Política de tratamiento de protección de datos personales

MANUAL DE TRATAMIENTO DE PROTECCIÓN DE DATOS PERSONALES

Bufalabella S.A.S (en adelante “LA EMPRESA”), es una sociedad constituida bajo las leyes de Colombia, identificada con NIT 900.254.183‐4 con domicilio en kilómetro 18 autopista Medellín, es quien actúa en calidad de Responsable/Encargado del Tratamiento de datos personales.

Dando cumplimiento a lo dispuesto en la Ley estatutaria 1581 de 2012 y a su Decreto Reglamentario 1377 de 2013, BUFALABELLA SAS, adopta e implementa el presente manual interno para el tratamiento de datos personales, el cual será informado a todas las partes interesadas de los datos recolectados o que en el futuro se obtengan para manejo comercial o laboral; así como informar a los titulares de los datos personales sobre la posibilidad que tienen al libre ejercicio al derecho de Habeas Data consagrado en el Artículo 15 de la Constitución Política que confiere a las personas la facultad de conocer y/o solicitar la actualización, rectificación o eliminación de las informaciones que se hayan recogido sobre ellas en archivos de entidades públicas y privadas.

Este manual aplica para las bases de datos y archivos que contengan información personal de proveedores, clientes, colaboradores o cualquier otra persona cuya información sea objeto de tratamiento por parte BUFALABELLA SAS. Aplica para los colaboradores de todas las áreas de la Compañía que en el ejercicio de sus funciones tratan datos personales de proveedores, clientes, colaboradores o cualquier otra persona natural.

MANIFIESTO

BUFALABELLA SAS manifiesta que garantiza los derechos y deberes de la privacidad, la intimidad, el buen nombre y la autonomía, en el tratamiento de los datos personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, finalidad, libertad, veracidad, calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

Todas las personas que en desarrollo de diferentes actividades contractuales, comerciales, laborales, entre otras, sean permanentes u ocasionales, llegaran a suministrar a BUFALABELLA SAS cualquier tipo de información o dato personal, podrá conocerlo, actualizarlo y rectificarlo.

GENERALES

  • BUFALABELLA SAS, en adelante la Compañía, identificada con NIT 900 254 183-4, con domicilio principal en el kilómetro 18 autopista Medellín- vía el Rosal Cundinamarca; página web www.dibufala.com.co, se hace responsable del tratamiento de datos personales que aparezcan registrados en sus bases de datos y archivos de conformidad con la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013, Decreto Único Reglamentario No 1074 de 2015 y las demás normas que los deroguen, modifiquen o complementen.
  •  Para efectos de alguna solicitud o reclamación relacionada con la presente política se pone a disposición el correo electrónico datospersonales@bufalabella.com y el Teléfono: (57-1) 5466633
  • Toda área o colaborador de la Compañía que por sus funciones esté encargado del tratamiento de bases de datos con información personal debe cumplir con lo dispuesto en la política y procedimiento del presente documento.
  •  La compañía debe inscribir en el Registro Nacional de Bases de Datos los registros que contengan datos personales sujetos a tratamiento

DEFINICIONES

Para entendimiento del presente manual, se detalla al definición de algunos términos que a lo largo del presente, se relacionarán (definiciones que se ajustan a las normas legales):

  •  Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  •  Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  •  Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
  •  Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
  •  Titular: Persona natural cuyos datos personales sean objeto de Tratamiento
  •  Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
  •  Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
  •  Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales.
  •  Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  •  Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el Titular
  •  Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquello que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  •  Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general.
  •  Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.

PRINCIPIOS

En la ley 1581 de 2012 se contemplan una serie de principios que Bufalabella SAS aplicará de manera integral y que por tal, en la interpretación y aplicación del presente Manual se relacionan de la siguiente manera:

  •  Principio de legalidad en materia de Tratamiento de Datos: El Tratamiento de Datos Personales se sujetará a lo establecido en la Constitución y la Ley.
  •  Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
  •  Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa Autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
  •  Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
  •  Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
  •  Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los Datos Personales, de las disposiciones en materia de Habeas Data y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la normatividad vigente. Los Datos Personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley 1581 de 2012.
  •  Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere el presente Manual, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  •  Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en la normatividad que desarrolla el derecho al Habeas Data.
  •  Principio de temporalidad de la información: La información del Titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.

DERECHOS Y DEBERES 

Derechos de los titulares

Bufalabella se compromete a respetar y garantizar los siguientes derechos de los titulares de los datos:

  •  Conocer, actualizar y rectificar sus Datos Personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
  •  Solicitar prueba de la autorización de Tratamiento de sus Datos Personales otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúe como requisito para el Tratamiento.
  •  Ser informado por el Responsable del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus Datos Personales.
  •  Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.
  •  Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y a la Constitución. La solicitud de supresión de la información y la revocatoria de la Autorización no procederán cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos de Bufalabella.
  •  Acceder en forma gratuita a sus Datos Personales que hayan sido objeto de Tratamiento.

