destinatarios de la Norma

Las presentes políticas son aplicables y de obligatorio cumplimiento para las siguientes personas:

A. Representantes legales, administradores y socios.

B. Personal interno, directivos, personas que custodien y traten bases de datos de carácter personal.

C. Contratistas y personas naturales o jurídicas que presten sus servicios a la empresa bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice cualquier tratamiento de datos de carácter personal.

D. Revisor fiscal y aquellas otras personas con las cuales exista una relación legal

E. Personas públicas y privadas en condición de usuarios de los datos personales.

F. Las demás personas que establezca la ley.

Capitulo II. Principios Rectores

Para garantizar un manejo adecuado en el tratamiento de protección de datos personales y entregar a los usuarios herramientas que les permita hacer efectivos sus derechos, Cresi S.A.S., mantendrá los siguientes principios rectores:

Principio de Legalidad en Materia de Tratamiento de Datos

El tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

Principio de Finalidad

El tratamiento debe obedecer a una finalidad legítima de acuerdo con la constitución y la ley, la cual debe ser informada al titular.

Principio de Libertad

El tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del titular. los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Principio de Veracidad o Calidad

La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de Transparencia

En el tratamiento debe garantizarse el derecho del titular a obtener del responsable del tratamiento o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

Principio de Acceso y circulación Restringida

El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la constitución. en este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley.

Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley.

Principio de Seguridad

La información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de Confidencialidad

Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

Necesidad y Proporcionalidad

Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de las finalidades del tratamiento, informadas al titular. En tal sentido, deben ser adecuados, pertinentes y acordes con las finalidades para los cuales fueron recolectados.

Temporalidad o Caducidad

El período de conservación de los datos personales será el necesario para alcanzar la finalidad para la cual se han recolectado, sin menoscabo del derecho que le asiste al titular para revocar la autorización y solicitar la supresión del dato.

Interpretación Integral de Derechos Constitucionales

La ley 1581 de 2012, se interpretará en el sentido de que se amparen adecuadamente los derechos constitucionales, tales como el habeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. los derechos de los titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la constitución y con los demás derechos constitucionales aplicables.

Capitulo III. Derechos de los Titulares de las Bases de Datos

Conocer, Actualizar y Rectificar sus Datos Personales

Frente a los responsables del tratamiento o encargados del tratamiento. este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

Solicitar Prueba de la Autorización Otorgada al Responsable del Tratamiento

Salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la presente ley.

Ser Informado por el Responsable del Tratamiento o el Encargado del Tratamiento

Previa solicitud, respecto del uso que le ha dado a sus datos personales.

Presentar Quejas ante la Superintendencia de Industria y Comercio

Por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen.

Revocar la Autorización y/o Solicitar la Supresión del Dato

Cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la superintendencia de industria y comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la constitución.

ALBA ROCIO MONTERO S.
Representante Legal
CRESI S.A.S.