Manual Politica De Proteccion De Datos Personales

Anuncio
MANUAL INTERNO DE POLÍTICA DE TRATAMIENTO DE DATOS
PERSONALES DE RSA
Con el fin de garantizar que el tratamiento de los datos de las personas naturales, que
ostentan la calidad de Clientes o potenciales Clientes de ROYAL & SUN ALLIANCE
SEGUROS (COLOMBIA) S.A., en adelante, RSA, con ocasión del ejercicio de la actividad
para la cual ha sido legalmente facultada, cumpla lo establecido en la Ley Estatutaria de
Protección de Datos Personales 1581 de 2012, sus decretos reglamentarios y la
regulación aplicable, se adopta el presente MANUAL INTERNO DE POLÍTICAS.
CONSIDERACIONES:
1. Considerando la importancia que, en el marco de la Constitución y la Ley
colombiana, reviste el actual desarrollo de las técnicas para captar, transmitir,
manejar, registrar, conservar o comunicar los datos relativos a las personas
físicas, es necesario aplicarse los tratamientos que afectan a dichos datos.
2. Considerando que los principios de la protección tienen su expresión, en las
obligaciones que incumben a las personas, autoridades públicas, empresas,
agencias u otros organismos que efectúen tratamientos obligaciones relativas, en
particular, a la calidad de los datos, la seguridad técnica, la notificación a las
autoridades de control y las circunstancias en las que se puede efectuar el
tratamiento y, por otra parte, en los derechos otorgados a las personas cuyos
datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento,
de poder acceder a los datos, de poder solicitar su rectificación o incluso de
oponerse a su tratamiento en determinadas circunstancias.
3. Considerando que cualquier persona debe disfrutar del derecho de acceso a los
datos que le son propios y sean objeto de tratamiento, para cerciorarse, en
particular, de su exactitud y de la licitud de su tratamiento
4. Considerando que de conformidad con el negocio que maneja RSA, debido a
su permanente reporte a casa matriz y a la naturaleza misma de la Compañía,
es necesaria la transferencia de datos personales a terceros países que
garanticen un nivel de protección adecuado; que el adecuado del nivel de
protección ofrecido por un país tercero debe verificarse teniendo en cuenta
todas las circunstancias relacionadas con la transferencia o la categoría de la
transferencias.
Page 1 of 10
RSA en cumplimiento de su obligación legal adopta el presente Manual de
Políticas:
Artículo 1. Objeto del Manual:
1. Reglamentar la protección de los datos de las personas naturales, de quienes RSA
trata sus datos en virtud de las actividades que ejerce dentro de su objeto social, de tal
manera que las personas tengan conocimiento de los mismos, a los cuales se tiene
acceso, puedan actualizarlos, rectificar informaciones y solicitar su retiro de las bases
manejadas por la Compañía.
Artículo 2. Definiciones: Las siguientes son las definiciones que se les dan a los
términos utilizados dentro del manual y la ley, así:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a
cabo el Tratamiento de datos personales.
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de
Tratamiento.
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o
varias personas naturales determinadas o determinables.
d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por
sí misma o en asocio con otros, realice el Tratamiento de datos personales por
cuenta del Responsable del Tratamiento.
e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, decida sobre la base de datos ylo el
Tratamiento de los datos.
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la recolección, almacenamiento, uso, circulación o
supresión.
h) Datos Sensibles: Se entiende por datos sensibles aquellos que afectan la
intimidad del Titular o cuyo uso indebido pueda generar discriminación, tales como
pero sin limitarse a: origen racial, orientación política, convicciones religiosas o
filosóficas, pertenencia a sindicatos, organizaciones sociales, de derechos humanos,
datos relacionados con la salud, la vida sexual y datos biométricos.
Page 2 of 10
Artículo 3. Ámbito de aplicación: Este manual será aplicable a los datos personales
registrados en las bases de datos que sean registradas por RSA ante la autoridad
competente, que los haga susceptibles de tratamiento en el desarrollo del giro
ordinario de los negocios de la Compañía en territorio Colombiano.
Artículo 4. Calidad de los Datos: RSA velará porque los datos personales que tiene
bajo su tratamiento sean:
a) tratados de manera leal y lícita;
b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados
posteriormente de manera incompatible con dichos fines; no se considerará
incompatible el tratamiento posterior de datos con fines históricos, estadísticos o
científicos;
c) adecuados, pertinentes y no excesivos con relación a los fines para los que se
recojan y para los que se traten posteriormente;
d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas
razonables para que los datos inexactos o incompletos, con respecto a los fines para
los que fueron recogidos o para los que fueron tratados posteriormente, sean
suprimidos o rectificados, de conformidad con la solicitud que realice el Titular;
e) conservados en una forma que permita la identificación de los Titulares durante un
período no superior al necesario para los fines para los que fueron recogidos o para
los que se traten posteriormente.
