Seguros | Empresas | BBVA Colombia

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE MADERFORMAS

 

1.      INTRODUCCION

En cumplimiento a la Ley 1581 de 2012 y los decretos reglamentarios que establecen la política general y especial en la cual las personas naturales autorizan el manejo de sus datos personales,  MADERFORMAS S.A.S, con NIT 830.126.784-9, especifica su POLÍTICA DE PROTECCIÓN DE DATOS para señalar a los titulares el tratamiento que se dará a los datos de los usuarios que interactúan con la compañía; el manejo y procedimiento de atención de sus derechos; y los criterios de recolección, almacenamiento, uso, circulación y de supresión que se dará a esta información.

 

2.      OBJETIVO

Cumplir con lo establecido en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 en materia de Protección de Datos Personales y el desarrollo del derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar la información recolectada sobre ellas en bases de datos o archivos, adoptando las medidas necesarias para minimizar pérdidas o fugas de tal información. Además, prevenir la transmisión de esta información, con fines diferentes a los que inicialmente fue destinada, sin expresa autorización de sus titulares y notificarles de las finalidades y transferencias a las que son sometidos sus datos personales, y de los mecanismos y formas para el ejercicio de sus derechos.

 

3.      ALCANCE

El documento establece las directrices correspondientes a cumplir con lo establecido en la Ley 1581 de 2012 y el Decreto 1377 de 2013, previamente definido en esta, y se centra en el ámbito de cualquier relación directa o indirecta con la compañía en la cual sea necesaria la captación y tratamiento de datos personales de personas naturales. La POLÍTICA DE PROTECCIÓN DE DATOS DE MADERFORMAS se debe aplicar por todos los trabajadores de la empresa que tengan la responsabilidad de la información de clientes, proveedores, trabajadores, usuarios, accionistas, aspirantes y público en general.

 

4.      RESPONSABLES

RESPONSABLE ACCIÓN
GERENTE GENERAL Aprobación, control y cumplimiento
DIRECTOR(A)

ADMINISTRATIVO

 Actualización de la política.

Registro y actualización en RNBD de las bases de datos reportadas por la organización.

Garantizar el cumplimiento.
GERENTES

Y DIRECTORES

 Reportar cambios sustanciales en bases de datos o creación de bases de datos en la política y en el RNBD.

Reportar medidas de protección, custodia de bases de datos y designar responsables de custodia y administración.

Conservar y garantizar que exista previa autorización por parte del titular para el Tratamiento de sus datos.
FUNCIONARIOS Cumplir con la política

5.        DEFINICIONES

TÉRMINO SIGNIFICADO
 

ACCESO

 

 Nivel de acceso a la información limitado a parámetros previamente definidos.
ÁREA RESPONSABLE

DE PROTECCIÓN

DE DATOS

 Es el área dentro de MADERFORMAS que tiene como función la vigilancia y control de la aplicación de la Política de Protección de Datos Personales y la implementación de los demás lineamientos del tema.
 

ÁREA RESPONSABLE

DE LA ATENCIÓN A PETICIONES, QUEJAS, RECLAMOS

Y CONSULTAS

 Las peticiones, quejas, reclamos y consultas formuladas por los titulares de datos serán atendidas por la Gerencia Administrativa a través de la designación del personal a cargo y los lineamientos definidos para la atención.
BASE DE DATOS Conjunto organizado de Datos Personales que sean objeto de Tratamiento. Incluye archivos físicos y electrónicos.
CALIDAD DEL DATO El dato personal sometido a Tratamiento deberá ser veraz, completo, exacto, actualizado, comprobable y comprensible. Cuando se esté en poder de datos personales parciales, incompletos, fraccionados o que induzcan a error, MADERFORMAS deberá abstenerse de someterlo a Tratamiento o solicitar a su Titular la completitud o corrección de la información.
CIRCULACIÓN RESTRINGIDA Los datos personales sólo serán tratados por aquel personal de MADERFORMAS que tenga a cargo la realización de tales actividades. No podrán entregarse Datos Personales a quienes no cuenten con autorización o no hayan sido habilitados por la compañía para tratarlos.
CONFIDENCIALIDAD Elemento de seguridad de la información que permite establecer quiénes y bajo qué circunstancias se puede acceder a la misma.
DATO PERSONAL Cualquier información vinculada o que pueda asociarse a una o a varias personas naturales determinadas o determinables. Debe entonces entenderse el “dato personal” como una información relacionada con una persona natural individualmente considerada.
DATO PÚBLICO Información que no sea semiprivada, privada o sensible. Son considerados datos públicos, entre otros, los relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros y documentos públicos, en gacetas y boletines oficiales y en sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
DATO SEMIPRIVADO Es aquella información que no es de naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como es el caso de los datos financieros, crediticios o actividades comerciales.
 

