REGLAMENTO INTERNO DE LAS POLÍTICAS Y PROCEDIMIENTOS DE PROTECCIÓN DE DATOS PERSONALES DE LA CORPORACION CLUB CAMPESTRE DE IBAGUE. El Reglamento Interno de Políticas y Procedimientos de Protección de Datos Personales, tiene como objetivo, poner en conocimiento de clientes y proveedores, en su calidad de titulares de los datos personales que reposan en las bases de la Corporación, la existencia de políticas de tratamiento de información personal adoptadas por la Empresa, como resultado de la divulgación de la Ley 1581 de 2012. La Corporación Club Campestre de Ibagué, es una sociedad cuyo objeto es fomentar y desarrollar actividades deportivas, sociales, culturales, recreativas, cívicas y ambientales. En el ejercicio de dicho objeto, la Empresa, recoge y administra información personal de sus clientes y proveedores, con el fin de realizar las transacciones comerciales y contractuales al igual que promocionar sus productos y servicios. En cumplimiento delaobligación legal consagrada en la Ley 1581 de 2012, artículo 17, literal K, a través de la expedición del presente reglamento, se busca establecer un marco jurídico y procedimental adecuado para proteger el derecho fundamental de Hábeas Data de los clientes y proveedores, garantizándoles mecanismos efectivos para que conozcan, actualicen, rectifiquen o soliciten la supresión de los datos personales de los cuales son titulares, y que son tratados por la Empresa. DISPOSICIONES 1. Derecho de Hábeas Data. Es el derecho constitucional que tienen todas las personas a conocer, actualizar, rectificar o solicitar la supresión de la información que se haya recogido sobre ellas en bases de datos, cuyo fundamento constitucional se encuentra en los artículos 151 y 202 de la Constitución Política. 2. Ley de aplicabilidad. El Reglamento Interno de Políticas y Procedimientos de Protección de Datos Personales, se rige, por la Ley 1581 de 2012, reglamentada por el Decreto 1377 de 2013, y las demás que las modifiquen o complementen. 3. Ámbito de aplicación. El Reglamento se utiliza para el manejo de datos personales de los cuales la Corporación, es responsable. 4. Alcance. El reglamento se da a conocera los funcionarios de la empresa, mediante capacitaciones y divulgación, quienes se obligaran a cumplirlo. 5. Objeto. Regular el derecho de Hábeas Data de los Titulares de los Datos Personales tratados por la Corporación, a través de la fijación de medidas claras de recolección, conservación y administración de los mismos; así como de procedimientos para que los Titulares conozcan, actualicen, rectifiquen o soliciten la eliminación de los datos que se hayan recogido sobre ellos en la Base de Datos de la Empresa. 6. Principios. Los principios marcados en el presente artículo, establecen el marco general de cumplimiento de las disposiciones consagradas en el presente reglamento. a. Principio de confidencialidad: Las personas que formen parte en el tratamiento de datos personales están obligadas a mantener la reserva de la información, incluso después de finalizada su relación con alguna de las labores que comprende el Sistema. b. Principio de transparencia: Se busca proteger el derecho del titular a obtener de la Compañía, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan. c. Principio de finalidad: El tratamiento de los datos personales realizado por la compañía debe obedecer a una finalidad legítima, la cual le será oportunamente informada al titular. d. Principio de libertad: el Tratamiento sólo puede realizarse con el consentimiento previo, expreso e informado del titular. Los Datos Personales no podrán ser obtenidos ni divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento. e. Principio de veracidad o calidad:La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, de acuerdo con los datos que hayan sido suministrados por el titular. f. Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados. Para estos propósitos la obligación será de medio. g. Principio de seguridad: Los datos personales e información usada, capturada, recolectada y sujeta a tratamiento, serán objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios electrónicos evitando su adulteración, modificación, pérdida, consulta, y en general en contra de cualquier uso o acceso no autorizado o fraudulento. DERECHOS DE LOS TITULARES PARA EL TRATAMIENTO DE LA INFORMACION 7. Derechos de los Titulares. Son derechos de los titulares de los datos Personales tratados por la Corporación, de acuerdo con lo señalado en el artículo 8 de la Ley 1581 de 2012, los siguientes: a. Conocer, actualizar, rectificar y solicitar la supresión de sus datos personales frente a la Corporación. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado. b. Solicitar prueba de la autorización otorgada a la Empresa, como Responsable del Tratamiento. c. Ser informado respecto del uso que le ha dado a sus datos personales. d. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012, una vez haya agotado el trámite de consulta o reclamo ante la Corporación. e. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento, se ha incurrido en conductas contrarias a la Ley 1581 de 2012, y a la Constitución. f. Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento. AUTORIZACIÓN PARA EL TRATAMIENTO DE LA INFORMACION 8. Autorización para el Tratamiento de la Información: Sin perjuicio de las excepciones consagradas en la Ley 1581 de 2012, para realizar el Tratamiento de la información, se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. 9. Casos en que no será necesaria la autorización del titular: a. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. b. Datos de naturaleza pública. c. Casos de urgencia médica o sanitaria. d. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos. e. Datos relacionados con el Registro Civil de las Personas. 10. Derechos de los niños, niñas y adolescentes: En el Tratamiento se asegurará el respeto a los derechos prevalentes de los menores. Queda proscrito el Tratamiento de datos personales de menores, salvo aquellos datos que sean de naturaleza pública. Es tarea del Estado y las entidades educativas de todo tipo proveer información y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan los menores respecto del tratamiento indebido de sus datos personales, y proveer de conocimiento acerca del uso responsable y seguro por parte de niños, niñas y adolescentes de sus datos personales, su derecho a la privacidad y protección de su información personal y la de los demás. 11. Prueba de la Autorización: La Corporación Club Campestre de Ibagué, adoptará las medidas necesarias para mantener registros o mecanismos técnicos y tecnológicos idóneos relativos a la fecha y forma de obtención de la Autorización por parte del Titular para el Tratamiento de sus Datos Personales. 12. Finalidad del Tratamiento de Datos Personales: El Tratamiento de la información se realiza con el propósito de informarles a los Titulares acerca de los servicios y transacciones comerciales de la Corporación. DEBERES DEL RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN 13. Deberes en relación con el Tratamiento de los Datos Personales. De acuerdo, con lo establecido en el artículo 17 de la Ley 1581 de 2012, la Corporación, se compromete a cumplir con los siguientes deberes, durante el Tratamiento de Datos Personales: a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b. Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva autorización otorgada por el Titular. c. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. d. Conservar la información bajo las condiciones de seguridad necesarias para obrar con diligencia en la prevención de su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. e. Rectificar la información cuando sea incorrecta, si así lo informa el Titular, y comunicar lo pertinente a los encargados del manejo de la misma. f. Suministrar a los encargados del manejo de la información, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado. g. Exigir a los encargados del manejo de la información en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular. h. Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012. i. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares. j. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. AUTORIZACIONES Y CONSENTIMIENTO 14. Autorizaciones y consentimiento: La recolección, almacenamiento, uso, circulación o supresión de datos personales, requiere del consentimiento libre, previo, expreso e informado del titular de los mismos. 15. Medio y manifestaciones para otorgar la autorización. La autorización puede constar en un documento físico, electrónico, mensaje de datos, Internet, Sitios Web, en cualquier otro formato que permita garantizar su posterior consulta, o mediante un mecanismo técnico o tecnológico idóneo, que permita manifestar u obtener el consentimiento mediante el cual se pueda concluir de manera inequívoca, que de no haberse surtido una conducta del titular, los datos nunca hubieren sido capturados y almacenados en la base de datos. La autorización será generada por la Corporación, y será puesto a disposición del titular con antelación y de manera previa al tratamiento de sus datos personales. (Ver Anexo No 1 modelo de autorización para la recolección y tratamiento de datos personales). 16. Prueba de la autorización. La Corporación utilizará los mecanismos con que cuenta actualmente, e implementará y adoptará las acciones tendientes y necesarias para mantener registros o mecanismos técnicos o tecnológicos idóneos de cuándo y cómo obtuvo autorización por parte de los titulares de datos personales para el tratamiento de los mismos. Para dar cumplimiento a lo anterior, se podrán establecer archivos físicos o repositorios electrónicos realizados de manera directa. 