Políticas de Tratamiento de Datos

El presente Manual de Políticas de Tratamiento de la Información que La Empresa posee, se regirá por los siguientes principios:

(I) Principio de veracidad o calidad: La información contenida en las bases de datos debe ser veraz,
completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el registro y divulgación de
datos parciales, incompletos, fraccionados o que induzcan a error.

(II) Principio de finalidad. El tratamiento debe obedecer a una finalidad legítima de acuerdo con la constitución y la ley, la cual debe ser informada al titular. Principio de legalidad: El Tratamiento a que se refiere la presente política debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
(III) Principio de temporalidad de la información. La información del titular no podrá ser suministrada a
usuarios o terceros cuando deje de servir para la finalidad del banco de datos.

(IV) Principio de veracidad o calidad. La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

(V) Principio de transparencia. En el Tratamiento debe garantizarse el derecho del Titular a obtener de La Empresa o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información
acerca de la existencia de datos que le conciernan.

(VI) Principio de acceso y circulación restringida. El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de la Constitución y la Ley.

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.

(VII) Principio de seguridad: La información sujeta a Tratamiento por La Empresa o Encargado del
Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o
acceso no autorizado o fraudulento.

(VIII) Principio de confidencialidad. Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la normatividad vigente.

iii. Definiciones
Para los efectos de interpretación de estas políticas de
tratamiento de Datos Personales, se adoptarán las siguientes
definiciones:

  • Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el  Tratamiento de datos personales.
  • Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades de Tratamiento que se pretende dar a los datos personales.
  • Base de datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
  • Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. Estos datos pueden ser de naturaleza pública, semiprivada y/o privada.
  • Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio ya su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
  • Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios.
  • Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
    Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquello que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como
    los datos relativos a la salud, a la vida sexual, y los datos biométricos.
  • Titular de la información. Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos. Esta persona es sujeto del derecho de hábeas data.
  • Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos  personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
  • Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.
  • Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la
    recolección, almacenamiento, uso, circulación o supresión.

iv. Marco Legal 

La política de tratamiento de datos de WESTON S. A. S. se desarrolla con base en el siguiente marco jurídico.

  • Constitución Política, artículo 15
  • Ley 1266 de 2008
  • Ley 1581 de 2012
  • Decreto Reglamentario 1727 de 2009
  • Decreto Reglamentario 2952 de 2010
  • Decreto Reglamentario parcial No 1377 de 2013
  • Decreto Único Reglamentario 1074 de 2015
  • Circular Externa No. 02-2015. Superintendencia de Industria y Comercio.
  • Sentencias de la Corte Constitucional C -1011 de 2008 y C – 748 del 2011-

v. Tipología de los Datos

5.1.Datos sensibles.
Conforme a lo establecido en el acápite de Definiciones, son Datos Sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la
pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

La Empresa solamente podrá dar tratamiento a este tipo de datos, en los siguientes casos:

5.1.1. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por
ley no sea requerido el otorgamiento de dicha autorización;
5.1.2. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su
autorización;
5.1.3. El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías
por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro,
cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente
a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En
estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular;
5.1.4. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o
defensa de un derecho en un proceso judicial;

5.1.5. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán
adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

En todo caso, y dada la naturaleza de este tipo de datos, La Empresa debe sujetarse al cumplimiento de las siguientes obligaciones:
5.1.6. Informar al Titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento.
5.1.7. Informar al Titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso.

5.2. Datos Públicos

De acuerdo a lo establecido en el acápite de definiciones, son datos públicos aquellos que no sean semiprivados, privados o sensibles. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Siempre que se trate de datos de esta naturaleza, La Empresa podrá realizar el tratamiento de los mismos, conforme a las prescripciones legales vigentes.

5.3. Datos Semiprivados y Datos Privados

Para el tratamiento de este tipo de datos, La Empresa deberá contar con la correspondiente autorización del titular de la información, dada su naturaleza. Esta autorización se realizará con base a lo establecido en la Constitución y la normativa vigente, así como a lo determinado en el numeral 5.4 de este Manual de Políticas de Tratamiento de la Información.

5.4. Autorización del Titular

Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior.

