POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES INSTITUTO IBEROAMERICANO DE DERECHO DIGITAL Y DE LA CIBERSEGURIDAD SAS

 

22 de mayo, 2022

CAPÍTULO I
DISPOSICIONES GENERALES

Identificación del responsable
de la información.

INSTITUTO IBEROAMERICANO DE DERECHO DIGITAL Y DE LA CIBERSEGURIDAD SAS, (en adelante IBDC Digital), sociedad de carácter privado, identificada con Nit. 901.435.803-3, domiciliada en la ciudad de Bogotá, con la página web www. Ibdc. Digital, en cumplimiento de la Ley 1581 de 2012 y de los Decretos 1377 de 2013 y 886 de 2014, adopta las políticas de tratamiento de datos personales de obligatoria aplicación para todos los datos personales recolectados, procesados, almacenados, usados, actualizados y suprimidos por parte del IBDC Digital.

Estas políticas son de obligatorio y estricto cumplimiento por parte de todos los colaboradores del IBDC Digital. Todos los empleados deben observar y respetar estas políticas en el cumplimiento de sus labores y en el caso de los contratistas, donde no existe vínculo laboral alguno, se deberá regular contractualmente, para que quienes obren en nombre del IBDC Digital, queden obligados a cumplirlas. El incumplimiento de estas políticas originará sanciones de tipo laboral y civil, sin perjuicio de las sanciones establecidas en los artículos 23 y 24 de la Ley 1581 de 2012, como las sanciones penales correspondientes a fugas de información y violación de datos personales tipificadas por la Ley 1273 de 2009, como delito en el Código Penal Colombiano Ley 599 de 2000.

1. Objeto

Las políticas de protección de datos personales de IBDC Digital, tienen como objetivo principal dar cumplimiento a la Ley 1581 de 2012 y a los Decretos 1377 de 2013 y 886 de 2014, como a las demás normas que las modifiquen, adicionen o reglamenten.

El presente documento plantea las pautas y procedimientos a llevar a cabo para una adecuada protección de datos personales en los distintos procesos y en general en desarrollo del modelo de negocio del IBDC Digital.

2. Cobertura

Las políticas de protección de datos personales de IBDC Digital cubren todos los aspectos administrativos, organizacionales, culturales, comerciales y de control que deben ser cumplidos por los órganos de dirección, empleados, contratistas, patrocinadores, aliados, proveedores y terceros que laboren o tengan relación directa con la IBDC Digital.

Las políticas de protección de datos deberán ser integradas en los procesos internos de IBDC Digital en los cuales se recopilen datos personales, alineándolas con los requisitos establecidos por cada área, para adoptar el procedimiento de manera que no genere traumatismos en la operatividad de la compañía, pero que a su vez garantice el cumplimiento integral de la normatividad vigente.

3. Exclusiones

De la regulación de esta política, escapan las bases de datos que se encuentren bajo custodia y tratamiento de IBDC Digital, cuya información no sea de carácter personal, es decir, bases de datos con información corporativa como:

  • Dibujos.
  • Modelos.
  • Diseños.
  • Planos.
  • Productos.
  • Invenciones.
  • Equipos.
  • Operaciones.
  • Métodos.
  • Formulas.
  • Know how.
  • Procesos corporativos.
  • Algoritmos.
  • Software.

Asimismo, en atención a lo dispuesto en la Ley 1581 de 2012, de estas políticas se excluyen también las bases de datos de uso personal o doméstico, salvo cuando estas vayan a ser suministradas a un tercero, caso en el cual se deberá contar con la autorización de los titulares de la información que estén dentro de la base de datos, como las demás exclusiones que sean establecidas en la Ley.

4. Marco Legal

Las políticas de protección de datos personales del IBDC Digital se rigen por las siguientes normas de manera interna y externa:

Constitución Política de Colombia

A través de su artículo 15, establece el derecho fundamental a la intimidad de todos los ciudadanos, así como el derecho de Habeas Data, el cual consiste en conocer, actualizar y rectificar sus datos personales, que se encuentren en bases de datos bajo custodia de personas naturales o jurídicas, de naturaleza pública o privada.

Ley 527 de 1999

Define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

Asimismo, introduce el concepto de equivalente funcional, firma electrónica como mecanismos de autenticidad, disponibilidad y confidencialidad de la información.