17. Aviso de privacidad: El Aviso de Privacidad es el documento físico, electrónico o en cualquier otro formato conocido o por conocer, que es puesto a disposición del Titular para el tratamiento de sus datos personales. A través de este documento se informa al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales. (Ver Anexo No 2 modelo de aviso de privacidad). El Aviso de Privacidad, como mínimo, deberá contener la siguiente información: a) La identidad, domicilio y datos de contacto del Responsable del Tratamiento. b) El tipo de tratamiento al cual serán sometidos los datos y la finalidad del mismo. c) Los mecanismos generales dispuestos por el Responsable para que el Titular conozca la política de tratamiento de la información y los cambios sustanciales que se produzcan en ella. En todos los casos, debe informar al titular cómo acceder o consultar la política de tratamiento de información. PROCEDIMIENTOS DE CONSULTA 18. Consultas: Los titulares, o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos. En consecuencia, se garantizará el derecho de consulta, suministrando a los titulares toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular. Con respecto a la atención de solicitudes de consulta de datos personales La empresa garantiza: Habilitar medios de comunicación electrónica u otros que considere pertinentes. Establecer formularios, sistemas y otros métodos simplificados, mismos que deben ser informados en el aviso de privacidad. Utilizar los servicios de atención al cliente o de reclamaciones que tiene en operación. En cualquier caso, independientemente del mecanismo implementado para la atención de solicitudes de consulta, las mismas serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo. 19. Reclamos. El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley, podrán presentar un reclamo ante el Responsable del Tratamiento, canalizándola y remitiéndola a través de la dependencia que capturo la información. El reclamo lo podrá presentar el Titular, teniendo en cuenta la información señalada en el artículo 15 de la Ley 1581 de 2012 y en el decreto1377 de 2013, y demás normas que los modifiquen o adicionen. 20. Implementación de procedimientos para garantizar el derecho a presentar reclamos. En cualquier momento y de manera gratuita el titular o su representante podrán solicitar al personal de la Corporación, la rectificación, actualización o supresión de sus datos personales, previa acreditación de su identidad. Los derechos de rectificación, actualización o supresión únicamente se podrán ejercer por: a) El titular o sus causahabientes, previa acreditación de su identidad, o a través de instrumentos electrónicos que le permitan identificarse. b) Su representante, previa acreditación de la representación. Cuando la solicitud sea formulada por persona distinta del titular, deberá acreditarse en debida forma la personería o mandato para actuar; y en caso de no acreditar tal calidad, la solicitud se tendrá por no presentada. La solicitud de rectificación, actualización o supresión debe ser presentada a través de los medios habilitados por la Corporación, señalados en el aviso de privacidad y contener, como mínimo, la siguiente información: El nombre y domicilio del titular o cualquier otro medio para recibir la respuesta. Los documentos que acrediten la identidad o la personalidad de su representante. La descripción clara y precisa de los datos personales respecto de los cuales el titular busca ejercer alguno de los derechos. En caso dado otros elementos o documentos que faciliten la localización de los datos personales. 21. Rectificación y actualización de datos. La Corporación tiene la obligación de rectificar y actualizar a solicitud del titular, la información de éste que resulte ser incompleta o inexacta, de conformidad con el procedimiento y los términos arriba señalados. 22. Supresión de datos. El titular tiene el derecho, en todo momento, a solicitar a la Corporcion, la supresión (eliminación) de sus datos personales cuando: a) Considere que los mismos no están siendo tratados conforme a los principios, deberes y obligaciones previstas en la normatividad vigente. b) Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados. c) Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recabados 23. Seguridad de la información y medidas de seguridad. En desarrollo del principio de seguridad establecido en la normatividad vigente, se adoptaran las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. 24. Función de protección de datos personales al interior de la Corporación. La Corporación como entidad, y en los términos establecidos en la normatividad vigente, actuará como RESPONSABLE DEL TRATAMIENTO de Datos Personales; y las distintas dependencias actuarán como ENCARGADOS DEL TRATAMIENTO de datos personales, así por ejemplo, y entre otras dependencias, para el caso de datos personales de clientes actúa como encargado del tratamiento el área de Cartera y eventos; para el caso de datos financieros y comerciales actúa como encargado del tratamiento la Jefe del área contable; para el caso de empleados actúa como encargado del tratamiento la Jefe de talento Humano. Cada área será la encargada de recibir, procesar y canalizar las distintas solicitudes que se reciban, y las archivara en la dependencia. En el evento en que el Titular considere que la Corporacion, dio un uso contrario al autorizado y a las leyes aplicables, podrá contactarse a través de los siguientes medios: Dirección oficina: Km 5 vía Girardot Ibagué-Tolima. Teléfonos: (098) 2690333 – (098) 2691989 E-mail: gerencia@clubcampestreibague.com VIGENCIA. El presente manual rige a partir del primero (01) de Noviembre de 2.013. ANEXO 1 DOCUMENTO DE AUTORIZACIÓN Y REFRENDACIÓN DE USO DE DATOS PERSONALES CORPORACION CLUB CAMPESTRE DE IBAGUE, entidad de derecho privado, sin ánimo de lucro y cuyo objeto es fomentar y desarrollar actividades deportivas, sociales, culturales, recreativas, cívicas y ambientales, constituida por escritura pública, con domicilio en la ciudad de Ibagué, se permite informar: Que en cumplimiento de la Ley Estatutaria 1581 de 2012, por la cual se establece el “REGIMEN GENERAL DE PROTECCION DE DATOS” y el Decreto Reglamentario 1377 del 2013, solicitamos respetuosamente su autorización para que de manera libre, previa, clara, expresa, voluntaria y debidamente informada permita: recolectar, recaudar, almacenar, usar, procesar, compilar, intercambiar, dar tratamiento, actualizar y disponer de los datos que han sido suministrados y que se han incorporado en nuestra base de datos. Esta información es y será utilizada en el desarrollo de las funciones propias de la Corporación. Los titulares de los datos personales (Clientes, prestadores de servicios, Contratistas, proveedores, personas naturales y jurídicas, y colaboradores) autorizan de manera expresa e indiscutible, para mantener y manejar toda su información a no ser que manifieste lo contrario de manera directa, expresa, irrefutable y por escrito dentro de los treinta (30) días hábiles contados a partir de la recepción de la presente comunicación a las siguientes cuentas de correo electrónico: gerencia@clubcampestreibague.com Según nuestras políticas, para el tratamiento de la información y datos personales, contamos con mecanismos a través de los cuales garantizamos su uso de modo seguro y confiable, pues contamos con los medios tecnológicos idóneos para asegurar que sean almacenados de manera que se impida el acceso de terceras personas, y en ese mismo orden aseguramos la confidencialidad de los mismos. Le recordamos que usted puede acceder, actualizar y suprimir en cualquier momento el derecho de solicitar expresamente la corrección, en los términos establecidos por la Ley, dirigiendo una comunicación escrita a los correos electrónicos gerencia@clubcampestreibague.com O comunicándose a los teléfonos en Ibagué (098) 2690333 – (098) 2691989 ANEXO 2 MODELO AVISO DE PRIVACIDAD La Corporación, con domicilio en la Ciudad de Ibagué, Colombia, actúa y es Responsable del Tratamiento de los datos personales. Cómo contactarnos: Dirección oficina: Km 5 Via Girardot de la ciudad de Ibague Tolima Teléfonos: (098) 2690333 – (098) 2691989 E-mail: gerencia@clubcampestreibague.com Sus datos personales serán incluidos en una base de datos y serán utilizados de manera directa o a través de terceros designados, entre otras, y de manera meramente enunciativa para las siguientes finalidades directas e indirectas relacionadas con el objeto y propósitos de la Corporacion.: a) Lograr una eficiente comunicación relacionada con nuestros servicios y demás actividades relacionadas con las funciones propias de la Corporacion; b) Informar sobre nuevos servicios que estén relacionados con los ofrecidos o que tenga la Corporación. c) Dar cumplimiento a obligaciones contraídas con nuestros clientes, contratistas, contratantes, clientes, proveedores, y empleados. d) Informar sobre cambios de servicios. e) Evaluar la calidad del servicio. Se les informa a los titulares de información que pueden consultar el Manual Interno de Políticas y Procedimientos de Datos Personales de Corporación, que contiene las políticas para el tratamiento de la información recogida, así como los procedimientos de consulta y reclamación que le permitirán hacer efectivos sus derechos al acceso, consulta, rectificación, actualización y supresión de los datos. ANEXO 03 Solicitud de autorización para Tratamiento de Datos Personales Fecha: _______________________ Empresa: CORPORACION CLUB CAMPESTRE DE IBAGUE. Información de contacto: Dirección: Km 5 Via Girardot de la ciudad de Ibagué Tolima Página web: www.ccibague.com Correo electrónico: gerencia@clubcampestreibague.com Teléfono: (098) 2690333 – (098) 2691989 Descripción de la finalidad para la cual se utilizarán los datos recogidos: Realizar transacciones comerciales y contractuales. Promocionar los servicios y proyectos. Informar entidades del estado Informar en reportes de exógena a la DIAN Le informamos que Usted tiene la posibilidad de acceder en cualquier momento a la información personal registrada en nuestras bases de datos, con fundamento en la presente autorización, y cuenta con el derecho de solicitar expresamente, en cualquier momento, su corrección, actualización o supresión, en los términos establecidos en la Ley 1581 de 2012. Usted podrá conocer nuestra política de tratamiento de datos personales, sus derechos como titular de la información y mecanismos para su protección, en la página web www.ccibague.com En señal de aceptación, firmo el presente documento, con el fin de que mis datos personales sean tratados conforme a lo previsto en la presente autorización. Firma: Cédula: