El presente documento contiene una descripción de las políticas de tratamiento y protección de datos personales que deben ser aplicados por parte de las entidades de la FUNDACIÓN EDUCATIVA GIMNASIO LOS CAOBOS, en adelante EL GIMNASIO, de acuerdo a lo establecido en la normatividad de protección de Datos en Colombia.
MARCO LEGAL
• Constitución Política, Artículo 15.
• Ley 1581 de 2012.
• Decretos Reglamentarios 1377 de 2013 y 886 de 2014.
• Decreto 090 de Enero 18 de 2018
• Jurisprudencia Corte Constitucional.
• Conceptos Superintendencia de Industria y Comercio de Colombia.
CAPÍTULO PRIMERO I: ASPECTOSPRELIMINARES
1.1 INTRODUCCIÓN
El 18 de Octubre del 2012, el Congreso de la República de Colombia expidió la Ley Estatutaria 1581 del año 2012, Por la cual se “dictan disposiciones generales para la protección de datos personales”. En virtud dela referida Ley, se estableció la obligación para que las entidades (personas naturales, personas jurídicas de naturaleza pública o privada) que realicen tratamiento sobre Bases de Datos, adopten políticas de tratamiento como responsables y encargados de los datos personales registrados en los bancos de datos.
Dado que la citada Ley constituye el marco general de protección de datos personales en Colombia y con el fin de facilitar la implementación y cumplimiento de la misma, se expidió el Decreto 1377 de 2013, el cual reglamenta parcialmente la Ley 1581 de 2012 en los aspectos relacionados con el tratamiento de base de datos y otros asuntos que la complementan, así como el Decreto 886 de 2014.
EL GIMNASIO, para el efectivo desarrollo de su objetivo educativo requiere de datos personales los cuales reposan en sus bases de datos, las cuales a su vez se encuentran sujetas a la normatividad que regula la materia.
Por lo anterior, resulta de gran importancia, dar cumplimiento a la legislación vigente en materia de protección de datos, creando la presente política la cual será aplicable a todas las bases de datos que maneje EL GIMNASIO.
1.2 GLOSARIO
a. Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales;
b. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento;
c. Dato personal: Cualquier información vinculada o que pueda asociar sea una o varias personas naturales determinadas o determinables. Por ejemplo,documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional. Existe también información más sensible, que también es dato personal, como es el estado de salud, sus características físicas, ideología política, vida sexual, entre otros aspectos.
d. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento;
e. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos;
f. Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
g. Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o su presión.
1.3 OBJETIVOS DE LA POLÍTICA
EL GIMNASIO tiene como premisa que el tratamiento que se haga sobre la información organizada en bases de datos debe realizarse de una manera adecuada, en aras de garantizar un tratamiento de datos personales que proteja los derechos fundamentales de los titulares de la información.
En el presente documento los titulares de datos personales que sean objeto de tratamiento por parte de EL GIMNASIO, encontrarán los lineamientos legales y corporativos bajo los cuales se realizará el tratamiento de sus dato se información personal, las finalidades, sus derechos como titular, así como los procedimientos establecidos para el ejercicio de tales derechos.
El GIMNASIO, entiende por protección de datos todas aquellas medidas necesarias que deben tomarse, tanto a nivel físico, técnico, como jurídico para garantizar que la almacenada en bases de datos, esté totalmente segura dando cumplimiento a las leyes que regulan la materia.
1.4 ÁMBITO DE APLICACIÓN
La presente política cobijará a los datos personales, información yarchivos registrados en las Bases de Datos de EL GIMNASIO, susceptibles detratamiento, en virtud de las relaciones contractuales o de serviciossostenidas o que se hayan sostenido entre los titulares de la información y elColegio, incluyendo alumnos, responsables del alumno, trabajadores,contratistas, proveedores, etc.
