1.1.1.1 POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES
VALEMAS S.A.S
NIT. 9003538678
Bogotá - Colombia
soporte@binkcard.com
Carrera 13A # 37-25
Tel: +57 (310) 6255024
1. Objetivo
Definir los lineamientos generales para la implementación, aplicación, monitoreo, sostenimiento y mejora continua del Sistema de gestión y cumplimiento del régimen de protección de datos personales en la operación de VALEMAS SAS (en adelante “VALEMAS” o la “Compañía”).
2. Finalidad
VALEMAS se encuentra comprometido con la protección de datos de sus consumidores, clientes y proveedores. En este orden, ha implementado la presente Política en materia de protección de datos personales alineada con la regulación local y con el General Data Protection Regulation de la Unión Europea “GDPR”.
El objetivo de esta Política es establecer y estandarizar el nivel de cumplimiento por parte de los funcionarios de VALEMAS (o cualquier otra compañía que forme parte del grupo empresarial al que VALEMAS pertenezca) respecto de las normas y buenas prácticas más garantistas en materia de protección de datos personales y privacidad.
Este texto está alineado con los objetivos estratégicos de VALEMAS y, por ello, requiere el máximo compromiso de la dirección y de todas las personas que forman parte de la Compañía para cumplir sus disposiciones al tratar los datos personales de sus empleados, proveedores, candidatos, clientes y usuarios, accionistas y otros interesados.
Como norma de alto nivel, esta Política habilita la elaboración de normas internas de cumplimiento de carácter específico que desarrollen y amplíen su contenido (tanto procedimientos como instrucciones).
3. Ámbito de aplicación
La presente Política es de obligatorio cumplimiento y de aplicación global y directa para todas las sociedades que integran o llegarán a integrar el Grupo VALEMAS si este existe o llegaré a existir, y vincula a todo su personal, independientemente de la posición y función que desempeñen.
A estos efectos, se entenderá que forman parte del Grupo VALEMAS las sociedades en las que VALEMAS sea titular, directa o indirectamente, de al menos el 50% del capital social o de los derechos de voto. Se entenderán aplicables las presentes disposiciones a todas aquellas sociedades que hagan parte del referido grupo empresarial declarado y registrado o de uno de hecho al que pertenezca o llegaré a pertenecer VALEMAS.
La aplicación de la Política podrá hacerse extensiva, total o parcialmente, a cualquier persona física, natural o jurídica relacionada con VALEMAS, cuando así convenga para el cumplimiento de su finalidad y sea posible por la naturaleza de la relación que la vincule con VALEMAS.
La aplicación de esta Política es complementaria a otras normas internas de obligatorio cumplimiento, como la Política de Seguridad de la Información, y aquellas otras que regulen cuestiones relacionadas con la información de la Compañía.
La aplicación de la Política y su normativa de desarrollo, en ningún caso podrá suponer el incumplimiento de las disposiciones legales vigentes en los mercados donde VALEMAS opera. Tales disposiciones se aplicarán, en todo caso, con prevalencia a cualquier norma interna de VALEMAS. En ausencia de disposiciones legales vigentes en el mercado que corresponda, o como complemento de las que existan, el contenido de esta Política resultará de aplicación.
Esta política es aplicable a toda información determinada como dato personal que estén bajo la responsabilidad de VALEMAS.
Todos los funcionarios, contratistas, proveedores de servicios o personal externo, que por su labor recolectan, almacenan, usan, circulan o supriman datos e información de VALEMAS deberán conocer y dar cumplimiento a la presente política.
La Política estará disponible para todos los empleados a través de los medios de divulgación del sistema de gestión. También será notificada a todos sus Miembros de asamblea y Directivos, así como a cualquier persona que guarde relación contractual con la Compañía, cuando así lo requiera la naturaleza de su relación, quienes deberán asumir el compromiso de su cumplimiento.
4. Contenido de la Política
Las disposiciones establecidas en esta Política tienen su fundamento en las definiciones, principios básicos y requisitos legales exigidos por la legislación colombiana en materia de protección de datos personales, las disposiciones internacionales aplicables, en especial el Reglamento General de Protección de datos de la Unión Europea “RGPD” o “GDPR”, Ley N°1581/2012, Decreto N°1377/2013 y sus normas complementarias (en adelante, “LPDP”).
5. Definición
A los efectos de un entendimiento homogéneo de los términos de protección de datos personales y privacidad, los siguientes términos tendrán el significado que se da a continuación:
· Accionistas: Personas naturales o jurídicas que mediante sus aportes de capital conformaron la totalidad del capital suscrito y pagado de la compañía y poseen derechos económicos sobre la misma.
· Autorización: Es el consentimiento previo, expreso e informado del Titular para que VALEMAS realice Tratamiento de sus Datos Personales.
· Base de Datos: Es el conjunto organizado de Datos Personales que sean objeto de Tratamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización y acceso.
· Categorías especiales de datos: Son aquellos datos personales que sólo pueden ser tratados cuando se cumplan determinadas exigencias impuestas por la normativa aplicable, así como los que, por su especial naturaleza, la Compañía considere en cualquier momento. En particular, son las siguientes:
o datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical;
o datos genéticos;
o datos biométricos;
o datos de salud;
o datos relativos a la vida sexual o la orientación sexual de una persona; y
o datos de naturaleza penal
o datos de niños, niñas y adolescentes
· Clientes: Grupo de personas naturales o jurídicas que hacen uso directo de los servicios ofrecidos por VALEMAS en el desarrollo de sus actividades.
· Dato Personal: Es información de cualquier tipo, vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, como lo pueden ser datos de identificación (nombre, cédula, edad, género), de contacto (teléfono, correo electrónico, dirección), información financiera, y otros datos relacionados.
· Dato Público: Significa el Dato Personal calificado como tal según los mandatos de la ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
· Dato Sensible: Es el Dato Personal que podría afectar la intimidad del Titular o que podría ser usado indebidamente para facilitar su discriminación, tales como aquellos que revelen afiliaciones sindicales, el origen racial o étnico, la orientación política, las convicciones religiosas, morales o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
· Empleados: Corresponde a las personas naturales que formalizan un vínculo jurídico contractual para poner a disposición de la compañía su capacidad laboral y de esta manera colaborar en la consecución de las metas y objetivos de esta, estas personas son parte activa de los procesos misionales y de apoyo de VALEMAS.
