Política de tratamiento de datos
Inicio / Política de tratamiento de datos
Para QUIFARMA S.A.S. (en adelante QUIFARMA), es de vital importancia el adecuado tratamiento de los datos personales de nuestros clientes, proveedores, colaboradores, aliados o de cualquier persona que suministre información de carácter personal. Somos conscientes de que los datos personales que administramos no nos pertenecen y que tenemos la responsabilidad de hacer un tratamiento adecuado de los mismos, velando por la confidencialidad, integridad y disponibilidad de la información.
En concordancia con lo anterior, QUIFARMA, como Responsable del tratamiento de los datos personal, se encuentra comprometida con la seguridad de la información, dando cumplimiento a los lineamientos establecidos en la Ley 1581 de 2012, Decreto 1377 de 2013, Decreto 1074 de 2015 y demás normas que modifiquen o adicionen. Con esto, buscamos realizar el tratamiento de los datos en estricto cumplimiento de la normatividad vigente, garantizando el derecho fundamental a la protección de datos personales como es el derecho de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en nuestras bases de datos.
La protección de datos personales en QUIFARMA S.A.S. estará sometida a las siguientes reglas, con base en las cuales se determinarán las políticas y los procesos internos relacionados con el tratamiento de datos personales y se interpretarán de manera armónica, integral y sistemática dentro de toda la organización.
Objetivo
Garantizar un adecuado tratamiento a los datos personales que administra QUIFARMA, dando cumplimiento a la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013 y de las demás normas que los deroguen, modifiquen o complementen.
Ámbito de aplicación
La presente política será aplicable a los datos personales registrados en cualquier base de datos y archivos, tanto físicas como digitales, que se gestione en QUIFARMA S.A.S., considerado como responsable. Igualmente, en aquellos casos en que operen como encargados del tratamiento de datos personales.
Definiciones
Para los efectos de la presente política y en concordancia con la normatividad vigente en materia de protección de datos personales, se tendrán en cuenta las siguientes definiciones:
• Archivo: Conjunto de datos grabados como una sola unidad de almacenamiento, que contengan datos personales,
• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales, el cual se obtiene al momento de la recolección del dato.
• Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los
datos personales.
• BasedeDatos: ConjuntoorganizadodeDatosPersonalesqueseanobjetodetratamiento.
Incluye archivos tanto físicos como electrónicos.
• Causahabiente: persona que ha sucedido a otra por causa del fallecimiento de ésta
(heredero).
• Consentimientoinformado: ElTratamientodedatospersonalesalinteriordeQUIFARMA,
sólo puede hacerse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos, tratados o divulgados sin autorización del titular, salvo mandato legal o judicial que supla el consentimiento expreso del titular.
• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
• Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
• Encargado del Tratamiento: Personanaturalojurídica,públicaoprivada,queporsímisma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento. QUIFARMA actúa como encargado del tratamiento de datos
personales en los casos, en los que por sí misma o en asocio con otros, realice el tratamiento
de datos personales por cuenta de un responsable del tratamiento.
• Niño, niña y adolescente: En el Tratamiento se asegurará el respeto a los derechos
prevalentes de los niños, niñas y adolescentes. Sólo podrán tratarse aquellos datos que
sean de naturaleza pública.
• Oficial de Protección de Datos Personales: El área responsable de la atención a
peticiones, quejas, reclamos y Consultas formuladas por los titulares de datos serán
atendidas por la persona designada con la figura del Oficial de Protección de Dato.
• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
• Titular: PersonanaturalcuyosdatospersonalesseanobjetodeTratamiento.
• Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales que realice LA QUIFARMA o los Encargados del Tratamiento, tales como la recolección,
almacenamiento, uso, circulación o supresión.
• Transferencia: latransferenciadedatostienelugarcuandoelResponsabley/oEncargado
del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país.
• Transmisión: tratamientodedatospersonalesqueimplicalacomunicacióndeestosdentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
• Supresión: se denomina así a la acción que el Titular de los datos personales solicita al Responsable y/o Encargado de los datos, en ejercicio del derecho que le asiste de libertad y finalidad frente a su información.
Las definiciones incluidas en este documento son tomadas de la normatividad vigente en Colombia, la cual regula la protección de datos personales de las personas naturales, frente al tratamiento y circulación de estos.
Principios para el Tratamiento de datos personales
La protección de datos de carácter personal en QUIFARMA estará sometida a los siguientes principios con base en los cuales, se determinarán los procesos internos relacionados con el tratamiento de datos personales; tales principios se interpretarán de manera armónica, integral y sistemática para resolver los conflictos que se susciten en esta materia.
Para dar cumplimiento a la Política de Protección de Datos Personales, como a las obligaciones impartidas por la Ley 1581 de 2012 y su Decreto reglamentario, se debe tener en cuenta lo siguiente.
• Principio pertinencia: Los datos personales recolectados deberán ser adecuados, pertinentes y no excesivos, teniendo en cuenta la finalidad del tratamiento o de la base de datos. Se prohíbe la recolección de datos personales desproporcionados en relación con la finalidad para la cual se obtienen.