CAPÍTULO SEGUNDO II: PRINCIPIOS 2.1
El GIMNASIO, aplicará los principios que se establecen a continuación, los cuales constituyen las reglas a seguir en la recolección, manejo, uso, tratamiento,almacenamiento e intercambio de datos personales:
a. Principio de legalidad: En el uso, captura, recolección y tratamiento de datos personales, se dará aplicación a las disposiciones vigentes y aplicables que rigen el tratamiento de datos personales y demás derechos fundamentales conexos.
b. Principio de libertad: El uso, captura, recolección y tratamiento de datos personales sólo puede llevarse a cabo con el consentimiento, previo,expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal,estatutario, o judicial que releve el consentimiento.
c. Principio de finalidad: El uso, captura, recolección y tratamiento de datos personales a los que tenga acceso y sean acopiados y recogidos por EL GIMNASIO, estarán subordinados y atenderán una finalidad legítima, la cual debe serle informada al respectivo titular de los datos personales.
d. Principio de veracidad o calidad: La información sujeta a uso,captura, recolección y tratamiento de datos personales debe ser veraz,completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
e. Principio de transparencia: En el uso, captura, recolección y tratamiento de datos personales debe garantizarse el derecho del Titular a obtener de EL GIMNASIO, en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal quesea de su interés o titularidad.
f. Principio de acceso y circulación restringida: Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados. Para estos propósitos la obligación de EL GIMNASIO, será de medio.
g. Principio de seguridad: Los datos personales e información usada, capturada, recolectada y sujeta a tratamiento por EL GIMNASIO, será objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos, y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros y repositorios electrónicos evitando su adulteración, modificación, pérdida, consulta, y en general en contra de cualquier uso o acceso no autorizado.
h. Principio de confidencialidad: Todas y cada una de las personas que administran, manejen, actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases de Datos, se comprometen a conservar y mantener de manera estrictamente confidencial y no revelarla a terceros, todas las informaciones personales, comerciales, contables, técnicas, o de cualquier otro tipo suministradas en la ejecución y ejercicio de sus funciones.
CAPÍTULO TERCERO III: AUTORIZACIONES
3.1 MODO DE OBTENER LA AUTORIZACIÓN
Sin perjuicio de las excepciones previstas en la ley, para el tratamiento se requiere la autorización previa, expresa e informada del titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta y verificación posterior.
Se entenderá que la autorización cumple con estos requisitos cuando se manifieste (i) por escrito, (ii) de forma oral o (iii) mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización. En ningún caso el silencio podrá asimilarse a una conducta inequívoca.
3.2 CASOS EN QUE NO ES NECESARIA LA AUTORIZACIÓN
La autorización del titular no será necesaria cuando se trate de:
· Entrega de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
· Tratamiento de Datos de naturaleza pública.
· Tratamiento en otros eventos previstos en la Ley 1581 de 2012 o sus decretos reglamentarios.
3.3 REVOCATORIA E LA AUTORIZACIÓN
Los Titulares podrán en todo momento solicitar al responsable o encargado la supresión de sus datos personales y/o revocar la autorización otorgada para el Tratamiento de los mismos, mediante la presentación de un reclamo, de acuerdo con lo establecido en el artículo 15 de la Ley 1581 de 2012.
La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el Titular tenga un deber legal o contractual vigente de permanecer en la base de datos.
CAPITULO CUARTO IV: DERECHOS DE LOS TITULARES
4.1 PERSONAS FACULTADAS PARA EJERCERLOS DERECHOS
Los derechos de los titulares de la información, podrán ejercerse por las siguientes personas:
· Por el Titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición el responsable.
· Por sus causahabientes, quienes deberán acreditar tal calidad.
· Por el representante y/o apoderado del Titular, previa acreditación de la representación o apoderamiento.
· Por estipulación afavor de otro o para otro.
4.2 RELACIÓN DE DERECHOS DEL TITULAR DE LA INFORMACIÓN
Sin perjuicio de lo establecido en la ley, Los titulares contarán con los siguientes derechos:
a. Los titulares de la información podrán acceder a los datos personales que estén bajo el control de EL GIMNASIO cuando actúe como responsable de la información, y ejercer sus derechos sobre los mismos. El titular podrá consultar de forma gratuita sus datos personales.
b. Cuando así lo requiera el Titular o cuando EL GIMNASIO como Responsable haya podido advertirlo, podrá solicitar información, actualización o rectificación de los datos contenidos en las bases de datos, de tal manera que satisfaga los propósitos del tratamiento.
c. Acudir sin limitación alguna, ante la persona o área designada por EL GIMNASIO, que asuma la función de contacto en materia de datos personales.
d. Solicitar prueba de la autorización otorgada, cuando dicha autorización sea requerida conforme lo previsto en la Ley 1581 de 2012.
e. Acudir ante la autoridad de vigilancia para presentar quejas por violación de las normas sobre tratamiento de datos personales, una vez se haya agotado el procedimiento pertinente ante EL GIMNASIO.