5.4.1 Casos en los cuales no se requiere de la autorización del Titular:

5.4.1.1. Información requerida por una entidad pública o Administrativa en ejercicio de sus funciones legales o Por Orden judicial;
5.4.1.2. Datos de naturaleza pública;
5.4.1.3. Casos de urgencia médica o sanitaria;
5.4.1.4. Tratamiento de información autorizado por la ley Para fines históricos, estadísticos o científicos;
5.4.1.5. Datos relacionados con el Registro Civil de la Personas.

vi. Derechos de los niños, niñas y adolescentes

En el tratamiento de los datos de los derechos de los niños, niñas y adolescentes, cuando este esté permitido, La Empresa deberá cumplir los siguientes requisitos y deberá sujetarse a los siguientes parámetros:
6.1. Que el tratamiento responda y respete el interés superior de los niños, niñas y adolescentes
6.2. Que en el tratamiento se asegure el respeto de sus derechos fundamentales.

6.3. La Empresa deberá contar con la autorización del representante legal del menor.
6.4. La Empresa deberá escuchar al menor, respetando en todo caso su opinión, la cual deberá ser valorada teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto.

Ahora bien, a efectos que El Titular pueda conocer en qué casos es posible realizar un tratamiento respecto de los datos de los niños, niñas y adolescentes, dichos casos son los siguientes:
6.5. Los datos de naturaleza pública, los cuales se encuentran definidos en el acápite de definiciones de este Manual.

vii .Deberes de WESTON S. A. S. como responsable del Tratamiento de los Datos

Finalidades

Siempre que La Empresa, como responsable del tratamiento de los Datos de El Titular, tenga información que pueda ser objeto de modificación, verificación, rectificación, consulta y/o eliminación, deberá:
7.1. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
7.2. Solicitar y conservar, copia de la respectiva autorización otorgada por el Titular;
7.3. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada;
7.4. Conservar la información bajo las condiciones deseguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
7.5. Garantizar que la información que se suministre al encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;
7.6. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las
novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas
necesarias para que la información suministrada a este se mantenga actualizada;
7.7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
7.8.Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado;
7.9. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;
7.10.Tramitar las consultas y reclamos formulados por el Titular de la Información;
7.11.Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo;
7.12.Informar a solicitud del Titular sobre el uso dado a sus datos;

7.13.Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de
seguridad y existan riesgos en la administración de la información de los Titulares;

7.14. Informar a El Titular, los cambios, adiciones y/o modificaciones a estas políticas de uso de la
información que consten en sus bases de datos.

viii.DerechosdelosTitulares de la Información

Los Titulares de la Información que consten en las bases de datos de La Empresa, podrán ejercer en cualquier tiempo los siguientes derechos:

8.1. Conocer, actualizar y rectificar sus datos personales frente a La Empresa o frente al Encargado del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado;

8.2. Solicitar prueba de la autorización otorgada a La Empresa salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de acuerdo a lo establecido en el numeral 5.4.1. de este Manual de Políticas.

8.3. Ser informado por La Empresa o el Encargado del Tratamiento, previa solicitud, respecto del uso que les ha dado a sus datos personales;

8.4. Acudir ante la Superintendencia de Industria y Comercio a efectos de presentar quejas por infracciones a lo dispuesto en la normatividad vigente, siempre que se agote previamente el trámite interno de consulta o reclamación de que trata este Manual de Políticas, el cual, conforme a las prescripciones de ley, es requisito de procedibilidad.

8.5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

8.6. Tener conocimiento que la revisión de sus datos personales podrá ser consultados de forma gratuita, en las condiciones señaladas en este Manual de Políticas y la ley.

8.7. El derecho a que no se le condicione en ningún caso, para el desarrollo de cualquier actividad con La Empresa, que deba estar obligado al suministro de sus datos personales sensibles.

ix. Autorizaciones y Consentimiento

Toda la información que La Empresa pueda recopilar, almacenar, circular, utilizar, modificar, rectificar y/o suprimir respecto de los titulares de la misma, deberá contar con el consentimiento expreso, previo, libre e informado del Titular de la Información.

Se entenderá para todos los efectos que la autorización por parte del Titular de la información podrá constar en cualquier medio físico, electrónico, o cualquier medio o instrumento que pueda ser considerado a la luz de la normativa vigente como mensaje de datos, razón por la cual, la autorización podrá provenir de Cualquiera de las siguientes fuentes: páginas web, correos electrónicos, llamadas telefónicas, mensajes de texto o cualquier otro formato que permita garantizar su consulta posterior. Lo anterior de acuerdo a lo establecido en la Ley 527 de 1999, así como en las normas que la modifiquen, complementen, reglamenten, deroguen o sustituyan.