· Encargado: Es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento por cuenta de VALEMAS.
· Incidente de la seguridad de los datos personales: Todo incidente de seguridad de la información que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
· Ley Aplicable: Se refiere en concreto a la Ley 1266 de 2008, Ley 1581 de 2012, Ley 2300 de 2023, Decreto 1377 de 2013, Capítulo 25, Título II, Parte 2, Libro 2 del Decreto 1074 de 2015, Decreto 886 de 2014, Capítulo 26, Título III, Parte 2, Libro 2 del Decreto 1074 de 2015, el Título V de la Circular Única de la Superintendencia de Industria y Comercio y la Sentencia C-748 de 2011 y toda la jurisprudencia aplicable de la Corte Constitucional pero sin limitarse a las normas, leyes o decretos que regulen, modifiquen o deroguen las normas que se citan en el presente instructivo, y, de igual forma, al resto de normas, leyes, jurisprudencia o decretos que sean aplicables a la materia.
· Manual: Es el documento emitido por VALEMAS y en el cual están consignados las políticas y procedimientos para asegurar el cumplimiento de la Ley y atender las consultar y reclamos de los Titulares.
· Política: Es el presente documento, en el cual están consignadas las directrices del Tratamiento de Datos Personales y que incluye, entre otras cosas, (i) la plena identificación del Responsable (nombre, razón social, domicilio, dirección, correo electrónico y teléfono); (ii) las formas de Tratamiento; (iii) las finalidades; (iv) los derechos de los Titulares; (v) los procedimientos para consultas y reclamos para el ejercicio de los derechos de los Titulares, y (vi) el canal dispuesto y la dependencia encargada de atender consultas de los Titulares.
· Responsable: Es VALEMAS, como la persona jurídica con la facultad para decidir sobre las Bases de Datos, sobre los Datos Personales y controlar su Tratamiento.
· Proveedores: Personas naturales o jurídicas que prestan sus servicios personales o profesionales, acorde con sus competencias y las necesidades de la Compañía.
· Titular: Es la persona natural, sujeta del derecho de hábeas data, a quien se refieren los Datos Personales que serán tratados por VALEMAS y cuya información podrá reposar en una Base de Datos.
· Transferencia: Es el tipo de Tratamiento que implica el envío de Datos Personales a un receptor, que es responsable y se podrá encontrar fuera o dentro del territorio de la República de Colombia. En la Transferencia el receptor actuará en calidad de responsable y no estará sujeto a los términos y condiciones de esta Política.
· Transmisión: Es el tipo de Tratamiento que implica la comunicación de los Datos Personales dentro o fuera del territorio de Colombia para que el Encargado realice el Tratamiento de tales Datos Personales por cuenta del responsable. En la Transmisión el receptor actuará en calidad de Encargado y se someterá a la Política o a los términos establecidos en el contrato de Transmisión correspondiente.
· Tratamiento: Es toda operación o procedimiento sistemático, electrónico o no, incluso a través de herramientas como web bugs, cookies, spiders, web crawlers y web beacons, que permita la recolección, conservación, ordenamiento, almacenamiento, modificación, indexación, perfileo, relacionamiento, uso, circulación, análisis, segmentación, anonimización, compendio, evaluación, bloqueo, destrucción y, en general, el procesamiento de Datos Personales, así como también su entrega a terceros a través de comunicaciones, consultas, interconexiones, cesiones, mensajes de datos y otros medios que sirvan al efecto.
6. Responsabilidades
Es responsabilidad del encargado de la protección de datos personales, velar por el cumplimiento adecuado de esta Política, y en concreto, es responsable de asesorar y supervisar el cumplimiento de la normativa derivada de la misma. Cuenta con la colaboración de otras áreas de la Compañía para el correcto desarrollo y ejecución de sus funciones y reporta a la Dirección general.
No obstante, la responsabilidad de cumplir con las normas y estándares aplicables es siempre de la Compañía, que velará por integrar las obligaciones de cumplimiento en materia de protección de datos personales y privacidad dentro de sus actividades diarias, lo que compete a toda la organización y, por lo tanto, a sus órganos de gobierno y a todos sus empleados.
Todos los empleados de VALEMAS son responsables del cumplimiento de esta Política y de la normativa interna que la desarrolle o complemente. En particular, cada empleado deberá:
· cumplir, en el desempeño de su actividad en VALEMAS, con sus obligaciones de confidencialidad y secreto con respecto a los datos personales a los que tengan acceso;
· utilizar los datos personales únicamente para la finalidad para la que se recabaron y en el marco del cumplimiento de sus responsabilidades laborales;
· asistir a las formaciones relacionadas con la privacidad o la protección de datos;
· cooperar en la implantación de las medidas y facilitar la información y documentación que se les solicite para acreditar el cumplimiento en materia de protección de datos personales y privacidad; y
· comunicar cualquier incumplimiento de la presente Política poniéndose en contacto con su responsable directo o el responsable de Protección de Datos y Privacidad.
7. Principios del tratamiento de los datos personales y compromisos de la Compañía
Los principios por los que se rige VALEMAS y los compromisos adoptados que regulan cómo se deben tratar los datos personales responsabilidad de la Compañía son:
· Principio de legalidad: El Tratamiento de Datos Personales es una actividad que debe sujetarse a lo establecido en las normas que reglamentan la materia.
· Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular por los medios previstos normativamente.
· Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
· Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. VALEMAS debe abstenerse de proceder con el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
· Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable o del Encargado, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan de conformidad con las normas que reglamentan este acceso.
· Principio de acceso y circulación restringida: El Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley aplicable, para lo cual la Compañía debe adelantar las acciones necesarias para obtener la correspondiente autorización del Titular en cuanto sea necesario.
· Principio de seguridad: La información sujeta a Tratamiento por VALEMAS en calidad de Responsable o Encargado, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los datos evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
· Principio de confidencialidad: Todo el Personal de la Compañía y otros que intervengan en el Tratamiento de Datos Personales en nombre y representación de la Compañía, están obligadas a garantizar la reserva de la información.
· Principio de responsabilidad demostrada: Al recolectar y realizar el Tratamiento de Datos Personales, VALEMAS implementará medidas apropiadas y efectivas para cumplir con las obligaciones establecidas por la Ley aplicable.
