Introducción.

Disposiciones generales

  1. Identificación del responsable
  2. Objetivo.
  3. Marco Legal.
  4. Definiciones.
  5. Principios.
  6. Vigencia y aplicación.

Deberes del responsable y/o encargado del tratamiento – Derechos de los titulares de la información

  1. Deberes de la compañía como responsable del tratamiento.
  2. Encargo de datos personales de la compañía a un tercero.
  3. Derechos de los titulares de los datos personales. tratamiento de la información.
  4. Canales de captación.
  5. Mecanismos de captación de datos personales.
  6. Campos de captura de la información.
  7. Autorización para uso de datos personales.
  8. Revocatoria de la autorización.
  9. Tratamiento al cual serán sometidos los datos y finalidad del mismo.
  10. Tratamiento de datos de niños, niñas y adolescentes.
  11. Tratamiento de datos personales sensibles. medidas de seguridad.
  12. Procedimientos de seguridad.
  13. Medidas de protección. procedimientos para la atención de consultas y reclamos.
  14. Canales de atención.
  15. Procedimiento para radicar una consulta.
  16. Procedimiento para radicar un reclamo.
  17. Medio de respuesta.
  18. Personas legitimadas para radicar consulta o reclamo.
  19. Actualización de las bases de datos.
  20. Transferencias de datos para tratamiento por terceros, nacionales e internacionales.
  21. Seguridad de la información.
  22. Procedimiento para modificaciones a esta Política.
  23. Registro nacional de bases de datos.
  24. Vigencia.

Disposiciones generales

  1. Identificación del responsable 

     PHINA BIOSOLUCIONES

  1. Objetivo

Para efectos de la política, la compañía actúa como responsable del tratamiento de datos personales en virtud de la recolección que realice directamente de los datos de los titulares, por tal motivo, la política tiene como objetivo principal la definición y posterior determinación de todos los temas relativos a los procedimientos, los principios y las políticas de seguridad según los cuales, la compañía garantizará el adecuado tratamiento de los datos personales que sean recolectados en desarrollo de su objeto social.

  1. Marco legal

La política fue elaborada dando estricto cumplimiento a todo lo dispuesto por la normatividad vigente sobre la materia, de esta manera, el presente documento cumple lo dispuesto por los Artículos 15 y 20 de la Constitución Política de Colombia, en la Ley 1581 de 2012 por la cual “Se dictan disposiciones generales para la protección de datos personales”, en el Decreto reglamentario 1377 de 2013 y en las demás normas que en un futuro puedan llegar a modificar, regular o adicionar la normatividad aplicable en materia de protección de datos personales.

  1. Definiciones

Tal y  como lo disponen el Artículo 3° del Decreto 1337 de 2013 y el Artículo 3° de la Ley 1581 de 2012, se tendrán definidos a lo largo de la política, los siguientes términos:

Archivo: Conjunto de datos grabados como una sola unidad de almacenamiento, que contenga datos personales.

Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales, el cual se obtienen al momento de la recolección del dato. Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular, para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de la política de tratamiento de información que le será aplicable, la forma de acceder a la misma y las finalidades del tratamiento que se pretende dar a los datos personales.

Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

Causahabiente: Persona que ha sucedido a otra por causa del fallecimiento de esta ultima (heredero).

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato sensible: Se entiende por dato sensible aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos contenidos en ella.

Titular: Persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado, por cuenta del responsable.

Supresión: se denomina así, a la acción que el titular de los datos personales solicita al responsable y/o encargado de los datos, en ejercicio del derecho que le asiste de libertad y finalidad frente a su información. Se advierte que las definiciones incluidas en esta política fueron tomadas de la normatividad vigente a la fecha, en la cual se regula la debida protección de datos personales de las personas naturales frente a la circulación y tratamiento de los mismos.

  1. Principios

En virtud de lo dispuesto por la normatividad vigente, la compañía ha incorporado a la política, los principios generales relativos al tratamiento de datos personales. de esta manera, estos principios ostentan una aplicación general que abarca de manera transversal todo el contenido de la política. dichos principios fundamentales son tomados del Artículo 4° de la Ley 1581 de 2012.

  1.  Vigencia y aplicación

Las bases de datos y la política tendrán un período de vigencia indeterminado, de conformidad con la duración del objeto social de la compañía. La política aplicará para el tratamiento de las bases de datos en las cuales la compañía tenga la calidad de responsable y/o encargado, a partir de la fecha de su publicación, dejando sin efectos las demás disposiciones institucionales que le sean contrarias. Dado lo anterior, toda situación que no se encuentre prevista en la política, se reglamentará de acuerdo al régimen general de protección de datos personales vigente en Colombia y la demás normatividad aplicable sobre la materia.