Una vez conferida la autorización por parte de El Titular de la información, con base en cualquiera de estos mecanismos, La Empresa garantizará a El Titular de la información la posibilidad de poder verificar el estado de la misma en cualquier tiempo.

x. Medidas de seguridad de la información

WESTON SAS tendrá protocolos de seguridad de obligatorio cumplimiento para todo el personal que tenga acceso a datos de carácter personal y a los sistemas de información. El procedimiento deberá considerar, como mínimo, los siguientes aspectos: a) Capacitación del personal que ingresa a la organización acerca de la Política de Tratamiento de datos personales y los mecanismos y protocolos de seguridad para el tratamiento de estos. b) Ámbito de aplicación del procedimiento con especificación detallada de los recursos protegidos. c) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en la Ley 1581 de 2012 y el Decreto 1377 de 2013. d) Funciones y obligaciones del personal. e) Estructura de las bases de datos de Carácter personal y descripción de los sistemas de información que los tratan. f) Procedimiento de notificación, gestión y respuesta ante las incidencias. g) Procedimientos de realización de copias de respaldo y de recuperación de los datos. h) Controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el procedimiento de seguridad que se implemente. i) Medidas a adoptar cuando un soporte o documento sea transportado, desechado o reutilizado. j) El procedimiento deberá mantenerse actualizado en todo momento y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. k) El contenido del procedimiento deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos personales

xi. Consultas y Reclamos por parte del Titular

10.1. Procedimiento para la realización de consulta Los Titulares o sus causahabientes podrán consultar la información personal del Titular que repose en cualquier base de datos de propiedad de La Empresa. Por su parte, La Empresa o Encargado del Tratamiento deberán suministrar a estos toda la información contenida en el registro individual o que esté vinculada con la identificación del Titular.

La consulta se formulará por el medio habilitado por La Empresa o Encargado del Tratamiento y debe mantener prueba de esta.

La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

10.2. Procedimiento para la realización de reclamos

El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, podrán presentar un reclamo ante La Empresa o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:

10.2.1. El reclamo se formulará mediante solicitud formato de reclamación de “Tratamiento de Datos Personales”descargándolode: www.weston.com.co o solicitándolo al correo institucional:proteccióndatos@weston.com.co, o directamente en nuestras instalaciones, esta será dirigida a La Empresa o al Encargado del Tratamiento con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas.

Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la Información requerida, se entenderá que ha desistido del reclamo.

10.2.2. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

10.2.3. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles.

Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

10.2.4. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

10.3. Supresión de la Información

El Titular de la información podrá en cualquier tiempo, solicitar a La Empresa la supresión de sus datos personales, siempre que:

10.3.1. En el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

10.3.2. Cuando la Superintendencia de Industria y Comercio así lo determine.

Sin perjuicio de lo anterior, es preciso tomar en consideración que La Empresa solamente podrá suprimir la información de El Titular, siempre que ello no conlleve al incumplimiento de normas legales y/u obligaciones que le competan conforme a la normatividad vigente. Valga decir, no podrán ser objeto de supresión los datos de El Titular, cuando quiera que:

10.3.3. El Titular de la información tenga un deber legal o contractual con La Empresa y, para lograr su cabal cumplimiento se requiera la información que consta en la base de datos.

10.3.4. La supresión de los datos por parte de La Empresa, implique la obstaculización del desarrollo de las investigaciones judiciales a ejecutar por parte de las autoridades competentes.

10.4. Revocación de la Autorización El Titular de la Información podrá en cualquier tiempo revocar la autorización conferida a La Empresa para el tratamiento de sus datos personales. Para estos efectos, La Empresa creará mecanismos que permitan a El Titular de la Información revocar la autorización conferida. Estos mecanismos deberán ser de fácil acceso y, serán gratuitos en los casos que establece la ley.

Por su parte, para todos los determinados en las normas vigentes y, con el fin esencial de determinar la persona responsable del Tratamiento de la Información que consta en su base de datos, a efectos de permitir el adecuado ejercicio de los derechos por parte de El Titular de la información, el mismo podrá presentar todas sus dudas, aclaraciones e información adicional, al siguiente contacto:

Nombre Cargo:                 Oficial de privacidad

Correo electrónico:         protecciondatos@weston.com.co

xiv. Modificaciones a esta política

La Empresa se reserva el derecho de modificar esta Política de Tratamiento de la Información y de Datos Personales en su totalidad o parcialmente. En caso de cambios sustanciales que puedan afectar la autorización, La Empresa comunicará estos cambios al titular a más tardar al momento de implementar las nuevas políticas.

El presente Manual de Tratamiento de Datos Personales de WESTON SAS rige a partir del 1 de diciembre de 2016.

xii. Contacto y Vigencia

La Empresa actuará para todos los efectos legales como Responsable del Tratamiento de la información.

 

Si tiene algún reclamo en el tratamiento de datos personales, descargue aquí el formato.