Artículo 5: RSA realizará el tratamiento de datos personales de conformidad con lo
estipulado en la ley sólo, de acuerdo con los siguientes parámetros:
a) el Titular ha dado su consentimiento de forma inequívoca (autorización), o
b) es necesario para la ejecución de un contrato en el que el Titular ya es parte,
desde antes de la expedición de la ley 1581 de 2012, o para la aplicación de
medidas precontractuales adoptadas a petición del Titular anteriores a la
misma ley, o
c) es necesario para el cumplimiento de una obligación jurídica a la que esté
sujeta RSA, o
d) es necesario para proteger el interés vital del Titular, o
Artículo 6. Autorización otorgada por el Titular: La autorización que debe ser obtenida
por RSA, tendrá las siguientes características y tratamiento:
a) Deberá ser autorización previa e informada del Titular de los datos, la cual deberá
ser obtenida por cualquier medio que pueda ser objeto de posterior consulta.
b) En caso que la autorización se otorgue por medios electrónicos, la misma se
deberá ajustar a las previsiones contempladas en la Ley 527 de 1999 y demás
normas
aplicables.
Page 3 of 10
c) Se conservará copia de la misma; en los casos en que la autorización se
obtenga por vía telefónica, se deberá guardar la respectiva grabación.
d) Cualquier dato positivo o negativo que repose en la base de datos de un
encargado del tratamiento de la información sin contar con la autorización
otorgada por su Titular, debe ser eliminada de manera inmediata, una vez se
advierta la ausencia de la autorización como consecuencia de la solicitud del
Titular,
surtida
a
través
del
respectivo
reclamo.
e) RSA tendrá el deber de certificar semestralmente al encargado del tratamiento
que la información suministrada cuenta con la autorización, de conformidad con lo
previsto
en
la
ley.
f) La certificación a la que se refiere el numeral 6 del artículo 8° de la Ley 1266 de
2008 puede ser emitida en forma general por las fuentes, manifestando que la
información suministrada a RSA cuenta con la respectiva autorización.
Previamente a la expedición de la certificación, RSA debe verificar la existencia de
las correspondientes autorizaciones para cada uno de los datos que informa a los
encargados
del
tratamiento.
Artículo 7. Excepciones a la autorización del Titular: La autorización del Titular no
será necesaria en los siguientes eventos:
a) La Información sea requerida por una entidad pública o administrativa en ejercicio
de sus funciones legales o por orden judicial.
b) Se trate de Datos de naturaleza pública.
c) Se trate de Casos de urgencia médica o sanitaria.
d) El Tratamiento de datos personales esté autorizado por la ley para fines
históricos, estadísticos o científicos.
e) Se trate de Datos relacionados con el Registro Civil de las Personas.
Artículo 8. Entrega de la información a los titulares, personas autorizadas por
estos y a sus causahabientes: RSA en su condición de Responsable del
Tratamiento y/o Encargado del Tratamiento de datos personales que administran a
través de las bases de datos registradas, tendrá en cuenta las siguientes reglas al
momento de atender las peticiones o consultas que presenten los titulares de la
información personal, o sus causahabientes:
a) Verificar la calidad de Titular de quien formula verbalmente una petición o consulta,
así:
Page 4 of 10
i) Si la petición o consulta se realiza personalmente, deberá dejarse constancia de la
exhibición de cualquier documento idóneo que permita su identificación.
ii) Si la petición o consulta se realiza telefónicamente, siempre que el operador de
información tenga habilitada esta opción, se validará una información del titular que
permita su identificación y conservarse un registro de la conversación;
b) Verificar que las peticiones o consultas escritas estén debidamente suscritas por el
Titular, quien debe acreditar su calidad así:
i) Mediante la exhibición de cualquier documento idóneo que permita su identificación; o,
ii) Por cualquier otro medio que permita su identificación;
c) Verificar que se allegue el respectivo poder, otorgado con las formalidades de ley,
cuando la petición o consulta se presente por escrito, a través de mandatario, apoderado
o persona autorizada;
d) Verificar la calidad de causahabiente del Titular de la información cuando la petición se
presente por escrito por parte de éstos.
e) Verificar que las peticiones o consultas relacionadas con las personas jurídicas se encuentren debidamente suscritas por su representante legal, o apoderado debidamente
constituido, quienes deberán probar su condición con el respectivo documento que
acredite la existencia y representación legal de la misma y/o la exhibición del respectivo
poder en el que se acredite el reconocimiento de firma y contenido que permita su
identificación.
