Manual de procedimientos usados para la recolección, almacenamiento, uso, circulación y supresión de la información personal de los Titulares.

 

1. PRESENTACIÓN 

En el año 2012, el Gobierno Nacional expidió la Ley 1581 y su Decreto Reglamentario 1377 de 2012, conocida como la Ley de Protección de Datos, a través de la cual se desarrolló el mandato constitucional consagrado en el artículo 15 de la Constitución Política, estableciendo el marco legal que tiene toda persona a la protección, rectificación y actualización de la información que tanto entidades públicas como privadas tengan en Bases de Datos. 

Es por esto, que Rasgo Gráfico SAS, en cumplimiento del mandato legal consignado en los artículos 26 y 27 del Decreto 1377 de 2012, ha decidido implementar un Manual de Políticas y Procedimientos para el Manejo de Datos (en adelante el Manual), el cual establecerá los procedimientos internos, los mecanismos y medios que deben seguir y utilizar los empleados, contratistas o dependientes de la entidad, con el fin de garantizar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información que Rasgo Gráfico SAS haya recogido sobre ellas o haya recibido con ocasión al giro ordinario de su objeto social, presenta y pone a disposición del público en general y de los titulares de los Datos Personales recolectados por Rasgo Gráfico SAS, el presente Manual para la protección y manejo de Datos Personales, la cual reglamentará la recolección, el manejo, la actualización, la rectificación, la revocación y el tratamiento de los Datos Personales, en cumplimiento de la Ley 1581 de 2012, y su Decreto Reglamentarios 1377 de 2013. 

1.1. FINALIDAD Y ÁMBITO DE APLICACIÓN El presente Manual que por el presente documento se adopta, tienen por finalidad establecer las directrices que Rasgo Gráfico SAS, como responsable y encargado de las Bases de Datos ha de seguir para la recolección, manejo, actualización, rectificación, supresión, transmisión y transferencia y en general el tratamiento de los Datos Personales que le sean entregados o tenga acceso con ocasión al giro ordinario de su objeto social. 

La presente política deberá ser implementada y aplicada por las áreas responsables de las Bases de Datos al interior de Rasgo Gráfico SAS, así como por los terceros que por su relación con Rasgo Gráfico SAS tenga acceso a las Bases de Datos. 

1.2. SUJECIÓN A LOS PROCEDIMIENTOS 

Todo empleado, contratistas, dependientes y terceros que por razón a sus funciones y/o actividades al interior Rasgo Gráfico SAS recolecte y/o trate Datos Personales deberá observar los procedimientos, mecanismos, documentos y soportes que el presente manual fija, los cuales deberán ser expuestos de manera clara y precisa al Titular del dato. 

1.3. MARCO Y REMISIÓN NORMATIVA 

La presente política se adopta en cumplimiento a lo dispuesto por la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, por lo que, en lo no previsto en la presente política se deberá seguir lo establecido en las citadas normas o en las que la modifiquen, adicionen o complementen. 

1.4. DEFINICIONES 

Para la correcta interpretación, aplicación y entendimiento del presente Manual de Procedimientos para el Manejo de Datos, se establecen las definiciones que más adelanten se enuncian, las cuales buscan dar un sentido natural a los términos en ellas contenidos, sin excluir la interpretación gramatical de los mismos. Las definiciones dadas no son taxativas, y en todo caso deberían interpretarse en un sentido lógico y natural conforme a la estructura gramatical donde se estén empleando.

1.4.1. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos personales. 

1.4.2. Aviso de Privacidad: comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de sus Datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los Datos personales 

1.4.3. Bases de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. 

1.4.4. Dato Personal o Datos Personales: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables. 

1.4.5. Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados Datos públicos, entre otros, los Datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los Datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. 

1.4.6. Datos Sensibles: Se entiende por Datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los Datos relativos a la salud, a la vida sexual, y los Datos biométricos. 

