INTERMARKET COLOMBIA en cumplimiento de lo dispuesto por la Ley 1581 de 2012 que regula la recolección y tratamiento de los datos de carácter personal, y establece las garantías legales que deben cumplir todas las personas en Colombia para el debido tratamiento de dicha información, utiliza la siguiente norma que desarrolla la política de seguridad de la información para el tratamiento de datos personales dentro de la organización, previos los siguientes:

CONSIDERANDO

  1. Que en cumplimiento de la obligación que tiene INTERMARKET COLOMBIA de optimizar constantemente su Sistema de Gestión de Seguridad de la Información dentro de un esquema de Planear-Hacer-Verificar-Actuar, se requiere expedir una norma que establezca las reglas aplicables al tratamiento de datos de carácter personal que estén bajo custodia del ente empresarial.

 

  1. Que corresponde tanto a las directivas de INTERMARKET COLOMBIA, así como a sus empleados y terceros contratistas, observar, acatar y cumplir las órdenes e instrucciones que de modo particular imparta la organización respecto de los datos de carácter personal cuya divulgación o indebido uso pueda generar un perjuicio a los titulares de la misma, en cumplimiento de los derechos contenidos en el artículo 15 de la Constitución Política de Colombia, ley 1581 de 2012 y ley 1273 de 2009.

 

  1. Que las normas legales relacionadas con los datos personales establecen sanciones económicas, comerciales y privativas de la libertad, por lo cual es fundamental la cooperación entre INTERMARKET COLOMBIA y los destinatarios de esta norma, con el fin de garantizar el cumplimiento de los derechos a la intimidad, al habeas data y a la protección de datos personales, evitando así perjuicios para cualquiera de las partes y/o terceros.

 

 

  1. Que la regulación de las políticas de seguridad de la información, en particular respecto de las relaciones laborales y prestación de servicios, debe incluir la protección de los datos de carácter personal relacionados con el recurso humano, respetando el mínimo de derechos y garantías de los empleados y prestadores de servicios, so pena de que las estipulaciones no produzcan ningún efecto.

 

  1. Que conforme a la legislación laboral surge para el empleador el deber de proteger a los empleados, y para estos surge el deber de acatamiento y lealtad para con INTERMARKET COLOMBIA, de manera que estos contribuyan en la gestión segura de la información de carácter personal.

 

  1. Que es deber de los empleados para con INTERMARKET COLOMBIA prestar toda su colaboración en caso de riesgo inminente que afecte o amenacen los activos de información, especialmente los relacionados con la información de carácter personal que custodia INTERMARKET COLOMBIA, de manera que se preste la debida cooperación que INTERMARKET COLOMBIA requiera para investigar, analizar y capturar evidencia de incidentes de seguridad que comprometan ésta información, tengan o no vocación judicial, acatando para ello las instrucciones contenidas en el protocolo de cadena de custodia de INTERMARKET COLOMBIA.

 

Con base en las anteriores consideraciones que fundamentan la protección de datos personales en INTERMARKET COLOMBIA, se formulan las siguientes disposiciones para su tratamiento y que son de obligatorio cumplimiento para los destinatarios de esta norma.

 

  1. OBJETO

 

Adoptar y establecer las reglas aplicables al tratamiento de datos de carácter personal recolectados, tratados y/o almacenados por INTERMARKET COLOMBIA en desarrollo de su objeto social, bien sea en calidad de responsable y/o encargado del tratamiento.

Las reglas contenidas en esta norma dan cumplimiento a lo dispuesto en la Ley 1581 de 2012, en el artículo 15 de la Constitución Política de Colombia, en cuanto a la garantía de la intimidad de las personas, ejercicio del habeas data y protección de datos personales, en concordancia con el derecho a la información, de manera que se regulen proporcionalmente estos derechos en INTERMARKET COLOMBIA y se pueda prevenir la vulneración de los mismos.

Las reglas adoptadas en esta norma por INTERMARKET COLOMBIA se adecúan a los estándares internacionales en materia de protección de datos personales.

 

  1. ÁMBITO DE APLICACIÓN

 

La presente norma se aplicará al tratamiento de datos personales efectuado en territorio colombiano, o cuando le sea aplicable la norma al responsable y/o encargado ubicado fuera del territorio colombiano, en virtud de tratados internacionales, relaciones contractuales, entre otros.

