CIATEL S.A, en cumplimiento de las disposiciones legales que rigen el Tratamiento de datos personales, en especial lo señalado en el decreto 1074 de 2015, artículo 2.2.2.25.3.1 y literal k del artículo 17 de la ley 1581 de 2012, adopta el presente manual interno de procedimientos y directrices para el tratamiento de datos personales. El propósito del presente manuales garantizar el adecuado cumplimiento de la ley 1581 de 2012, para la atención de consultas y reclamosy asípermitir al Titular de la información el libre ejercicio al derecho de Habeas Data o autodeterminación informática, estableciendo un procedimiento para que pueda conocer, actualizar, rectificar y suprimir su información personal contenida en las bases de datos o archivos o revocar la autorización otorgada a la empresa CIATEL S.A.
ARTÍCULO 1.- OBJETO: CIATEL S.A, en cumplimiento de las disposiciones constitucionales y legales1 que rigen la protección de datos personales2, adopta el presente manual interno de procedimientos y directrices para realizar su tratamiento, a fin de garantizar que los titulares puedan conocer, incluir, actualizar, rectificar,suprimir o revocar la autorización de la información que sobre ellos se hayan recopilado previa autorización otorgada al respecto, en bases de datos o archivos de CIATEL S.A.
ARTÍCULO 2.- ÁMBITO DE APLICACIÓN Los procedimientos y directrices establecidos en este manual se aplicarán al tratamiento de cualquier base de datos o archivos creados, administrados y/o custodiados por CIATEL S.A., como responsable de ésta.
ARTÍCULO 3.- INFORMACION DEL RESPONSABLE O EMPRESA
3.1. RAZON SOCIAL: CONSULTORIA INTERVENTORIA INSTALACIONES Y AUDITORIA DE TELECOMUNICACIONES S.A
1. En especial, la Ley Estatutaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales y demás normas que la reglamenten o modifiquen.
2.Derecho al habeas data, de autodeterminación informativa o informática.
3.2. SIGLA: CIATEL S.A.
3.3. DOMICILIO: Bogotá.
3.4. DIRECCION: Carrera 50 #113-39.
3.5. CORREO ELECTRÓNICO: solicitud@ciatelsa.com, Recursoshumanos@ciatelsa.com
3.6. TELEFONO: 6000885
ARTÍCULO 4.- DESTINATARIOS: El presente Manual es de obligatorio cumplimiento para:
4.1. Todos los trabajadores dependientes de CIATEL S.A.
4.2. Personas naturales o jurídicas vinculadas a través de cualquiera de las modalidades contractuales.
4.3. Las demás previstas en la ley.
ARTÍCULO 5.- DEFINICIONES: Para efectos de este manual se entiende por:
5.1. Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
5.2. Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
5.3. Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
5.4. Bases de datos automatizadas: Aquellas que se almacenan y administran con la ayuda de herramientas informáticas y/o tecnológicas.
5.5. Bases de datos manuales: Son los archivos cuya información se encuentra organizada y almacenada de manera física.
5.6. Cesión de datos: Tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario.
5.7. Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
5.8. Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
5.9. Dato público: Es el dato calificado como tal según los mandatos de la Ley o de la Constitución Política y aquel que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales, sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
5.10. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general.
5.11. Datos sensibles: Es el dato que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
5.12. Encargado del tratamiento: Persona natural o jurídica, pública o privada, externa que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento;
5.13. Fuentes accesibles al público: Se refiere a aquellas bases contentivas de datos personales cuya consulta puede ser efectuada por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación.
5.14. Habeas data: El derecho fundamental que otorga la facultad al titular de datos personales, de exigir a las administradoras de datos personales el acceso, inclusión, exclusión, corrección, adición, actualización, y certificación de los datos, así como la limitación en la posibilidades de divulgación, publicación o cesión de los mismos, conforme a los principios que informan el proceso de administración de bases de datos personales.