Oficial de Protección de Datos: de conformidad con la normativa aplicable y su voluntad de seguir las buenas prácticas del mercado, la Compañía respaldará a la persona nombrada como Oficial de Protección de Datos (en adelante, el “OPD”) y su equipo en sus funciones de cumplimiento de la normativa de protección de datos personales y privacidad, y pondrá a disposición de los interesados y las autoridades sus datos de contacto.
Protección de datos personales desde el diseño y por defecto: la Compañía aplicará las medidas técnicas y organizacionales apropiadas, en función del riesgo de la acción, desde el diseño de la misma y por defecto.
Evaluación de riesgo e impacto en materia de protección de datos personales: cuando una actividad conlleve el tratamiento de datos personales que pueda suponer un riesgo elevado para los derechos y libertades del interesado, en la medida y forma en que la normativa lo exija, VALEMAS llevará a cabo una evaluación de riesgos e impacto en la protección de los datos personales y privacidad antes del inicio del tratamiento.
Gestión de incidentes de seguridad de los datos personales: en caso de que se produzca un incidente que afecte a la seguridad de los datos personales, se seguirán los procedimientos corporativos de seguridad de la información de la Compañía, así como aquellos específicos de protección de datos personales y privacidad que incluyan la gestión de las notificaciones a autoridades y/o interesados.
Derechos de los interesados: la Compañía garantizará que los interesados puedan ejercitar los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición que sean de aplicación en cada jurisdicción, estableciendo a tal efecto la normativa interna que resulte necesaria para cumplir, al menos, los requisitos exigidos por la normativa en cada caso.
Contratación de prestadores de servicios: en los casos en que los prestadores de servicios puedan tener acceso a los datos personales de los cuales es responsable VALEMAS:
· dicho acceso se limitará únicamente a los datos personales estrictamente necesarios;
· se deberá elegir diligentemente al prestador de servicios. En particular, se deberán tener en cuenta las medidas de seguridad técnicas y organizacionales proporcionadas; y se regulará debidamente la relación entre VALEMAS y el prestador de servicios, a través de las cláusulas contractuales adecuadas para el tratamiento de datos personales.
Transferencias internacionales de datos: la Compañía cumplirá con los requisitos establecidos para las transferencias internacionales de datos personales que sean, en su caso, aplicables en los mercados en los que opera.
Registro de actividades de tratamiento: VALEMAS se responsabiliza de llevar un registro en el que se describa, de acuerdo con la normativa aplicable, los tratamientos de datos personales que se lleven a cabo en el marco de las actividades de la Compañía.
8. Tipos de titulares del tratamiento de información y registro de actividades de tratamiento de datos personales.
En el desarrollo de sus actividades misionales, estratégicas de soporte y conexas, la Compañía realiza actividades de Tratamiento de datos personales frente a las siguientes categorías de titulares y actividades de Tratamiento respecto de las cuales VALEMAS SAS ostenta la condición tanto de responsable como de Encargado del Tratamiento:
· Accionistas
· Proveedores
· Empleados
· Clientes
9. Registro de actividades de tratamiento en condición de responsable del tratamiento.
9.1 Accionistas
· Datos generales referentes a su condición de mayoría de edad
· Datos de Identificación
· Datos de ubicación Comercial
· Datos socioeconómicos, como datos de naturaleza tributaria
Los anteriores datos serán tratados conforme a lo contemplado en el numeral 11 Tratamiento y finalidades al cual serán sometidos los datos de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”
Legitimación: La información recolectada es requerida como requisito legal del responsable del tratamiento para soportar la calidad de accionista de los titulares del tratamiento.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 15.7 de la presente política.
9.1.1 Proveedores
· Datos generales referentes a su condición de mayoría de edad
· Datos de Identificación
· Datos de ubicación Comercial
· Datos socioeconómicos: Información relacionada con los antecedentes académicos, laborales, profesionales, información acerca del tipo de vinculación al Sistema Integral de Seguridad Social, datos de identificación tributaría.
· Otros datos: Antecedentes judiciales o disciplinarios
Los anteriores datos serán tratados conforme a lo contemplado en el numeral 10 Tratamiento y finalidades al cual serán sometidos los datos de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”.
Legitimación: La información recolectada es requerida como requisito legal del responsable del tratamiento para soportar la calidad de proveedor del titular, así como para soportar el consentimiento otorgado por el titular para el tratamiento de datos personales y controlar la ejecución contractual.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 15.7 de la presente política.
9.1.2 Empleados
· Datos generales referentes a su condición de mayoría de edad
· Datos de Identificación incluida la información biométrica
· Datos de ubicación privada y comercial
· Datos socioeconómicos: Datos de carácter económico, Información tributaria, datos patrimoniales, datos de carácter laboral, nivel educativo, Información relacionada con el Sistema Integral de Seguridad Social
· Otros datos: Antecedentes judiciales o disciplinarios. Datos asociados a contraseñas usuarios de sistemas ERP de la compañía
Finalidad del tratamiento: Los anteriores datos serán tratados conforme a lo contemplado en el numeral 10 Tratamiento y finalidades al cual serán sometidos los datos de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADS DEL TRATAMIENTO DE LA INFOMRACIÓN PERSONAL”.
Legitimación: La información recolectada es requerida como requisito legal del responsable del tratamiento para soportar la calidad de empelado del titular, así como para soportar el consentimiento otorgado por el titular para el tratamiento de datos personales y adelantar las actividades propias del relacionamiento contractual.
Las medidas de seguridad asociadas a la información tratada se relacionan en el numeral 15.7 de la presente política.
9.1.3 Clientes
· Datos generales referentes a su condición de mayoría de edad.
· Datos de Identificación
· Datos de ubicación privada y comercial
· Datos de tipo socioeconómico necesarios para el perfeccionamiento y operación del relacionamiento comercial.
Los anteriores datos serán tratados conforme a lo contemplado en el numeral 10 Tratamiento y finalidades al cual serán sometidos los datos de la presente política en el que se relacionan los “PRINCIPALES ESCENARIOS Y FINALIDADES DEL TRATAMIENTO DE LA INFORMACIÓN PERSONAL”.
Legitimación: La información recolectada es requerida para soportar las actividades de vinculación comercial, conservar evidencia del consentimiento entregado por el titular y realizar las actividades propias de la ejecución comercial convenida.