Los principios y disposiciones contenidos en esta norma de seguridad de la información de carácter personal, se aplicarán a cualquiera base de datos personales que se encuentren en custodia de INTERMARKET COLOMBIA, bien sea en calidad de responsable y/o como encargado del tratamiento.

Todos los procesos organizacionales de INTERMARKET COLOMBIA que involucren el tratamiento de datos de carácter personal, deberán someterse a lo dispuesto en esta norma.

III. DESTINATARIOS DE LA PRESENTE NORMA.

La presente norma se aplicará y por ende obligará a las siguientes personas:

4.1. Representantes Legales y/o usuarios la plataforma de INTERMARKET COLOMBIA.

  • Personal interno de INTERMARKET COLOMBIA, directivos o no, que custodien y traten bases de datos de carácter personal.
  • Contratistas y personas naturales o jurídicas que presten sus servicios a INTERMARKET COLOMBIA bajo cualquier tipo de modalidad contractual, en virtud de la cual se realice cualquier tratamiento de datos de carácter personal.
  • Los Accionistas, revisores fiscales y aquellas otras personas con las cuales exista una relación legal de orden estatutario.
  • Personas públicas y privadas en condición de usuarios de los datos personales.

 

4.7. Las demás personas que establezca la ley.

 

  1. DERECHOS DE LOS TITULARES DE LOS DATOS

 

Los titulares de los datos de carácter personal contenidos en bases de datos que reposen en los sistemas de información de INTERMARKET COLOMBIA, tienen los derechos descritos en este acápite en cumplimiento de las garantías fundamentales consagradas en el Constitución Política y la Ley.

El ejercicio de estos derechos será gratuito e ilimitado por parte del titular del dato personal, sin perjuicio de disposiciones legales que regulen el ejercicio de los mismos.

El ejercicio del Habeas Data, expresado en los siguientes derechos, constituye una potestad personalísima y serán ejercidos por el titular del dato de manera exclusiva, salvo las excepciones de ley.

4.1. Derecho de Acceso.

Este derecho comprende la facultad del titular del dato de obtener toda la información respecto de sus propios datos personales, sean parciales o completos, del tratamiento aplicado a los mismos, de la finalidad del tratamiento, la ubicación de las bases de datos que contienen sus datos personales, y sobre las comunicaciones y/o cesiones realizadas respecto de ellos, sean éstas autorizadas o no.

4.2. Derecho de Actualización.

Este derecho comprende la facultad del titular del dato de actualizar sus datos personales cuando éstos hayan tenido alguna variación.

4.3. Derecho de Rectificación.

Este Derecho comprende la facultad del titular del dato de modificar los datos que resulten ser inexactos, incompletos o inexistentes.

4.4. Derecho de Cancelación.

Este Derecho comprende la facultad del titular del dato de cancelar sus datos personales o suprimirlos cuando sean excesivos, no pertinentes, o el tratamiento sea contrario a las normas, salvo en aquellos casos contemplados como excepciones por la ley.

4.5. Derecho a presentar Quejas y Reclamos o a ejercer Acciones.

El titular del dato personal tiene derecho a presentar ante la Superintendencia de Industria y Comercio, o la entidad que fuera competente, quejas y reclamos, así como las acciones que resultaren pertinentes, para la protección de sus datos. INTERMARKET COLOMBIA dará respuesta a los requerimientos que realicen las autoridades competentes en relación con estos derechos de los titulares de los datos personales.

4.6. Derecho a otorgar Autorización para el tratamiento de datos.

En desarrollo del principio del Consentimiento Informado, el titular del dato tiene derecho a otorgar su autorización, por cualquier medio que pueda ser objeto de consulta posterior, para tratar sus datos personales en INTERMARKET COLOMBIA.

De manera excepcional, esta autorización no será requerida en los siguientes casos:

  • Cuando sea requerida por entidad pública o administrativa en cumplimiento de sus funciones legales, o por orden judicial.
  • Cuando se trate de datos de naturaleza pública.
  • En casos de emergencia médica o sanitaria.
  • Cuando sea tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
  • Cuando se trate de datos personales relacionados con el Registro Civil de las personas.

 

En estos casos, si bien no se requiere de la autorización del titular, si tendrán aplicación los demás principios y disposiciones legales sobre protección de datos personales.

 

  1. DEBERES DE LOS DESTINATARIOS DE ESTA NORMA RESPECTO DE LAS BASES DE

 

DATOS DE CARÁCTER PERSONAL CUANDO OSTENTEN LA CALIDAD DE RESPONSABLES Y

 

ENCARGADOS.