DATO SENSIBLE

 Es a

quel que afecta la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
DERECHO DE LOS NIÑOS, NIÑAS Y ADOLESCENTES En el Tratamiento se asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que sean de naturaleza pública.
ENCARGADO DEL TRATAMIENTO Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable. MADERFORMAS actúa como encargado del Tratamiento de datos personales en los casos en los que por sí misma, o en asocio con otros, realice el Tratamiento de datos personales por cuenta de un Responsable del Tratamiento.
HABEAS DATA (Colombia) Es el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales a los que se refiere el artículo 15 de la Constitución Política, así como el derecho a la información establecido su artículo 20, particularmente en relación con la información financiera y crediticia, comercial de servicios y la proveniente de terceros países. (Artículo 15 de la Constitución Política de Colombia, desarrollado por la Ley 1266 de 2008.).
INFORMACIÓN DIGITAL Toda aquella información que es almacenada o transmitida por medios electrónicos y digitales como el correo electrónico u otros sistemas de información.
MALWARE Es un término genérico utilizado para describir una variedad de software hostil o intrusivo: virus informáticos, gusanos, caballos de Troya, software de rescate, spyware, adware, software de miedo, etc. Puede tomar la forma de código ejecutable, scripts, contenido activo y otro software.
PISHING Estafa que tiene como objetivo obtener a través de internet datos privados de los usuarios, especialmente para acceder a sus cuentas o datos bancarios.
RESPONSABLE DEL TRATAMIENTO Persona natural o jurídica, pública o privada que, por sí misma o en asocio con otros, decida sobre la base de datos y/o su tratamiento. MADERFORMAS actúa como responsable del tratamiento frente a todos los datos personales sobre los cuales decida directamente en cumplimiento de sus funciones reconocidas legalmente.
SEGURIDAD

INFORMÁTICA

 Conocida también como CIBERSEGURIDAD, es el área relacionada con la informática y la telemática enfocada en la protección de la infraestructura computacional y todo lo vinculado con la misma, y especialmente la información contenida en una computadora o circulante a través de redes o sistemas. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas, y leyes concebidas para minimizar los posibles riesgos a la infraestructura y/o a la propia información. La ciberseguridad reúne software (bases de datosmetadatosarchivos), hardwareredes de computadoras y todo lo que la organización entienda y valore como un riesgo si la información confidencial involucrada pudiera llegar a manos de otras personas; por ejemplo, convirtiéndose así en información privilegiada.
TITULAR Persona natural cuyos datos personales son objeto de tratamiento.
TRATAMIENTO Es cualquier operación o conjunto de operaciones sobre Datos Personales que realice MADERFORMAS o los Encargados del Tratamiento, tales como la recolección, almacenamiento, uso, circulación o supresión.

 

6.      PRINCIPIOS

En el desarrollo, interpretación y aplicación de la ley, las regulaciones y la normatividad vigente, se aplicarán los siguientes principios:

a. PRINCIPIO DE LEGALIDAD EN MATERIA DE TRATAMIENTO DE DATOS: El tratamiento, al que se refiere la Ley, es una actividad reglamentada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

b. PRINCIPIO DE FINALIDAD: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley y que debe ser informada al Titular.

c. PRINCIPIO DE LIBERTAD: El Tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización o en ausencia de mandato legal o judicial que releve el consentimiento.

d. PRINCIPIO DE VERACIDAD O CALIDAD: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

e. PRINCIPIO DE TRANSPARENCIA: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable o del Encargado del Tratamiento, en cualquier momento y sin restricciones, la información acerca de la existencia de datos que le conciernan.

f. PRINCIPIO DE ACCESO Y CIRCULACIÓN RESTRINGIDA: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales y a las disposiciones de la Ley y de la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Reglamentación.

 

Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley o a su Reglamentación.

 

g. PRINCIPIO DE SEGURIDAD: La información, sujeta a Tratamiento por el Responsable o el Encargado a los que se refiere la presente Reglamentación, se deberá manejar con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h. PRINCIPIO DE CONFIDENCIALIDAD: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley y en la Reglamentación y en los términos de la misma.

i. PRINCIPIO DE TEMPORALIDAD: Los datos personales se conservarán únicamente por el tiempo razonable y necesario para cumplir las finalidades que justificaron el Tratamiento, atendiendo a las disposiciones aplicables a la materia de que se trate y a los aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Los datos serán conservados cuando ello sea necesario para el cumplimiento de una obligación legal o contractual. Una vez cumplida la finalidad del Tratamiento y los términos establecidos anteriormente se procederá a la supresión de los datos.

j. INTERPRETACIÓN INTEGRAL DE LOS DERECHOS CONSTITUCIONALES: Los derechos se interpretarán en armonía y en un plano de equilibrio con el derecho a la información previsto en el artículo 20 de la Constitución y con los derechos constitucionales aplicables.

k. PRINCIPIO DE NECESIDAD: Los datos personales tratados deben ser los estrictamente necesarios para el cumplimiento de las finalidades perseguidas con la base de datos.

 

7.      TITULARES A QUIEN VA DIRIGIDA LA PRESENTE POLÍTICA

a. Clientes

b. Empleados, contratistas y/o aspirantes a ofertas de trabajo.

c. Proveedores

d. Accionistas

e. Público en general

 

8.      TIPO DE DATO PERSONAL

Existen diferentes tipologías de datos personales los cuales son clasificados como dato PÚBLICO, SEMIPRIVADO, PRIVADO, SENSIBLE Y DE NIÑOS, NIÑAS Y ADOLESCENTES; MADERFORMAS recolecta y posee en sus bases de datos cada uno de estos tipos de datos y los relaciona con sus procesos de la siguiente manera:

 

TIPO DE DATO PERSONAL ADMIN. Y FINANCIERO COMERCIAL COMPRAS GESTIÓN HUMANA TIC
DATO PERSONAL PÚBLICO: Son aquellos datos personales que las normas y la Constitución han determinado expresamente como públicos y, para cuya recolección y Tratamiento, no es necesaria la autorización del titular de la información. (Ej. Dirección, teléfono, datos contenidos en sentencias judiciales ejecutoriadas, datos sobre el estado civil de las personas, entre otros). X X X X X
DATO PERSONAL SEMIPRIVADO: Son datos que no tienen una naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un grupo de personas o a la sociedad en general. Para su Tratamiento se requiere la autorización expresa del titular de la información. (Ej. Dato financiero y crediticio). X X X X X
DATO PERSONAL PRIVADO: Es un dato personal que por su naturaleza íntima o reservada solo interesa a su titular y para su Tratamiento requiere de su autorización expresa. (Ej. Nivel de escolaridad). X X X
DATO PERSONAL SENSIBLE: Es aquel dato personal de especial protección por cuanto afecta la intimidad del titular y su Tratamiento puede generar discriminación. NO puede ser objeto de Tratamiento a menos que sea requerido para salvaguardar un interés vital del titular o este se encuentre incapacitado y su obtención haya sido autorizada expresamente. (Ej. Origen racial o étnico, orientación política, convicciones religiosas, datos biométricos, relativos a la salud, entre otros.) X X X
DATO   PERSONAL DE NIÑOS O ADOLESCENTES: Son los datos de los menores de 18 años considerados de alta importancia, ya que en principio lo que persigue es la realización efectiva de los derechos fundamentales y también resguardarlos de los riesgos que amenacen su desarrollo armónico. X X X

 

9.      RECOLECCIÓN DE LA INFORMACION

MADERFORMAS, en busca de cumplir con su objeto social, utiliza para la recolección de la información diferentes herramientas que cuentan con todas las condiciones exigidas por la normatividad vigente, como:

 

PROCESO EMPRESA BASE DE DATOS HERRAMIENTA DE RECOLECCION FINALIDAD
COMERCIAL Maderformas Clientes y mercadeo Formatos internos, correo electrónico, ERP y S.I. Información para gestión de relación comercial entre MADERFORMAS y el tercero, cotizaciones, contratos, seguimiento al cliente.
COMPRAS Maderformas Proveedores, contratistas y relacionados Formatos internos, correo electrónico, ERP y S.I. Información para la gestión de la relación comercial entre MADERFORMAS y el tercero.
GESTIÓN HUMANA Maderformas Empleados (activos y retirados), aprendices, asesores y aspirantes a cargos Formatos internos, portales de empleo, recepción de documentos físicos, correo electrónico, portales entidades relacionadas, ERP y S.I. Información para la gestión de la relación laboral entre MADERFORMAS y el tercero, control de acceso y cumplimiento de normas parafiscales.
ADMINISTRATIVO Y FINANCIERO Maderformas Accionistas, asesores, empleados, visitantes Formatos internos, correo electrónico, ERP, S.I. y circuito cerrado de cámaras Documentación de accionistas y asesores, registro de ingreso de visitantes y terceros.
TECNOLOGÍA Maderformas Clientes, Proveedores, Accionistas, personal de la compañía, terceros, público en general Formatos internos, correo electrónico, web, ERP y S.I. Gestión de herramientas de redes de información, custodia de bases de datos e información de la compañía.

 

10.      TRATAMIENTO DE DATOS PERSONALES

El procedimiento estándar que utiliza MADERFORMAS para el Tratamiento de los datos personales implica actividades de recolección, almacenamiento, transmisión, actualización, consulta, utilización, supresión y/o eliminación de la información.

 

10.1          TRATAMIENTO DE LOS DATOS SENSIBLES

De acuerdo a lo mencionado en la presente política. Se dará Tratamiento de los datos sensibles siempre y cuando:

a. El Titular haya dado su autorización explícita a dicho tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

b. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.

c. El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

d. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

e. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.