• Protección especial a los datos sensibles: sólo recolectarán datos personales de carácter sensible cuando ello sea necesario y pertinente para el desarrollo del objeto social. Se deberá contar con la autorización expresa del titular y se verificará que su tratamiento se origine y legitime en el marco de una relación contractual o bien provenga de autorización legal.
• Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, ‘ expreso e informado por parte del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
• Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente leyes una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.
• Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.
• Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
• Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
• Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente Ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley.
• Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma.
• Principio de temporalidad del dato: Agotada la finalidad para la cual fue recolectado el dato personal, se deberá cesar en su uso y por ende adoptará las medidas de seguridad que garanticen su seguridad.
RESPONSABLE TRATAMIENTO DE DATOS PERSONALES
El responsable del tratamiento es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. QUIFARMA actúa como responsable del tratamiento de datos personales frente a todos los datos de carácter personal sobre los cuales decida directamente, en cumplimiento de las funciones propias reconocidas legalmente.
La responsabilidad del adecuado tratamiento de datos personales al interior de QUIFARMA, está en cabeza de todas las personas vinculadas a la empresa.
Identificación del Responsable del tratamiento de datos
QUIFARMA S.A.S. sociedad debidamente registrada ante la Cámara de Comercio de Medellín, con NIT 890.938.300 – 0, cuyo domicilio principal es la ciudad de Medellín y quien es la empresa Responsable del tratamiento de los datos personales.
Canales de atención
En cumplimiento con lo dispuesto en la Ley 1581 de 2012, sus decretos reglamentarios y demás normatividad que la complemente, modifique o derogue; QUIFARMA ha adoptado los siguientes canales de comunicación para la atención de las solicitudes de los Titulares de los datos personales:
• Razón social: § Dirección:
§ Email:
§ Teléfono:
QUIFARMA S.A.S.
Calle 61 No. 51D – 57 oficina 202 Medellín – Antioquia regulatorios@quifarma.com
(604) 4486228
https://www.solor.com.co/
§ Sitio Web:
Oficial de Protección de Datos Personales
El Oficial de Protección de Datos Personales es la persona responsable de la atención a peticiones, quejas, reclamos y consultas formuladas por los titulares de los datos sobre información relacionadas con la ley de protección de datos personales.
• Oficial de Protección de Datos Personales: Paula Valencia
• Calle 61 No. 51D – 57 oficina 202 Medellín – Antioquia
• Teléfono: (604) 4486228
• Correo electrónico: regulatorios@quifarma.com
• Página web: https://www.solor.com.co/
El rol antes mencionado será el contacto directo de los titulares de Datos Personales, para todos los efectos previstos en esta Política.
Entre las funciones a cargo del oficial de protección de Datos Personales se encuentran las siguientes, sin ser esta una lista taxativa de sus funciones, las cuales pueden aumentar en pro de la protección de los derechos de los titulares de la información.
1. Estructurar,diseñaryadministrarelProgramaIntegraldeGestióndeProteccióndeDatos Personales al interior de la compañía.
2. Recibir las solicitudes de los titulares de datos personales, tramitar y responder aquellas que tengan fundamento en la ley o a estas políticas, como por ejemplo:
• Solicitudes de actualización de datos personales
• Solicitudes de conocer los datos personales
• Solicitudes de supresión de datos personales cuando el titular de manera libre solicite la supresión o cuando el titular presente copia de la decisión de la Superintendencia de
Industria y Comercio de acuerdo con lo establecido en la ley
• Solicitudes de información sobre el uso dado a sus datos personales
• Solicitudes de actualización de los datos personales
Página 9 de 26
• Solicitudes de prueba de la autorización otorgada, cuando ella hubiere procedido según la ley.
3. Dar respuesta a los titulares de los datos personales sobre aquellas solicitudes que no procedan de acuerdo con lo establecido en la ley.
4. Servir de enlace y coordinar con las demás áreas de la organización para asegurar una implementación transversal del Programa Integral de Gestión de Datos Personales.
5. Controlaryverificarelaccesoalosdatospersonalesdentrodelaempresa.
6. Servir de vínculo con la institución reguladora encargada de la inspección, vigilancia y control en materia de protección de datos personales, en este caso la Superintendencia de
industria y comercio.
7. Liderar el registro de las nuevas bases de datos de la organización y actualizar el reporte
en el Registro Nacional de Bases de Datos (RNBD) conforme lo disponga la normatividad.
8. Acompañar, supervisar y aprobar la actualización en el Registro Nacional de Bases de Datos (RNBD) respecto de la información de las bases de datos personales, de
conformidad con lo dispuesto en la norma.
9. ManteneractualizadalaPolíticadeTratamientodeInformaciónyelManualdeProtección
de Datos, así como la estructura documental del Programa Integral de Gestión de Datos
Personales
10. Realizar evaluaciones periódicas acerca del cumplimiento con las políticas de protección
de datos personales, confidencialidad y seguridad de la información.