5.15. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
5.16. Titular: Persona natural cuyos datos personales sean objeto de tratamiento.
5.17. Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
5.18. Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
5.20. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
ARTÍCULO 5: PRINCIPIOS: En el desarrollo, interpretación y aplicación de este manual, se aplicarán, de manera armónica e integral, los siguientes principios:
a) Principio de legalidad en materia de tratamiento de datos: El tratamiento de datos personales es una actividad reglada que debe sujetarse a lo establecido en la normativa vigente.
b) Principio de interpretación integral de derechos constitucionales: Los procedimientos y directrices establecidas en este manual se interpretarán en el sentido de que se amparen adecuadamente los derechos constitucionales, como son el hábeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información. Los derechos de los titulares se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los demás derechos constitucionales aplicables;
c) Principio de finalidad: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, la cual debe ser informada al titular.
d) Principio de libertad: El tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
e) Principio de veracidad o calidad: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
f) Principio de transparencia: En el tratamiento debe garantizarse el derecho del titular a obtener del responsable o del encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
g) Principio de acceso y circulación restringida: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones en materia de habeas data y la Constitución. En este sentido, el tratamiento solo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la normativa vigente. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido solo a los titulares o terceros autorizados conforme a la Ley.
h) Principio de seguridad: La información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere el presente manual, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
i) Principio de confidencialidad: Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo solo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la normatividad que desarrolla el derecho al habeas Data.
j) Principio de temporalidad de la información: La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.
ARTÍCULO 6.- DERECHOS DE LOS TITULARES: El titular de los datos personales tendrá los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los responsables o encargados del tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorización otorgada al responsable del tratamiento salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
c) Ser informado por el responsable o el encargado del tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente ley y las demás normas que la modifiquen, adicionen o complementen. Para el efecto, deberá cumplir con el requisito de procedibilidad contemplado en el artículo 16 de la ley 1581 de 2012, consistente en haber agotado el trámite de consulta o reclamo ante la CIATEL S.A.
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento el responsable o encargado han incurrido en conductas contrarias a la ley y a la Constitución.
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
ARTÍCULO 7.- AUTORIZACIÓN DEL TITULAR: El responsable del tratamiento deberá adoptar procedimientos para solicitar, a más tardar en el momento de la recolección de sus datos, la autorización del titular para el tratamiento de los mismos e informarle los datos personales que serán recolectados así como todas las finalidades específicas del tratamiento para las cuales se obtiene el consentimiento. La autorización del titular puede darse (i) por escrito, (ii) de forma presencial(iii) Por la página web (iv) Por correo electrónico o (v) mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
En todo caso; CIATEL S.A, en su condición de responsable del tratamiento de datos personales, ha dispuesto los mecanismos necesarios para obtener la autorización de los titulares garantizando en todo caso que ésta sea susceptible de posterior consulta.
ARTÍCULO 8.- CASOS EN QUE NO ES NECESARIA LA AUTORIZACIÓN.
La autorización del titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;
e) Datos relacionados con el Registro Civil de las personas.
No obstante, quien acceda a los datos personales sin que medie autorización previa deberá en todo caso cumplir con las disposiciones contenidas en la presente ley.
ARTÍCULO 9.- SUMINISTRO DE LA INFORMACIÓN. La información solicitada podrá ser suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder en un todo a aquella que repose en la base de datos.
ARTÍCULO 10.- DEBER DE INFORMAR AL TITULAR.
El responsable del tratamiento, al momento de solicitar al titular la autorización, deberá informarle de manera clara y expresa lo siguiente:
a) El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo;
b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;
c) Los derechos que le asisten como titular;
d) La identificación, dirección física o electrónica y teléfono del responsable del tratamiento.
PARÁGRAFO: El responsable del tratamiento deberá conservar prueba del cumplimiento de lo previsto en el presente artículo y, cuando el titular lo solicite, entregarle copia de esta.
ARTÍCULO 11.- PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas:
a) A los titulares, sus causahabientes o sus representantes legales;
b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial;
c) A los terceros autorizados por el titular o por la ley.
ARTÍCULO 12.- AVISO DE PRIVACIDAD: Mediante el aviso de privacidad se informa al titular la información relativa a la existencia de las políticas de tratamiento de información contenidas en el presente manual, así como las características del tratamiento que se le dará a los datos personales. El aviso de privacidad contendrá como mínimo la siguiente información:
a)Nombre o razón social y datos de contacto del responsable del tratamiento.
b)Tipo de tratamiento al cual serán sometidos los datos y la finalidad del mismo.
c)Derechos que le asisten al titular.
d)Mecanismos generales dispuestos por el responsable para que el titular conozca la política de tratamiento de la información, comunicando al titular cómo consultar dicha política.