 

10.2          TRATAMIENTO DE DATOS PERSONALES DE NIÑOS Y ADOLESCENTES

El Tratamiento de datos personales que no sean de naturaleza pública de niños y adolescentes cumplirá con los siguientes parámetros y requisitos:

a. Que responda y respete el interés superior de los niños y adolescentes.

b. Que asegure el respeto de sus derechos fundamentales.

c. Que valore la opinión del menor cuando cuente con la madurez, autonomía y capacidad para entender el asunto.

d. Que exista autorización para el Tratamiento de los datos por parte del representante o tutor del niño, niña o adolescente.

 

11.    FINALIDAD DE LOS DATOS PERSONALES

La obtención de los datos personales y sensibles tendrá una finalidad y tratamiento según la clasificación del titular de la información de la siguiente forma:

a. Clientes: sus datos serán tratados para desarrollar nuestra actividad comercial de diseño, fabricación e instalación de mobiliario arquitectónico y/o de actividades similares o complementaria El contacto y recolección se hará a través de página web, correo electrónico y/o cualquier otro medio dispuesto por MADERFORMAS.

b. Empleados, contratistas, aprendices SENA y aspirantes a ofertas de trabajo: Los datos se tratarán con fines de selección, contratación, vinculación, bienestar organizacional, trasmisión de datos y/o la finalización de la relación laboral o civil entre MADERFORMAS y los empleados, contratistas y/o aspirantes.

c. Proveedores: Los datos serán tratados para contactar, gestionar y/o terminar la relación comercial que pueda haber sido concebida entre MADERFORMAS y el proveedor, personal a cargo y/o sus contratistas.

d. Accionistas: Los datos serán tratados para contactar y gestionar la relación existente entre las partes tales como: la convocatoria a asambleas de accionistas, el pago de dividendos, y la comunicación relacionada con el ejercicio de los derechos económicos y políticos del accionista frente a MADERFORMAS.

e. Público en General; Los datos se tratarán con fines de identificación personal, de seguridad y de registro de ingreso a las instalaciones de MADERFORMAS.

MADERFORMAS podrá utilizar los datos suministrados por los titulares, con su previa autorización, para fines de carácter estadístico, gestión, consulta, envío de información de la compañía y para el cumplimiento de las obligaciones legales y reglamentarias a las que se encuentra sujeta la compañía.

 

12.     AUTORIZACIÓN USO DE DATOS

De conformidad con la Ley 1581 de 2012 y el Decreto 1377 de 2013 no será necesario solicitar autorización de datos personales cuando se trate de:

a. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.

b. Datos de naturaleza pública.

c. Casos de urgencia médica o sanitaria.

d. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

e. Datos relacionados con el Registro Civil de las Personas.

La presente POLÍTICA DE PROTECCIÓN DE DATOS DE MADERFORMAS garantizará que su uso sea conforme con la Ley 1581 de 2012, el Decreto 1377 de 2013 y demás disposiciones legales vigentes en Colombia.

 

13.    DERECHOS DE LOS TITULARES

De conformidad a la ley estatutaria 1581 de 2012 y demás disposiciones legales, se estipula que los derechos de los titulares de los datos son:

a. Conocer, actualizar y rectificar sus datos personales frente a la compañía. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

b. Solicitar prueba de la autorización otorgada a MADERFORMAS, salvo cuando expresamente se exceptúe como requisito para el Tratamiento según lo previsto en el artículo 10 de la Ley estatutaria 1581 de 2012.

c. Ser informado por MADERFORMAS, previa solicitud, respecto del uso dado a sus datos personales.

d. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la presente Ley y las demás normas que la modifiquen, adicionen o complementen.

e. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el responsable o el encargado han incurrido en conductas contrarias a la Ley y a la Constitución.

f. Acceder en forma gratuita a sus datos personales objeto de Tratamiento.

 

14.    DEBERES DEL RESPONSABLE DEL TRATAMIENTO DE LA INFORMACIÓN

En calidad de responsable del Tratamiento de los datos personales, y de conformidad con lo establecido en la Ley 1581 de 2012 y demás disposiciones legales, MADERFORMAS se compromete a cumplir con:

a. Garantizar al titular de la información, en todo tiempo, el pleno y efectivo ejercicio del derecho de habeas data.

b. Conservar copia de la autorización otorgada por el titular.

c. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada.

d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

e. Tramitar las consultas y reclamos formulados por los titulares de la información en los términos señalados por los artículos 14 y 15 de la ley 1581 de 2012.

f. Informar a solicitud del Titular sobre el uso dado a sus datos.

g. Informar a la Superintendencia de Industria y Comercio, o autoridad de protección de datos, cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

h. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

i. Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente, sobre procesos judiciales relacionados con la calidad o detalles del dato personal.

j. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.

k. Permitir el acceso a la información únicamente a las personas autorizadas.

l. Informar a través de los medios que considere pertinentes los nuevos mecanismos que implemente para que los titulares de la información hagan efectivos sus derechos.

