Tratamiento de Datos

Manual de Políticas y Procedimientos en Materia de Protección de Datos Personales

GRUPO CARDISEL S.A.S. (en adelante “CARDISEL”), comprometido con la seguridad de la información personal sus usuarios, clientes, proveedores, contratistas, empleados y público en general y con la finalidad de dar estricto cumplimiento a la normatividad vigente sobre la protección de Datos Personales, en especial por lo establecido en la Ley 1581 de 2012, Decreto 1377 de 2013 y demás disposiciones que las modifiquen, adicionen o complementen, CARDISEL se permite presentar el Manual de Políticas y Procedimientos en materia de protección de Datos Personales, en relación con la recolección, uso y transferencia de los mismos, en virtud de la autorización que ha sido otorgada por los Titulares de la información.

En este documento, CARDISEL detalla las políticas generales que se tienen en cuenta a efectos de proteger los Datos Personales de los Titulares, como la finalidad de la recolección de la información, derechos de los Titulares, área responsable de atender las quejas y reclamos, así como los procedimientos que se deben agotar para conocer, actualizar, rectificar y suprimir la información.

CARDISEL, en cumplimiento del derecho constitucional al Habeas Data, solo recolecta Datos Personales, cuando así haya sido autorizado previamente por su Titular, implementando para tal efecto, medidas claras sobre confidencialidad y privacidad de los Datos Personales.

PARTE I.

DISPOSICIONES GENERALES

ARTÍCULO 1. LEGISLACIÓN APLICABLE.
Este manual fue elaborado teniendo en cuenta las disposiciones contenidas en la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales” y el Decreto 1377 de 2013 “Por el cual se reglamenta parcialmente la Ley 1581 de 2012”.

ARTÍCULO 2. ÁMBITO DE APLICACIÓN.
Este manual se aplicará a la recolección, almacenamiento, uso, circulación o supresión (en adelante “tratamiento”) de datos de carácter personal de clientes, empleados, proveedores, contratistas y público en general; que realice CARDISEL, en la ejecución de su actividad de revisión técnico-mecánica y de emisiones contaminantes. Se excluyen de esta política los datos mantenidos en el ámbito exclusivamente personal y que se inscriben en el marco de la vida privada o familiar de las personas naturales.

ARTÍCULO 3. OBJETO.
Proteger y garantizar con base en el presente manual el derecho fundamental de habeas data reglamentado por la Ley 1581 de 2012, que regula los procedimientos de tratamiento de los datos de carácter personal que realiza CARDISEL.

ARTÍCULO 4. VIGENCIA DE LA BASE DE DATOS.
CARDISEL, aplicará las políticas y procedimientos contenidos en el presente manual a las bases de datos sobre las que tengan poder de decisión, por un término de hasta tres (3) años; de conformidad con lo establecido en el artículo 6o de la resolución 5111 de 2011, de ahí en adelante los datos quedaran almacenados sin ser objeto de tratamiento, por un periodo igual al estatutariamente establecido para la duración de la sociedad.

ARTICULO 5. DEFINICIONES.
Para efectos del presente documento, se tendrán en cuenta las definiciones señaladas en la Ley 1581 de 2012 tal como se transcriben a continuación:

∙ Titular: Persona natural o jurídica cuyos Datos Personales sean objeto de Tratamiento.

∙ Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. Para el caso concreto CARDISEL.

∙ Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

∙ Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

∙ Dato Sensible: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación.

ARTÍCULO 6. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES.
En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

Principio de legalidad: En el uso, captura, recolección y tratamiento de datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos fundamentales conexos.
Principio de libertad: El uso, captura, recolección y tratamiento de datos personales sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el consentimiento.
Principio de finalidad: El uso, captura, recolección y tratamiento de datos personales a los que tenga acceso y sean acopiados y recogidos por CARDISEL, estarán subordinados y atenderán una finalidad legítima, la cual debe serle informada al respectivo titular de los datos personales.
Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de transparencia: En el tratamiento de datos personales debe garantizarse el derecho del Titular a obtener de CARDISEL, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.
Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
Principio de seguridad: Los datos personales e información sujeta a tratamiento por CARDISEL, será objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios físicos y electrónicos evitando su adulteración, modificación, pérdida, consulta y en general en contra de cualquier uso o acceso no autorizado.
Principio de confidencialidad: Todas y cada una de las personas que administren, den tratamiento, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases de Datos, se comprometen a conservar y mantener de manera estrictamente confidencial y no revelarla a terceros, todas las informaciones personales, comerciales, contables, técnicas, o de cualquier otro tipo suministradas en la ejecución y ejercicio de sus funciones. Todas las personas que trabajen actualmente o sean vinculadas a futuro para tal efecto, en la administración y manejo de bases de datos, deberán suscribir un documento adicional u otrosí a su contrato laboral o de prestación de servicios para efectos de asegurar tal compromiso. Esta obligación persiste y se mantiene inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento

PARTE II.

DERECHOS Y DEBERES

ARTÍCULO 7. DERECHOS DE LOS TITULARES DE LA INFORMACIÓN.
De conformidad con lo establecido en la Ley 1581 de 2012, el titular de los datos personales tiene los siguientes derechos:

Conocer, actualizar y corregir sus Datos Personales. Con la facultad de ejercer este derecho, entre otros, en relación con la información, parcial, inexacta, incompleta, dividida, información engañosa o cuyo tratamiento sea prohibido o no autorizado.
Requerir prueba del consentimiento otorgado para la recolección y el tratamiento de los Datos Personales.
Ser informado por CARDISEL del uso que se le han dado a los Datos Personales. d. Presentar quejas ante la Superintendencia de Industria y Comercio en el caso en que haya una violación por parte de CARDISEL, de las disposiciones de la Ley 1581 de 2012, el Decreto 1377 de 2013 y otras normas que los modifiquen, adicionen o complementen, de conformidad con las disposiciones sobre el requisito de procedibilidad establecido en el artículo 16 Ley 1581 de 2012. e. Revocar la autorización otorgada para el tratamiento de los Datos Personales.
Solicitar ser eliminado de la base de datos. Esta supresión o eliminación implica la eliminación total o parcial de la información personal de acuerdo con lo solicitado por el titular en las bases de datos de CARDISEL. Es importante tener en cuenta que el derecho de supresión no es absoluto y el responsable puede negar el ejercicio del mismo cuando: El titular tenga el deber legal y/o contractual de permanecer en la base de datos, la supresión de los datos obstaculice actuaciones judiciales o administrativas o la investigación y persecución de delitos, los datos que sean necesarios para cumplir con una obligación legalmente adquirida por el titular.
Tener acceso a los Datos Personales que CARDISEL haya recolectado y tratado.

ARTÍCULO 8. DEBERES DEL RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN En calidad de Responsable del Tratamiento de los datos personales, y de conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012, CARDISEL, se compromete a cumplir con los siguientes deberes, en lo relacionado con el tratamiento de datos personales:

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; b. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización otorgada por el Titular;
Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada;
Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012;
Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
Tramitar las consultas y reclamos formulados en los términos señalados en la ley 1581 de 2012; k. Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos;
Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
Informar a solicitud del Titular sobre el uso dado a sus datos;
Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

ARTÍCULO 9. DEBERES DEL ENCARGADO DEL TRATAMIENTO DE LA INFORMACIÓN En calidad de encargado del Tratamiento de los datos personales, y de conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012, el área de Servicio al Cliente, se compromete a cumplir con los siguientes deberes, en lo relacionado con el tratamiento de datos personales:

Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data; b. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley 1581 de 2012;
Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;
Tramitar las consultas y los reclamos formulados por los Titulares en los términos señalados en la ley 1581 de 2012;
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y, en especial, para la atención de consultas y reclamos por parte de los Titulares; g. Registrar en la base de datos las leyenda “reclamo en trámite” en la forma en que se regula en la ley 1581 de 2012;
Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;
Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella; k. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares; l. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

PARTE III.

AUTORIZACIÓN Y FINALIDAD

ARTICULO 10. AUTORIZACIÓN.

CARDISEL, en su condición de Responsable del tratamiento de datos personales, ha dispuesto de los mecanismos necesarios para obtener la autorización de los titulares, garantizando en todo caso que sea posible verificar el otorgamiento de dicha autorización.

ARTICULO 11. FINALIDAD DE LA AUTORIZACION.