11.Presentar los informes o reportes del estado de avance del Programa Integral de Gestión de Protección de Datos que los organismos de control requieran sobre protección de datos
personales.
12.Cumplir con las obligaciones legales que se dictan en las normas sobre tratamiento de
datos personales, en especial lo consagrado en la Ley 1581 de 2016 y sus decretos
reglamentarios.
13. Orientar al personal de la compañía en el tema de tratamiento de la información de carácter
personal.
14.Impulsar una cultura de protección de datos personales a través de actividades de
sensibilización a los
15.Las demás funciones que establezca la normatividad relacionada con la protección de datos personales.
Deberes del Responsable del tratamiento
QUIFARMA como Responsable del Tratamiento, se compromete a cumplir los siguientes deberes en lo relacionado con el Tratamiento de datos personales:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de datos personales y su complementario de habeas data, permitiendo el acceso a la información únicamente a las personas que pueden tener acceso a ella.
Página 10 de 26
b) Solicitaryconservar,pruebadelaautorizaciónotorgadaporelTitulardedatospersonales para el tratamiento de datos personales.
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos vinculados a éste, procedentes desde la autorización otorgada
d) Conservar la información bajo las condiciones de seguridad físicas y digitales que impidan modificación, pérdida, consulta, uso o acceso no autorizado o fraudulento, además de cualquier conducta regulada y sancionada en la ley de delitos informáticos
e) Garantizar que la información sea veraz, completa, exacta, actualizada y comprobable; rectificando que la información corresponda a los datos personales inicialmente otorgados para el tratamiento
f) Actualizar oportunamente la información, atendiendo de esta forma todas las novedades respecto de los datos del Titular en el término definidos por la ley. Adicionalmente, se cuentan con los mecanismos necesarios para que la información se pueda mantener actualizada.
g) Implementarmecanismostecnológicosqueproveancondicionesdeseguridadyprivacidad para proteger la información del Titular
h) TramitarlasconsultasyreclamosformuladosenlostérminosseñaladosenlaLey1581de 2012.
i) Informar a solicitud del Titular sobre el uso dado a sus datos.
j) Velar por el uso adecuado de los datos personales sensibles de los niños, niñas y
adolescentes.
k) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo
bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o cualquier
otra entidad pública competente en esta toma de decisiones.
l) Usar los datos personales del Titular, sólo para aquellas finalidades para las que se
encuentre debidamente autorizado, respetando la normatividad vigente sobre protección
de datos personales.
m) Informar al encargado del tratamiento de datos sobre cual información se encuentra en
discusión por parte del titular, una vez se haya presentado la reclamación y no haya
finalizado el trámite respectivo.
n) Cumplir con los requerimientos e instrucciones que imparta la Superintendencia de
Industria y Comercio sobre el tema de protección de datos personales.
o) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los
Titulares.
p) Adoptarunmanualinternodeprocedimientosparagarantizareladecuadocumplimientode
la ley para la atención de consultas y reclamos.
TITULARES DE LOS DATOS
El titular es la persona natural cuyos datos personales son objeto de Tratamiento.
Derechos que le asisten como Titular de los datos
De conformidad con lo establecido en el artículo 8 de la Ley 1581 de 2012 y el decreto1377 de 2013, los siguientes son los derechos que le asisten a los Titulares de los datos personales:
1. Conocer, actualizar y rectificar sus datos personales frente a QUIFARMA, en su calidad de Responsable del Tratamiento. Este derecho podrá ejercerlo frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan por error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada a QUIFARMA, en su calidad de Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo establecido en el artículo 10 de la Ley 1581 de 2012 (o en las normas que la reglamenten, adicionen, complementen, modifiquen o deroguen), o cuando se haya presentado la continuidad del tratamiento según lo previsto en el numeral 4° del artículo 10 del Decreto 1377 de 2013.
3. SerinformadoporpartedeQUIFARMA,previasolicitud,respectodelusoqueselehadado a sus datos personales.
4. PresentarantelaSuperintendenciadeIndustriayComercio(SIC),quejasporinfracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, una vez haya agotado el trámite de consulta o reclamo ante QUIFARMA.
5. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a la ley y la Constitución.
6. Acceder de forma gratuita a sus datos personales que hayan sido objeto de tratamiento. El acceso a los datos personales se llevará a cabo por medio de los canales definidos por el Responsable y/o el Encargado.
Estos derechos podrán ser ejercidos por:
a. El Titular de los datos, quien deberá acreditar su identidad en forma suficiente por los distintos canales de comunicación que le ponga a disposición QUIFARMA.
Página 12 de 26
b. Los niños, niñas y adolescentes podrán otorgar sus datos personales a través de representante legal, entiéndase quien ejerce la patria potestad, custodia, curaduría, consejería y/o administrador, sea por vínculo legal, natural o por sentencia ejecutoriada, de acuerdo con las reglas de la ley 1306 de 2009.
c. LoscausahabientesdelTitular,quienesdeberánacreditartalcalidad.
d. El representante y/o apoderado del Titular, previa acreditación de la representación o
apoderamiento.
e. Cualquier autoridad judicial o administrativa que, por su naturaleza jurídica y dedicación
frente al Estado, pueda exigir el cumplimiento de uno, varios o todos los derechos que tiene el Titular.