PARÁGRAFO: CIATEL S.A, conservará el modelo del aviso de privacidad que se transmitió a los titulares mientras se lleve a cabo el tratamiento de datos personales, y perduren las obligaciones que de éste se deriven. CIATEL S.A, podrá emplear los medios informáticos, electrónicos, o cualquiera que considere pertinente para almacenar el modelo.
ARTÍCULO 13.- DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO. Los responsables del tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley:
a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b) Solicitar y conservar copia de la respectiva autorización otorgada por el titular.
c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e) Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f) Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
h) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la presente ley.
i) Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del titular.
j) Tramitar las consultas y reclamos formulados en los términos señalados en la presente ley.
k) Informar al encargado del tratamiento cuando determinada información se encuentra en discusión por parte del titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
l) Informar a solicitud del titular sobre el uso dado a sus datos.
m) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
n) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
ARTÍCULO 15. CONSULTAS: El titular de la información, sus causahabientes u otra persona con un interés legítimo, realizará las consultas a través de comunicación escrita o por medio de correo electrónico, en la que: i) determine su identidad (nombre completo y número de identificación personal; ii) precise de manera clara, específica, detallada y fundamentada el objeto de la consulta; iii) establezca y acredite el interés legítimo con el que actúa, anexando siempre los soportes del caso, por ejemplo, poder con nota de reconocimiento de contenido ante notario público y, iv) informe dirección física y/o electrónica para recibir comunicaciones.
La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se resolverá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.
PARÁGRAFO I: El titular, sus causahabientes o el legitimado deberán anexar con la consulta copia de su documento de identidad y los demás que considere necesarios para sustentar su consulta.
PARÁGRAFO II: Si la consulta se refiere a un titular fallecido, el cónyuge, compañero permanente y/o causahabientes, deben presentar solicitud de consulta, anexando el registro civil de defunción del titular de la información y el registro civil que acredite el parentesco (de matrimonio, declaración extra juicio en casos de unión marital de hecho, de nacimiento, etc.).
ARTÍCULO 16. RECLAMOS: El titular, sus causahabientes u otra persona con un interés legítimo que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización, supresión, o revocación de la autorización otorgada para el tratamiento, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo por escrito o por medio de correo electrónico ante el área responsable, el cual será tramitado bajo las siguientes reglas:
PARÁGRAFO: Los titulares o las personas legitimadas para ello podrán en todo momento solicitar al responsable o encargado del tratamiento la supresión de sus datos personales y/o revocar la autorización otorgada para el tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.
Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.
ARTÍCULO 17.- LEGITIMACIÓN PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR Los derechos de los titulares, podrán ejercerse por las siguientes personas:
Los derechos de los niños, niñas o adolescentes se ejercerán por las personas que estén facultadas para representarlos.
ARTÍCULO 18.- ÁREA RESPONSABLE DE LA ATENCIÓN DE CONSULTAS Y RECLAMOS La Persona o área responsable de la atención de peticiones, consultas y reclamos ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato y revocar la autorización, es XIMENA ALEXANDRA PACHON ANZOLA.
19. BASES DE DATOS/ARCHIVOS Y FINALIDAD. CIATEL S.A, cuenta con los siguientes activos de información, los cuales se vinculan o pueden asociarse con personas naturales y son los siguientes:
BASE DE DATOS
FINALIDAD
USO DEL NÚMERO DE PLACA
ARTÍCULO 20.- VIGENCIA El presente manual interno de políticas y procedimientos para el tratamiento de datos personales rige a partir de la fecha de su expedición. El periodo de vigencia de las bases de datos se regirá por las disposiciones que rigen la materia conforme a los principios de finalidad y temporalidad de la información.
Dada en Bogotá D.C., a los 16 días del mes de septiembre de 2015.
