Política de tratamiento de datos personales de SIESUA MEDICINA LÁSER Y SPA S.A.S. (Base de datos comercial)
De acuerdo a lo establecido en la Ley Estatutaria 1581 de 2012, artículo 17 literal k, artículo 18 literal f; y al Decreto 1377 de 2013, artículo 13, es obligación de los responsables o encargados de tratamiento de datos personales adoptar un manual interno de políticas y procedimientos para la atención de consultas y reclamos.
SIESUA MEDICINA LÁSER Y SPA S.A.S (en adelante SIESUA o LA EMPRESA) se encuentra comprometida con el más estricto cumplimiento de la ley y con la protección de los derechos y confidencialidad de los datos suministrados por clientes, por lo cual, les informa de la adopción de las siguientes políticas de recolección, tratamiento y uso de datos personales. Esta política es de obligatorio cumplimiento para LA EMPRESA, como responsable del tratamiento, así como para tus empleados y colaboradores, que en el marco de la presente política tengan acceso a la información referida.
1. CAMPO DE APLICACIÓN
Las presentes políticas aplicarán para la recolección, tratamiento y uso de los datos personales de quienes se comuniquen con SIESUA por medio de los Canales De Atención Institucional De Clientes (v.gr. canal presencial, telefónico o a través de cualquier medio electrónico).
2. PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSONALES
En el desarrollo, interpretación y aplicación de la presente política se aplicarán los siguientes principios:
a) Legalidad: El Tratamiento se sujetará a lo estrictamente regulado en la leyes y disposiciones que regulan la materia.
b) Finalidad: El Tratamiento de los datos obedecerá a una finalidad legítima de acuerdo con la Constitución y la Ley.
c) Libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
d) Veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. No se tratarán datos parciales, incompletos, fraccionados o que induzcan a error.
e) Transparencia: En el Tratamiento debe garantizarse el derecho del cliente a obtener de SIESUA en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
f) Acceso y circulación restringida: El Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las demás personas dispuestas por ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
g) Seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
h) Confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
3. DEFINICIONES
En el marco del presente documento, SIESUA, de acuerdo a lo establecido en la ley 1581 de 2012, se permite establecer el sentido y alcance de los términos señalados a continuación:
a) Autorización: es el consentimiento previo y expreso que otorga el titular del dato para que se realice el tratamiento de los mismos.
b) Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
c) Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
d) Dato personal: es aquella información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Por ejemplo: nombre, dirección, número de teléfono, correo electrónico, estado civil, huella dactilar, etc.
e) Dato personal sensible: es aquella información que afecta la intimidad de su titular por lo que su uso indebido puede generar su discriminación, tales como aquellas que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como la información relativa a la salud, a la vida sexual y los datos biométricos. Esta información No puede ser objeto de tratamiento sin autorización previa y expresa del titular o representante, a menos que sea requerida para salvaguardar un interés vital del titular o este se encuentre incapacitado para dar su autorización.
f) Dato personal privado: es un dato personal que por su naturaleza íntima o reservada solo interesa a su titular y para su tratamiento requiere de su autorización expresa. Por ejemplo: Nivel de escolaridad, libros de los comerciantes, entre otros.
g) Dato personal público: es aquel tipo de dato personal que las normas y la Constitución han determinado expresamente como públicos y, para cuya recolección y tratamiento, no es necesaria la autorización del titular de la información. Por ejemplo: estado civil de las personas, datos contenidos del RUNT, datos contenidos en sentencias judiciales ejecutoriadas, entre otros.
h) Encargado del tratamiento: es aquella persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del tratamiento.
i) Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
j) Responsable del tratamiento: es aquella persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos.
k) Titular: es aquella persona natural, dueña del dato personal y que debe autorizar su tratamiento. En el caso de los menores de edad, sus representantes legales tendrán la facultad de autorizar o no el tratamiento de sus datos personales. Así mismo se incluyen las otras personas listadas en el artículo 20 del Decreto 1377 de 2013.
l) Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
m) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del país cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
n) Tratamiento: es cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
4. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS PERSONALES Y SU FINALIDAD
Los datos personales recolectados en los Canales De Atención Institucional De Clientes por SIESUA serán tratados con la siguiente finalidad:
a) Suministrar información de los productos y servicios que ofrece LA EMRPESA por medio de los medios de información que considere convenientes
b) Programación de capacitaciones, seminarios, conferencias y charlas en los temas que trata LA EMPRESA
c) Coordinación de asesorías, consultorías y capacitaciones
d) Respuestas a solicitudes de mejoramiento, peticiones, quejas y reclamos
e) Generación de certificaciones en general
f) Campañas para dar cumplimiento a la normatividad vigente
g) Campañas de educación a los usuarios
h) Actividades de mercadeo y/o promoción de servicios de terceros con quien la empresa haya celebrado alianzas comerciales
i) Información sobre nuevos productos y servicios
j) Elaboración de estadísticas relacionadas con el análisis de los servicios prestados por la empresa
k) Encuestas de satisfacción de los servicios y atenciones prestadas
l) Actualización de datos y documentos de identificación
m) Suministrar información a los clientes sobre los servicios prestados y los usuarios a quienes se les prestaron
n) Acceder y consultar los datos personales que reposen o estén contenidos en bases de datos o archivos de cualquier entidad privada o pública
o) Crear bases de datos para los fines descritos en la presente política
5. DERECHOS DE LOS USUARIOS DE SIESUA MEDICINA LÁSER Y SPA S.A.S
Los derechos que tienen los titulares de los datos personales de LA EMPRESA frente al tratamiento de los mismos son:
a) Conocer, actualizar y rectificar sus datos personales. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la ley 1581 de 2012.