No será necesario acompañar el documento que acredite la existencia y representación
legal de la persona jurídica cuando RSA ya cuenten con este o cuando la información esté
disponible a través del acceso a las bases de datos de las Entidades públicas que tengan
a su cargo el deber de certificarla.
Artículo 9. Entrega de información personal a las Entidades públicas del poder
ejecutivo, a los órganos jurisdiccionales o de control y demás dependencias de
investigación disciplinaria, fiscal o administrativa cuando el conocimiento de dicha
información corresponda directamente al cumplimiento de alguna de sus funciones.
Las entidades públicas del poder ejecutivo, a los órganos jurisdiccionales o de control y
demás dependencias de investigación disciplinaria, fiscal, o administrativa que soliciten
información a RSA en su condición de Responsables u Operadores de Información,
deberán indicar en la correspondiente solicitud, de manera expresa e inequívoca, la
Page 5 of 10
finalidad concreta para la cual requieren la información solicitada y las funciones precisas
que les han sido conferidas por la ley relacionadas con dicha finalidad. Estas entidades,
órganos y dependencias estarán sujetas al cumplimiento de los deberes de los usuarios
de información, previstos en la ley.
Artículo 10. Deberes de RSA en calidad de Responsable del Tratamiento. RSA como
Responsable del Tratamiento deberá cumplir los siguientes deberes:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de
hábeas data.
b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la
respectiva autorización otorgada por el Titular.
c) Informar debidamente al Titular sobre la finalidad de la recolección de la
autorización y los derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que la información que se suministre al Encargado del Tratamiento sea
veraz, completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información, comunicando de forma oportuna al Encargado del
Tratamiento, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la información
suministrada a éste se mantenga actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al
Encargado del Tratamiento.
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
i) Exigir a RSA, el respeto a las condiciones de seguridad y privacidad de la
información del Titular.
j) Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
k) Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo.
l) Informar a solicitud del Titular sobre el uso dado a sus datos.
Page 6 of 10
m) Informar a la autoridad de protección de datos cuando se presenten violaciones a
los códigos de seguridad y existan riesgos en la administración de la información de
los Titulares.
n) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
Industria y Comercio.
Artículo 11. Deberes de RSA en calidad de Encargado del Tratamiento. RSA como
Encargado del Tratamiento deberán cumplir los siguientes deberes:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de
hábeas data.
b) Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en
los términos de la ley.
d) Solicitar la certificación a la fuente, de la existencia de la autorización otorgada por
el Titular.
e) Actualizar la información reportada por los Responsables del Tratamiento dentro de
los cinco (5) días hábiles contados a partir de su recibo.
f) Tramitar las consultas y los reclamos formulados por los Titulares en los términos
señalados en la ley.
g) Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que
se regula en la ley.
h) Insertar en la base de datos la leyenda "información en discusión judicial" una vez
notificado por parte de la autoridad competente sobre procesos judiciales relacionados
con la calidad del dato personal.
i) Abstenerse de circular información que esté siendo controvertida por el Titular y
cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
j) Permitir el acceso a la información únicamente a las personas que pueden tener
acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de la
información de los Titulares.
Page 7 of 10
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
Industria y Comercio.
Artículo 12. Consultas. Los Titulares o sus causahabientes podrán consultar la
información personal del Titular que repose en cualquier base de datos, que repose en
poder de RSA y ésta en su condición de Responsable del Tratamiento y/o Encargado del
Tratamiento, deberá suministrar a éstos toda la información contenida en el registro
individual o que esté vinculada con la identificación del Titular.
La consulta se formulará por el medio que sea habilitado por RSA en su calidad de
Responsable del Tratamiento o Encargado del Tratamiento, siempre y cuando se pueda
mantener prueba de ésta.
La consulta será atendida en un término máximo de diez (10) días hábiles contados a
partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta
dentro de dicho término, se informará al interesado, expresando los motivos de la
demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso
podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
Artículo 13. Reclamos. El Titular o sus causahabientes que consideren que la
información contenida en una base de datos que se encuentre en poder de RSA deba
ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto
incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012,
podrán presentar un reclamo en su calidad de Titular al Responsable del Tratamiento
y/o Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida a RSA, con la identificación
del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y
acompañando los documentos que se quiera hacer valer. Si el reclamo resulta
incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles
siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos
dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la
información requerida, se entenderá que ha desistido del reclamo.
En caso que quien reciba el reclamo no sea competente para resolverlo, dará
traslado a quien corresponda en un término máximo de dos (2) días hábiles e
informará de la situación al interesado.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda
que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos
(2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea
decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles
contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible
atender el reclamo dentro de dicho término, se informará al interesado los motivos
Page 8 of 10
de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso
podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer
término.