CIATEL SA, in compliance with the legal provisions governing the processing of personal data, especially as stated in Decree 1074 of 2015, article 2.2.2.25.3.1 and literal k of article 17 of Law 1581 of 2012, adopts this internal manual of procedures and guidelines for the processing of personal data. The purpose of this manual is to ensure proper compliance with Law 1581 of 2012, for the attention of queries and claims and thus allow the owner of the information to freely exercise the right to Habeas Data or computer self-determination, establishing a procedure so that they can know, update, rectify and delete their personal information contained in the databases or files or revoke the authorization granted to the company CIATEL SA
ARTICLE 1.- PURPOSE: CIATEL SA, in compliance with the constitutional and legal provisions1 that govern the protection of personal data2, adopts this internal manual of procedures and guidelines to carry out its treatment, in order to guarantee that the owners can know, include, update, rectify, delete or revoke the authorization of the information that has been collected about them with prior authorization granted in this regard, in databases or files of CIATEL SA
ARTICLE 2.- SCOPE OF APPLICATION: The procedures and guidelines established in this manual will apply to the treatment of any database or files created, managed and/or kept by CIATEL SA, as the party responsible for it.
ARTICLE 3.- INFORMATION OF THE CONTROLLER OR COMPANY
3.1. COMPANY NAME: CONSULTANCY , INTERVENTION , INSTALLATIONS AND AUDIT OF TELECOMMUNICATIONS SA
1. In particular, Statutory Law 1581 of 2012, which establishes general provisions for the protection of personal data and other regulations that regulate or modify it.
2.Right to habeas data, informational or computer self-determination.
3.2. ACRONYM: CIATEL S.A.
3.3. ADDRESS: Bogotá.
3.4. ADDRESS: : Carrera 50 #113-39.
3.5. EMAIL: solicitud@ciatelsa.com, Recursoshumanos@ciatelsa.com
3.6. TELEPHONE: 6000885
ARTICLE 4.- RECIPIENTS: This Manual is mandatory for:
4.1. All employees of CIATEL SA.
4.2. Natural or legal persons linked through any of the contractual modalities.
4.3. Others provided for by law.
ARTICLE 5.- DEFINITIONS: For the purposes of this manual, the following definitions apply:
5.1. Authorization: Prior, express and informed consent of the owner to carry out the processing of personal data.
5.2. Privacy notice: Verbal or written communication generated by the controller, addressed to the owner for the processing of his/her personal data, through which he/she is informed about the existence of the information processing policies that will be applicable to him/her, the way to access them and the purposes of the processing that is intended to be given to the personal data.
5.3. Database: Organized set of personal data that is subject to processing.
5.4. Automated databases: Those that are stored and managed with the help of computer and/or technological tools.
5.5. Manual databases: These are files whose information is organized and stored physically.
5.6. Data transfer: Data processing that involves its disclosure to a person other than the data owner or other than the person authorized as the transferee.
5.7. Personal data: Any information linked to or that can be associated with one or more specific or identifiable natural persons.
5.8. Private data: This is data that, due to its intimate or reserved nature, is only relevant to the owner.
5.9. Public data: Data classified as such according to the mandates of the Law or the Political Constitution and that which is not semi-private, private or sensitive. Public data includes, among others, data relating to the civil status of persons, their profession or trade, their status as merchant or public servant and those that can be obtained without reservation. By their nature, public data may be contained, among others, in public registers, public documents, official gazettes and bulletins, duly executed court rulings that are not subject to reservation.
5.10. Semi-private data: Semi-private data is data that is not of an intimate, reserved, or public nature and whose knowledge or disclosure may be of interest not only to its owner but also to a certain sector or group of people or to society in general.
5.11. Sensitive data: Data that affects the privacy of the data subject or whose improper use may lead to discrimination, such as data that reveals racial or ethnic origin, political orientation, religious or philosophical beliefs, membership in unions, social organizations, human rights organizations or that promote the interests of any political party or that guarantee the rights and guarantees of opposition political parties, as well as data relating to health, sexual life and biometric data.
5.12. Data processor: Natural or legal person, public or private, external, who by itself or in association with others, carries out the processing of personal data on behalf of the data controller;
5.13. Publicly accessible sources: Refers to those databases containing personal data that can be consulted by any person, which may or may not include payment of a fee in exchange for the service of accessing such data. Telephone directories, industry or sector directories, among others, are considered publicly accessible sources, provided that the information is limited to personal data of a general nature or contains generalities of law. Printed media, the official newspaper and other media are considered to be publicly accessible sources.