Tratamientos de datos personales de niñas, niños y adolescentes
QUIFARMA establece como aspecto principal en su política, la protección y tratamiento de datos personales de niños, niñas y adolescentes; razón por la cual, se dará un apropiado uso para las actividades comerciales y de mercadeo; información que se mantendrá en un nivel de protección y medidas de seguridad adecuadas, para garantizar los derechos fundamentales de los menores.
En atención a lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013, se contará con la autorización previa, expresa e informada del padre, la madre o del representante legal de la niña, niño o adolescente.
Adicionalmente, deberán cumplir con los siguientes parámetros y requisitos:
a) Que responda y respete el interés superior de los niños, niñas y adolescentes. b) Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente podrá otorgar la autorización para el tratamiento, previo ejercicio del derecho del menor de su derecho de ser escuchado, opinión que deberá valorar teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
Se resalta que aunque la Ley 1581 de 2012 prohíbe el tratamiento de los datos personales de los niños, niñas y adolescentes, salvo aquellos que por su naturaleza son públicos, la Corte Constitucional precisó que independientemente de la naturaleza del dato, se puede realizar el tratamiento de éstos “siempre y cuando el fin que se persiga con dicho tratamiento responda al interés superior de los niños, niñas y adolescentes y se asegure sin excepción alguna el respeto a sus derechos prevalentes”.
Página 13 de 26
Tratamientos de datos personales de Personas Expuestas Públicamente – PEPs
Las “Personas Expuestas Públicamente” o “Personas expuestas políticamente” (PEPs) son aquellas cuya mayor exposición o riesgo deriva del ejercicio de un cargo público o función; o que por sus actividades tienen reconocimiento nacional o internacional.
En algunos casos específicos, como en los relativos a las comprobaciones y medidas conexas de prevención del blanqueo de capitales (PBC), identificación de los clientes (KYC) y Personas Expuestas Políticamente (PEP), puede resultar necesario realizar el tratamiento de datos personales de categoría especial. En estos casos, trataremos los datos personales únicamente cuando exista una base jurídica que podamos invocar o bien con arreglo a la Legislación de Protección de Datos
ENCARGADO TRATAMIENTO DE DATOS PERSONALES
El encargado del tratamiento es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales en nombre del Responsable del Tratamiento.
Deberes de los Encargados del tratamiento de datos personales
Los Encargados del Tratamiento de datos personales, deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la ley y en otras que rijan su actividad:
a) GarantizaralTitular,entodotiempo,elplenoyefectivoejerciciodelderechodehábeas data
b) Conservar la información bajo las condiciones de confidencialidad y seguridad necesaria para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento
c) Dar tratamiento a nombre del Responsable de los datos personales, conforme a los principios que los tutelan
d) Restringir el acceso a la información a las personas no autorizadas.
e) Realizar oportunamente la actualización, rectificación o supresión de los datos en los
términos de la presente ley
f) Actualizar la información reportada por los Responsables del Tratamiento dentro de los
cinco (5) días hábiles contados a partir de su recibo
g) Tramitar las consultas y los reclamos formulados por los Titulares en los términos
señalados en la ley
Página 14 de 26
h) Registrar en la base de datos la leyenda «reclamo de Habeas Data en trámite» en relación con la información personal que se discuta o cuestione por los Titulares, acorde con la forma en que se regule en la ley
i) Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio o por otra autoridad competente.
j) Garantizar el acceso a la información únicamente a las personas que pueden tener acceso a ella.
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los “políticas de Seguridad de la información” y existan riesgos en la administración de la información de los Titulares.
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
m) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley de Protección de datos personales y en especial, para la atención de consultas y reclamos por parte de los Titulares
TRATAMIENTO DE DATOS PERSONALES
El Tratamiento de datos se realizará exclusivamente para las finalidades autorizadas y previstas en la presente Política y en las autorizaciones específicas otorgadas por parte del titular. De la misma forma se realizará Tratamiento de Datos Personales cuando exista una obligación legal o contractual para ello.
QUIFARMA informará previamente a los Titulares los datos personales que se requieren y el motivo por el cual se solicita la información, entendiendo que dicha finalidad estará siempre relacionada con:
• El vínculo laboral, antes, durante y después del contrato de trabajo
• Finalidad con la relación contractual con los proveedores y clientes
QUIFARMA implementará en los contratos laborales o de prestación de servicio, en los contratos con los proveedores y con los clientes, un texto, formato o autorización, con el fin de que el Titular autorice de manera previa y expresa el tratamiento de sus datos personales, relacionados con la ejecución del contrato correspondiente. Lo que incluirá la autorización de recolectar, modificar o corregir los datos personales del Titular.
En caso de que algún área dentro de la compañía identifique nuevos usos diferentes a los descritos en la presente política de tratamiento de datos personales, deberá informar al Oficial de Protección de Datos Personales, quien evaluará y gestionará, cuando aplique, su inclusión en la presente política.