c) Ser informado, previa solicitud, del uso que se le ha dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley de Protección de Datos y las demás normas que la modifiquen, adicionen o complementen.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento se considere que no se respetan los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a esta ley y a la constitución.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
6. DEBERES DE SIESUA MEDICINA LÁSER Y SPA S.A.S
LA EMPRESA en calidad de responsable directa del tratamiento de los datos de sus usuarios, y sus empleados en calidad de encargados del tratamiento de los datos personales, deberán observar el cumplimiento de los siguientes deberes:
a) Garantizar a sus clientes, en todo tiempo, el pleno y efectivo ejercicio de su derecho constitucional de hábeas data.
b) Solicitar y conservar, en las condiciones previstas en este manual, copia de la autorización otorgada por el usuario titular del dato.
c) Informar claramente al usuario sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que la información que se suministre al encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
h) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado.
i) Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del usuario.
j) Tramitar las consultas y reclamos formulados por los usuarios dentro de los términos establecidos en el presente manual.
k) Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del cliente, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
l) Informar a solicitud del cliente sobre el uso dado a sus datos.
m) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los usuarios y/o titulares.
n) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
o) Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se regula en el presente manual, siempre que exista un reclamo frente a algún dato en particular.
p) Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.
q) Abstenerse de circular información que esté siendo controvertida por el usuario y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
r) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
7. CASOS EN QUE NO SE REQUIERE AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS
SIESUA no requiere autorización para realizar el tratamiento de los datos personales suministrados, en los siguientes eventos:
a) Cuando se trata de datos personales públicos.
b) Cuando los datos personales son requeridos por una entidad pública en ejercicio de sus funciones.
c) Cuando se está frente a casos de urgencia médica o sanitaria.
d) Cuando son tratados para fines puramente históricos, estadísticos o científicos y no se suministra información sobre la identidad del titular de los datos.
e) Cuando el dato se relacione con información contenida en el registro civil.
8. PERSONAS A LAS QUE SE LES PUEDE SUMINISTRAR AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS
La información que reúna las condiciones establecidas en la presente política podrá suministrarse a las siguientes personas:
a) A los titulares, sus causahabientes o sus representantes legales.
b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
c) A los terceros autorizados por el titular o por la ley.
d) A terceros con quienes la empresa mantenga algún vínculo contractual, y con ocasión del desarrollo de dicho vínculo.
9. POLÍTICAS PARA EL TRATAMIENTO DE DATOS SENSIBLES
El tratamiento de los datos sensibles del usuario de SIESUA MEDICINA LÁSER Y SPA S.A.S se encuentra prohibida, excepto en los siguientes casos:
a) Cuando el usuario haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b) Cuando el tratamiento del dato sea necesario para salvaguardar el interés vital del usuario y éste se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
c) Cuando el tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
d) Cuando el tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares.
Cuando el Tratamiento de datos sensibles sea posible deberán cumplirse las siguientes obligaciones:
a. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
b. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.
c. No condicionar ninguna actividad a que el Titular suministre datos personales sensibles.
10.TRATAMIENTO DE DATOS DE MENORES DE EDAD
Atendiendo a lo dispuesto en el art. 12 del Decreto 1377 de 2013, el tratamiento de datos personales de niños, niñas y adolescentes usuarios de los servicios que preste SIESUA deberá limitarse a datos de carácter público, y su tratamiento deberá ceñirse a los siguientes parámetros y requisitos:
a. Que responda y respete el interés superior de los niños, niñas y adolescentes.
b. Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
11.ÁREA DESIGNADA PARA EL TRATAMIENTO DE LOS DATOS RECOLECTADOS
La gerencia general de SIESUA MEDICINA LÁSER Y SPA S.A.S ha designado al área de Sistemas de la empresa para que se encargue del tratamiento de los datos recolectados en el marco de la presente política
12.PROCEDIMIENTO PARA CONSULTAS Y RECLAMACIONES
Los titulares los datos recolectados en el marco de la presente política podrán acceder y consultar su información personal, elevando la respectiva solicitud al área encargada del tratamiento de los datos, a través de los siguientes medios:
1. Línea telefónica en la ciudad de Bogotá: Tel. 745-1029
2. Línea Celular: 3204269699
3. Correo Electrónico: servicioalcliente@siesua.com
4. Carta física radicada en las oficinas de la empresa: Carrera 14#119-20
Para poder acceder a la información, el usuario o titular deberá elevar la solicitud a través de los medios dispuestos para ello, previamente a la solicitud, el personal de la empresa, en cabeza del área encargada realizará la verificación de la identidad del usuario o titular, para lo cual se podrá solicitar confirmación de ciertos datos personales que reposan en las bases de datos de la empresa. Una vez verificada la identidad del titular se le suministrará toda la información sobre los datos personales y se podrá realizar cualquier trámite relacionado con los mismos.