10. Tratamiento y finalidades al cual serán sometidos los datos
10.1 Proveedores:
· Verificar antecedentes comerciales, reputacionales y eventuales riesgos de relacionamientos asociados al Lavado de Activos y Financiación del terrorismo.
· Vincular al proveedor jurídica y comercialmente con la Compañía, permitiendo el desarrollo de los procedimientos contables, logísticos y financieros de la operación.
· Formalizar el relacionamiento contractual con el proveedor, controlando la cabal ejecución de las obligaciones asumidas.
· Evaluar el desempeño y resultados del proveedor con miras fortalecimiento de los procedimientos de contratación o abastecimiento.
· Gestionar los Datos Personales para efectuar los diferentes procesos de pagos facturas y cuentas de cobro presentadas a VALEMAS y gestión de cobranzas que se encuentren a su cargo.
· Cumplir cualquier otra obligación legal que se encuentre a cargo de VALEMAS.
10.2 Talento Humano
· Verificar antecedentes comerciales, reputacionales y eventuales riesgos de relacionamientos asociados al Lavado de Activos y Financiación del terrorismo.
· Evaluar el perfil laboral de los aspirantes con miras a la selección y formalización de la vinculación laboral, supliendo las vacantes o requerimientos de personal de las distintas áreas y funciones de la Compañía.
· Verificar antecedentes académicos, laborales, personales, familiares, y otros elementos socioeconómicos significativos del aspirante laboral, según los requerimientos del cargo a proveer.
· Gestionar ante las autoridades administrativas, la vinculación, afiliación o reporte de novedades asociadas al sistema general de seguridad social, así como las demás obligaciones asistenciales y prestacionales de índole laboral.
· Registrar al trabajador en los sistemas informáticos de gestión de la Compañía, permitiendo el desarrollo de las actividades contables, administrativas y financieras propias del vínculo laboral.
· Gestionar las novedades laborales con incidencia en la liquidación y pago de nómina.
· Promover el desarrollo de actividades de bienestar y desarrollo integral del trabajador y su entorno laboral y familiar.
· Gestionar los programas de capacitación y formación acorde con los requerimientos del cargo y lineamientos Corporativos.
· Administrar el sistema de gestión de seguridad y salud en el trabajo, propendiendo por la mitigación de riesgos, así como la adecuada atención de incidentes.
· Evaluar el desempeño y analizar las competencias funcionales de los trabajadores con miras a la determinación del plan de carrera y desarrollo integral
· Gestionar los procedimientos de desvinculación laboral, así como el cumplimiento de las obligaciones económicas correspondientes.
· Gestionar el desarrollo y cumplimiento de las labores operativas y funcionales asociados al perfil del cargo.
· Responder solicitudes del trabajador sobre expedición de certificados, constancias y demás documentos solicitados a VALEMAS en razón del vínculo laboral.
10.3 Clientes
· Verificar antecedentes comerciales, reputacionales y eventuales riesgos de relacionamientos asociados al Lavado de Activos y Financiación del terrorismo.
· Desarrollar estudios y perfilamiento de clientes con el fin de ofrecer o permitir el acceso de estos a los servicios ofrecidos por la Compañía.
· Soportar el relacionamiento comercial con los clientes, permitiendo su registro en los sistemas de gestión de la Compañía para el desarrollo de los procedimientos contables, logísticos y financieros de la operación.
· Gestionar las labores logísticas, administrativas y financieras para la prestación de los servicios de la Compañía.
· Contacto para fines comerciales, legales, de mercadeo y de gestión de la relación contractual a través de cualquier medio.
· Consultar y reportar la información en listas restrictivas y en listas vinculantes para Colombia, listas de personas expuestas políticamente y en otras centrales de información.
· Consultar los Datos Personales en las centrales de información para conocer el desempeño como deudor, capacidad de pago o para valorar el riesgo futuro de conceder un crédito.
· Reportar a las centrales de información, sobre el cumplimiento o incumplimiento de las obligaciones por concepto de la prestación del servicio o por cualquier otra obligación que haya adquirido con VALEMAS, o quien este designe.
· Suministrar a las centrales de información, datos relativos a las solicitudes de crédito, así como a otros atinentes a las relaciones comerciales, financieras y, en general, socioeconómicas, entre otras.
· Ejecutar análisis de prevención y control de riesgos de fraude y suplantación de identidad.
10.4 Administrativa y cumplimiento:
· Registrar y controlar el acceso a las instalaciones de la Compañía mitigando los riesgos de seguridad física y de la información.
· Verificar, controlar y monitorear el desarrollo de los procesos, actividades y servicios conforme a los lineamientos y objetivos trazados.
· Verificar, controlar y monitorear el desarrollo de los procesos, actividades y servicios.
· Gestionar el cumplimiento de las obligaciones y requisitos legales asociados al desarrollo de la operación de la Compañía.
· Gestionar las denuncias asociadas a las malas prácticas corporativas o que afecten la ética o transparencia empresarial.
· Soportar el desarrollo de la operación mediante el otorgamiento, gestión y mantenimiento de las herramientas y aplicaciones informáticas de la Compañía.
· Gestionar el desarrollo de acciones o actuaciones jurisdiccionales o extraprocesales asociadas a mecanismos alternativos de resolución de conflictos, ya sea en causa propia o como representante legal.
· Gestionar el cumplimiento de las obligaciones de naturaleza corporativa y societarias frente a los órganos internos y autoridades externas.
10.5 Gestión Contable
· Permitir el control de los movimientos económicos de la Compañía mediante el registro de comprobantes de contabilidad y causalidad.
· Facilitar la toma de decisiones y conocimiento de la situación económica de la organización a los directivos gracias a la elaboración y revisión de estados de financieros.
· Dar cumplimiento a las disposiciones legales que obligan a la Compañía a presentar ante la autoridad competente informes y estados financieros.
· Establecer e implementar mecanismos de control asociados a la validación de pago a proveedores.
· Gestionar las buenas relaciones entre la Compañía y las entidades del estado con quienes está obligada a mantener constante comunicación.