Página 15 de 26
El texto, formato o autorización también incluirá la autorización por parte del Titular, para que algunos de los datos puedan ser entregados a terceros por parte de QUIFARMA, de acuerdo con la finalidad de la relación contractual.
Autorización y consentimiento del Titular
El Tratamiento de Datos Personales realizados por QUIFARMA, requiere del consentimiento libre, previo, expreso e informado del Titular de dichos datos.
QUIFARMA, en su condición de Responsable del Tratamiento de Datos Personales, ha dispuesto los mecanismos necesarios para obtener la autorización por parte del Titular de la información, al momento de la recolección del dato personal, dependiendo del medio en que se obtengan, sea verbalmente y/o por medio de un documento escrito, físico o digital, que permita asegurar su posible verificación del otorgamiento de dicha autorización, con las medidas necesarias para su conservación y custodia.
Quien acceda a los datos personales sin que medie autorización previa, deberá en todo caso cumplir con las disposiciones contenidas en la ley y en la presente políticas de tratamiento de datos personales.
Finalidades del tratamiento de datos personales
El tratamiento de Datos Personales por parte de QUIFARMA tendrá las siguientes finalidades:
Clientes:
El tratamiento de los datos personales de los clientes recolectados por los diferentes canales de comunicación, cumplen diferentes objetivos:
• Desarrollar el objeto social de la empresa
• Registrar o actualizar su información como cliente en los sistemas informáticos y demás
recursos tecnológicos de la Compañía, permitiendo el desarrollo de las actividades jurídicas, contables, administrativas y financieras propias del relacionamiento comercial, siendo necesaria la transmisión o transferencia nacional o internacional de datos personales con aliados o proveedores que soportan la infraestructura tecnológica.
• Gestionar los aspectos comerciales y logísticos asociados a la venta y entrega de productos a través de los distintos canales de atención y venta, generando indicadores o datos complementarios para el análisis, evaluación, control y mejora de procesos operativos y comerciales.
• Soportar al cliente en la atención de peticiones, quejas, reclamaciones o solicitudes en general asociadas a la venta, entrega y calidad de los productos de la Compañía.
• Realizar eventuales comunicaciones con fines de mercadeo o publicitarios, así como noticias o eventos asociados a la actividad de la Compañía.
Página 16 de 26
• Desarrollar directamente o través de terceros, labores de fidelización, publicidad, mercadeo y en general campañas para beneficios al cliente
• Suministrar la información a terceros con los cuales tenga relación contractual y cuya entrega sea necesaria, para el cumplimiento del objeto contratado.
• Evaluar el uso del presente canal, generando información histórica, estadística, reportes e informes para análisis interno.
Funcionarios y exfuncionarios:
El tratamiento de datos personales de los funcionarios y exfuncionarios estará enmarcado en la relación laboral, y cuyo objetivo será garantizar los derechos y deberes de los funcionarios y exfuncionarios de QUIFARMA de acuerdo con el Código Sustantivo del Trabajo, respetando en todo caso la Ley 1581 de 2012.
• Solicitar la información, que esté siempre relacionada con el vínculo laboral, antes, durante y después del contrato de trabajo.
• Solicitar la autorización previa para recolectar, modificar o corregir, datos personales del titular.
• Suministrar la información a terceros con los cuales tenga relación contractual y cuya entrega sea necesaria, para el cumplimiento del objeto contratado.
• Dar cumplimiento a las obligaciones contraídas por QUIFARMA con el Titular de la Información, con relación al pago de salarios, prestaciones sociales y demás retribuciones consagradas en el contrato de trabajo o según lo disponga la ley
• La información será utilizada en los procesos de Gestión Humana, tales como: selección de personal, contratación laboral, compensación, formación, relación laboral, bienestar, evaluación de desempeño, remuneración y beneficios laborales, entre otros.
• El cumplimiento de requisitos para acceder al Sistema General de Seguridad Social Integral
• Ofrecer programas de bienestar corporativo y planificar actividades empresariales, para el titular y sus beneficiarios (hijos, cónyuge, compañero permanente).
• En caso de datos biométricos capturados a través de sistemas de videovigilancia o grabación su tratamiento tendrá como finalidad la identificación, seguridad y la prevención de fraude interno y externo.
• Transmitir los datos personales fuera del país a terceros con los cuales QUIFARMA haya suscrito un contrato de procesamiento de datos y sea necesario entregársela para el cumplimiento del objeto contractual.
Proveedores:
El tratamiento de los datos personales de los proveedores / contratistas, se recolectan con la finalidad de:
• Contactar para el proceso de negociación de contratos con proveedores.
Página 17 de 26
• Solicitar propuestas comerciales con el propósito de adquirir bienes y/o servicios
• Contactar para todos los efectos relacionados con la ejecución y cumplimiento del
objeto contractual
• Realizar todos los trámites internos y el cumplimiento de obligaciones contables,
tributarias y de ley
• Contactar para todos los efectos relacionados con el cumplimiento de los derechos y
deberes del proveedor
• Dejar registro contable de las operaciones realizadas
• Evaluar la calidad de los servicios prestados
• El trámite de la solicitud de cotizaciones como proveedor.