 

15.    ACCIONES GENERALES PARA LA PROTECCIÓN DE DATOS PERSONALES

A continuación se establecen los lineamientos generales aplicados por MADERFORMAS con el fin de cumplir con sus obligaciones en cumplimiento de los procesos para la administración de los datos personales.

TRATAMIENTO DE LA INFORMACIÓN

Todos los miembros de la Entidad, al realizar las actividades propias de su cargo, asumirán las responsabilidades y las obligaciones que se tienen en el manejo adecuado de la información personal, desde su recolección, almacenamiento, uso, circulación y hasta su disposición final.

USO DE LA INFORMACIÓN

La información de carácter personal contenida en las bases de datos debe ser utilizada y tratada de acuerdo con las finalidades descritas en la presente política. En caso de que algún área identifique usos nuevos o diferentes a los descritos en la presente política deberá informar al área encargada de Protección de Datos Personales, donde se evaluará y gestionará su inclusión o no en la presente política.

Igualmente, se deben tomar en consideración los siguientes supuestos:

a. Si un área diferente de quien recolectó inicialmente el dato personal requiere el uso de tal información, lo podrá hacer solo si se trata de una finalidad previsible por el tipo de servicios ofrecidos por MADERFORMAS y/o contemplada dentro de la presente Política.

b. Cada área debe garantizar que en las prácticas de reciclaje de documentos físicos no se divulgue información confidencial ni datos personales. Por lo anterior, no se podrán reciclar hojas de vida, ni títulos académicos, ni certificaciones académicas o laborales, ni resultados de exámenes médicos ni ningún documento que contenga información que permita identificar a una persona.

c. En caso de que un encargado haya facilitado datos personales o bases de datos a algún área para un fin determinado, esta no los podrá utilizar para un fin diferente a los relacionados en esta Política y, al terminar la actividad, es su deber eliminarlos para evitar el riesgo de desactualización de información o de desatender casos en los cuales un titular haya presentado algún reclamo.

d. Los funcionarios no podrán tomar decisiones que tengan un impacto significativo en la información personal, o que tengan implicaciones legales, con base exclusivamente en la información que arroja la Base de Datos, por lo que deberán validar la información a través de otros instrumentos físicos o de manera manual y, si es necesario, de manera directa con el mismo titular.

e. Únicamente los funcionarios y contratistas autorizados pueden introducir, modificar o anular la información contenida en las bases de datos o documentos objeto de protección. Los permisos de acceso a los usuarios son concedidos por la Dirección de Tecnología de acuerdo a los perfiles establecidos previamente por los líderes de los procesos que exigen el uso de información personal.

f. Cualquier uso de la información diferente al establecido será previamente consultado con el área de Protección de Datos Personales.

ALMACENAMIENTO DE INFORMACIÓN

El almacenamiento de la información digital y física se realiza en medios o ambientes que cuentan con adecuados controles para la protección de los datos. Esto involucra controles de seguridad física e informática, tecnológicos y de tipo ambiental, en instalaciones propias y/o centros de cómputo o centros documentales gestionados por terceros.

DESTRUCCIÓN

La destrucción de medios físicos y electrónicos se realiza a través de mecanismos que no permitan su reconstrucción. Se realiza únicamente en los casos en que no constituya el desconocimiento de norma legal alguna, dejando siempre la respectiva trazabilidad de la acción. La destrucción comprenderá la información contenida en poder de terceros y en las instalaciones propias.

PROCEDIMIENTO DE GESTIÓN DE INCIDENTES CON DATOS PERSONALES

Se entiende por incidencia cualquier anomalía que afecte o pudiera afectar la seguridad de las bases de datos o de la información contenida en las mismas. En caso de conocer alguna incidencia ocurrida, el usuario deberá comunicarla al área encargada que adoptará las medidas oportunas frente al incidente reportado. Las incidencias pueden afectar tanto a las bases de datos digitales como a las físicas y generarán las siguientes actividades:

a. Notificación de Incidentes

Cuando se presuma que un incidente pueda afectar o haber afectado a bases de datos con información personal se deberá informar al Oficial de Protección de Datos Personales quién gestionará su reporte en el Registro Nacional de Bases de Datos.

b. Gestión de Incidentes

Es responsabilidad de cada funcionario, contratista, consultor o tercero, reportar de manera oportuna cualquier evento sospechoso, debilidad o violación de políticas que puedan afectar la confidencialidad, integridad y disponibilidad de los activos y la información personal de la Entidad.

c. Identificación

Todos los eventos sospechosos o anormales, tales como aquellos en los que se observe el potencial de perdida de reserva o confidencialidad de la información, deben ser evaluados para determinar si son o no un incidente y deben ser reportados al nivel adecuado en la organización. Cualquier decisión que involucre a las autoridades de investigación y judiciales debe ser hecha en conjunto entre el área encargada de la Protección de Datos Personales y la Asesora Jurídica de la compañía. La comunicación con dichas autoridades será realizada por ellos mismos.

d. Reporte

Todos los incidentes y eventos sospechosos deben ser reportados tan pronto como sea posible a través de los canales internos establecidos por MADERFORMAS.