El Tratamiento de los datos personales de los Titulares se llevará a cabo por parte de CARDISEL, con las siguientes finalidades:

Para clientes individuales, en convenio y proveedores

Ejecutar la relación contractual existente con sus clientes y proveedores;
Informar sobre el vencimiento de su certificado de revisión técnico-mecánica y de emisiones contaminantes,
Soportar procesos de auditoría interna o externa;
Informar sobre nuevos servicios y sobre cambios en los mismos;
Evaluar la calidad del servicio;
Proveer los servicios requeridos por sus usuarios;
Llevar a cabo los trámites de atención de PQA’s (Peticiones, Quejas o Apelaciones) presentadas ante la compañía;
Cumplimiento de pagos u obligaciones contraídas.

Para empleados y contratistas

La afiliación del empleado en las entidades del sistema general de seguridad social y parafiscal. b. Archivo y procesamiento de nómina.
Archivos sobre antecedentes disciplinarios y contractuales.
Reporte ante autoridades administrativas, laborales, fiscales o judiciales.
Cumplimiento de obligaciones legales o contractuales del EMPLEADOR con terceros. f. La debida ejecución del Contrato de trabajo.
El cumplimiento de las políticas internas del EMPLEADOR.
La verificación del cumplimiento de las obligaciones del TRABAJADOR.
La administración de sus sistemas de información y comunicaciones.
La generación de copias y archivos de seguridad de la información en los equipos proporcionados por el EMPLEADOR.
Dar cumplimiento a las obligaciones contraídas por el EMPLEADOR con el TRABAJADOR con relación al pago de salarios, prestaciones sociales y demás acreencias laborales.
Informar las modificaciones que se presenten en el desarrollo del contrato de trabajo al TRABAJADOR.
Evaluar la calidad de los servicios ofrecidos por el TRABAJADOR.
Realizar los descuentos de nómina autorizados por el TRABAJADOR

ARTÍCULO 12. FORMA Y MECANISMOS PARA OTORGAR LA AUTORIZACIÓN.

Los datos personales que son incluidos en las bases de datos de CARDISEL provienen de la información recopilada en ejercicio de la actividad de Revisión Técnico-Mecánica y Emisiones Contaminantes, y de las actividades desarrolladas en razón de los vínculos comerciales, contractuales, laborales o de cualquier otra índole, con sus usuarios, clientes, proveedores, contratistas, empleados y público en general. Los datos recolectados por CARDISEL son almacenados de forma física, bajo los procedimientos y políticas internas de seguridad y confidencialidad, y de forma digital a través de un software debidamente licenciado, el cual es suministrado por proveedores especializados en la materia, con quienes se suscriben acuerdos de confidencialidad para la adecuada protección de la información.

Estos son los canales para la recolección de datos:

De clientes individuales: en cada una de nuestras sedes se tiene dispuesto un punto de recepción e ingreso de datos de los titulares.
De clientes en convenio: vía telefónica o en el área de dirección comercial directamente. c. De empleados y contratistas: hojas de vida físicas recibidas en las sedes, plataformas de empleo y en el área de talento humano directamente.

En el documento PDP-FM-001 se presenta el formato de autorización que ha definido CARDISEL, para la recolección y tratamiento de datos personales de sus empleados. En el documento PDP-FM-002 se presenta el formato de autorización para clientes en convenio y proveedores. En el documento PDP-FM-003 se presenta el formato aviso de privacidad, en el documento PDP-FM-004, autorización tratamiento de datos personales para múltiples clientes en convenio con proveedores PDP-FM-005, se presenta la autorización para clientes individuales, que irá en el respaldo del formato de hoja de ingreso GO-FM-004.

ARTÍCULO 13. AVISO DE PRIVACIDAD. Ver documento PDP-FM-003.

PARTE IV.

PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR DE LA INFORMACIÓN

ARTÍCULO 14. PROCEDIMIENTO PARA GARANTIZAR EL DERECHO A PRESENTAR RECLAMOS Y EJERCICIO DE SUS DERECHOS.
El ÁREA DE SERVICIO AL CLIENTE de CARDISEL S.A.S será la responsable de atender las peticiones, quejas y reclamos que formule el titular del dato en ejercicio de los derechos contemplados en el artículo 7 del presente manual, a excepción del descrito en su literal d). Para tales efectos, el titular del dato personal o quien ejerza su representación podrá enviar su petición, queja o apelación de lunes a viernes de 8:00 a.m. a 6:00 p.m. Al correo electrónico info@cardisel.com.co, llamar a la línea telefónica de GRUPO CARDISEL S.A.S, Pereira teléfono (6) 3400800, o radicarla en cualquiera de nuestras sedes en las siguientes direcciones:

SEDE	DIRECCIÓN
BOSQUES DE LA ACUARELA	Carrera 10 # 69-36
TURIN (PEREIRA)	Carrera 7 # 43-96
LA ROSA	Carrera 16 # 31-20

La petición, queja o reclamo deberá contener la identificación del Titular, la descripción de los hechos que dan lugar a la petición o reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de cinco (5) días hábiles e informará de la situación al interesado. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

Resulta indispensable advertir que la solicitud de supresión de la información y la revocatoria de la autorización, no procederá cuando el Titular tenga un deber legal o contractual con CARDISEL.

PARTE V.

SEGURIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN

ARTÍCULO 15. MEDIDAS DE SEGURIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN.
CARDISEL aplica y actualiza constantemente medidas y herramientas técnicas, humanas, administrativas necesarias para garantizar la seguridad de los datos personales que recopilamos a lo largo de nuestros procesos y actividades empresariales, de tal forma que se mantenga la confidencialidad, integridad, accesibilidad bajo los términos que nos exige la ley y nuestro compromiso con la seguridad de información para nuestros Clientes, Proveedores, Empleados y demás relacionados a nuestra Compañía de quienes hagamos tratamiento de sus datos personales.

Disponemos de las siguientes herramientas y procedimientos para garantizar la confidencialidad de la información:

Gestión de usuarios en cada aplicativo informático con asignación de contraseñas no transferibles, usuarios con sus respectivos roles que aseguran accesos y acciones sobre la información de forma controlada y no expuesta a intrusos.
Equipos de seguridad perimetral, firewall que previene y controla los posibles accesos de intrusos, conexiones fraudulentas o ataques con software maligno a nuestras redes de datos y telecomunicaciones y aplicaciones informáticas.
Sistemas informáticos de Antivirus y Anti SPAM para controlar y garantizar el contenido seguro de nuestros correos electrónicos y computadoras.
Manejo de contraseñas seguras para nuestros usuarios con privilegios de administración en las aplicaciones informáticas, bases de datos, servidores y equipos de telecomunicaciones.
Transferencia de datos entre aplicaciones o equipos de red usando protocolos seguros (HTTPS).
Bloqueo de puertos USB para evitar que los usuarios extraigan información de computadoras sin permiso y control requerido.
Uso de diferentes ambientes de trabajo en los aplicativos informáticos críticos (TECMMAS: Software de pruebas a vehículos, HELISA: Software de contabilidad) para asegurar que los nuevos desarrollos de software o configuraciones de externos internos no alteren la integridad y confidencialidad de la información.
Matriz de accesos para controlar quien accede a los registros físicos almacenados en cada una de las sedes y a las copias de seguridad atendiendo a nuestra política de seguridad de la información.

GRUPO CARDISEL S.A.S podrá subcontratar a terceros para el procesamiento de determinadas funciones o información. Cuando efectivamente se subcontrate con terceros el procesamiento de información personal o se proporcione información personal a terceros prestadores de servicios, GRUPO CARDISEL S.A.S advierte a dichos terceros sobre la necesidad de proteger dicha información personal con medidas de seguridad apropiadas, se prohíbe el uso de la información para fines propios y se solicita que no se divulgue la información personal a otros.

PARTE VI.

DISPOSICIONES FINALES.

ARTÍCULO 16. DESIGNACIÓN.
CARDISEL, designa a la Dirección Comercial y Servicio al Cliente o quien haga sus veces, para cumplir con la función de protección de datos personales, así como para dar trámite a las solicitudes de los titulares, para el ejercicio de los derechos como titular de la información.

ARTÍCULO 17. INFORMACIÓN DEL RESPONSABLE DEL TRATAMIENTO DE LOS DATOS