PROCEDIMIENTO TRATAMIENTO DE DATOS PERSONALES Versión :1 Código : Fecha :2013/07/25 Estado : Elaboró: Janeth Osorio Revisó: Federico Hederich Aprobó: Vivianne Nauffal Cargo: Asistente Administrativa Cargo: Gerente de Mercadeo Cargo: Gerente Financiero y Administrativo 1. OBJETIVO Establecer los mecanismos de comunicación para el tratamiento de datos personales recolectados y almacenados por Open, con el fin de dar cumplimiento a las leyes que los cobijan y a los derechos que le asisten a los titulares de estos datos. 2. ALCANCE Se aplica para todas las actividades inherentes al tratamiento de datos personales y es de obligatorio cumplimiento. 3. RESPONSABILIDADES Gerente Financiero y Administrativo: Velar por el cumplimiento de este procedimiento Aprobar las modificaciones a este procedimiento. Aprobar la política de tratamiento de bases de datos Informar a la Superintendencia de industria y Comercio cuando se presenten violaciones a la seguridad o existan riesgos en la administración de la información de los titulares. Gerente de Mercadeo Revisar la política de tratamiento de datos personales. Revisar el procedimiento de tratamiento de datos personales. Analista de Comunicaciones de Marketing: Recolectar, almacenar y gestionar todo lo relacionado a la base de datos comercial. Almacenar las autorizaciones de tratamiento de datos enviadas por cliente. Recibir y enviar las comunicaciones de consultas y reclamos de los titulares de la información relacionada con el tratamiento de datos personales. Coordinar con los administradores de la base de datos de proveedores y empleados lo relacionado a consultas y reclamos de los titulares de información relacionada con el tratamiento de datos personalesTener las medidas básicas de seguridad y privacidad que eviten el uso indebido de la utilización de bases de datos. Analista de Nómina: Recolectar, almacenar y gestionar todo lo relacionado a la base de datos de empleados. Archivar en las carpetas de cada empleado, la respectiva autorización de tratamiento de datos personales. Coordina con el analista de comunicaciones de marketing todo lo relacionado a consultas y reclamos con el fin de dar cumplimiento a los derechos que los titulares tienen, y ambos son responsables de dar cumplimiento a los tiempos de respuesta. Informar a la gerencia financiera y administrativa cuando se presenten violaciones de seguridad o existan riesgos en la administración de la información de los titulares de su base de datos. Tener las medidas básicas de seguridad y privacidad que eviten el uso indebido de la utilización de bases de datos. Asistente Administrativa: Mantener la política de tratamiento de datos personales actualizada según las normas reglamentarias y los cambios internos de la empresa. Velar por el cumplimiento y mantenimiento de este procedimiento. Coordinar con el analista de comunicaciones de marketing el envío de las actualizaciones de la política de tratamiento de datos personales a los titulares, cada vez que hayan cambios significativos en la misma. Definir y mantener actualizado el procedimiento de tratamiento de datos personales. Recolectar, almacenar y gestionar todo lo relacionado a la base de datos de proveedores. Archivar en las carpetas de cada proveedor, la respectiva autorización de tratamiento de datos personales. Informar a la gerencia financiera y administrativa cuando se presenten violaciones de seguridad o existan riesgos en la administración de la información de los titulares de su base de datos. Tener las medidas básicas de seguridad y privacidad que eviten el uso indebido de la utilización de bases de datos. 4. DESCRIPCION DE ACTIVIDADES Para efectos del tratamiento de datos personales Open tiene 3 bases de datos: la comercial administrada por el analista de comunicaciones de marketing y que contiene datos de clientes, prospectos y partners, la de proveedores administrada por la asistente administrativa y la de empleados administrada por la analista de nómina. 4.1 Recolección de información. Los administradores de cada base de datos recolectan los datos personales de sus respectivas bases de datos con las autorizaciones de los titulares, los almacenan, actualizan, eliminan y en general realiza la gestión en la base de datos asignada de acuerdo a la política de tratamiento de datos y a este procedimiento. Estas bases de datos tendrán la información requerida por Open estrictamente en función de garantizar efectivamente su actividad comercial, contractual y en función de cumplir todos aquellos aspectos legales. 