Si la información sensible o confidencial es perdida, divulgada a personal no autorizado o se sospecha de alguno de estos eventos, el área encargada de la Protección de Datos Personales debe ser notificada de forma inmediata.

Los funcionarios deben reportar a su jefe directo y al área encargada de la Protección de Datos Personales cualquier daño o pérdida de computadores o cualquiera otro dispositivo, cuando estos contengan datos personales en poder de la Entidad.

A menos que exista una solicitud de la autoridad competente debidamente razonada y justificada, ningún funcionario debe divulgar información sobre sistemas de cómputo y redes que hayan sido afectadas por un delito informático o abuso de sistema. Para la entrega de información o datos en virtud de orden de autoridad, el Asesor Jurídico de la compañía deberá intervenir con el fin de prestar el asesoramiento adecuado.

e. Contención, Investigación y Diagnóstico

El área de Protección de Datos Personales debe garantizar que se tomen acciones para investigar y diagnosticar las causas que generaron el incidente, así como también debe garantizar que todo el proceso de gestión del incidente sea debidamente documentado con apoyo de la dirección de Tecnología de MADERFORMAS.

En caso de que se identifique un delito informático, en los términos establecidos en la Ley 1273 de 2009, el área de Protección de Datos Personales y el Asesor Jurídico reportarán tal información a las autoridades de investigaciones judiciales respectivas.

Durante los procesos de investigación se deberá garantizar la “Cadena de Custodia” con el fin de preservarla en caso de requerir establecer una acción legal.

f. Solución

La Dirección de Tecnología, así como cualquier área comprometida y los directamente responsables de la gestión de datos personales, deben prevenir que el incidente de seguridad se vuelva a presentar, corrigiendo todas las vulnerabilidades existentes.

g. Cierre de Incidente y Seguimiento

La Dirección de Tecnología, junto al área encargada de la Protección de Datos Personales y las áreas que usan o requieran la información, iniciarán y documentarán todas las tareas de revisión de las acciones que fueron ejecutadas para remediar el incidente de seguridad. El área encargada de la Protección de Datos Personales preparará un análisis anual de los incidentes reportados. Las conclusiones de este informe se utilizarán en la elaboración de campañas de concientización que ayuden a minimizar la probabilidad de incidentes futuros.

h. Reporte de incidentes ante la SIC como autoridad de control

Se reportarán como novedades los incidentes de seguridad que afecten la base de datos, de acuerdo con las siguientes reglas:

En la parte inferior del menú de cada base de datos registrada en el sistema, se presentan dos (2) opciones para informar las novedades: La violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, deberán reportarse al Registro Nacional de Bases de Datos dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.

Los líderes de proceso y/o propietarios de activos de información reportarán de forma interna los incidentes asociados a datos personales ante el área de Protección de Datos Personales quién dentro del plazo legal procederá a reportarlos ante el Registro Nacional de Bases de Datos

 

16.    MEDIDAS DE SEGURIDAD GENERALES DE LAS BASES DE DATOS

MADERFORMAS para Garantizar la seguridad de los registros y para evitar la adulteración, pérdida, consulta, uso o acceso no autorizado por parte de terceros, hará el Tratamiento de las Bases de Datos tomando las medidas técnicas y humanas que sean requeridas para tal fin, como:

a. Dispondrá de políticas, procedimientos y/o Normas definidas para proteger la información y los datos personales ubicados en los sistemas informáticos de la compañía protegiéndolos de Malware, Phishing, Acceso no autorizado o fraudulento y/o robo de información haciendo uso de todas las herramientas tecnológicas que estén disponibles.

b. Establecerá políticas para restringir el ingreso de personal no autorizado a los archivos o medios físicos disponibles en sus instalaciones.

c. Complementará las medidas de protección aplicando las directrices establecidas en Ley 1581 del 2012 y demás lineamientos acerca de la Protección de los Datos personales.

 

17.    NORMAS DE SEGURIDAD

Las Normas que a continuación se detallan buscan establecer el Tratamiento y seguridad que se les dará a los datos personales, dando cumplimiento a las condiciones establecidas en la Ley 1581 del 2012, el Decreto 1377 del 2013 y demás disposiciones legales.

a. Proteger el sistema de acceso indebido usando claves de inicio de sesión y controles mediante perfiles de usuario a los diferentes Software siempre que sea técnicamente posible.

b. Restringir y controlar el Acceso al personal no autorizado a áreas de sistemas como Servidores, Rack de Datos, computador de mando, acceso a usuarios administradores, entre otros.

c. Generar procedimientos que garanticen el respaldo de la información como realización de Copias de Seguridad periódicas, respaldo de la información y demás procedimientos para salvaguardar la información.

d. Cuando se envíe un correo con datos personales de un tercero se debe confirmar la recepción del correo verificando que en el pie de página de la firma del correo este registrada la POLÍTICA DE PROTECCIÓN DE DATOS DE MADERFORMAS y dónde consultarla.

e. Todo documento que contenga datos personales y le sea enviado al titular debe dirigirse al correo electrónico que esté en el RUT o al que pueda ser asociado a dicho titular, siempre y cuando cumpla con las condiciones establecidas en el procedimiento de consulta o reclamo de Base de Datos contenida en esta política.