1.4.7. Encargado del Tratamiento: Es Rasgo Gráfico SAS, y/o el tercero que éste designe para tal función.

1.4.8. Manual de Políticas y Procedimientos para el Manejo de Datos Personales: Son las directrices y procedimientos adoptados por Rasgo Gráfico SAS, para la recolección y tratamiento de Datos Personales (en adelante Manual).

1.4.9. Responsable del Tratamiento: Será Nicolás Chaparro Guzmán. CC 1015462317.

1.4.10. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

1.4.11. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de Datos Personales.

1.4.12. Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es responsable del Tratamiento y se encuentra dentro o fuera del país.

1.4.13. Transmisión: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable.

1.5. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

El responsable y encargado para el Tratamiento de las Bases de Datos es: Rasgo Gráfico SAS con NIT: 900.906.200-0. Dirección: Carrera 7 # 115 - 72. Local A-213 de la ciudad de Bogotá D.C., Teléfono: 3016354994, Encargado: Nicolás Chaparro, Correo Electrónico: [email protected], Página Web: www.rasgo.co

 

2. CONDICIONES PARA EL TRATAMIENTO DE DATOS

2.1. DE LA RECOLECCIÓN

Rasgo Gráfico SAS para el desarrollo del giro ordinario de sus negocios, recolectará a través de los mecanismos físicos o tecnológicos los datos personales que considere necesarios y pertinentes, los cuales no podrán ser utilizados para una finalidad distinta a la prevista en el presente Manual o en la Ley. Rasgo Gráfico SAS se abstendrá de utilizar medios engañosos o fraudulentos para la recolección y el tratamiento de datos.

2.2. DE LA AUTORIZACIÓN

Rasgo Gráfico SAS, adoptará los mecanismos físicos o tecnológicos necesarios que le permitan solicitar y obtener por parte del Titular del dato su autorización, para su recolección y tratamiento.

La autorización deberá ser expresa y clara, y deberá contener como mínimo: los datos objeto de recolección y la finalidad que Rasgo Gráfico SAS, les dará a estos. Rasgo Gráfico SAS podrá obtener la autorización del Titular del dato mediante la implementación de medios tecnológicos que permitan al Titular del dato dar su consentimiento de manera automatizada.

En todo caso, Rasgo Gráfico SAS, podrá obtener la autorización del Titular de dato de manera: i) verbal, ii) por escrito o iii) mediante conductas inequívocas del Titular del dato que permitan concluir de forma razonable que otorgó la autorización. Rasgo Gráfico SAS se abstendrá de recolectar datos sin contar con la debida autorización previa por parte del Titular del mismo.

2.3. DE LA REVOCATORIA DE LA AUTORIZACIÓN Y/O SUPRESIÓN DEL DATO.

El Titular del dato podrá en cualquier momento solicitar a Rasgo Gráfico SAS la supresión de sus Datos Personales y/o revocar la autorización para el tratamiento de los datos, mediante la presentación de una petición conforme al procedimiento establecido en el numeral séptimo de la presente política. La solicitud de retiro o revocatoria no procederá cuando el Titular del dato tenga un deber legal o contractual de permanecer en la base de datos.

2.4. TRATAMIENTO Y FINALIDAD AL CUAL SERÁN SOMETIDOS LOS DATOS.

Los datos personales que Rasgo Gráfico SAS., conozca dentro del giro ordinario de sus negocios, podrán ser objeto de recolección, almacenamiento, uso, circulación, supresión, transmisión o transferencia, con la finalidad de:

2.4.1. EN CUANTO AL FUNCIONAMIENTO DE Rasgo Gráfico SAS

Rasgo Gráfico SAS con el fin de prestar una mejor información comercial respecto de los servicios y productos ha identificado la necesidad de recolectar y tratar el uso de Datos Personales, para efectos de desarrolla o ejercer su objeto social, y con la finalidad de:

  1. Lograr una eficiente comunicación relacionada con los servicios, productos, necesidades, alianzas, contenidos y para facilitarle el acceso general a la información de interés;
  2. Informar sobre los nuevos productos y/o servicios;
  3. Promover, promocionar y comercializar los productos y/o servicios;
  4. Dar cumplimiento a obligaciones contraídas con nuestros clientes, expositores, compradores profesionales, aliados comerciales, proveedores, accionistas y colaboradores;
  5. Informar sobre cambios de productos y/o servicios;
  6. Evaluar la calidad de los productos y/o servicios, y realizar estudios internos de mercadeo.
  7. Actividades de los programas de fidelización y relacionamiento con los clientes y la comunidad.