 

5.1. Deberes para los RESPONSABLES del Tratamiento.

 

Cuando INTERMARKET COLOMBIA o cualquiera de los destinatarios de esta norma, asuman la calidad de responsables del tratamiento de datos personales bajo su custodia, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

 

  1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

 

  1. Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la respectiva autorización y consentimiento otorgada por el Titular.

 

  1. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.

 

  1. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

 

  1. e) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.

 

  1. Exigir al Encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.

 

  1. Tramitar las consultas y reclamos formulados en los términos señalados en esta norma y en la ley.

 

  1. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

 

 

 

5.2. Deberes de los ENCARGADOS del tratamiento de datos personales.

 

Cuando INTERMARKET COLOMBIA o cualquiera de los destinatarios de esta norma, asuman la calidad de encargados del tratamiento de datos personales bajo su custodia, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:

 

 

  1. a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

 

  1. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

 

  1. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.

 

  1. Actualizar la información reportada por los responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.

 

  1. Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en esta norma y en la ley.

 

  1. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

 

  1. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

 

  1. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

 

1) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

 

 

 

5.3. Deberes comunes de responsables y encargados del tratamiento.

 

Además de los deberes antes descritos en cabeza de INTERMARKET COLOMBIA y de cualquiera otra persona que asuma su condición de responsable o encargado del tratamiento, de manera complementaria asumirán los siguientes deberes cualquiera que sea su condición:

 

 

  1. Aplicar las medidas de seguridad conforme la clasificación de los datos personales que trata INTERMARKET COLOMBIA.

 

 

  1. Adoptar procedimientos de recuperación de desastres aplicables a las base de datos que contengan datos personales.

 

  1. Adoptar procedimientos de Respaldo o Back Up de las base de datos que contienen datos personales.

 

  1. Gestionar de manera segura las bases de datos que contengan datos personales.

 

  1. Aplicar esta norma sobre protección de datos personales en armonía con la Política de Seguridad de la Información.

 

  1. Gestionar de manera segura el acceso a las bases de datos personales contenidos en los sistemas de información, en los que actúe como responsable o encargado del tratamiento.

 

  1. Disponer de un procedimiento para gestionar los incidentes de seguridad respecto de las bases de datos que contengan datos personales.

 

 

  1. PROCEDIMIENTO DE HABEAS DATA PARA EL EJERCICIO DE LOS DERECHOS DE

 

INFORMACIÓN, ACCESO, ACTUALIZACIÓN, RECTIFICACION, CANCELACION Y OPOSICION.

 

En desarrollo de la garantía constitucional de Habeas Data respecto de los derechos de acceso, actualización, rectificación, cancelación y oposición por parte del titular de datos personales, o interesado habilitado legalmente, esto es, sus causahabientes y representantes legales, INTERMARKET COLOMBIA adopta el siguiente procedimiento:

 

  • El titular del dato y/o interesado en ejercer uno de estos derechos, acreditará esta condición mediante copia del documento pertinente y de su documento de su identidad, que podrá suministrar por medio físico o digital. En caso de que el titular este representado por un tercero deberá allegarse el respectivo poder, el cual deberá tener reconocimiento del contenido ante notario. El apoderado deberá igualmente acreditar su identidad en los términos indicados.

 

  • La solicitud para ejercer cualquiera de los derechos mencionados deberá hacerse en soporte escrito, sea este físico o digital. La solicitud de ejercicio de los derechos mencionados podrá dirigirse a la dirección principal o al correo electrónico habilitado por INTERMARKET COLOMBIA para el ejercicio del Habeas Data. INTERMARKET COLOMBIA podrá disponer de otros medios para que el titular de los datos personales ejerza sus derechos.

 

INTERMARKET COLOMBIA, en los casos que detente la condición de encargado del tratamiento informará tal situación al titular o interesado en el dato personal, y comunicará al responsable del dato personal la solicitud, con el fin de que éste de respuesta a la solicitud de consulta o reclamo presentado. Copia de tal comunicación será dirigida al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia del obligado principal de garantizar el ejercicio de su derecho.

 

Para acudir a la Superintendencia de Industria y Comercio en ejercicio de las acciones legales contempladas para los titulares de datos o interesados, se deberá agotar previamente el trámite de consultas y/o reclamos aquí descrito.