Ley 1266 de 2008

Ley estatutaria por la cual, se define y reglamenta el Habeas Data financiero, así como los reportes a centrales de riesgo.

Ley 1273 de 2009

Ley por medio de la cual se crea y se protege el bien jurídico de la información y los datos personales. Así mismo, se tipifican conductas penales como daño informático, violación de datos personales, acceso abusivo a sistema informático, interceptación de datos informáticos, hurto por medios informáticos, entre otras.

Ley 1581 de 2012

Por la cual se dictan disposiciones generales para la protección de datos personales.

Decreto 1377 de 2013

Con el cual se reglamenta la Ley 1581 de 2012, sobre aspectos relacionados con la autorización del Titular de información para el Tratamiento de sus datos personales, las políticas de Tratamiento de los responsables y Encargados, el ejercicio de los derechos de los Titulares de información, las transferencias de datos personales y la responsabilidad demostrada frente al Tratamiento de datos personales.

Decreto 886 de 2012

Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos Personales, el cual se encuentra a cargo de la Superintendencia de Industria y Comercio, y donde quienes actúen como responsables del tratamiento de datos personales, deberán registrar sus Bases de Datos siguiendo las instrucciones de este decreto.

Página 4 de 13

Guías de Responsabilidad Demostrada

Mediante estas guías, la Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales establecen las directrices a seguir para una adecuada implementación de la protección de datos personales en las organizaciones vigiladas por esta autoridad, a través de la implementación de un Programa Integral de Gestión de Datos Personales.

Circular Externa No.02 del 3 de noviembre de 2015

Mediante esta circular, la Superintendencia de Industria y Comercio, impartió instrucciones a los responsables del Tratamiento de datos personales, personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, para efectos de realizar la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos.

5. Definiciones

Las siguientes definiciones se tendrán en cuenta para las presentes políticas como para el tratamiento de datos personales en IBDC Digital:

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.

Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento.

Implementación: Proceso para la implementación y ejecución de las políticas de privacidad y protección de datos.

Página 5 de 13

Inventario de Bases de datos: Clasificación de las Bases de datos personales, de acuerdo con su nivel de riesgo, atendiendo a los criterios legales, de cara al Registro Nacional de Bases de Datos.

Medidas Técnicas: Son las medidas técnicas y tecnológicas, como firmas digitales, firmas electrónicas, cifrado de datos entre otras, para garantizar la protección de la información y los datos en IBDC Digital.

Oficial de privacidad o de protección de datos: Es la persona o dependencia dentro de IBDC, la cual tendrá como función la vigilancia y control de la presente política bajo el control y supervisión de la Presidencia.

Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.

Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.

6. Principios aplicables al tratamiento de datos personales

El manejo y tratamiento de datos personales y sensibles, dentro de IBDC Digital, deberá estar enmarcado bajo los siguientes principios:

Finalidad: El tratamiento de datos personales debe obedecer a una finalidad legítima de acuerdo con la ley, la cual debe ser informada previamente al titular.

Libertad: Se requiere consentimiento previo y expreso del titular, trabajador, contratista, para el manejo de datos personales.

Veracidad o Calidad: La Información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.

Transparencia: Garantía del Titular para conocer información acerca de la existencia de datos de su propiedad.

Acceso y Circulación Restringida: Acorde con la naturaleza del dato y con las autorizaciones dadas por el Titular o demás personas previstas en la ley.

Seguridad: Son las Medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Página 6 de 13

Confidencialidad: Reserva de la información, durante y después de terminadas las actividades de tratamiento de los datos personales por parte de IBDC Digital.

CAPÍTULO II
TRATAMIENTO DE LOS DATOS PERSONALES

7. Directriz general de protección de datos

Para dar cumplimiento a las políticas de protección de datos y a las obligaciones de la Ley 1581 de 2012, sus Decretos Reglamentarios y las demás normas que la complementen, adicionen o modifiquen, se debe tener en cuenta lo siguiente para el manejo de información y datos personales en IBDC Digital.Para IBDC Digital la información personal es uno de los activos más importantes, por ende, el tratamiento de esta información se realiza con un máximo nivel de diligencia y atendiendo, en todo caso, lo establecido por la ley, para garantizar a las personas el pleno ejercicio y respeto por su derecho de Habeas Data.La información que se encuentra en las bases de datos de IBDC Digital ha sido obtenida en desarrollo de la actividad de la compañía, en todo caso su recopilación se ha hecho y se hará siempre atendiendo a los criterios y normatividad legal.