 

3. DERECHOS DE LOS TITULARES

Son derechos de los Titulares de los datos los siguientes:

3.1.1. Conocer, actualizar y rectificar sus Datos Personales frente al responsable o encargado del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

3.1.2. Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012 o las demás normas que la modifiquen, deroguen, adicionen o complementen.

3.1.3. Ser informado por el responsable o el encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus Datos Personales.

3.1.4. Presentar ante la Superintendencia de Industria y Comercio las quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, deroguen, adicionen o complementen.

3.1.5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que, en el Tratamiento, el responsable o Encargado ha incurrido en conductas contrarias a la Ley 1581 de 2012 y las demás normas que la modifiquen, deroguen, adicionen o complementen y/o a la Constitución.

3.1.6. Acceder en forma gratuita a los Datos Personales que hayan sido objeto de Tratamiento.

3.1.7. Conocer el carácter facultativo de las respuestas a las preguntas que le sean hechas, cuando versen sobre datos sensibles, entendidos éstos como aquellos que afecten la intimidad del Titular o cuyo uso indebido puede generar discriminación o, sobre los datos de los niños, niñas y adolescentes.

 

4. PROCEDIMIENTOS

4.1. FORMA DE RECOLECCIÓN DE DATOS

Rasgo Gráfico SAS por conducto de sus empleados, contratistas o dependientes, podrá recolectar los Datos Personales que considere pertinentes en el giro ordinario de su objeto social, para lo cual podrá utilizar los medios físicos o tecnológicos que considere viables.

Rasgo Gráfico SAS, se abstendrán de recolectar Datos Personales sin el consentimiento claro y expreso del Titular de la información, los empleados, contratistas o dependientes de Rasgo Gráfico SAS utilizarán todos los medios dispuestos por Rasgo Gráfico SAS la obtención de la atención de la autorización y la evidencia de la misma. En todo caso, el área Responsable de la recolección del dato deberá garantizar que siempre quede prueba o constancia de la respectiva autorización que emita el Titular del Dato.

4.2. DE LAS BASES DE DATOS

Rasgo Gráfico SAS, ha identificado de manera inicial las siguientes áreas como posibles encargadas de la recolección de los Datos Personales: Comunicaciones, Mercadeo, Fidelización, Coordinación Operativa - Registro, Jefatura de CRM Contac Center, Relaciones Corporativas, Relaciones Públicas, Compras, Comercial, Recursos Humanos, Servicios y Secretaría General, las cuales con el apoyo del área de tecnología deberán implementar las medidas de seguridad que permitan la conservación y custodia de la información de las Bases de Datos que estas manejen.

En caso de que las áreas antes mencionadas transmitan o transfieran una base de Datos a otra entidad, deben garantizar que cuentan con la autorización de los titulares para realizar esta acción. Así mismo, estas áreas deben llevar registro de los datos entregados y el nombre de la entidad que los recibió.

Toda entidad que reciba estas Bases de Datos solo podrá usar la información para los propósitos que se encuentran definidos en la autorización otorgada por el Titular de los Datos a Rasgo Gráfico SAS.