4.5 AVISO DE PRIVACIDAD
El aviso de privacidad a través del cual EL GIMNASIO le informará a los titulares sobre la existencia de las políticas de tratamiento de información que les serán aplicables, la forma de acceder a las mismas y la finalidad del tratamiento que pretenda dar a sus datos personales, estará publicado en la página web de la institución de manera permanente.
CAPÍTULO QUINTO V: DEBERES
5.1 DEBERES DE EL GIMNASIO CUANDO ACTÚE COMO RESPONSABLE DEL TRATAMIENTO
EL GIMNASIO, cuando actúe como Responsable del Tratamiento de datos personales, cumplirá con los siguientes deberes:
a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
b. Solicitar y conservar, copia de la respectiva autorización otorgada por el titular.
c. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e. Garantizar que la información que se suministre al encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
f. Actualizar la información, comunicando de forma oportuna al encargado del tratamiento, todas las novedades respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
g. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al encargado del tratamiento.
h. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado.
i. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
j. Tramitar las consultas y reclamos formulados.
k. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite respectivo.
l. Informar a solicitud del Titular sobre el uso dado a sus datos.
m. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
CAPÍTULO SEXTO VI: PERSONA O ÁREA RESPONSABLE DE LA ATENCIÓN DE PETICIONES, CONSULTAS Y RECLAMOS
6.1 CANALES HABILITADOS
El titular cuando considere que la información contenida en la base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán ejercer sus derechos y presentar un reclamo ante EL GIMNASIO en las instalaciones ubicadas en la vereda la balsa, vía Guaymaral, Chía -Cundinamarca. Correo electrónico: glcaobos@gmail.com rectoria@gimnasioloscaobos.com Teléfono: 0318611166.
CAPÍTULO SÉPTIMO VII: PROCEDIMIENTO PARA QUE LOS TITULARES DE LA INFORMACIÓN PUEDAN EJERCER LOS DERECHOS A CONOCER,ACTUALIZAR, RECTIFICAR Y SUPRIMIR INFORMACIÓN Y REVOCAR LA AUTORIZACIÓN.
7.1 PROCEDIMIENTO
El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, podrán presentar un reclamo ante el Responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida al Responsable del Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2)meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2)días hábiles e informará de la situación al interesado.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
CAPÍTULO OCTAVO: UTILIZACIÓN DE LOS DATOS PERSONALES.
8.1 USO DE DATOS PERSONALES
Según el artículo 15 de la Constitución Política de Colombia, todas las personas tienen derecho a conocer, actualizar y rectificar la información que se tenga de ellas en las centrales de datos. En EL GIMNASIO, contamos con una regulación especial sobre la Protección de los Datos de nuestros clientes, y definimos procesos institucionales que buscan garantizar la confianza, seguridad y calidad en el uso de la información. Para ello la institución recibe, registra, conserva, modifica, reporta, consulta, entrega, comparte y elimina información con la autorización del titular dela misma. Los datos nos permiten ofrecer y suministrar información de los productos y servicios para consultar, reportar y actualizar ante los operadores de información; actualizar el estado de las relaciones contractuales, dar cumplimiento a las obligaciones pactadas, prevenir el riesgo de lavado de activos y financiación del terrorismo, controlar el servicio de transporte escolar, brindar información ante aseguradoras delos seguros tomados por los clientes, vigilar mediante sistema de circuito cerrado la seguridad de nuestros clientes, trabajar temas de mercadeo y publicidad con nuestros aliados estratégicos, nutrir nuestro portal web con la información necesaria para su correcta aplicación, y otorgar a las autoridades la información que requiera para la prestación del servicio educativo en plataformas como SIMAT, entre otras.
Todo lo anterior respetando el derecho de “habeas data” del que son titulares nuestros vinculados, y fortaleciendo las relaciones con nuestros proveedores mediante acuerdos de confidencialidad y cláusulas de seguridad de la información.
CAPÍTULO NOVENO: VIGENCIA.
8.1 FECHA DE ENTRADA EN VIGENCIA DELAS POLÍTICAS DE PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES.
La presente política entra en vigencia a partir del día Once (11) de Febrero de 2019.