11. Derechos, deberes y obligaciones del tratamiento
11.1 Derechos
El titular tiene los siguientes derechos contenidos en el artículo 8 de la Ley 1581 de 2012, los cuales se citan a continuación:
· Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
· Solicitar prueba de la autorización otorgada al responsable del tratamiento
· Ser informado previa solicitud respecto al tratamiento de su información, respecto del uso que le ha dado a sus datos personales.
· Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley y las demás normas que la modifiquen, adicionen o complementen.
· Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la constitución.
· Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
Sin perjuicio de las excepciones previstas en la ley, para el tratamiento de la información se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.
11.2 Deberes como responsables
· Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular;
· Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
· Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
· Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
· Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
· Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
· Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
· Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley;
· Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
· Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley;
· Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
· Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
· Informar a solicitud del Titular sobre el uso dado a sus datos;
· Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares;
· Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
Parágrafo. En el evento en que concurran las calidades de Responsable del Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el cumplimiento de los deberes previstos para cada uno
12. De los procedimientos para la atención de consultas, reclamos, rectificaciones y actualizaciones
12.1 Consultas
Los titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos de VALEMAS. En consecuencia, la Compañía garantizará el derecho de consulta, suministrando a los titulares toda la información vinculada con la identificación del Titular.
Las consultas deberán ser presentadas a través de los canales de Protección de datos personales utilizando alguno de los medios de contacto descritos en la presente política y siguiendo el procedimiento que se describe a continuación;
Procedimiento para la realización de consultas:
a) En cualquier momento y de manera gratuita el titular o su representante podrán realizar consultas respecto de los datos personales que son objeto de tratamiento por parte de VALEMAS previa acreditación de su identidad.
b) Cuando la consulta sea formulada por persona distinta del titular, deberá acreditarse en debida forma la personería o mandato para actuar.
c) Las consultas recibidas directamente por algún tercero encargado del tratamiento de la información deberán ser remitidas a la Compañía a más tardar al día hábil siguiente a su recepción a través del correo electrónico descrito en el numeral 12.3 de la presente política.
d) La consulta debe contener como mínimo, la siguiente información:
o El nombre y dirección de contacto del titular o cualquier otro medio para recibir la respuesta.
o Los documentos que acrediten la identidad y capacidad de su representante, tal como se indica en los siguientes casos:
o Titular: Documento de identificación.
o Causahabiente: Registro civil y documento de identificación. Representante legal en caso de menores, Padres de familia: Registro civil de nacimiento y documento de identidad.
o Tutores: Sentencia judicial que confiere representación legal. Representante legal autorizado por el titular: Poder autenticado.
o La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer el derecho de consulta.
o La descripción clara y precisa de la consulta que realiza el titular de información, sus causahabientes o representantes.
o Aportar la documentación que avale su petición en caso de que por la naturaleza del dato sea procedente.
o En caso dado, otros elementos o documentos que faciliten la localización de los datos personales.
e) Si la consulta realizada por la titular resulta incompleta, VALEMAS requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción de la consulta para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de su consulta.
f) En el caso de consultas presentadas de forma completa, VALEMAS dará respuesta a los peticionarios dentro del término de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
De ser requerido, el Titular del dato podrá comunicarse a través de los canales de protección de datos de VALEMAS, a fin de solicitar el formato para la realización de su consulta, el cual debe considerarse como una ayuda o soporte al titular, mas no como un requisito obligatorio para el ejercicio de los derechos.
12.2 Reclamos (Corrección, actualización, supresión).
El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley, podrán presentar su reclamo a través de los canales de protección de datos personales de VALEMAS utilizando alguno de los medios de contacto definidos en la presente Política:
12.2.1 Procedimiento para la realización de reclamos:
· En cualquier momento y de manera gratuita el titular o su representante podrán realizar reclamos asociados a correcciones, actualizaciones o supresión de los datos personales que son objeto de tratamiento por parte de VALEMAS, previa acreditación de su identidad
· Cuando el reclamo sea formulado por persona distinta del titular, deberá acreditarse en debida forma la personería o mandato para actuar.
· Los reclamos recibidos directamente por algún tercero encargado del tratamiento de la información deberán ser remitidas a la Compañía a más tardar al día hábil siguiente a su recepción a través del correo electrónico descrito en el numeral 12.3 de la presente política.
La consulta, rectificación, actualización o supresión debe contener como mínimo, la siguiente información:
El nombre y dirección de contacto del titular o cualquier otro medio para recibir la respuesta.
Los documentos que acrediten la identidad y capacidad de su representante. Tal como se indica para los siguientes casos:
Titular: Documento de identificación.
Causahabiente: Registro civil y documento de identificación.
Representante legal en caso de menores:
Padres de familia: Registro civil de nacimiento y documento de identidad.
Tutores: Sentencia judicial que confiere representación legal. Representante legal autorizado por el titular: Poder autenticado. Por estipulación a favor de otro: Manifestación en este sentido.
· La descripción clara y precisa del tipo de reclamo que realiza el titular de información (corrección, actualización o supresión).
· La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer el derecho de reclamo, así como los hechos que dan lugar al mismo.
· Aportar la documentación que avale su petición en caso de que por la naturaleza del dato sea procedente.
· En caso dado, otros elementos o documentos que faciliten la localización de los datos personales.
· Si el reclamo realizado por la titular resulta incompleto, VALEMAS requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido de su consulta.
· En el caso de reclamos (correcciones, actualizaciones y supresiones), VALEMAS dará respuesta a los titulares de información dentro del término de (15) días hábiles contados a partir de la fecha recibo del reclamo, cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
12.3 Canal de protección de datos y medios de contacto
De ser requerido, el Titular del dato podrá comunicarse previamente a través de los canales de protección de datos de VALEMAS, a fin de solicitar el formato para la realización de su reclamo, el cual debe considerarse como una ayuda o soporte al titular, mas no como un requisito obligatorio para el ejercicio de los derechos.
El titular podrá contactar al Oficial de Protección de Datos Personales a través de los siguientes medios de contacto:
· Correo electrónico: soporte@binkcard.com
· Asunto: Protección de datos
· Dirección física: Cra 13a #37-25 Bogotá, Colombia.
· Teléfono: (310) 6255024
Frente al eventual uso de otros canales de contacto por parte de los titulares de información para el ejercicio de sus derechos en materia de protección de datos personales, VALEMAS se reserva el derecho de remitir o informar al titular de la existencia de los canales previamente descritos para dar inicio al procedimiento de consulta o reclamo de manera oportuna y completa.