4.2 Consultas El analista de comunicaciones de marketing es el canal dispuesto por Open de recibir las consultas de los titulares o sus representantes legales, luego de recibirlas la envía a cada administrador de base de datos para verificar a cual de las tres corresponde y le informan a este para seguir su diligenciamiento, si pertenece a la base de datos comercial, este mismo la gestionará, y cada uno de los administradores deberá guardar evidencias de todas estas comunicaciones. Si la consulta la recibe directamente el administrador de la base de datos de proveedores o el de empleados, este le informará al analista de comunicaciones de marketing con copia al interesado en un plazo máximo de 2 días hábiles para proceder a gestionar la respuesta. Posteriormente el administrador de la base de datos verifica que la consulta la haga el titular o su representante legal según lo establece la ley, esto puede ser verificando que la consulta sea realizada del correo del titular, o vía telefónica, o a través de documentos, entre otros, y la consulta debe tener claramente los datos mínimos de identificación del titular o interesado para poder gestionar la respuesta. Las comunicaciones necesarias para el trámite de la respuesta se harán a través del analista de comunicaciones de marketing, quien es el encargado de comunicarse con los titulares. Los tiempos máximos de atención a las consultas son de 10 días hábiles contados a partir de recibida, en caso de que no fuese posible atenderla en este plazo, se debe informar al solicitante el motivo del por que no se ha dado respuesta y la fecha en que se solucionará, la cual no podrá superar los 5 días hábiles siguientes a este primer período. Es responsable del cumplimiento de estos tiempos el analista de comunicaciones de marketing, en conjunto con el respectivo administrador de la base de datos. El administrador de la base de datos recopilará toda la información consultada y le enviará la respuesta al analista de comunicaciones de marketing para su posterior comunicación con el titular o solicitante. 4.3 Reclamos El analista de comunicaciones de marketing es el canal dispuesto por Open de recibir los reclamos de los titulares o sus representantes legales, luego de recibirlos los envía a cada administrador de base de datos para verificar a cual de las tres corresponde y le informan a este para seguir su diligenciamiento, si pertenece a la base de datos comercial, este mismo lo gestionará, y cada uno de los administradores deberá guardar y evidenciar todas estas comunicaciones. Si el reclamo lo recibe directamente el administrador de la base de datos de proveedores o el de empleados u otra persona de la empresa, este le informará al analista de comunicaciones de marketing con copia al reclamante en un plazo máximo de 2 días hábiles para proceder a gestionar la respuesta. Posteriormente el administrador de la base de datos verifica que el reclamo lo haga el titular o su representante legal según lo establece la ley, esto puede ser verificando que el reclamo sea realizado del correo del titular, o vía telefónica, o a través de documentos, entre otros, y este debe tener claramente los datos de identificación del titular o interesado, dirección, teléfono, correo electrónico, una descripción de los hechos que dan lugar al reclamo junto con los documentos que se quieren hacer valer. Las comunicaciones necesarias para el trámite del reclamo se harán a través del analista de comunicaciones de marketing, quien es el encargado de comunicarse con los titulares. Si el reclamo no cuenta con la información suficiente para proceder a gestionarlo, se requerirá al solicitante la información necesaria dentro de los 5 días siguientes a la fecha de recibido el reclamo. Si el solicitante no presenta esta información dentro de los 2 meses siguientes al requerimiento, se asumirá que este desistió del mismo. Una vez recibido el reclamo completo, el administrador de la base de datos incluirá una leyenda de “reclamo en trámite” en la base de datos y el motivo del mismo en un termino no mayor a 2 días hábiles, y se mantendrá hasta que sea solucionado. Este corregirá, actualizará, eliminará y gestionará lo expuesto en el reclamo sobre los datos personales del titular. Los tiempos máximos de atención a los reclamos son de 15 días hábiles contados a partir del día siguiente a la fecha de recibo del mismo. En caso de que no fuese posible atenderlo en este plazo, se debe informar al reclamante el motivo del por que no se ha dado respuesta y la fecha en que se solucionará, la cual no podrá superar los 8 días hábiles siguientes a este primer período. Es responsable del cumplimiento de estos tiempos el analista de comunicaciones de marketing, en conjunto con el respectivo administrador de la base de datos. 5. REGISTROS QUE SE GENERAN Correos, autorizaciones, comunicados y respuestas que serán guardados con el fin de evidenciar la gestión del tratamiento de datos en pro de garantizar los derechos que tienen los titulares sobre sus datos personales. 6. REFERENCIAS Ley 1581 de 2012 Decreto 1377 de 2013 Decreto 886 de 2014 Política de tratamiento de datos 7. DEFINICIONES Autorización: Consentimiento previo, expreso e informado del titular para el tratamiento de sus datos personales. Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Titular: Persona natural cuyos datos personales sean objeto de tratamiento. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.