Deberes del responsable y/o encargado del tratamiento – Derechos de los titulares de la información

  1. Deberes de la compañía como responsable del tratamiento

La compañía tendrá los siguientes deberes en su calidad de Responsable del tratamiento, los cuales se desprenden de la legislación aplicable en la materia, sin perjuicio de todos los otros deberes previstos en las disposiciones que regulen o lleguen a regularla.

      7.1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de sus derechos en relación con sus datos personales.

      7.2. Permitiéndole el acceso a la información de los titulares únicamente a las personas habilitadas para tener acceso a ella.

      7.3. Rectificar la información cuando sea incorrecta y comunicar lo pertinente.

      7.4. Solicitar y conservar, copia de la autorización otorgada por el titular para el tratamiento de sus datos personales.

     7.5. Informar debidamente al titular sobre la finalidad de la recolección y los derechos vinculados a este, procedentes desde la autorización otorgada.

      7.6. Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible. Además, acreditar en todo momento que la información debe corresponder a los datos personales inicialmente otorgados para el tratamiento.

      7.7. Conservar la información bajo las condiciones de seguridad físicas y digitales que impidan adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, además de cualquier conducta regulada y sancionada en la ley de delitos informáticos.

      7.8. Actualizar oportunamente la información, atendiendo de esta forma todas las novedades respecto de los datos del titular, en un término no inferior a cinco (5) días hábiles desde la recepción de la solicitud.

      7.9. Implementar todas las medidas necesarias para que la información se mantenga actualizada,

      7.10. Implementar un procedimiento del tratamiento del dato en cuanto a las consultas y reclamos que los titulares puedan hacer de ella.

      7.11. Identificar cuando determinada información se encuentra en discusión por parte del titular.

      7.12. Respetar las condiciones de seguridad y privacidad de la información del titular.

      7.13. Tramitar las consultas y reclamos formulados en los términos señalados por la ley.

      7.14. Informar, a solicitud del titular, sobre el uso dado a sus datos.

      7.15. Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular.

    7.16. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

     7.17. Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes, en aquellos casos en que se obtenga con autorización expresa de su representante legal, del tratamiento de sus datos.

     7.18. Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012, el Decreto 1377 de 2013 y las demás normas que desarrollen y complementen la materia.

     7.19. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o cualquier otra entidad pública competente en esta toma de decisiones.

     7.20. Usar los datos personales del titular solo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.

  1. Encargo de datos personales de la compañía a un tercero

Para el cumplimiento de su objeto social, la compañía, podrá encargar el tratamiento de los datos personales que posea a un tercero, con el fin que éste último realice las gestiones de comunicación, promoción, mercadeo, notificación, actualización de datos, planes de fidelización, programas y proyectos especiales que permitan, entre otras, el cumplimiento de las siguientes finalidades tanto por medios físicos como digitales:

  – Celebración, suscripción o mantenimiento de relaciones contractuales con los titulares.

  – Otorgamiento de créditos y financiación de consumo.

  – Tratamiento de información requerida en materia laboral y societaria de la compañía.

  – Información de carácter confidencial, privacidad y no divulgable.

  – Cumplimiento de la finalidad del servicio como proveedor.

Todo lo anterior, respetando siempre las finalidades que el titular de la información haya autorizado a la compañía o autorizadas por Ministerio de la Ley.

El Encargado del tratamiento sobre cualquiera de las bases de datos entregada o compartida por la compañía, deberá cumplir con los siguientes deberes:

     8.1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

     8.2. Actualizar la información reportada por la compañía dentro de los cinco (5) días hábiles contados a partir de su recibo.

     8.3. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos establecidos por la ley.

    8.4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

    8.5. Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la ley.

    8.6. Registrar en las bases de datos las leyendas «Reclamo en trámite» en la forma en que se regula en la normatividad relativa al tratamiento de datos personales.

    8.7. Insertar en la base de datos la leyenda «Información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal.

    8.8. Adoptar una política interna de procedimientos para garantizar el adecuado cumplimiento de la normatividad relativa al tratamiento de datos personales y, en especial, para la atención de consultas y reclamos por parte de los titulares.

     8.9. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

     8.10. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

     8.11. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

     8.12. Informar a la uperintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

  1. Derechos de los titulares de los datos personales

Conforme la ley aplicable a la protección de datos personales, los siguientes son los derechos de los titulares que hayan autorizado el tratamiento de sus datos a la compañía:

      9.1. Acceder, conocer, actualizar, rectificar y suprimir sus datos personales frente a la compañía en su condición de responsable.

     9.2. Presentar ante la Superintendencia de Industria y Comercio, quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, previo trámite de consulta o requerimiento ante la compañía.