Derechos de los encargados de tratamiento de personales

Bufalabella SAS en calidad de Responsable y/o Encargado de la Información, se compromete en cumplir con los siguientes deberes, sin perjuicio del cumplimiento de las demás normas que le impongan deberes y en otras que rijan su actividad:

  • Informar al Titular en forma expresa y clara el Tratamiento al cual serán sometidos los Datos Personales y la finalidad del mismo; el carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes; los derechos que le asisten como Titular y la identificación, dirección física o electrónica y teléfono del Responsable del Tratamiento.
  •  Conservar la prueba de la autorización del Titular y de la información que le suministró al momento de obtener dicha autorización, así como la información bajo condiciones de seguridad para impedir adulteración, pérdida, consulta, uso o acceso fraudulento o no autorizado.
  •  Actualizar la información e informar de ello al Encargado del Tratamiento. De la misma manera, rectificar la información y comunicar lo pertinente al Encargado del Tratamiento, suministrar la información autorizada.
  •  Exigir al Encargado del Tratamiento el respeto de las normas sobre Datos Personales para garantizar la seguridad y privacidad de la información del Titular.
  •  Tramitar las consultas y reclamos del Titular sobre el tratamiento de Datos Personales.
  •  Adoptar un manual interno de políticas y procedimientos para garantizar el cumplimiento de las normas sobre Tratamiento de Datos Personales.
  •  Informar al Titular sobre el uso dado a sus datos.
  •  Poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización.
  •  Responder los requerimientos de la Superintendencia de Industria y Comercio mediante una descripción de los procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de la información; una descripción de las finalidades para las cuales es recolectada la información y una explicación sobre la necesidad de recolectar los datos.
  •  Designar el área encargada de asumir la función de protección de datos personales

PROCEDIMIENTO

  • Autorizaciones

Bufalabella SAS solicita autorización escrita a todo proveedor, cliente o colaborador del cual realice el tratamiento de datos personales, para que sus datos puedan ser tratados de conformidad con la finalidad establecida en cada caso.

  •  Consultas

El titular que desee realizar consultas sobre su información personal lo podrá hacer a través del correo electrónico datospersonales@bufalabella.com

Por solicitud del titular, la Compañía suministrará toda la información contenida en el registro individual o vinculado con la identificación del titular.

La Compañía responderá la consulta en un término máximo de quince (15) días hábiles contados desde la fecha de recibo de la misma. Si no es posible dar respuesta en este lapso de tiempo, la Compañía informará al interesado los motivos de la demora y señalará la fecha de respuesta que no puede superar cinco (5) días hábiles siguientes al primer vencimiento.

  •  Reclamos

El titular podrá realizar un reclamo ante la Compañía para que su información personal sea objeto de corrección, actualización, supresión o cuando consideren que la Compañía incumple con la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013, Decreto Único Reglamentario No 1074 de 2015 y las demás normas que los deroguen, modifiquen o complementen.

Igualmente podrá revocar la autorización otorgada para el tratamiento de sus datos personales.

Los reclamos se hacen a través del correo electrónico datospersonales@bufalabella.com y deben relacionar:

  1.  Identificación del titular
  2.  Descripción de los hechos que dan a lugar el reclamo
  3.  Dirección
  4.  Documentos adjuntos (si aplica)

Si la persona encargada de recibir el reclamo detecta que los datos no están completos solicitará al interesado dentro de los siete (7) días siguientes a la recepción del reclamo que se hagan las correcciones necesarias.

La persona encargada de recibir el reclamo dará respuesta del mismo. En caso de no ser competente para hacerlo, enviará en un término de máximo cinco (5) días hábiles a quien debe dar respuesta e informará de tal situación al interesado.

La Compañía responderá al reclamo dentro de los quince (15) días hábiles contados desde el día siguiente al recibo del mismo. Si no es posible dar respuesta en este lapso de tiempo, la Compañía informará al interesado los motivos de la demora y señalará la fecha de respuesta, dentro de los ocho (8) días hábiles siguientes al primer vencimiento

  •  Transferencia y transmisión de la información

La Compañía suministrará los datos personales objeto de tratamiento a las siguientes personas:

  1.  Titular de la información, sus causahabientes o representantes legales.
  2.  Entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
  3.  Terceros autorizados por el titular o por la ley.