4.3. OBLIGACIONES DE LAS ÁREAS RESPONSABLES

Son obligaciones de las áreas responsables de los Datos, las siguientes:

  1. Garantizar que la información del Titular sujeta a tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  2. Abstenerse de realizar el tratamiento de Datos parciales, incompletos, fraccionados o que induzcan en error.
  3. Realizar oportunamente la actualización, rectificación, o supresión de los Datos Personales.
  4. Velar por la reserva de la información inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
  5. Abstenerse de recolectar, tratar o transmitir Datos Personales de niños, niñas y adolescentes.
  6. Abstenerse de recolectar, tramitar, o transmitir Datos Personales Sensibles, salvo las excepciones previstas por la Ley.
  7. Abstenerse de circular cualquier información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
  8. Abstenerse de transferir Datos Personales a países que no proporcionen niveles adecuados de protección de Datos, solo se podrá realizar esta operación cuando se cuente con la autorización del Titular de los Datos.
  9. Avisar a la autoridad en protección de Datos Personales en caso de que se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

4.4. MEDIDAS DE SEGURIDAD

Rasgo Gráfico SAS mediante el área de Tecnología e Información velará que los Datos Personales, salvo la información pública (nombre, número de cédula de ciudadanía o datos del registro mercantil) no se encuentre disponible en internet u otros medios similares de comunicación, de acuerdo con el Principio de Acceso y Circulación Restringida establecido en la Ley 1581 de 2012.

Las áreas responsables del Tratamiento deben garantizar que la información contenida en sus Bases de Datos, se encuentran bajo las condiciones mínimas de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

 

5. PROCEDIMIENTO DE BORRADO SEGURO Y SUPRESIÓN DE INFORMACIÓN

5.1 OBJETIVO

Definir las directrices para el borrado seguro de la información en RASGO, a través de la descripción de las actividades de solicitud, preparación, ejecución e informe del resultado del borrado seguro, con el fin de preservar la confidencialidad de la información.

5.2 A QUIEN VA DIRIGIDO

Este procedimiento aplica para la mesa de servicios, clientes y terceros que accedan directa o indirectamente a los servicios ofrecidos a través de la página web de RASGO.

5.3 DEFINICIONES GENERALES

BORRADO SEGURO: Se refiere al procedimiento necesario para garantizar que la información existente en un medio de almacenamiento no pueda ser recuperada a través de alguna técnica especializada.    

DISPOSITIVO DE ALMACENAMIENTO: Se refiere a cualquier elemento que se utiliza para almacenar información tales como, discos duros, memorias USB, entre otros.  

INFORMACIÓN DIGITAL: Cualquier tipo de información contenida en un medio digital, bien sea en forma de base de datos, en forma de archivos digitales o de intercambio.    

LISTA DE ARCHIVOS: Es un término genérico que referencia al conjunto de elementos que cada sistema de archivos utiliza para guardar, tanto la información que identifica los archivos (nombre, tipo, fecha de creación, etc.), como un índice que recoge la ubicación física del contenido del archivo.  

5.4 GENERALIDADES

El ciclo de vida de la información, de forma simplificada, consta de tres fases: generación, transformación y destrucción. Toda información tiene una vida útil tanto si está en formato digital (CD, DVD, Flash USB, discos magnéticos, tarjetas de memoria, etc.) como en formatos tradicionales (papel, carpetas, entre otros) o servidores dedicados. Cuando la vida de la información llega a su fin, se deben emplear mecanismos de destrucción y borrado seguro para evitar que esta quede al alcance de terceros.    

Con el borrado seguro y destrucción de soportes de información no solo se busca proteger la difusión de información confidencial, sino también proteger      la fuga de datos personales de los usuarios que puedan contener los soportes.      

Para proteger tu información personal, tomamos precauciones razonables y seguimos las mejores prácticas de la industria para asegurarnos de que no haya pérdida de manera inapropiada, mal uso, acceso, divulgación, alteración o destrucción de la misma.  SI nos proporcionas la información de tu tarjeta de crédito, dicha información es encriptada mediante la tecnología Secure Socket Layer (SSL) y se almacena con un cifrado AES-256. Aunque ningún método de transmisión a través de Internet o de almacenamiento electrónico es 100% seguro, seguimos todos los requisitos de PCI-DSS e implementamos normas adicionales aceptadas por la industria.      

Los datos recolectados a los clientes por RASGO en el sitio web www.rasgo.co quedan almacenados en un servidor dedicado ubicado en Colombia y que fue contratado con la empresa Hostdime, la capacidad de este es de 2 Terabytes y en este se almacenan los datos de los usuarios del sitio web.  

El hosting dedicado es un entorno de alojamiento de sitios web que proporciona el nivel más alto de asignación de recursos, privacidad y control. Los servidores dedicados están completamente aislados entre sí, por lo que los usuarios obtienen acceso total para configurar su servidor de la forma que deseen sin afectar a otro usuario o verse afectados por las acciones de otros usuarios. Al tener un servidor dedicado Rasgo garantiza una mayor seguridad en línea para todos los usuarios del sitio web.    

Rasgo hace limpieza de servidores cada 6 meses para que estos no lleguen a su capacidad máxima de 2 Terabytes y dejen de funcionar. La limpieza funciona de la siguiente manera: se ejecuta un script en el panel de control el cual elimina las imágenes, diseños y ordenes realizadas por los clientes 6 meses antes a la fecha de realización de la actividad. A excepción de la autorización de manejo y tratamiento de datos personales brindada por el usuario estos datos no quedan almacenados en ningún otro lugar físico o en la nube, son eliminados en su totalidad y ya no queda registro existente de los mismos una vez se ejecuta la actividad de limpieza.    

Las bases de datos administradas por la ENTIDAD se trataran de mantener indefinidamente, mientras desarrolle su objeto, y mientras sea necesario para asegurar el cumplimiento de obligaciones de carácter legal, particularmente laboral y contable, pero los datos podrán ser eliminados en cualquier momento a solicitud de su titular o por necesidades de la ENTIDAD, en tanto esta solicitud no contraríe una obligación legal de la ENTIDAD o una obligación contenida en un contrato entre la ENTIDAD y el Titular.    

El Titular del dato podrá en cualquier momento solicitar a Rasgo Gráfico SAS la supresión de sus Datos Personales y/o revocar la autorización para el tratamiento de los datos, mediante la presentación de una petición conforme al procedimiento establecido en la presente política. La solicitud de retiro o revocatoria no procederá cuando el Titular del dato tenga un deber legal o contractual de permanecer en la base de datos.    

5.5 MÉTODOS DE BORRADO SEGURO DE INFORMACIÓN

5.5.1 Desmagnetización: La desmagnetización consiste en la exposición de los soportes de almacenamiento a un potente campo magnético, proceso que elimina los datos almacenados en el dispositivo.    Este método es válido para la destrucción de datos de los dispositivos magnéticos, por ejemplo, discos duros, disquetes, cintas magnéticas de backup, etc. Cada dispositivo, según su tamaño, forma y el tipo de soporte magnético, necesita de una potencia específica para asegurar la completa polarización de todas las partículas.    

5.5.2 Destrucción física: El objetivo de la destrucción física es la inutilización del soporte que almacena la información para evitar la recuperación posterior de los datos que almacena. Existen diferentes tipos de técnicas y procedimientos para la destrucción de medios de almacenamiento.    

5.5.3 Ejecución de Script en el panel de control: La ENTIDAD ejecuta un script en el panel de control para eliminar toda la información almacenada por los usuarios 6 meses anteriores a la fecha de realización de la actividad. Esta ejecución del script tarda 1 hora y posteriormente a la realización de la actividad, las imágenes, órdenes y diseños creados por los usuarios quedan eliminados en su totalidad del servidor sin respaldo de la información.  

 

6. DISPOSICIONES FINALES

6.1. PUBLICACIÓN DEL MANUAL

El presente Manual estará a disposición del público a través de la página Web de Rasgo Gráfico SAS.

6.2. MODIFICACIONES DEL MANUAL

El presente Manual podrá ser modificado por Rasgo Gráfico SAS, dichas modificaciones serán publicadas en la página Web de Rasgo Gráfico SAS.

6.3. VIGENCIA

El presente manual rige a partir de la fecha de su publicación.