 

18.    PROCEDIMIENTO DE CONSULTA DE LA BASE DE DATOS

Para conocer la información que posee MADERFORMAS sobre sus datos personales, su Titular la podrá solicitar a través de un correo electrónico dirigido a: administracion@maderformas.net, adjuntando copia de su documento de identificación.

Si el solicitante envía este requerimiento desde un correo que no pueda ser asociado directamente al titular de los datos, deberá adjuntar copia de su documento de identidad y un documento que acredite la calidad en la que está actuando (Ejemplo: Poder Especial).

La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

 

19.    PROCEDIMIENTO DE RECLAMO DE LA BASE DE DATOS

El Titular que considere que la información contenida en la Base de Datos debe ser objeto de corrección, actualización o supresión puede presentar un reclamo a MADERFORMAS a través del envío de un correo electrónico a administracion@maderformas.net, indicando su requerimiento y anexando copia de su documento de identificación.

Si el solicitante envía este requerimiento desde un correo que no pueda ser asociado directamente al titular de los datos, deberá adjuntar copia de su documento de identidad y un documento que acredite la calidad en la que está actuando (Ejemplo: Poder Especial).

El Reclamo debe contener la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y acompañado de los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. Si quien recibe el reclamo no es competente para resolverlo dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.

Una vez recibido el reclamo completo se incluirá en la base de datos una leyenda que diga «Reclamo en Trámite» y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

 

20.    CONTROL DE ACCESO Y VIDEOVIGILANCIA

CONTROL DE ACCESO

Actualmente la compañía cuenta con un registro y control de acceso del personal a través de marcación biométrica. Esta información es almacenada a través de sistema de información de captura de datos y usada adicionalmente por el área de Gestión Humana para control del personal.

VIDEO VIGILANCIA

La Entidad cuenta con cámaras de video vigilancia que tienen como finalidad dar cumplimiento a las políticas de seguridad física, cumpliendo con los parámetros establecidos y según lineamientos de Protección de Datos Personales en Sistemas de Videovigilancia monitoreadas por la empresa de vigilancia. Las imágenes son almacenadas en DVR de monitoreo que se reescriben cada 5 días. En caso que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, se debe crear una copia y almacenarla hasta que se resuelva dicho proceso hasta por un término de 90 días posteriores.

 

21.    CAPACITACIÓN DE FUNCIONARIOS Y TRABAJADORES

MADERFORMAS desarrollará programas anuales de capacitación y concientización en la Protección de datos personales y seguridad de la información. La Entidad debe poner en conocimiento estas políticas por el medio que considere adecuado y con ello, capacitar a sus trabajadores en la administración de los datos personales con una periodicidad al menos anual, con el fin de medir sus conocimientos sobre el particular.

Los nuevos trabajadores y contratistas, al momento de vincularse con la Entidad, deben recibir capacitación sobre Protección de datos personales y seguridad de la información dejando constancia de su asistencia y conocimiento.

En el desarrollo de los programas de capacitación y concientización se deberá asegurar que los funcionarios, contratistas y terceros conozcan sus responsabilidades con respecto a la Protección de datos personales y seguridad de la información.

Los programas de capacitación serán actualizados de forma periódica. Desde el proceso de Gestión Humana, conjuntamente con el área encargada de la Protección de Datos Personales y la Dirección de Tecnología, se definirán los planes de capacitación y evaluación de los empleados de acuerdo con los cambios normativos que se vayan presentando.

Para el público en general, la presente política está disponible y podrá ser consultada a través del sitio web de la compañía https://maderformas.co/.

 

22.    PROCESOS DE REVISIÓN Y AUDITORÍAS DE CONTROL

La Entidad realizará procesos de revisión o auditorías en materia de protección de datos personales verificando de manera directa o a través de terceros, que las políticas y procedimientos se han implementado adecuadamente en la Entidad. Con base en los resultados obtenidos se diseñarán e implementarán los planes de mejoramiento (preventivos, correctivos y de mejora) necesarios.

MADERFORMAS realizará estos procesos de revisión con una periodicidad mínima de un año o de forma extraordinaria ante incidentes graves que afecten la integridad de las bases de datos personales.

Los resultados de la revisión junto con los eventuales planes de mejoramiento serán presentados por el área encargada de la Protección de Datos Personales a la Gerencia General.

 

23.    PERIODO DE VIGENCIA DE LAS BASES DE DATOS

Las Bases de Datos de MADERFORMAS tendrán el periodo de vigencia que corresponda a la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia, así como aquellas normas que establezcan el ejercicio de las funciones legales asignadas a la Entidad.

