Declaración de Tratamiento de la Información Personal en Smart Training Society S.A.S.

En cumplimiento de lo dispuesto por la Ley 1581 de 2012 que regula la recolección y tratamiento de los datos de carácter personal, y establece las garantías legales que deben cumplir todas las personas en Colombia para el debido tratamiento de dicha información, define el siguiente procedimiento para el tratamiento de datos personales de los trabajadores activos e inactivos en la institución.

OBJETIVO

El procedimiento para el tratamiento de datos personales en custodia de Smart Training Society S.A.S., brinda la garantía y seguridad a cualquier clase de dato recopilado por el proceso de Gestión del Talento Humano, cumpliendo con las directrices dispuestas por la Ley y logrando que, de esta manera, todas las personas se sientan confiadas en la administración que se está haciendo de su información personal.

DEFINICIONES

·Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

·Aviso de privacidad: La institución comunicará de manera verbal o escrita o a través de su página web, la existencia de las Políticas de Tratamiento de Datos Personales, con el fin de que los Titulares de los datos puedan consultarlas, o conocer la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.

·Base de datos personales. Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

·Base de datos automatizada. Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.

·Cesión de datos. Tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario.

·Custodio de la base de datos. Es la persona física que tiene bajo su custodia la base de datos personales al interior de Smart Training Society S.A.S.

·Dato personal. Es cualquier dato y/o información que identifique a una persona física o la haga identificable. Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de cualquier otro tipo.

·Datos personal sensible. Es una categoría especial de datos de carácter personal especialmente protegido, por tratarse de aquellos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas biométricas, entre otros, que hacen parte del haber íntimo de la persona y pueden ser recolectados únicamente con el consentimiento expreso e informado de su titular y en los casos previstos en la ley.

·Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, de acuerdo con la normatividad vigente, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

·Encargado del Tratamiento. Es la persona física o jurídica, autoridad pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable.

·Fuentes Accesibles al Público. Se refiere a aquellas bases contentivas de datos personales cuya consulta puede ser realizada, por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación.

·Habeas Data. Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.

·Procedimiento de análisis y creación de Información. Es la creación de información respecto de una persona, a partir del análisis y tratamiento de los datos personales recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de comportamiento, que generan un valor agregado sobre la información obtenida del titular de cada dato personal.

·Principios para el tratamiento de datos. Son las reglas fundamentales, de orden legal y/o jurisprudencial, que inspiran y orientan el tratamiento de datos personales, a partir de los cuales se determinan acciones y criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de los datos personales, y el derecho a la información.

·Propietario de la base de datos. Dentro de los procesos de negocios, Smart Training Society S.A.S. es propietaria de la base de datos, el área que tiene bajo su responsabilidad el tratamiento de los mismos y su gestión.

·Responsable del Tratamiento. Es la persona física o jurídica, de naturaleza pública o privada, que recolecta los datos personales y decide sobre la finalidad, contenido y uso de la base de datos para su tratamiento.

·Titular del dato personal. Es la persona física cuyos datos sean objeto de tratamiento. Respecto de las personas jurídicas se predica el nombre como derecho fundamental protegido constitucionalmente.

·Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

·Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

·Tratamiento de Datos. Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter automatizado o no que se realizan sobre datos personales, tales como la recolección, grabación, almacenamiento, conservación, uso, circulación, modificación, bloqueo, cancelación, entre otros.

·Usuario. Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal.

·Violación de datos personales. Es el delito creado por la ley 1273 de 2009, contenido en el artículo 269 F del Código Penal Colombiano. La conducta prohibida es la siguiente: El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

·Violaciones de las Medidas de Seguridad de los Datos Personales. Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por Smart Training Society S.A.S., para proteger los datos personales entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la Ley. Todo incidente de seguridad que comprometa los datos personales en poder de Smart Training Society S.A.S., deberá ser informado a la autoridad de control en la materia.

PRINCIPIOS

En el desarrollo, de la Ley 1581 de 2012, se aplicarán, de manera armónica e integral, los siguientes principios:

·Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

·Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

·Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

·Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan al error.

·Principio de transparencia: En la administración de la información debe garantizarse el derecho del titular a obtener, del responsable o encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de los datos que le conciernan.

·Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la presente ley; los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la presente ley.

·Principio de seguridad: La información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

·Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.

AUTORIZACIÓN Y RECOLECCIÓN DE DATOS

·La autorización para la recolección de datos deberá realizarla el titular de los mismos, manifestando de forma escrita su consentimiento para la utilización y recolección de los mismos; el encargado del tratamiento de los datos, tiene como deber informar al titular de las políticas de uso, es decir, el fin con el cual será necesitada la información pedida. Esto lo deberá realizar en el momento de la recolección de los datos.

SE ENTENDERÁ ENTREGADA LA AUTORIZACIÓN DEL TÍTULO CUANDO SE HAGA:

Por escrito y mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.

·NO se necesitará autorización en los siguientes casos:

·a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

·b) Datos de naturaleza pública.

·c) Casos de urgencia médica o sanitaria.

·d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

·e) Datos relacionados con el Registro Civil de las Personas.

SIEMPRE SE DEBERÁ MANTENER PRUEBA DE LA FORMA EN CÓMO SE AUTORIZÓ EL MANEJO DE DATOS.

·RECOLECCIÓN DE LOS DATOS PERSONALES: Basados en los principios instaurados en este manual, los datos recolectados con previa autorización, deberán limitarse a aquellos datos personales que son pertinentes y adecuados para la finalidad para la cual son recolectados o requeridos conforme a normatividad vigente.

