Manual de Políticas de Seguridad para la protección de datos  

OBJETO

El presente manual tiene el propósito de definir los lineamientos para la implementación, monitoreo, sostenimiento y mejora continua del Programa de Protección de Datos Personales de Rasgo Gráfico SAS

 

ALCANCE

Rasgo Gráfico SAS, identificada con Nit. 900.906.200-0, con domicilio principal en la ciudad de Bogotá en la dirección Carrera 7 # 115 72. Local A-213 en Bogotá Colombia, en el rol de responsable o encargada del tratamiento de los datos personales, está comprometida con el adecuado tratamiento de los datos de sus empleados, los clientes, los proveedores y los terceros. Por lo tanto, en el presente documento se articulan los procedimientos y actividades que involucran el tratamiento de los datos personales, los cuales están alineados con las normas y directrices que lo regulan. 

 

MARCO NORMATIVO 

Con el propósito de dar un adecuado tratamiento a los datos personales, la entidad ha identificado el siguiente marco normativo que articula las disposiciones de protección de los datos personales, su confidencialidad y los derechos de los titulares: 

  • Constitución Política de 1991: En su artículo 15 la Constitución establece lo siguiente: “(…) Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución (…)”. 
  • Ley 1266 de 2008: Por la cual se dictan disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la provenientes de terceros países, y se dictan otras disposiciones. 
  • Ley 1581 de 2012: Por la cual se dictan las disposiciones generales para la protección de datos personales. 
  • Decreto Único 1074 de 2015: Por medio del cual se expide el Decreto Único Reglamentario del Sector Comercio, Industria y Turismo. 
  • Circular Externa 005 de 2017 de la Superintendencia de Industria y Comercio: Por la cual se fijan estándares de un nivel adecuado de protección en el país receptor de la información personal. 
  • Circular Externa 008 de 2017 de la Superintendencia de Industria y Comercio: Por la cual se incluye un país en la lista de aquellos que cuentan con un nivel adecuado de protección de datos personales. 
  • Guía de la Superintendencia de Industria y Comercio para la implementación del Principio de Responsabilidad Demostrada (Accountability). 
  • En general, para la aplicación e interpretación del presente manual, cuando fuere procedente, se aplicarán las demás normas que regulen o complementen lo concerniente a la protección de datos personales.

 

PRINCIPIOS APLICABLES AL TRATAMIENTO DE DATOS 

Rasgo Gráfico SAS, está comprometida con el adecuado tratamiento de los datos personales, por lo cual, en todas las actividades que tengan manejo de datos personales, se deberá garantizar la aplicación de los siguientes principios, los cuales se encuentran alineados con los establecidos en el artículo 4 de la Ley 1581 de 2012: 

  • Legalidad: En todo el proceso de tratamiento de los datos personales, desde el momento de su captura, almacenamiento y eliminación, se debe cumplir con las disposiciones normativas, empleando los datos para fines que estén bajo la ley y a las disposiciones reglamentarias que la desarrollen. 
  • Finalidad: Todos los datos personales que sean capturados en el desarrollo del ejercicio de las funciones educativas y administrativas que tiene Rasgo Gráfico SAS, deben atender a finalidades específicas de acuerdo con el tratamiento que se le dará al dato. Las finalidades del tratamiento deben ser informadas a los titulares con el propósito que éstos conozcan las actividades que desarrollará Rasgo Gráfico SAS con los datos personales que está entregando. 
  • Libertad: La recolección, almacenamiento y tratamiento de los datos personales sólo puede realizarse con la autorización previa y expresa del titular, quien debe ser informado sobre el tratamiento que se les dará a sus datos personales. La divulgación o socialización de los datos personales sin la previa autorización, o sin una disposición legal que lo habilite, está prohibido. 
  • Veracidad o calidad: Rasgo Gráfico SAS, debe promover que los datos personales que estarán sujetos a tratamiento deben ser veraces, exactos, completos y actualizados, pues de lo contrario pueden llevar a inducir a errores en la ejecución de tratamiento para el cual fueron capturados. 
  • Transparencia: Cualquier titular de información podrá tener acceso, en cualquier momento, a la información sobre sus datos personales tratados por Rasgo Gráfico SAS. 
  • Acceso y circulación restringida: El tratamiento de los datos personales sólo podrá ser realizado por aquellos que el titular haya efectivamente autorizado, o por las personas habilitadas por las disposiciones legales vigentes. 
  • Seguridad: Toda la información asociada a los datos personales objeto de tratamiento por parte de Rasgo Gráfico SAS, deberán protegerse bajo estándares de seguridad adecuados, implementando medidas operativas, técnicas y humanas que eviten su pérdida, adulteración o acceso no autorizado. 
  • Confidencialidad: Rasgo Gráfico SAS deberá garantizar la reserva de la información y datos personales que no estén bajo la categoría de datos públicos, por lo cual, todas las personas que tengan acceso al tratamiento de los datos personales deberán promover prácticas de manejo de datos que eviten su exposición o suministro a terceros no autorizados. 

 

DISPOSICIONES GENERALES PARA LA OBTENCIÓN DE LA AUTORIZACIÓN

Toda captura, recolección, uso y almacenamiento de datos personales que realice la entidad en el desarrollo de sus actividades, y de aquellas finalidades dispuestas en la Política de Protección de Datos Personales, requiere de los titulares un consentimiento libre, previo, expreso, inequívoco e informado. 