5.14. Habeas data: The fundamental right that grants the right to the owner of personal data to demand from the administrators of personal data the access, inclusion, exclusion, correction, addition, updating, and certification of the data, as well as the limitation of the possibilities of disclosure, publication or transfer of the same, in accordance with the principles that inform the process of administration of personal databases.
5.15. Data controller: Natural or legal person, public or private, who alone or in association with others, decides on the database and/or the processing of data.
5.16. Owner: Natural person whose personal data is processed.
5.17. Transfer: The transfer of data takes place when the Controller and/or Processor of personal data, located in Colombia, sends the information or personal data to a recipient, who in turn is the Controller and is located within or outside the country.
5.18. Transmission: Processing of personal data that involves the communication of the same within or outside the territory of the Republic of Colombia when its purpose is to carry out processing by the person in charge on behalf of the person responsible.
5.19. Processing: Any operation or set of operations on personal data, such as collection, storage, use, circulation or deletion.
ARTICLE 5: PRINCIPLES: In the development, interpretation and application of this manual, the following principles will be applied in a harmonious and comprehensive manner:
a) Principle of legality in data processing: The processing of personal data is a regulated activity that must be subject to the provisions of current regulations.
b) Principle of purpose: The procedures and guidelines established in this manual shall be interpreted in such a way that constitutional rights, such as habeas data, the right to a good name, the right to honour, the right to privacy and the right to information, are adequately protected. The rights of the holders shall be interpreted in harmony and on a level of balance with the right to information provided for in article 20 of the Constitution and with the other applicable constitutional rights;
c) Principle of freedom: Processing may only be carried out with the prior, express and informed consent of the data subject. Personal data may not be obtained or disclosed without prior authorization, or in the absence of a legal or judicial mandate that waives consent.
e) Principle of truthfulness or quality: The information subject to processing must be truthful, complete, accurate, up-to-date, verifiable and understandable. The processing of partial, incomplete, fractioned or misleading data is prohibited.
f) Principle of transparency: In the processing of data, the right of the owner to obtain from the person responsible or in charge of processing, at any time and without restrictions, information about the existence of data that concerns him/her must be guaranteed.
g) Principle of restricted access and circulation: The processing is subject to the limits arising from the nature of the personal data, the provisions on habeas data and the Constitution. In this sense, the processing may only be carried out by persons authorized by the owner and/or by the
persons provided for in the current regulations. Personal data, except for public information, may not be made available on the Internet or other means of dissemination or mass communication, unless access is technically controllable to provide restricted knowledge only to the holders or authorized third parties in accordance with the Law.
h) Security principle: The information subject to processing by the data controller or data processor referred to in this manual must be handled with the technical, human and administrative measures necessary to ensure the security of the records, avoiding their adulteration, loss, consultation, use or unauthorized or fraudulent access.
i) Confidentiality principle: All persons involved in the processing of personal data that are not public in nature are obliged to guarantee the confidentiality of the information, even after their relationship with any of the tasks that comprise the processing has ended, and may only provide or communicate personal data when this corresponds to the development of the activities authorized in the regulations that develop the right to habeas data.
j) Principle of temporality of information: The owner's information may not be provided to users or third parties when it ceases to serve the purpose of the database.
ARTICLE 6.- RIGHTS OF THE OWNERS. The owner of personal data shall have the following rights:
a) To know, update and rectify your personal data in front of those responsible for or in charge of the treatment. This right may be exercised, among others, in the case of partial, inaccurate, incomplete, fragmented data that may lead to error, or data whose treatment is expressly prohibited or has not been authorized.
b) Request proof of the authorization granted to the data controller, except when it is expressly excepted as a requirement for the treatment, in accordance with the provisions of article 10 of Law 1581 of 2012.
c) Be informed by the controller or processor, upon request, regarding the use that has been given to your personal data.
d) Submit complaints to the Superintendency of Industry and Commerce for violations of the provisions of this law and other regulations that modify, add to or complement it. To this end, the procedural requirement contemplated in article 16 of law 1581 of 2012 must be met, consisting of having exhausted the consultation or claim process before CIATEL SA.
e) Revoke the authorization and/or request the deletion of the data when the processing does not respect the constitutional and legal principles, rights and guarantees. The revocation and/or deletion will proceed when the Superintendence of Industry and Commerce has determined that in the processing the person responsible or in charge has engaged in conduct contrary to the law and the Constitution.
f) Access free of charge to your personal data that have been subject to processing.