 

 

 

 

Página 19 de 29

 

 

VII. ROLES Y RESPONSABILIDADES EN EL CUMPLIMIENTO DE LA PROTECCION DE DATOS

 

PERSONALES.

 

La responsabilidad en el adecuado tratamiento de datos personales al interior de INTERMARKET COLOMBIA, está en cabeza de todos sus empleados y administradores socios.

 

En consecuencia, al interior de cada área que maneje los procesos de negocios que involucren tratamiento de datos personales, deberán adoptar las reglas y procedimientos para la aplicación y cumplimiento de la presente norma, dada su condición de custodios de la información personal que contenida en los sistemas de información de INTERMARKET COLOMBIA.

 

En caso de duda respecto del tratamiento de los datos personales, se acudirá al área responsable de la seguridad de la información para que indiquen la directriz a seguir, según el caso.

 

VIII. MEDIDAS DE SEGURIDAD

 

En el tratamiento de los datos personales objeto de regulación en esta norma, INTERMARKET COLOMBIA adoptará medidas de seguridad físicas, lógicas y administrativas, las cuales se clasifican en nivel alto, medio y bajo, conforme el riesgo que pueda derivar de la criticidad de los datos personales tratados.

 

En desarrollo del principio de Seguridad de los Datos personales, INTERMARKET COLOMBIA adoptará una directriz general sobre estas medidas, que serán de obligatorio acatamiento por parte de los destinatarios de esta norma.

 

Es obligación de los destinatarios de esta norma informar a INTERMARKET COLOMBIA cualquier sospecha que pueda implicar una violación a las medidas de seguridad adoptadas por la organización para proteger los datos personales confiados a ella, así como cualquier tratamiento inadecuado de los mismos, una vez tengan conocimiento de esta situación.

 

En estos casos, INTERMARKET COLOMBIA comunicará a la autoridad de control tal situación y procederá a gestionar el respectivo incidente de seguridad respecto de los datos personales, con el fin de establecer las repercusiones jurídicas del mismo, sean estas a nivel penal, laboral, disciplinario o civil.

 

  1. PROCEDIMIENTOS Y SANCIONES.

 

INTERMARKET COLOMBIA comunica a los destinatarios de esta norma el régimen de sanciones previsto por la Ley 1581 de 2012 en su artículo 23, que materializa los riesgos que se asume por un indebido tratamiento de datos personales:

 

“ARTICULO 23. Sanciones. La Superintendencia de Industria y Comercio podrá imponer a los Responsables del Tratamiento y Encargados del Tratamiento las siguientes sanciones:

 

  1. Multas de carácter personal e institucional hasta por el equivalente de dos mil (2.000) salarios mínimos mensuales legales vigentes al momento de la imposición de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento que las originó.

 

  1. Suspensión de las actividades relacionadas con el Tratamiento hasta por un término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que se deberán adoptar.

 

  1. Cierre temporal de las operaciones relacionadas con el Tratamiento una vez transcurrido el término de suspensión sin que se hubieren adoptado los correctivos ordenados por la Superintendencia de Industria y Comercio.

 

  1. Cierre inmediato y definitivo de la operación que involucre el Tratamiento de datos sensibles.”

 

La notificación de cualquier procedimiento de investigación por parte de cualquier autoridad, relacionado con el tratamiento de datos personales, deberá ser comunicada de manera inmediata a INTERMARKET COLOMBIA, con el fin de tomar las medidas tendientes a defender el accionar de la entidad y evitar la imposición de las sanciones previstas en la legislación colombiana, en particular las consignadas en el Título VI, Capitulo 3 de la ley 1581 de 2012 antes descritas.

 

Consecuencia de los riesgos que asume INTERMARKET COLOMBIA bien en calidad de Responsable y/o Encargado del tratamiento de los datos personales, el incumplimiento de esta norma por parte de sus destinatarios, se considera una falta grave y dará lugar a la terminación del contrato respectivo sin perjuicio de las demás acciones que legalmente procedan.

 

 

  1. ENTREGA DE DATOS PERSONALES A AUTORIDADES.

 

Cuando las autoridades del Estado soliciten a INTERMARKET COLOMBIA el acceso y/o entrega de datos de carácter personal contenidos en cualquiera de sus bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad, y se documentará la entrega de la información personal solicitada previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad e integridad), y advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran. Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los datos personales entregados y los riegos que conllevan su indebido uso e inadecuado tratamiento.