13. Otros aspectos asociados al tratamiento de datos personales
13.1 Uso de la marca para actividades que involucren tratamiento de información personal.
Los usuarios, trabajadores, proveedores o cualquier tercero con relación directa o indirecta con la Compañía deberán abstenerse de realizar sin autorización previa y por escrito, cualquier iniciativa o actividad que involucre el uso de su nombre, enseña, razón social, símbolo, logo símbolo, marca o cualquier otro signo distintivo de la Compañía, cuya ejecución involucre el tratamiento de información personal. Cualquier actividad o iniciativa que se adelante sin el cumplimiento del presente requisito será responsabilidad exclusiva de su(s) autor(es) y/o promotor(es) y no generará efectos, compromisos o responsabilidad alguna para VALEMAS
13.2 Uso de internet, aplicaciones, páginas web y otros medios digitales de comunicación
VALEMAS podrá desarrollar aplicaciones, plataformas, páginas web o en general cualquier tipo de sistema informático de propósito interno o externo con destino a uno o múltiples usuarios, en adelante denominada de forma conjunta o genérica como “Aplicaciones”.
El desarrollo de las aplicaciones podrá realizarse directamente por la Compañía o a través de terceros desarrolladores que suministren, apoyen o asesoren en las distintas fases del desarrollo o en la infraestructura tecnológica para su operación y mantenimiento.
El desarrollo, operación, mantenimiento y actualización de Aplicaciones se realizará tomando en consideración los estándares, procedimientos y controles necesarios para promover la seguridad, privacidad y adecuado tratamiento de los datos personales involucrados.
Cada Aplicación requerirá del desarrollo de los términos y condiciones especiales de uso, incluyendo un acápite específico para las condiciones de privacidad y protección de datos personales. Ante la ausencia de términos de condiciones o acápite específico en materia de protección de datos personales, se dará aplicación a los principios, postulados y demás elementos descritos en la presente política.
La Compañía se abstendrán de publicar o divulgar mediante internet o cualquier otro medio masivo de comunicación, información personal de naturaleza sensible de los titulares respecto de los cuales ejerce tratamiento, excepto en aquellos casos en los que se asegure que el acceso es técnicamente controlable para brindar un conocimiento restringido solo para los Titulares o terceros autorizados conforme a los términos legales.
De igual forma, VALEMAS se abstendrá de divulgar o publicar información de carácter discriminatorio, ofensivo o que pueda afectar las particulares condiciones de vulnerabilidad o indefensión del titular de información.
13.3 Sistema de video vigilancia
La Compañía para proteger sus intereses patrimoniales y promover la seguridad en sus instalaciones ha diseñado dentro de sus procedimientos un protocolo para la solicitud, acceso, revisión y eventual entrega de información personal capturada por cámaras de vigilancia internas y/o externas.
La Compañía velará por la custodia y disponibilidad de las imágenes de video vigilancia de acuerdo con sus capacidades técnicas y a las solicitudes de revisión de imágenes recibidas en cumplimiento de su protocolo.
13.4 Relacionamiento con terceros.
En línea con sus políticas y disposiciones internas en materia de protección de datos personales, propenderá por vincularse o relacionarse laboral y comercialmente con aquellos terceros que reflejen su compromiso con la observancia y aplicación del régimen general de protección de datos personales en su respectiva operación.
Por lo anterior, sin perjuicio del uso de los formatos o modelos de solicitud de autorización del tratamiento, avisos de privacidad y coberturas contractuales procedentes, la Compañía podrá solicitar a sus terceros la información pertinente que le permita verificar el cumplimiento de las disposiciones contenidas en la presente política, así como en las consagradas en sus propias políticas y procedimientos internos en materia de protección de datos personales cuando así lo estime necesario.
Los terceros que con ocasión al desarrollo de su objeto contractual o convencional, incidan en el tratamiento o tengan algún impacto en el ciclo de vida de la información personal de VALEMAS , deberán acreditar de manera previa al momento de su vinculación, el cumplimiento de los requisitos del régimen de protección de datos, incluyendo pero, sin limitarse a la existencia y aplicación de una política de tratamiento de datos personales, la habilitación de canales para la atención de consultas y reclamos para los titulares de información personal, así como la efectiva realización y actualización del Registro Nacional de Bases de Datos Personales ante la Superintendencia de Industria y Comercio en los términos legales establecidos.
De igual forma, la Compañía se reserva el derecho de supervisar de manera eventual o periódica, el cumplimiento de los requisitos legales y contractuales asociados al régimen de protección de datos personales por parte de sus terceros, para lo cual podrá solicitar evidencias o soportes del cumplimiento, realizar visitas a las instalaciones o sedes del tercero, entre otras medidas que estime razonables acorde con la criticidad de la operación, el volumen de los datos o la naturaleza del objeto contractual.
Al momento de culminar por cualquier razón el vínculo legal, contractual o comercial entre VALEMAS y cualquier tercero con incidencia en el tratamiento de datos personales, se aplicarán los procedimientos pertinentes para garantizar la disposición segura y eficaz de la información personal que haya sido objeto de tratamiento, mediante la eliminación, devolución, disociación o cualquier otra actividad que VALEMAS estime pertinente.
Ante el incumplimiento total o parcial de las disposiciones del régimen de protección de datos personales o de la presente política por parte de los terceros con vínculo contractual o convencional, la Compañía podrá de manera discrecional, dar terminado con justa causa el vínculo contractual o convencional o en su defecto, acodar un plan de acción con miras al alcanzar los niveles mínimos de cumplimiento de la ley, siempre y cuando se adopten las medidas de contingencias necesarias para prevenir una afectación grave a los derechos de los titulares de la información. En el evento de acordar un plan de acción con el tercero con miras al cumplimiento del régimen de protección de datos personales, el mismo se entenderá integrado al contenido del contrato o convención que formaliza el relacionamiento con el tercero.
14. Registro nacional de bases de datos y “accountability”
Dando cumplimiento al Artículo 25 de la Ley 1581 de 2012. VALEMAS, registrará sus bases de datos, en el Registro Nacional de Base de Datos - RNBD, administrado por la Superintendencia de Industria y Comercio.