·Los datos personales que se encuentren en fuentes de acceso público, con independencia del medio por el cual se tenga acceso, entendiéndose por tales aquellos datos o bases de datos que se encuentren a disposición del público, pueden ser tratados por cualquier persona siempre.

FINALIDAD DE LAS BASES DE DATOS Y TRATAMIENTO DE LAS MISMAS

Bases de datos de colaboradores activos: La institución cuenta con una base de datos y con un sistema de información correspondiente a sus empleados, cuyo tratamiento estará dentro del marco del contrato laboral, con el fin de garantizar los derechos y deberes de los trabajadores, de acuerdo con lo establecido en el Código Sustantivo del Trabajo. Los datos contenidos en estas bases de datos igualmente contemplan información relacionada con los hijos de empleados, almacenada en los archivos correspondientes a las hojas de vida respectiva, los cuales son utilizados para efectos de afiliación a la seguridad social, en cumplimiento con las obligaciones derivadas de la relación laboral.

Bases de datos Ex empleados: La institución cuenta con un archivo en el cual se almacenarán indefinidamente los datos personales de todos los empleados que hayan terminado su relación laboral con esta institución. Este archivo tendrá como finalidad:

·Servir como base para la expedición de los certificados laborales que trata el Artículo 57, numeral 7° del Código Sustantivo del Trabajo, a solicitud del Exempleado.

·Servir de base para el otorgamiento de referencias laborales a potenciales empleadores del Exempleado, cuando éste así lo autorice.

Bases de datos de selección y reclutamiento: La institución cuenta con un archivo en el cual se almacenarán por un año los datos personales de todos los candidatos que hayan participado en el proceso de reclutamiento y selección, siempre y cuando, el candidato genere el consentimiento correspondiente.

DERECHOS DEL TITULAR DE LOS DATOS

El Artículo 8° de la ley 1581 de 2012 señala los siguientes derechos de los titulares de los datos.

·Conocer, actualizar y rectificar sus datos personales frente a los responsables del tratamiento o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado;

·Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito, de conformidad con lo previsto en el artículo 10 de la presente ley;

·Ser informado por el responsable o encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;

·Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen;

·Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la Constitución;

·Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

ESTOS DERECHOS IGUALMENTE LOS PODRÁN APLICAR:

·El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.

·Por sus causahabientes, quienes deberán acreditar tal calidad.

·Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.

·Por estipulación a favor de otro o para otro.

DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO DE DATOS

·Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

·Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el titular.

·Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

·Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

·Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.

·Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.

·Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.

·Suministrar al encargado, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.

·Exigir al encargado del tratamiento, en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.

·Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.

·Adoptar una política y procedimientos para garantizar el adecuado cumplimiento de la presente ley, y en especial, para la atención de consultas y reclamos.

·Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.

·Informar a solicitud del titular sobre el uso dado a sus datos.

·Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

MEDIDAS DE SEGURIDAD

Smart Training Society S.A.S., cuenta con las medidas de seguridad suficientes para proteger a todos nuestros trabajadores, como muestra principal, el presente procedimiento de protección de datos, regido por la normatividad legal nacional, donde intentamos abarcar todos los aspectos necesarios para brindar garantías de protección.

TEGNOLOGÍA y COMUNICACIONES. CÓDIGOS DE ACCESO Y CONTRASEÑAS:

La confidencialidad y la integridad de los datos almacenados en los sistemas de Smart Training Society S.A.S., están protegidos por códigos de acceso y contraseñas que aseguran que solamente empleados autorizados tengan acceso.

Responsabilidades de Tecnología Informática

Tecnología Informática es responsable de la administración de los controles de acceso a todos los sistemas de Información de la compañía, así como a los diferentes servicios ofrecidos como Internet, Intranet, VPN, carpetas compartidas, etc.

TI deshabilitará los códigos de usuario de las personas que se encuentren en vacaciones, incapacitados y/o en permisos remunerados o no remunerados, según se encuentre el registro respectivo en el Sistema de información de Nómina, y serán habilitados de la misma forma. Igualmente se eliminarán los códigos de usuario de los empleados que sean retirados de la nómina.

PROCEDIMIENTOS PARA GARANTIZAR EL EJERCICIO DE LOS DERECHOS DE LOS TITULARES

Los titulares de los datos podrán en cualquier momento interponer y seguir alguno de los siguientes procedimientos en pro de la defensa de sus derechos, incluyendo la actualización, cambio o modificación de los datos generados.

·CONSULTAS: los titulares podrán consultar la información básica de las bases de datos que se encuentren en nuestra compañía; esta solicitud la podrá presentar mediante un escrito, o de forma verbal, pero siempre identificándose debidamente.

·RECLAMOS: el titular de los datos que considere que la información generada no es correcta, o no está siendo bien administrada, o no se le está dando un buen uso, podrá generar el respectivo reclamo por medio escrito o verbal en nuestra compañía o con la persona encargada para ello, respecto al reclamo que se genere, se dará respuesta en el menor tiempo posible y se ejercerán los cambios que sean necesarios.

·SOLICITUDES: para la realización de cambios, modificaciones, o actualizaciones de los datos contenidos, debe realizarse solicitud vía escrita o verbal.

REVOCATORIA DE LA AUTORIZACION: Los titulares podrán, en todo momento, solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo o solicitud.

VIGENCIA

Las presentes directrices de tratamiento de la información personal rigen desde el 1 de enero de 2018.