8. Tipos de Datos Personales en Posesión

El IBDC Digital recolecta datos personales de carácter público y semiprivado, como pueden ser:

  • Datos generales de identificación.
  • Datos específicos de identificación.
  • Datos de ubicación relacionados con la actividad comercial.
  • Datos financieros y crediticios.
  • Datos de contenido socioeconómico.
  • Datos relacionados con el nivel educativo, y/o historial académico de la persona.
  • Datos generales relacionados con afiliación y aportes al sistema integral de seguridad social: EPS; IPS; ARL, fechas ingreso/retiro, EPS, AFP, etc.
  • Datos de antecedentes judiciales y/o disciplinarios de las personas.

Datos personales de acceso a sistemas de información: usuarios, IP, claves, perfiles, etc.

9. Pautas para la protección de datos

Además de la implementación y búsqueda del cumplimiento de las políticas de protección de datos personales, dentro del IBDC Digital se observarán las siguientes reglas generales:• IBDC Digital tomará todas las medidas técnicas y jurídicas para asegurarse de la implementación de la presente política.• IBDC Digital tomará todas las medidas técnicas, culturales y jurídicas necesarias para garantizar la protección de las bases de datos existentes.• Se realizarán auditorías y controles de manera periódica para garantizar la correctaimplementación de la Ley 1581 de 2012 y sus decretos reglamentarios.• Es responsabilidad de los colaborades del IBDC Digital reportar cualquier incidente de fuga de información, daño informático, violación de datos personales, comercialización de datos, uso de datos personales de niños, niñas o adolescentes, suplantación de identidad, o conductas que puedan vulnerar la intimidad de una persona.• La formación y capacitación de los funcionarios, proveedores, contratistas, aliados, será un complemento fundamental de esta política.• IBDC Digital deberá estar atento a las distintas instrucciones en protección de datos como los mecanismos que se creen por parte de la Delegatura de Protección de datos personales de la Superintendencia de Industria y Comercio.

10. Recolección de información personal.

IBDC Digital hará saber al titular del dato de manera previa, expresa e informada a la autorización del tratamiento de sus datos personales, sobre la existencia y aceptación de las condiciones particulares del tratamiento de sus datos en cada caso, informándole los mecanismos y procedimiento que tiene para actualizarlos, rectificarlos o eliminarlos de las bases de datos con información personal o sensible.Las personas que, dentro del IBDC Digital, en desarrollo de alguno de sus productos o servicios, recojan datos personales deben informar de manera clara y expresa al usuario, con el fin de obtener la autorización para el tratamiento de sus datos personales, la finalidad del mismo y el carácter voluntario de la autorización, conservando y haciendo gestión documental ya sea en soporte electrónico, o físico de la prueba de dicha autorización.IBDC Digital recolecta la información de los Titulares, a través de los siguientes mecanismos:(i) Para personas que hacen parte de la compañía:1. Almacenamiento físico de Hoja de Vida.2. Formularios de afiliación a seguridad social.Página 8 de 13(ii) Para personas externas a la compañía (clientes, proveedores, estudiantes, profesionales):1. Portal Web.2. Registro de información para la solicitud de curso, capacitaciones de formaciones académicas.3. Curso, capacitaciones y diplomados nacionales e internacionales desarrollados de forma presencial o virtual.4. Acuerdos de capacitación ofrecidos de forma presencial o virtual

11. Almacenamiento

La información personal se almacena directamente en los equipos de los responsables de los procesos del IBDC Digital, o en archivos físicos, para estos casos, se encuentran establecidos controles de acceso a la información, con las medidas de seguridad física, técnicas y administrativas, garantizando el principio de acceso y circulación restringida. Así como en servidores externos a cargo de terceros, que pueden estar dentro o fuera del país

12. Uso

El uso de la información almacenada en nuestra base de datos, tiene diferentes objetivos, entre ellos, se encuentran:1. Llevar registro y control de la nómina de IBDC Digital y colaboradores externos2. Llevar el registro y control de los clientes y proveedores para los respectivos pagos3. Controles en la contratación de personal4. Realización de informes de diferentes áreas del IBDC Digital en aspectos contables, inventarios, nómina, ventas, financiero y similares.5. Llevar registro y control de la información, orientada a la administración del IBDC Digital y todos los procedimientos administrativos relativos al manejo diario y propios al core del IBDC digital.6. Llevar el registro de las personas que se registran en nuestros cursos virtuales.7. Enviar información a nuestros suscriptores sobre los servicios y contenidos que ofrece el IBDC Digital.8. Para las relaciones laborales: esta finalidad incluye específicamente los pagos de salarios, el control de novedades laborales como incapacidades, permisos, el control de acceso y horarioPágina 9 de 13de trabajo del empleado, el control del personal activo de la compañía, las afiliaciones y aportes a seguridad social y cajas de compensación tanto de los empleados como de sus familiares, cuando a ello hubiere lugar.