El Objetivo principal del Registro Nacional de Bases de Datos (RNBD) es contar con un directorio público de las bases de datos personales sujetas a tratamiento que operan en el país, acorde con lo establecido en la Ley 1581 de 2012, Régimen General de Protección de Datos Personales de Colombia, cuya administración está a cargo de la Superintendencia de Industria y Comercio.
VALEMAS con la presente política, declara su compromiso con el cumplimiento de las presentes disposiciones y en general con el acatamiento de las leyes de protección al consumidor en lo que respecta al adecuado tratamiento de datos personales en Colombia.
A este fin, la Compañía ha dispuesto el siguiente instructivo, alineado con las directrices de la Superintendencia de Industria y Comercio Colombiana para dar cumplimiento estricto al RNBD (ver ANEXO 2: Instructivo para el diligenciamiento del Registro Nacional de Bases de Datos).
En este instructivo, el Oficial de Protección de Datos, o cualquier funcionario de la Compañía, podrá conocer el paso a paso para el registro o actualización de los datos, incluyendo la creación de usuario, los requerimientos técnicos de software y hardware, recomendaciones especiales, inducciones para avanzar menú tras menú, entre otros elementos clave para efectuar un adecuado registro.
Con la periodicidad definida por la Superintendencia de Industria y Comercio, VALEMAS actualizará los registros y cumplirá con las obligaciones definidas por esta entidad en materia de registro.
A continuación, la periodicidad obligatoria establecida a la fecha de emisión de esta política:
Obligación de registro en materia de RNBD | Fecha de cumplimiento | Fundamento Legal |
Bases de datos que se creen con posterioridad al vencimiento de los plazos regulares de registro | Deben registrarse máximo dentro de los dos meses posteriores a la creación de la base de datos. | Decreto 090 de 2018 |
Actualización de los registros ya creados en el RNBD | Máximo hasta el 31 de marzo de cada año. | Decreto 090 de 2018 |
14.1 Obligación de registro
14.1.1 ¿Quiénes deben registrar sus bases de datos?
Todas las compañías públicas, así como las compañías privadas y entidades sin ánimo de lucro con activos totales iguales o superiores a los 100.000 UVT.
**Nótese que es posible que las periodicidades o las obligaciones en materia de registro tengan cambios. A este fin, VALEMAS podrá implementar dichos cambios, sin necesidad de reformar la presente Política.
Tipos de registros y eventos que deben registrarse
Si no se ha registrado alguna base de datos o nunca se ha ingresado al registro:
Se debe ingresar al registro y registrar cuanto antes dicha (s) bases de datos
Bases de datos nuevas (que se crearon con posterioridad al 31 de marzo de cada año)
Deben registrarse como máximo dentro de los dos (2) meses siguientes a la creación de dicha base de datos
Reclamos de titulares (entendidos como cualquier tipo de derecho de petición, queja, reclamo formal o informar, escrito o verbal asociado al tratamiento o recolección de datos personales)
Debe reportarse a través del portal del RNBD, dentro de los quince (15) días primeros días hábiles de los meses de febrero y agosto de cada año.
Cambios en la información registrada (excepto número de titulares)
Debe registrarse el cambio máximo dentro de los primeros diez (10) días hábiles del mes siguiente al mes en el que se produjo el cambio.
Actualización de registros
Debe efectuarse anualmente a través del portal del RNBD desde el 2 de enero al 31 de marzo de cada año.
14.2 De los incidentes de seguridad. Guía para la Gestión y Clasificación de Incidentes de Seguridad de la Información y datos personales.
Para el manejo de los incidentes de seguridad en materia de datos personales, VALEMAS está comprometida con hacer los mejores esfuerzos para garantizar su adherencia a las buenas prácticas establecidas por el Ministerio de Tecnologías de la Información y las Comunicaciones Colombiano, así como a las mejores prácticas y documentos de uso libre por parte del NIST (National Institute of Standards and Technology (Computer Security Incident Handling Guide), tomando como base los lineamientos recomendados en Norma la ISO IEC 27001 2022 para la gestión de incidentes. (TI-PR-009_Gestión de incidentes)
Así mismo, se encuentra comprometida con la generación de un programa de y un programa integral de gestión de datos personales, alineado con los estándares definidos por la Superintendencia de Industria y Comercio. (ver anexo 1).
14.3 ¿Qué es un Incidente de seguridad?
Un Incidente de Seguridad de la Información es la violación o amenaza inminente a la Política de Seguridad y/o tratamiento de la Información (o datos personales) implícita o explícita que ha dispuesto la Compañía.
Según la norma ISO 27035, un Incidente de Seguridad de la Información es indicado por un único o una serie de eventos seguridad de la información indeseados o inesperados, que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la información.
Por lo tanto, un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a la Política de Seguridad de la Información de la Compañía.
Algunos de los incidentes más comunes en materia de datos son los siguientes:
1. Robo de información en documentos y medios de almacenamiento desechados incorrectamente.
2. Empleados que acceden a datos personales sin la autorización correspondiente.
3. Empleados que revelan información a otras personas a través de engaños.
4. Robo o pérdida de equipos de cómputo, laptops, teléfonos inteligentes, tabletas, o memorias extraíbles con información personal.
5. Acceso ilegal a las bases de datos personales por un externo a la organización
14.4 Ejemplos Incidentes de Seguridad en materia de datos.
Cualquiera de los siguientes eventos en los que se vean comprometidos datos personales:
· Un acceso no autorizado.
· El robo de contraseñas.
· Prácticas de Ingeniería Social.
· La utilización de fallas en los procesos de autenticación para obtener accesos indebidos.
· El robo de información.
· El borrado de información de terceros.
· La alteración de la información de terceros.
· El abuso y/o mal uso de los servicios informáticos internos o externos de una organización.
· La introducción de código malicioso en la infraestructura tecnológica de una entidad (virus, troyanos, gusanos, malware en general).
· La denegación del servicio o eventos que ocasionen pérdidas, tiempos de respuesta no aceptables o no cumplimiento de Acuerdos de Niveles de Servicio existentes de determinado servicio.
· Situaciones externas que comprometan la seguridad de sistemas, como quiebra de compañías de software, condiciones de salud de los administradores de sistemas, entre otros.
· Una ocurrencia identificada en el estado de un sistema, servicio o red, indicando una posible violación de la seguridad de la información, política o falla de los controles, o una situación previamente desconocida que puede ser relevante para la seguridad.