ARTICLE 7.- AUTHORIZATION OF THE OWNER: The data controller must adopt procedures to request, at the latest at the time of data collection, the owner's authorization for the processing of the same and inform him/her of the personal data that will be collected as well as all the specific purposes of the processing for which consent is obtained. The owner's authorization may be given (i) in writing, (ii) in person (iii) through the website (iv) by email or (v) through unequivocal conduct of the Owner that allows a reasonable conclusion to be drawn that he/she has granted authorization. In no case may silence be equated with unequivocal conduct.
In any case, CIATEL SA, as the party responsible for the processing of personal data, has provided the necessary mechanisms to obtain the authorization of the owners, guaranteeing in all cases that it is subject to subsequent consultation.
ARTICLE 8.- CASES IN WHICH AUTHORIZATION IS NOT NECESSARY.
Authorization of the owner will not be necessary when it concerns:
a) Information required by a public or administrative entity in the exercise of its legal functions or by court order;
b) Data of a public nature;
c) Cases of medical or health emergencies;
d) Processing of information authorized by law for historical, statistical or scientific purposes;
e) Data related to the Civil Registry of persons.
However, anyone who accesses personal data without prior authorization must in all cases comply with the provisions contained in this law.
ARTICLE 9.- SUPPLY OF INFORMATION. The requested information may be supplied by any means, including electronic means, as required by the owner. The information must be easy to read, without technical barriers that impede access, and must correspond in all respects to that which is in the database.
ARTICLE 10.- DUTY TO INFORM THE HOLDER.
The data controller, when requesting authorization from the holder, must inform him/her clearly and expressly of the following:
a) The processing to which your personal data will be subjected and the purpose thereof;
b) The optional nature of the response to the questions asked, when these relate to sensitive data or the data of girls, boys and adolescents;
c) The rights that you have as the owner;
d) The identification, physical or electronic address and telephone number of the person responsible for the processing.
PARAGRAPH: The data controller must retain proof of compliance with the provisions of this article and, when the data subject so requests, provide a copy of this evidence.
ARTICLE 11.- PERSONS TO WHOM THE DRUGS MAY BE SUPPLIED INFORMATION. Information that meets the conditions established in this law may be provided to the following persons:
a) To the owners, their successors in title or their legal representatives;
b) To public or administrative entities in the exercise of their legal functions or by court order;
c) To third parties authorized by the owner or by law.
ARTICLE 12.- PRIVACY NOTICE: Through the privacy notice, the owner is informed of the information regarding the existence of the information processing policies contained in this manual, as well as the characteristics of the processing that will be given to personal data, and will contain at least the following information:
a)Name or company name and contact details of the data controller.
b)Type of processing to which the data will be subjected and its purpose.
c)The rights of the owner.
d)General mechanisms provided by the controller so that the owner is aware of the information processing policy, informing the owner how to consult said policy.
PARAGRAPH: CIATEL SA will retain the privacy notice model that was transmitted to the owners while the processing of personal data is carried out and the obligations arising from it continue. CIATEL SA may use computer, electronic or any other means it considers pertinent to store the model.