13. Finalidad de la Información Personal

El IBDC Digital, en el desarrollo de su objeto social recopila constantemente datos personales, con distintas finalidades y usos, dentro de los cuales se enmarcan:1. Procedimientos administrativos2. Remisión de información a los titulares, relacionada con el objeto social de la organización3. Relaciones laborales y condiciones de trabajo4. Financiera y Tributaria5. Gestión Contable, fiscal y administrativa, gestión de proveedores y contratistas6. Gestión de Trabajo Temporal.7. Asesoría en el servicio que mostró interés.

14. Circulación

El IBDC Digital no comparte los datos que recolecta con terceros, y circulan internamente de manera restringida, de acuerdo con los usos y finalidades para las cuales se requieran.

15. Autorización para el tratamiento de datos personales

El IBDC Digital, solicita de manera libre, previa, expresa y debidamente informada, la autorización por parte de los titulares de los datos y para ello ha dispuesto mecanismos idóneos, garantizando, en cada caso, la verificación del otorgamiento de dicha autorización. La misma podrá constar en cualquier medio, bien sea un documento físico, electrónico o en cualquier formato que garantice su posterior consulta, a través de herramientas técnicas, cumpliendo con los requisitos establecidos en la ley. Dicha autorización debe ser:

  • Previa o concomitante a la captura del dato (no posterior).
  • Informada, es decir, que debe especificar los Tratamientos y finalidad para la cual se necesitan los Datos Personales.
  • Expresa, obteniendo el consentimiento por cualquier medio escrito, físico o electrónico, que permita su conservación y consulta posterior. La autorización es una declaración en la cual el Titular de los Datos Personales: Página 10 de 13
  • Acepta que se recopile su información por el IBDC o su encargado.
  • Es informado de: los datos de contacto del Responsable y del Encargado de ser el caso; la naturaleza del Tratamiento al cual serán sometidos los datos; la finalidad que el IBDC., como Responsable del Tratamiento, le dará a la información personal; el procedimiento para hacer efectivos sus derechos tales como acceso, actualización, rectificación o supresión de la información suministrada; la existencia de las políticas de Tratamiento de información que le serán aplicables y la forma de acceder a normativa de Tratamiento de información personal.

CAPÍTULO III
DERECHOS QUE TIENEN LOS TITULARES DE LOS DATOS PERSONALES

16. Derechos que le asisten como titular del dato

El Derecho Fundamental al Habeas Data o Protección de Datos Personales, faculta al titular del dato para solicitar el acceso, actualización, rectificación y supresión de sus datos personales que se encuentran en posesión de un tercero, a su vez, puede revocar la autorización que ha otorgado para el tratamiento. Adicionalmente, La ley reconoce los siguientes derechos al titular:Actualización Puede solicitar la actualización de sus datos personales en caso de encontrarse fraccionados, incompletos, entre otros. Rectificación y/o corrección Puede solicitar la rectificación de sus datos personales en caso de que se encuentren errados o si inducen a error. Supresión Puede solicitar la supresión de sus datos personales de nuestras bases de datos que tengan fines publicitarios. Se seguirá conservando la información para los fines determinados por la ley. Revocación Página 11 de 13 Puede solicitar la revocación de la autorización del tratamiento de sus datos personales, de nuestras bases de datos que tengan fines publicitarios.