 

24.    REGISTRO NACIONAL DE BASE DE DATOS

De conformidad con el artículo 25 de la Ley 1581 y sus decretos reglamentarios, MADERFORMAS registrará sus bases de datos, junto con la presente política de tratamiento de Datos Personales, en el Registro Nacional de bases de datos administrado por la Superintendencia de Industria y Comercio, de conformidad con el procedimiento establecido para el efecto.

 

25.    VIGENCIA, VERSIONES Y ACTUALIZACIÓN DE LA POLÍTICA

La presente POLÍTICA DE PROTECCIÓN DE DATOS rige a partir de su firma y complementa las políticas asociadas y ajustes futuros que se realicen de forma parcial o total al presente documento o documentos equivalentes.

Cualquier cambio sustancial en las políticas de tratamiento de datos personales se comunicará de forma oportuna a sus titulares a través de los medios habituales de contacto y/o a través del sitio web: https://maderformas.co/.

Para los titulares que no tengan acceso a medios electrónicos, o aquellos a los que no sea posible contactar, se comunicará a través de avisos abiertos en la sede principal de la empresa. Esta política tendrá una versión resumida, puesta en conocimiento de la ciudadanía en general y usuarios de los servicios de la Entidad, en cumplimiento de lo señalado en la Ley 1582 de 2012, decretos reglamentarios y demás normas concordantes y vigentes.

 

26.    DOCUMENTOS ASOCIADOS

A continuación se listan los documentos o medios, con los cuales se realiza la recolección de datos personales, en estos debe existir la declaración asociada a la presente política y su correspondiente autorización.

 

Documento Código Descripción
Inscripción de Proveedores C – P01 – I02-F02 Formato para inscripción de proveedores.
Registro de Clientes CO – P01 – I02 – F02 Formato de inscripción de clientes.
Autorización de Tratamiento de datos personales de Empleados, Contratistas, Aprendices y Aspirantes cargo. Autorización de Tratamiento de Datos Personales MaderFormas Formato para autorización de datos personales empleados.
Autorización de Tratamiento de datos personales de Accionistas Autorización de Tratamiento de Datos Personales Accionistas Formato para autorización de datos personales accionistas.
Correo electrónico Email, o mensajería de correo electrónico institucional dominios @maderformas.net; @maderformas.com.co; @maderformas.net.co Aviso:  Este correo es enviado y/o recibido bajo las normas de protección de datos personales, por lo que el receptor da autorización para tratar la información personal que nos envíe de acuerdo con la Política de Tratamiento de Datos Personales, en concordancia con la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013. En caso de querer objetar el uso de la misma o solicitar su retiro de nuestra base de datos, puede escribirnos al correo: administracion@maderformas.net.
Control de Ingreso Visitantes. GH – P01 – F16 Planilla que se diligencia al ingreso a las instalaciones para control administrativo y control de terceros presentes en planta.
Páginas y formularios web, programas y aplicaciones que requieren de datos personales TIC-P01-I05-F01 Documentos HTML o aplicaciones web que requieran de datos personales, sensibles o datos de seguimiento por parte de los trabajadores de Maderformas.

 

27.    RESPONSABLE DEL TRATAMIENTO DE DATOS Y LA POLÍTICA

 

Nombre:                                 MADERFORMAS S.A.S

Área:                                         Dirección Administrativa

Dirección:                                Carrera 116 No. 14 B – 90 Bogotá

Correo Electrónico:                administracion@maderformas.net

Teléfono:                                  (+601) 7447028

Celular:                                    (+57) 312 5234565

 

28.    RESUMEN DE CAMBIOS RESPECTO A LA VERSIÓN ANTERIOR

Actualización de procesos internos de la compañía, digitalización de la información e implementación de sistemas de información y ERP.

_____________

Fin del documento

 

Comuníquese con nosotros

PBX 60 (1) 744 7028
60 (1) 745 1287 / 60 (1) 745 1288
A través del correo electrónico:
info@maderformas.com.co

Dirección



Carrera 116 No. 14B - 90
El Recodo - Fontibón
Bogotá, Colombia

Horario de Atención



Lunes a Viernes
07.00 A.M. – 5.00 P.M.
Sábados y Domingo -No atención al público


Servicio al Cliente



Para recibir información de proyectos, cotizaciones e información de la empresa escríbanos a través del correo electrónico:
comercial@maderformas.com.co

Protección de Datos Personales y Política de Tecnología

Conozca nuestra política de Datos Personales y de Tecnología o haga una reclamación formal escribiéndonos al correo electrónico:
administracion@maderformas.com.co

Ultimas Noticias
Nuestros productos
Proyectos ejecutados
Contacto

Carrera 116 No. 14 B – 90                               El Recodo – Fontibón
Bogota, Colombia

PBX 60 (1) 744 7028 /
60 (1) 745 1287 /
60 (1) 745 1288

info@maderformas.net