• Mantener un archivo digital que permita contar con la información correspondiente a
cada contrato.
• Envío de información relativa a los servicios ofrecidos por QUIFARMA, encuestas de
satisfacción de clientes, ofertas comerciales, promociones e invitaciones a eventos.
• Invitar a participar como asistente, conferencista o patrocinador en eventos y/o
capacitaciones que se organicen
• Y demás actividades necesarias para el cumplimiento de las diferentes etapas
contractuales en las relaciones con proveedores y contratistas
Miembros de junta directiva:
El tratamiento de los datos personales de los miembros de junta directiva y asistentes de comités, se recolectan con la finalidad de:
• Realizar las citaciones respectivas a la Asamblea, Junta Directiva y Comités.
• Remitir los estudios y análisis que desarrolla QUIFARMA en cumplimento de su objeto
social.
Prohibiciones
En desarrollo de la presente política de la empresa QUIFARMA, se establecen las siguientes prohibiciones y sanciones, como consecuencia del incumplimiento, que se materializan en los riesgos que se asume por un indebido tratamiento de datos personales
1. QUIFARMA prohíbe el acceso, uso, gestión, cesión, comunicación, almacenamiento y cualquiera otro tratamiento de datos personales de carácter sensible, sin autorización del Titular del dato personal o de QUIFARMA.
El incurrir en esta prohibición por parte de los empleados de QUIFARMA, acarreará las sanciones a que haya lugar de conformidad con la ley.
En los contratos con los proveedores, en los que el objeto contratado tenga relación con datos personales, se pactará una previsión en relación con los perjuicios que se pueden
Página 18 de 26
llegar a ocasionar a QUIFARMA como consecuencia de la imposición de multas, sanciones operativas, entre otras, por parte de las autoridades competentes y como consecuencia del obrar imprudente o negligente del proveedor.
2. QUIFARMA prohíbe a los destinatarios de esta política cualquier tratamiento de datos personales que pueda dar lugar a alguna de las conductas descritas en la ley de delitos informáticos 1273 de 2009. Salvo que se cuente con la autorización del Titular del dato y/o de QUIFARMA, según el caso.
3. QUIFARMA solamente gestionará el tratamiento de datos personales de niños y adolescentes menores de edad con el consentimiento expreso, previo e informado de sus representantes o de las personas que ostenten la representación del menor, para las finalidades requeridas. En cuanto a las actividades con los hijos menores de edad de los empleados y en todo caso se deberán asegurar los derechos prevalentes que la Constitución Política reconoce a estos, en armonía con la Ley 1098 de 2006 – Código de la Infancia y la Adolescencia.
Procedimiento para solicitudes de actualización, corrección, supresión, revocatoria de la autorización o para presentar reclamos
QUIFARMA, en cumplimiento de la ley 1581 de 2012 y el decreto 1377 de 2013, ha implementado procedimientos para brindar atención a consultas, peticiones y reclamos, los cuales el Titular puede emplear para ejercer sus derechos a conocer, actualizar, rectificar, suprimir los datos o rectificar la Autorización en los términos que la ley establece.
Las solicitudes físicas que se deseen formular se deberán radicar ante el área administrativa de QUIFARMA, en los horarios de lunes a viernes, de 08:00 am a 04:30 pm, en la dirección Calle 61 #51D – 57, Edificio Juan del Corral, Of. 202 de la ciudad de Medellín.
Consultas:
La empresa dispondrá de mecanismos para que el titular, sus causahabientes, sus representantes y/o apoderados, aquellos a quienes se ha estipulado a favor de otro o para otro, y/o los representantes de menores de edad titulares, formulen consultas respecto de cuáles son los datos personales del titular que reposan en las bases de datos de la empresa.
El Oficial de Protección de Datos Personales, será el responsable de recibir y dar trámite a las solicitudes remitidas, en los términos, plazos y condiciones establecidos en la Ley 1581 de 2012 y en las presentes políticas.
Página 19 de 26
Las consultas dirigidas a QUIFARMA deberán contener como mínimo la siguiente información: §Nombres y apellidos del Titular y/o su representante y/o causahabientes
§ Lo que se pretende consultar
§Dirección física, electrónica y teléfono de contacto del Titular y/o sus causahabientes
o representantes
§ Firma, número de identificación o procedimiento de validación correspondiente §Haber sido presentada por los canales dispuestos por QUIFARMA para la consulta
Plazos de Respuesta a consultas:
Las solicitudes recibidas mediante los anteriores medios serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.
Prórroga del plazo de Respuesta:
En caso de imposibilidad de atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los diez (10) días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
Reclamos, corrección o actualización:
QUIFARMA y/o los Encargados, garantizarán a los titulares de datos personales contenidos en nuestras bases de datos o a sus causahabientes, el derecho de corregir o actualizar los datos personales que reposen en nuestras bases de datos o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la ley, mediante presentación de reclamación por cualquiera de los canales de atención habilitados para este fin, cuando consideren que se cumplen los parámetros establecidos por la ley o los señalados en la presente Política de Tratamiento de Datos Personales, para que sea procedente la solicitud de Corrección o Actualización.