La Compañía suministrará los datos personales a terceros siempre que cuenten con autorización del titular de la información con la finalidad de responder a los requerimientos normales de la operación de sus negocios. En este caso el tercero, a partir del momento en que reciba la información, se convierte en encargado del tratamiento de la misma y deberá cumplir con las obligaciones legales.

A todo tercero que por su relación con la Compañía se le encargue el tratamiento de datos personales se le debe pedir cláusula contractual donde se exprese el conocimiento de la ley y la responsabilidad en el cumplimiento de esta y así mismo, requerirá previa autorización por parte del titular para tratar sus datos personales.

RESUMEN TRATAMIENTO DE LA INFORMACIÓN 

  • Finalidad:

La Compañía informa a los titulares la finalidad especifica del tratamiento de sus datos personales, el cual en todo caso tendrá como fin principal realizar la gestión contable, fiscal, administrativa, comercial, operativa, y de recursos humanos de la Compañía; así como el desarrollo de actividades de bienestar, salud, educación, cultura, y velar por la seguridad de personas y bienes relacionadas con la actividad de la misma.

La Compañía suprime los datos personales recaudados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron obtenidos.

  •  Autorización:

La Compañía ejercerá el tratamiento de la información con el consentimiento previo, expreso e informado del titular, el cual será obtenido a través de cualquier medio que pueda ser objeto de consulta posterior.

No es necesaria la autorización cuando se trate de:

  1.  Información que sea requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial
  2.  Datos que sean de naturaleza pública
  3.  Casos de urgencia médica o sanitaria
  4.  Tratamiento de información autorizada por la ley para fines históricos, estadísticos o científicos
  5.  Datos relacionados con el Registro Civil de la persona
  •  Acceso y circulación de la información:

En el tratamiento de la información la Compañía se acoge a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la Ley y de la Constitución. En este sentido la Compañía sólo hará tratamiento de los datos con autorización del titular y en los casos previstos por la Ley.

La información estará disponible en internet u otro medio de comunicación masivo siempre que el acceso esté controlado de acuerdo a las políticas de la Compañía y esté limitado a sus titulares o terceros autorizados para el tratamiento de la información

  •  Seguridad de la información:

La Compañía cuenta con las medidas técnicas, humanas y administrativas necesarias para garantizar seguridad a los datos de carácter personal obtenidos y que reposan en sus bases de datos y archivos, evitando su adulteración, pérdida, consulta o acceso no autorizado o fraudulento.

La Compañía puede publicar bases de datos personales en la Intranet o Internet siempre que cuente con autorización previa del titular de los datos personales, se fijen restricciones para su acceso y la publicación esté aprobada por el Departamento comercial.

  • Confidencialidad:

La Compañía garantiza la reserva de la información, inclusive después de finalizadas las labores que comprende el tratamiento.

Los colaboradores de la Compañía encargados del tratamiento de la información personal se comprometen a cumplir con lo dispuesto en la política y procedimiento del presente documento.

  •  Datos sensibles:

La Compañía únicamente puede tratar datos sensibles cuando:

  1.  El titular haya otorgado autorización explícita a dicho tratamiento
  2.  Sea necesario para salvaguardar el interés vital del titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos se requiere autorización de los representantes legales.
  3.  Se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  4.  Tenga una finalidad histórica, estadística o científica, siempre que se adopten medidas para la supresión de identidad de los titulares.
  •  Derechos de los titulares

Los titulares de la información tratada por la Compañía tienen los siguientes derechos:

  1.  Conocer, actualizar y rectificar sus datos personales
  2.  Solicitar prueba de autorización otorgada a la Compañía, salvo en los casos que especifica la Ley que no requieren autorización : - Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. - Datos de naturaleza pública. - Urgencia médica o sanitaria. - Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.- Datos relacionados con el registro civil de las personas
  3.  Ser informado del uso que se le ha dado a sus datos personales.
  4.  Presentar ante la Superintendencia de Industria y Comercio quejas por incumplimiento a la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013, Decreto Único Reglamentario No 1074 de 2015 y las demás normas que los deroguen, modifiquen o complementen.
  5.  Revocar la autorización y/o solicitar la supresión de datos cuando la Compañía no respete los principios, derechos y garantías constitucionales y legales.
  6.  Acceder a sus datos personales objeto de tratamiento por la Compañía.
  7.  El titular de la información puede presentar peticiones, consultas y reclamos a través del correo datospersonales@bufalabella.com

VIGENCIA 

El presente manual y procedimiento entra en vigencia a partir del 02 de febrero de 2017 y hasta la expedición de otras o cambio sustancial de las mismas