    9.3. Solicitar prueba de la autorización otorgada por el titular de los datos o por el responsable del tratamiento a la compañía, mediante cualquier medio válido.

     9.4. Ser informado por la compañía, previa solicitud, respecto del uso que esta le ha dado a sus datos personales.

    9.5. Revocar la autorización o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

     9.6. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento por parte de la compañía como responsable de los mismos. La compañía reconoce que los datos personales que se encuentran en sus bases de datos pertenecen al titular que autorizó su tratamiento.

Tratamiento de la información

  1. Canales de captación

El titular puede autorizar a la compañía que esta ejecute el tratamiento de sus datos personales a través de diferentes medios, entre ellos se encuentran los siguientes:

  – Documentos físicos.

  – Documentos Electrónicos.

  – Mensaje de datos.

  – Internet, sitios web.

  – Cualquier otro  otro formato que en todo caso permita el consentimiento del titular mediante conductas inequívocas a través de las cuales sea posible concluir que de no haberse surtido la misma por parte del titular, o la persona legitimada para ello, los datos no se hubieran almacenado o capturado en la base de datos.

La autorización será solicitada por la compañía de manera previa al tratamiento de los datos personales.

  1. Mecanismos de captación de datos personales

La compañía realiza la recolección de datos personales por los mecanismos que se enuncian y definen a continuación:

     11.1. Virtual: Mecanismo a través del cual, la compañía, utilizando medios tecnológicos no presenciales habilitados previamente (pagina web y cuentas oficiales en redes sociales), recolecta datos personales, de acuerdo con los formatos establecidos.

      11.2. Escrito: Es el medio a través del cual, de manera física y presencial, la compañía en el desarrollo de su objeto social, realizará la recolección de datos personales, mediante la información suministrada en documentos de constitución o modificación de la composición accionaria de la sociedad, en contratos con proveedores, en contratos con empleados, en hojas de vida de candidatos y en formularios de captación en establecimientos propios u operados por terceros.

  1. Campos de captura de la información

En desarrollo de los principios de protección de habeas data, la recolección de datos personales se realizará limitándose a aquellos que son pertinentes y adecuados para el propósito para el cual son recolectados o requeridos por la compañía.

  1. Autorización para uso de datos personales

La compañía actuando como responsable del tratamiento de datos personales y de información transaccional, obtiene de los titulares de los datos su autorización clara, expresa, previa, informada y exenta de vicios, mediante formularios físicos y electrónicos, formatos de recolección de datos y/o a través de los demás medios que disponga o pueda disponer para tal efecto. Para lo anterior, la compañía solicitará a los titulares de los datos personales y la información transaccional, su autorización, informando a éste la finalidad sobre la cual se proporcionará el tratamiento de sus datos personales. Lo anterior, excepto en los casos expresamente autorizados determinados por ley, los cuales se encuentran regulados en el Artículo 10 de la Ley 1581 de 2012.12.

  1. Revocatoria de la autorización

Todos los titulares de los datos personales pueden en cualquier momento revocar su autorización otorgada a la compañía para el tratamiento de sus datos personales e incluso solicitar a la compañía la supresión o eliminación de sus datos personales contenidos en sus bases de datos. Lo anterior, siempre y cuando dicha conducta no contravenga una disposición legal o contractual vigente. La compañía garantizará al titular el fácil acceso a estas solicitudes, estableciendo mecanismos sencillos y simples que permitan al titular revocar su autorización o solicitar la supresión de sus datos personales, al menos por el mismo medio por el cual él los otorgó inicialmente. Para el anterior procedimiento, deberá tenerse en cuenta por parte del titular que, la revocatoria del consentimiento puede expresarse de manera total o parcial en relación con las finalidades autorizadas. (I) Si se revoca totalmente, la compañía deberá cesar cualquier actividad de tratamiento de los datos suministrados por el titular; por el contrario (II) si se revoca parcialmente únicamente frente a ciertos tipos de tratamiento, la compañía cesará el tratamiento sobre las finalidades que expresamente fueron revocadas por el titular. En este último caso, la compañía podrá continuar tratando los datos personales para aquellos fines que no fueran revocados.

15.Tratamiento al cual serán sometidos los datos y finalidad del mismo

Todo tratamiento sobre los datos de los titulares con los cuales la compañía tuviere establecida una relación como responsable del tratamiento y de la información transaccional para la oferta de servicios de valor agregado, será realizado por la compañía con base en las prescripciones de la Ley 1581 de 2012 y la Ley 1266 de 2008 en lo que le sea aplicable, y en general para el cumplimiento de su objeto social. En todo caso, la compañía recolectará y tratará los datos personales de los titulares, con el propósito de ejecutar ciertas finalidades, las cuales varían conforme la base de datos, según se describe a continuación:

– Publicidad

– Email marketing