17. Procedimiento para que los titulares de la información puedan ejercer sus derechos.

Consulta a través del mecanismo de la consulta, el titular del dato podrá solicitar al IBDC Digital, acceso a su información personal que reposa en nuestras bases de datos. La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. En caso de no ser posible dar respuesta a la consulta dentro del término referenciado, se le informará, los motivos de la demora y se le dará respuesta máxima cinco (5) días hábiles siguientes al vencimiento del primer término. Reclamo a través del mecanismo de reclamo, el titular del dato podrá reclamar al IBDC Digital, alguna inconformidad que tenga sobre el uso que se le está dando a sus datos. El reclamo será atendido en un término máximo de (15) quince días hábiles contados a partir del día siguiente a la fecha de su recibo. En caso de no ser posible atender el reclamo dentro de dicho término, se le informará, los motivos de la demora y se le dará respuesta máxima (8) ocho días hábiles siguientes al vencimiento del primer término. En caso de que el reclamo se encuentre incompleto, se le requerirá, dentro de los cinco (5) días siguientes a la recepción del reclamo, para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que presente la información requerida, se entenderá que ha desistido del reclamo.

18. Personas facultadas para realizar una consulta o reclamo

Las personas facultadas para solicitar una consulta al IBDC Digital, son las siguientes:

  • Los empleados, contratistas, proveedores y colaboradores que han tenido alguna relación con el IBDC Digital.
  • Los clientes y proveedores que han tenido o tuvieron alguna relación comercial con el IBDC Digital Página 12 de 13.
  • A las entidades públicas o administrativas en ejercicio de sus funciones legales, o por orden judicial.
  • A los terceros autorizados por el Titular o por la Ley

En general, a cualquier titular de la información personal que repose en nuestras bases de datos. Estos casos son meramente ejemplificativos y no son exclusivos, ni excluyentes.

19. Información que debe acreditar el titular del dato

Para efectos de consulta y reclamos, el titular del dato debe acreditar sus datos de identificación como:1. Nombres completos y apellidos2. Tipo y número de identificación3. Dirección de domicilio4. Teléfono de contacto5. Correo electrónico6. Brindar la información necesaria para tramitar su solicitudEn caso de que sea un reclamo, debe adjuntar los documentos que desea valer, soportar o probar dicha solicitud. En caso de que sea un menor, deberá realizarlo con el adulto Responsable dicha solicitud, sin que en ningún momento le niegue el IBDC Digital el ejercicio de sus derechos.En caso de que el reclamo se interponga mediante apoderado judicial, será necesario adjuntar una copia del poder.

20. Canales habilitados para el ejercicio de los Derechos de Habeas Data

El IBDC Digital tiene habilitado el siguiente canal para que los titulares ejerzan su derecho de Hábeas Data:Correo electrónico: info@ibdc.digital

21. Responsable del cumplimiento de la Política de Protección de Datos Personales

La responsabilidad del tratamiento de los datos personales estará en cabeza del CEO del IBDC quien velará por el efectivo cumplimiento de la Política, así como de las consultas y reclamos relacionados con la protección de datos personales de los titulares.En caso de cualquier duda respecto a esta política, puede escribir a info@ibdc.digitalEl responsable tendrá las siguientes funciones:

Informar al presidente sobre el manejo de los datos personales en el IBDC Digital.

Realizar auditorías con las distintas áreas para revisar la aplicación de la política de protección de datos. Página 13 de 13

  • Informar si alguna conducta se relaciona con los delitos de la Ley 1273 de 2009.
  • Ordenar al encargado de la protección de los datos y la información sobre el tratamiento que se le debe de dar a los datos, ante las peticiones elevadas por el usuario.
  • Crear formatos y distintos procedimientos con el fin de aplicar dentro de la compañía la Ley 1581 de 2012 y el Decreto 1377 de 2013.
  • Revisar que el desarrollo de las actividades del IBDC Digital cumplan con la política de protección de datos personales.
  • Informar a los estudiantes, profesionales del derecho, clientes, usuarios, contratistas, Patrocinadores y proveedores de los deberes para el cumplimiento fundamental del Habeas Data.
  • Realizar las actividades propias del Registro Nacional de Bases de Datos ante la Superintendencia de Industria y Comercio, así como estar pendiente de su actualización, en caso de ser aplicable.
  • Realizar lo señalado en la ley para el cumplimiento de las obligaciones empresariales en la protección de datos

22. Fecha de aprobación de la política y entrada en vigor

La fecha de entrada en vigor de las presentes políticas es del primero (24) de mayo de 2022. Así mismo su actualización dependerá de las instrucciones del oficial de privacidad del IBDC Digital concordancia con los lineamientos de la Presidencia, así como de las extensiones reglamentarias que haga la Superintendencia de Industria y Comercio como ente de vigilancia y control.

Aprueban y Firman,