· La falla de medidas de seguridad.
· Una situación previamente desconocida que pueda ser relevante para la seguridad.
14.5 Definiciones generales en materia de incidentes de seguridad
Activo: Todo elemento de valor para una organización, involucrado en el tratamiento de datos personales, entre ellos, las bases de datos, el conocimiento de los procesos, el personal, el hardware, el software, los archivos o los documentos en papel.
Activos críticos: Activos que un responsable considera como los más valiosos y que, si ocurre su pérdida, destrucción, robo, extravío, copia, uso, acceso, tratamiento, daño, alteración o modificación no autorizada, podría provocar una crisis, y comprometer las operaciones, la prestación de servicios o incluso la existencia de la organización.
Alerta de seguridad: Hecho o evento que se detecta y/o registra en los sistemas de tratamiento físico o electrónico, el cual advierte de un posible incidente de seguridad
Amenaza: Circunstancia o condición externa, con la capacidad de causar daño a los activos explotando una o más de sus vulnerabilidades.
Confidencialidad: Propiedad de la información para evitar su acceso, divulgación o revelación, no autorizados.
Disponibilidad: Propiedad de la información para ser accesible y utilizable cuando se requiera.
Incidente de seguridad: Cualquier violación a las medidas de seguridad físicas, técnicas o administrativas de un responsable, que afecte la confidencialidad, la integridad o la disponibilidad de la información.
Integridad: Propiedad de la información para salvaguardar la exactitud y completitud de la información
Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales.
Revelación: Incidente de seguridad en el cual se expone la información a través de Internet o medios masivos de comunicación.
Riesgo: Potencial o probabilidad de que ocurra un escenario donde una amenaza explote una o varias vulnerabilidades existentes en un activo o grupo de activos, y que éste cause un impacto negativo o daño.
Sistema de tratamiento: Conjunto de elementos mutuamente relacionados o que interactúan para realizar la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales, en medios físicos o electrónicos.
Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
Vulnerabilidad: Circunstancia o condición propia de un activo, que puede ser explotada por una o más amenazas para causarle daño.
Vulneración de seguridad: Incidente de seguridad que afecta los datos personales en cualquier fase de su tratamiento.
14.6 Plan para el manejo de incidentes de seguridad en materia de datos personales.
VALEMAS manifiesta su expreso compromiso frente al manejo adecuado de los incidentes de seguridad en materia de datos personales, reconociendo los siguientes estándares y marco general de acción ante un incidente:
A su vez, VALEMAS, derivado de una vulneración de seguridad que afecte datos personales, reconoce que tiene el deber de analizar las causas por las cuales se presentó ésta, e implementar las medidas de seguridad preventivas y correctivas para evitar que incidentes similares se repitan.
A continuación, el proceso frente a la detección de un incidente de seguridad en materia de datos:
a) Informar a los titulares de los datos personales lo siguiente:
1. La naturaleza del incidente.
2. Los datos personales afectados.
3. Las recomendaciones al titular acerca de las medidas que éste puede adoptar para protegerse.
4. Las acciones correctivas realizadas de forma inmediata.
5. Los medios donde los titulares pueden obtener más información.
b) Reportar el incidente a la SIC en los plazos y de acuerdo con los procedimientos establecidos en el capítulo “REGISTRO NACIONAL DE BASE DE DATOS”
c) La actualización del documento de seguridad correspondiente.
d) Contar con una bitácora de las vulneraciones en la que se describa:
1. En qué consistió la vulneración.
2. La fecha en la que ocurrió.
3. El motivo o causa de la vulneración.
4. Las acciones correctivas implementadas de forma inmediata y a largo plazo.
14.7 Gestión de Riesgos Asociados al Tratamiento de Datos Personales
En VALEMAS reconocemos la importancia de proteger los datos personales y nos comprometemos a gestionar los riesgos asociados a su tratamiento de manera efectiva. Para ello, implementamos las siguientes medidas:
1. Identificación y Evaluación de Riesgos: Realizamos análisis periódicos para identificar y evaluar los riesgos potenciales que puedan afectar la confidencialidad, integridad y disponibilidad de los datos personales. Este análisis incluye riesgos legales, técnicos y organizacionales.
2. Medidas de Seguridad: Adoptamos medidas técnicas y organizativas adecuadas para proteger los datos personales contra accesos no autorizados, pérdida, destrucción o alteración. Estas medidas incluyen, pero no se limitan a, el cifrado de datos, controles de acceso estrictos y procedimientos de respuesta a incidentes.
3. Cumplimiento Normativo: Aseguramos el cumplimiento de todas las leyes y regulaciones aplicables en materia de protección de datos personales.
4. Capacitación y Concienciación: Proporcionamos programas de capacitación a nuestros empleados para garantizar que comprendan la importancia de la protección de datos personales y sepan cómo manejar la información de manera segura.
5. Evaluación y Monitoreo Continuo: Establecemos procedimientos para la evaluación y monitoreo continuo de los riesgos y la efectividad de las medidas de seguridad implementadas. Esto nos permite ajustar y mejorar nuestras prácticas de protección de datos de manera proactiva.
14.8 Periodo y vigencias de las bases de datos
Todas las bases de datos de propiedad de VALEMAS tendrán el periodo y vigencia correspondiente con la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia.
15. Sanciones por incumplimiento
El incumplimiento total o parcial de lo establecido en la presente política, podrá dar lugar a la violación de la Ley y de las normas aplicables, con las consecuencias que se deriven de tales incumplimientos o violaciones.
Una vez se cumpla la finalidad para el Tratamiento, los Datos Personales serán eliminados de los archivos de la Compañía, salvo que exista un deber legal o contractual que le exija mantenerlos en sus Bases de Datos.
16. Documentos referenciados
TI-PR-009_Gestión de incidentes
Anexo 1: Accountability - SIC
ANEXO 2: Instructivo para el diligenciamiento del Registro Nacional de Bases de Datos
17. Control de cambios
Versión | Fecha | Descripción de la modificación |
1 | 25/09/2020 | Versión inicial del documento |
2 | 19/03/2025 | Revisión y actualización de la política y alineación con requisitos ISO/IEC 27001 |
La política rige a partir de 5 de junio de 2025 y estará vigente hasta que se modifique el marco legal o la Compañía lo disponga.