Las reclamaciones presentadas deberán contener como mínimo la siguiente información, de conformidad con el artículo 15 de la ley 1581 de 2012:
a) Elreclamosedeberáformulardemaneraescrita,seaestedigitalofísica,mediantesolicitud radicada ante QUIFARMA por cualquiera de los canales dispuestos para este fin.
b) La solicitud debe contener la siguiente información:
• Nombre del Titular
• Los documentos que acrediten la identidad del Titular, o la representación de su
representante
• Los datos de contacto (dirección física y/o electrónica y teléfonos de contacto)
• La descripción clara y precisa de los datos personales respecto de los cuales el Titular
busca ejercer alguno de los derechos
Página 20 de 26
• La descripción de los hechos que dan lugar al reclamo
• Los documentos que soportan la solicitud y que desee hacer valer
c) Silainformacióndelreclamoresultaincompleta,QUIFARMArequeriráalinteresadodentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento, sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
d) En el caso de que QUIFARMA no sea competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
e) Unavezrecibidoelreclamocompleto,seincluiráenlabasededatosunaleyendaquediga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda se mantendrá hasta que el reclamo sea resuelto.
f) QUIFARMA, contará con un término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Supresión del Dato
El Titular tiene el derecho a solicitar a QUIFARMA la supresión (eliminación) total o parcial de sus datos personales, contenidos en sus registros, archivos, bases de datos o tratados por QUIFARMA, cuando:
1. En el Tratamiento de sus datos no se respeten los principios, deberes y garantías constitucionales y legales.
2. Hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recolectados.
3. Se haya superado el periodo necesario para el cumplimiento de los fines para los que fueron recolectados.
4. Es importante tener en cuenta, que el derecho de supresión no es absoluto y el Responsable puede negar el ejercicio del mismo, cuando:
• La solicitud de supresión de la información no procederá, cuando el Titular cuenta con un deber legal o contractual de permanecer en la base de datos.
Página 21 de 26
• La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas.
• Los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular, para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el Titular.
En caso de resultar procedente la Supresión de los datos personales del titular de la base de datos conforme a la reclamación presentada, QUIFARMA, deberán realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información, sin embargo, el Titular deberá tener en cuenta que en algunos casos cierta información deberá permanecer en registros históricos por cumplimiento de deberes legales de la organización por lo que su supresión versará frente al tratamiento activo de los mismos y de acuerdo a la solicitud del titular.
Revocatoria de la Autorización
El Titular del dato podrá revocar su autorización, en virtud de la solicitud libre y voluntaria, cuando no exista una obligación legal o contractual, que imponga al Titular el deber de permanecer en la referida base de datos.
El Titular de los datos personales puede revocar su consentimiento, cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
QUIFARMA procederá con la revocatoria de la autorización, cuando la Superintendencia de Industria y Comercio haya determinado que, en el Tratamiento, el Responsable o Encargado, han incurrido en conductas contrarias a la ley y a la Constitución.
QUIFARMA actuando en condición de Encargado del tratamiento
QUIFARMA, actúa como encargado del tratamiento de datos personales en los casos, en los que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta de un responsable del tratamiento.
En caso de que se QUIFARMA detente la condición de Encargado del tratamiento de datos personales, comunicará al Responsable del dato personal cualquier clase de solicitud de consulta o reclamo presentada por parte de un Titular o interesado en el dato personal.
De igual forma, se le enviará copia de tal comunicación al titular del dato o interesado, para que tenga conocimiento sobre la identidad del responsable del dato personal y en consecuencia, del obligado principal de garantizar el ejercicio de su derecho.
Página 22 de 26
Transferencias y transmisiones internacionales de datos personales
QUIFARMA podrá transferir y transmitir los datos personales a terceros con quienes tenga relación operativa que le provean servicios necesarios para su debida operación o de conformidad con las funciones establecidas a su cargo en las leyes. En dichos supuestos, se adoptarán las medidas necesarias para que las personas que tengan acceso a los datos personales cumplan con la presente Política y con los principios de protección de datos personales y obligaciones establecidas en la Ley.
Para la transmisión y transferencia de datos personales, QUIFARMA aplicarán las siguientes reglas:
a) Para las transferencias internacionales de datos personales, dará cumplimiento a lo previsto en el artículo 26 de la Ley 1581 de 2012.
b) Validar los niveles y estándares de los países a los cuales se les realizará transferencia o trasmisión de datos personales, con el objetivo de confirmar que cuenten con los niveles adecuados de protección de datos personales, acorde con la ley.
c) Garantizar que se encuentra facultado para transferir o transmitir datos personales a otro país
d) Determinarlosmecanismosadecuadosparalatransmisióninternacionalparagarantizarla seguridad y confidencialidad de la información
e) Establecercómoseprobaránlasmedidasdelprincipioderesponsabilidaddemostrada(es práctico suscribir contratos o documentos físicos o electrónicos que puedan presentar como prueba del cumplimiento)
f) Asegurar que el Encargado de la información cumple con las finalidades definidas en la Circular 5 de 2017 de la Superintendencia de Industria y Comercio.