4. Tales respuestas deberán ser remitidas a la dirección señalada por el titular en el
momento de presentar su solicitud y, en el caso que no la haya especificado, se
enviará a la última dirección registrada en RSA.
5. En caso que las peticiones o los reclamos se presenten por medios electrónicos o
verbalmente, podrán resolverse por el mismo medio, para lo cual se debe
conservar copia de la respuesta o la grabación respectiva.
6. Las consultas podrán atenderse por canales electrónicos, siempre y cuando sea
posible verificar la identidad del titular y garantizar la seguridad de la información.
7. La remisión de las consultas y reclamos por parte de RSA, en su carácter de
Encargadas del Tratamiento de la Información, no exime a los Responsables del
Tratamiento (quienes poseen la fuente de la Información) del deber de responder
al Titular por todas y cada una de las cuestiones planteadas dentro del término
señalado en la ley. En tal sentido, RSA deberán informar al titular todo lo
manifestado por la fuente expresamente.
Artículo 14. Deber de informar que determinada información se encuentra en
discusión por parte de su Titular.
Con fundamento en el deber establecido en el numeral 1 del artículo 15 de la Ley 1581 de
2012, corresponde al Responsable del Tratamiento informar al Encargado del Tratamiento
que determinada información se encuentra en discusión por parte de su Titular para que
incluya la leyenda de “reclamo en trámite”. Si el Responsable del Tratamiento de la
información resuelve el reclamo presentado por el Titular de información dentro de los dos
(2) días hábiles siguientes a la fecha de radicación, no habrá lugar a informar al
Encargado del Tratamiento que el reporte se encuentra en discusión.
Cuando la Superintendencia de Industria y Comercio comunique a RSA el inicio de una
actuación administrativa o notifique la apertura de una investigación tendiente a
determinar la procedencia de la eliminación, actualización o rectificación del dato de un
titular específico, éstas deberán informar al Responsable o Encargado del Tratamiento de
la Información, según corresponda, dentro de los dos (2) días hábiles siguientes para que
se incluya la leyenda de “actuación administrativa o investigación en trámite”, la cual
permanecerá hasta que quede en firme la decisión de la Entidad.
En los casos en que el titular reclame por suplantación de identidad, RSA deberán informar al Encargado del Tratamiento para que incluya la leyenda respectiva respecto del
Page 9 of 10
Titular y de la obligación u obligaciones que afectan a éste con la suplantación. En todo
caso, el Responsable del Tratamiento debe adelantar el trámite correspondiente con el fin
de establecer si hay indicios que lleven a eliminar el reporte de información, tanto positiva
como negativa. Si como resultado del trámite se determina que no procede la eliminación
de la información, el titular podrá acudir a la Superintendencia de Industria y Comercio
para que ésta se pronuncie.
Artículo 15. Sanciones: La Superintendencia de Industria y Comercio adoptarán las
medidas adecuadas para garantizar la plena aplicación de las disposiciones de la ley y
los decretos reglamentarios que la modifiquen y/o adicionen, en particular, las
sanciones que deben aplicarse en caso de incumplimiento de las disposiciones
adoptadas en ejecución de las mismas.
Artículo 16. Transferencia de datos personales a Terceros Países: En
consonancia con las obligaciones establecidas en la ley, RSA verificará que la
transferencia a un país tercero de datos personales que sean objeto de tratamiento o
destinados a ser objeto de tratamiento con posterioridad a su transferencia,
únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las
disposiciones contenidas en la Ley 1581 de 2012 y sus decretos reglamentarios, el
país tercero de que se trate garantice un nivel de protección adecuado.
El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará
atendiendo a todos los estándares fijados por la Superintendencia de Industria y
Comercio sobre la materia, los cuales no podrán ser inferiores a los fijados en la ley.
Artículo 17. Excepciones a la prohibición de transferencia de datos: Sí podrán ser
transferidos los datos a terceros países cuando se trate de cualquiera de estas
circunstancias:
a) Información respecto de la cual el Titular haya otorgado su autorización expresa e
inequívoca para la transferencia.
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del
Titular por razones de salud o higiene pública.
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte
aplicable.
d) Transferencias acordadas en el marco de tratados internacionales en los cuales la
República de Colombia sea parte, con fundamento en el principio de reciprocidad.
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el
Responsable del Tratamiento, o para la ejecución de medidas precontractuales
siempre y cuando se cuente con la autorización del Titular.
f) Transferencia legalmente exigida para la salvaguardia del interés público, o para el
reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Page 10 of 10
Descargar