Al efecto, Rasgo Gráfico SAS ha puesto a disposición de los titulares la autorización para el tratamiento de sus datos personales en los diversos escenarios en los cuales realiza la captura del dato, tanto de manera física como digital, a través de coberturas en modelos de autorizaciones o avisos de privacidad en donde se informa al titular sobre la captura de sus datos personales, el tratamiento al cual serán sometidos incluyendo las finalidades, sus derechos, los canales de ejercicio de sus derechos y la información relacionada sobre la Política de Protección de Datos Personales. 

En todos los casos la obtención de la autorización se realizará bajo las diferentes modalidades que establece la ley, teniendo en cuenta la naturaleza de cada uno de los canales de captura de la información, y el modo en que la misma es obtenida, es decir, si es a través de un canal escrito, uno verbal o mediante una conducta inequívoca1. 

Es importante tener en consideración que en todos los casos Rasgo Gráfico SAS debe custodiar las autorizaciones obtenidas para el tratamiento de los datos personales, dado que ésta hace parte de las pruebas exigidas por la Superintendencia de Industria y Comercio. Así las cosas, se deberán guardar los formatos físicos en donde existan autorizaciones, el registro de llamadas o de los formularios web en los cuales se da trazabilidad sobre la aceptación del tratamiento. 

Contenido de los avisos de privacidad 

De acuerdo con las disposiciones normativas, los avisos de privacidad mediante los cuales se obtiene la autorización de los titulares deben tener los siguientes elementos:

a) Nombre o razón social y datos de contacto del responsable del tratamiento 

b) El Tratamiento al cual serán sometidos los datos y la finalidad del mismo. 

c) Los derechos que le asisten al titular.

d) Los mecanismos dispuestos por el responsable para que el titular conozca la política de Tratamiento de la información. 

e) En todos los casos, debe informar al Titular cómo acceder o consultar la política de Tratamiento de información 

Autorización en Formatos

Los modelos de autorización de tratamiento de datos personales pueden ser tramitados a través de formatos web o documentos físicos. 

Autorización en Formatos Web 

Las áreas que, en el ejercicio de sus funciones, o debido a que lleven a cabo iniciativas que impliquen la recolección de datos personales a través de formularios web, deberán tener en cuenta los siguientes aspectos necesarios para su captura: 

a) Solicitar sólo aquellos datos personales necesarios conforme con la finalidad del tratamiento. 

b) Relacionar en el formato, un aviso de privacidad que incorpore la autorización del tratamiento por parte del titular.

c) El envío de la información a través del formulario, deberá estar condicionado a la previa aceptación de la autorización de tratamiento del dato. 

d) Validar que en el aviso de privacidad se encuentren todas las finalidades de tratamiento asociadas a la captura de los datos personales. 

e) Validar que la plataforma que soporta el formulario web tenga la capacidad técnica, operativa y de seguridad para almacenar las autorizaciones, y poder tener la trazabilidad en ellas. Preferiblemente se deberá incluir fecha en la que se obtuvo la autorización. 

Autorización en formatos físicos 

Las áreas que lleven a cabo iniciativas que impliquen la recolección de datos personales a través de formularios físicos, deberán tener en cuenta los siguientes aspectos: 

a) Solicitar sólo aquellos datos personales necesarios conforme con la finalidad de la captura. 

b) Relacionar en el formato, un aviso de privacidad que incorpore la autorización del tratamiento de los datos. 

c) Para que Rasgo Gráfico SAS pueda realizar el tratamiento de los datos capturados en el formulario, el titular debe dar la autorización. En el evento en que el titular no haya autorizado, deberá ser analizado de manera independiente. 

d) Validar que en el aviso de privacidad se encuentren todas las finalidades de tratamiento asociadas a la captura de los datos solicitados. 

e) Garantizar la custodia de los formularios con sus respectivas autorizaciones. 

Custodia de la autorización 

Cada área de Rasgo Gráfico SAS que realice un tratamiento activo de datos personales debe garantizar la custodia y almacenamiento de la autorización para el tratamiento de los datos. 

Así mismo, se deberán poner a disposición de la Superintendencia de Industria y Comercio o del Oficial de Protección de Datos en el evento en que éstos lo requieran. 

Para más información consultar Manual Recolección, almacenamiento y supresión de Datos.

 

PROCEDIMIENTO DE ATENCIÓN DE CONSULTAS Y RECLAMOS 

El procedimiento de consultas y reclamos se ejecutará de acuerdo con los términos incluidos en la ley y acogidos por la Política de Protección de Datos Personales. 

Las solicitudes que pueden ser catalogadas como consultas o reclamos pueden llegar por los canales habilitados de protección de datos, los cuales son: [email protected], o ser recibidas por cualquier persona vinculada a la entidad. 

Los tiempos de respuesta de las consultas de los reclamos serán de diez (10) días hábiles desde la fecha de recibo, y de quince (15) días hábiles desde su recibo. 

Para más información consultar Manual de Consultas y Reclamos.

 

INICIATIVAS QUE IMPLICAN EL TRATAMIENTO DE DATOS PERSONALES Y ANÁLISIS DE IMPACTO DE PRIVACIDAD  

La entidad reconoce la importancia de proteger los datos personales de todos los titulares, es por esto que cualquier tipo de iniciativa que implique el tratamiento de datos personales deberá ser objeto de análisis de manera previa, a efectos de validar el alcance de las coberturas que deben tenerse en cuenta para el desarrollo de la misma.   

El análisis de impacto de la privacidad permite validar el cumplimiento de las disposiciones legales y reglamentarias en el ejercicio de la captura y tratamiento de los datos personales en relación con el entorno y los titulares de información.