En todos los casos, cuando QUIFARMA transmita los datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia, establecerá cláusulas contractuales o celebrará un acuerdo de transmisión de datos personales, donde el Encargado se comprometerá a dar aplicación a las obligaciones establecidas por el responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables vigentes.
Además de las obligaciones que impongan normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:
1. Dar Tratamiento, en nombre del responsable, a los datos personales conforme a los principios que los tutelan.
2. Implementar medidas de seguridad en las bases de datos que contengan datos personales.
3. Guardarconfidencialidadrespectodeltratamientodelosdatospersonales.
Página 23 de 26
Video Vigilancia
QUIFARMA cuenta con cámaras de video vigilancia las cuales se emplean para las finalidades específicas, explícitas y legítimas y no se inspeccionan áreas en la que la intimidad del titular prime (tales como áreas privadas).
QUIFARMA podrá utilizar diversos medios de video vigilancia en diferentes sitios internos. Es por esto que, informamos de la existencia de estos mecanismos mediante la difusión de anuncios de video vigilancia en sitios visibles, todos ubicados de manera estratégica para su fácil identificación.
El sistema es utilizado para garantizar la seguridad de los bienes, instalaciones y personas que se encuentren en éstas. Esta información puede ser empleada como prueba en cualquier tipo de proceso ante autoridades administrativas o judiciales con sujeción y cumplimiento de las normas aplicables.
El sistema de CCTV interno será operado por la persona encargada de Salud y Seguridad en el Trabajo (SST)
Las imágenes grabadas y almacenadas por los sistemas de CCTV tendrán acceso restringido y solo podrán acceder a las mismas el Oficial de Protección de Datos Personales o persona autorizada con una orden expresa de su parte; ninguna otra persona tendrá derecho a ver o a acceder a las imágenes del CCTV salvo que exista una orden de una autoridad competente encargada de garantizar el cumplimiento de la ley, de acuerdo con las finalidades para las que existe el sistema de CCTV.
Las imágenes son conservadas por un tiempo máximo de 90 días. En caso de que la imagen respectiva sea objeto o soporte de una reclamación, queja, o cualquier proceso de tipo judicial, hasta el momento en que sea resuelto.
Temporalidad de la información
En el tratamiento de datos personales que efectúa QUIFARMA, la permanencia de los datos en sus bases de datos estará determinada por el periodo de vigencia que corresponda a la finalidad para el cual se autorizó su tratamiento y de las normas especiales que regulen la materia, así como aquellas normas que establezcan el ejercicio de las funciones legales.
En consecuencia, agotada la finalidad para la cual se recolectaron los datos, QUIFARMA procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado.
Página 24 de 26
Entrega de datos personales a autoridades
Cuando las autoridades judiciales o estatales soliciten a QUIFARMA el acceso o entrega de datos de carácter personal contenidos en cualquiera de nuestras bases de datos, se verificará la legalidad de la petición, la pertinencia de los datos solicitados en relación con la finalidad expresada por la autoridad y se documentará la entrega de la información personal solicitada, previendo que la misma cumpla con todos sus atributos (autenticidad, confiabilidad, integridad y disponibilidad); advirtiendo el deber de protección sobre estos datos, tanto al funcionario que hace la solicitud, a quien la recibe, así como a la entidad para la cual estos laboran.
Se prevendrá a la autoridad que requiera la información personal, sobre las medidas de seguridad que aplican a los datos personales entregados y los riegos que conllevan su indebido uso e inadecuado tratamiento.
Seguridad de la Información
QUIFARMA ha adoptado medidas de seguridad física, lógicas y administrativas, para el tratamiento de los datos personales objeto de regulación en la presente política; las cuales se clasifican en nivel alto, medio y bajo, derivado a la criticidad de los datos personales tratados y conforme al riesgo que se pueda derivar.
Se han implementado mecanismos de seguridad de la información, físicos, digitales y administrativas, que permiten evitar la vulneración al derecho a la privacidad y a la confidencialidad de la información; así como para minimizar los riesgos de fallas de seguridad o indebidos tratamientos de los datos personales.
Estos lineamientos son complementarios a las políticas, procedimientos o instructivos generales actualmente existentes e implementados, entre las que se encuentran las políticas y procedimientos de gestión de datos e información y en ningún momento pretenden remplazarlas o desconocerlas.
Vigencia de la política
La presente política aplicará a partir del día 01 de marzo de 2022.
Esta Política podrá ser modificada por QUIFARMA Cualquier cambio sustancial en las políticas de Tratamiento de datos personales, QUIFARMA de forma oportuna a los titulares de los datos, por los medios habituales de contacto y/o a través del sitio web: https://www.solor.com.co/