ARTICLE 13.- DUTIES OF THOSE RESPONSIBLE FOR THE PROCESSING. Data controllers must comply with the following duties, without prejudice to other provisions provided for by law:
a) Guarantee the holder, at all times, the full and effective exercise of the right to habeas data;
b) Request and keep a copy of the respective authorization granted by the owner;
c) Properly inform the owner of the purpose of the collection and the rights granted to him by virtue of the authorization granted;
d) Keep the information under the security conditions necessary to prevent its adulteration, loss, consultation, use or unauthorized or fraudulent access;
e) Ensure that the information provided to the data controller is true, complete, accurate, up-to-date, verifiable and understandable;
f) Update the information, communicating in a timely manner to the data controller all new developments regarding the data previously provided and adopting the other measures necessary to ensure that the information provided to the controller remains up to date;
g) Rectify the information when it is incorrect and communicate the relevant information to the data controller;
h) Provide the data controller, as the case may be, only with data whose processing has been previously authorized in accordance with the provisions of this law;
i) Require the data controller to respect the security and privacy conditions of the data subject's information at all times;
j) Process queries and complaints made under the terms set out in this law;
k) Inform the data controller when certain information is being discussed by the owner, once the claim has been submitted and the respective procedure has not been completed;
l) Inform the owner, upon request, about the use given to his/her data;
m) Inform the data protection authority when security code violations occur and there are risks in the management of the information of the holders.
n) Comply with the instructions and requirements issued by the Superintendency of Industry and Commerce.
ARTICLE 15.- CONSULTATIONS: The owner of the information, his/her successors in title or any other person with a legitimate interest, shall make inquiries through written communication or by email, in which: i) he/she determines his/her identity (full name and personal identification number; ii) specifies in a clear, specific, detailed and reasoned manner the object of the consultation; iii) establishes and proves the legitimate interest with which he/she acts, always attaching the relevant supporting documents, for example, a power of attorney with a note of recognition of content before a notary public and, iv) informs the physical and/or electronic address to receive communications.
The query will be answered within a maximum period of ten (10) business days from the date of receipt of the same. When it is not possible to answer it within said period, the interested party will be informed, stating the reasons for the delay and indicating the date on which the query will be resolved, which in no case may exceed five (5) business days following the expiration of the first period.
PARAGRAPH I: The owner, his successors in title or the legitimate party must attach to the query a copy of his identity document and any other documents he considers necessary to support his query.
PARAGRAPH II: If the query refers to a deceased holder, the spouse, permanent partner and/or successors in title must submit a query request, attaching the civil registry of the death of the holder of the information and the civil registry that proves the relationship (marriage, extrajudicial declaration in cases of de facto marital union, birth, etc.).
ARTICLE 16. CLAIMS: The owner, his/her successors in title or another person with a legitimate interest who considers that the information contained in a database should be subject to correction, updating, deletion, or revocation of the authorization granted for its processing, or when they notice the alleged non-compliance of any of the duties contained in Law 1581 of 2012, may submit a claim in writing or by email to the responsible area, which will be processed under the following rules:
PARAGRAPH: The owners or persons authorized to do so may at any time request the person responsible for or in charge of processing to delete their personal data and/or revoke the authorization granted for the processing thereof, by submitting a claim, in accordance with the provisions of article 15 of Law 1581 of 2012.
The request for deletion of information and revocation of authorization will not proceed when the owner has a legal or contractual obligation to remain in the database.
If, after the respective legal term has expired, the person responsible and/or the person in charge, as the case may be, have not deleted the personal data, the owner will have the right to request the Superintendency of Industry and Commerce to order the revocation of the authorization and/or the deletion of the personal data. For these purposes, the procedure described in article 22 of Law 1581 of 2012 will apply.
ARTICLE 17.- LEGITIMATION FOR THE EXERCISE OF THE RIGHTS OF THE OWNER. The rights of the owners may be exercised by the following persons:
The rights of children and adolescents will be exercised by the persons who are authorized to represent them.
ARTICLE 18.- AREA RESPONSIBLE FOR HANDLING INQUIRIES AND COMPLAINTS: The person or area responsible for handling requests, queries and complaints before which the owner of the information can exercise their rights to know, update, rectify and delete the data and revoke the authorization, is XIMENA ALEXANDRA PACHON ANZOLA.
ARTICLE 19. DATABASES/FILES AND PURPOSE. CIATEL SA, has the following information assets, which are linked or may be associated with natural persons and are the following:
DATABASE
PURPOSE
Use of License Plate Number
ARTICLE 20.- VALIDITY.This internal manual of policies and procedures for the processing of personal data shall be effective from the date of its issue. The period of validity of the databases shall be governed by the provisions that govern the subject matter in accordance with the principles of purpose and temporality of the information.
Given in Bogotá DC, on the 16th day of the month of September 2015.