En el caso en que el usuario necesite realizar una consulta adicional o requiera que la información contenida en la base de datos sea actualizada, rectificada, modificada o suprimida, o considere que hay un presunto incumplimiento en la protección de sus datos, éste podrá presentar una consulta/reclamo a través del correo electrónico o de una carta física radicada en las oficinas de la empresa. El trámite de respuesta a la consulta/reclamo presentada por el usuario estará a cargo exclusivamente en cabeza del/la Representante Legal.
La consulta/reclamo elevado por un usuario deberá, en todos los casos, presentarse por escrito y deberá contener, como mínimo, lo siguiente:
1. Identificación completa del titular (nombre, dirección de notificación, documento de identificación).
2. Descripción de los hechos que dan objeto a la consulta/reclamo.
3. Documentos soportes a los hechos.
4. Vía por la cual quiere recibir la respuesta a su consulta/reclamo.
Atendiendo a lo dispuesto en el art. 14 de la ley 1581 de 2012, en caso de consulta se dará respuesta al usuario dentro de los diez (10) días hábiles siguientes a la radicación de la solicitud. Cuando no fuere posible atender la misma dentro del anterior término, se informará al usuario, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
En caso de reclamo se dará respuesta dentro de los quince (15) días hábiles contados a partir del día siguiente a la fecha de radicación. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al usuario los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Si por cualquier razón LA EMPRESA no es competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al usuario.
13.CONSERVACIÓN DE LA AUTORIZACIÓN
Teniendo en cuenta que el tratamiento de los datos que administra SIESUA se hará ante la existencia de una autorización previa e informada de los titulares de los datos. La empresa conservará dentro de las instalaciones las autorizaciones suscritas por los titulares por un periodo prudencial que facilite su acceso físico, igualmente se mantendrán de forma digital en los computadores de la empresa, bajo condiciones de seguridad que garanticen su acceso al personal autorizado para ello y su conservación inalterada hasta por un periodo de cinco (5) años.
14.REVOCATORIA DE LA AUTORIZACIÓN Y SUPRESIÓN DE DATOS
Los titulares podrán solicitar a SIESUA MEDICINA LÁSER Y SPA S.A.S la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012 y en atención al procedimiento establecido en estas políticas.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos. La revocación del consentimiento puede ser total, es decir que se suspenda completamente el tratamiento de los datos del titular para todas las finalidades inicialmente consentidas. La revocación también puede ser parcial, es decir, que el administrador de los datos deberá suspender algunos tipos de tratamiento determinados.
Si vencido el término legal respectivo, el responsable no hubiera eliminado los datos personales, o suspendido su utilización para las finalidades determinadas, el titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales de acuerdo con el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.
15.POLÍTICA DE GARANTIA DE SEGURIDAD DE LA INFORMACIÓN
SIESUA MEDICINA LÁSER Y SPA S.A.S garantiza a los usuarios y titulares que los datos son almacenados de forma segura conservando la confidencialidad de los mismos. Para ello todas las bases de datos personales que conserva y administra se almacenan exclusivamente en los computadores de la empresa, a los cuales solo tendrán acceso el Representante Legal y los empleados designados por el área encargada del tratamiento, quienes deben dar estricto cumplimiento a lo dispuesto en la presente política. Los documentos físicos que contengan los datos personales administrados se conservarán bajo llave en las instalaciones de la empresa.
El único canal autorizado para distribuir o trasladar los datos personales que se almacenan en los computadores de SIESUA MEDICINA LÁSER Y SPA S.A.S es a través de los correos corporativos autorizados para ello y el software utilizado por la empresa para la administración de la base de datos. De esta forma se garantiza la trazabilidad de las transferencias de los datos y de las bases de datos en general. Es obligación le es aplicable a todos los encargados del tratamiento. Cualquier violación a los deberes y obligaciones contenidas en estas políticas por parte de los encargados del tratamiento de los datos que mantengan un vínculo contractual con SIESUA MEDICINA LÁSER Y SPA S.A.S acarreará sanciones disciplinarias y/o administrativas a quien corresponda.
16.FECHA DE ENTRADA EN VIGENCIA Y PERIODO DE VIGENCIA DE LAS BASES DE DATOS
La presente política de tratamiento de datos personales tiene vigencia a partir del
01 de enero de 2016.