Política de Privacidad y Confidencialidad
Elaborado por:
Carlos Sandoval Enciso
Aprobado por:
Gerencia SafePharma
Fecha:
26-abril-2021
Versión:
0001/2021
Introducción
SafePharma SAS., es responsable con la política para la protección y tratamiento de la información y las bases de datos personales de nuestros colaboradores, proveedores, clientes y contratistas, dando cumplimiento a los requisitos establecidos por la ley 1581 de 2012 y demás normas concordantes, por la cual, se dictan las pautas normativas para la protección de los datos personales, adoptando una políticas y procedimientos que garanticen el adecuado cumplimiento de la ley y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.
Alcance:
Los principios y disposiciones de la presente política aplican para todos los datos personales de los trabajadores, contratistas, proveedores, clientes, socios y demás grupos de interés con los cuales mantiene vínculos la compañía SafePharma SAS.
Política de Privacidad y confidencialidad de Datos
Dando cumplimiento a lo dispuesto en la Ley estatutaria 1581 de 2012 y los decretos que la reglamentan, SafePharma adopta la presente política de privacidad y confidencialidad para el tratamiento y protección de los datos personales, la cual podrá ser conocida por todos los titulares de los datos recolectados en cumplimento de las actividades misionales, objetivos y funciones del SafePharma según el decreto 4107 de 2011. De esta manera, SafePharma manifiesta que garantiza los derechos a la intimidad personal y familiar y al buen nombre de los usuarios durante el tratamiento de los datos personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
I. Marco Legal
Constitución Política de Colombia, artículos 15 y 20. Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales. Ley 1712 de 2014, por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones. Decreto 1727 de 2009, por el cual se determina la forma en la cual los operadores de los bancos de datos de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, deben presentar la información de los titulares de la información. Decreto 235 de 2010, por el cual se regula el intercambio de información entre entidades para el cumplimiento de funciones públicas Decreto 2280 de 2010, por el cual se modifica el artículo 3° delDecreto 235 de 2010. Decreto 1377 de 2013, por el cual se reglamenta parcialmente la Ley 1581 de 2012.
Decreto 886 de 2014, por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012, relativo al Registro Nacional de Bases de Datos. Decreto 103 de 2015, títulos I, II, III, IV, por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones. Decreto 1081 de 2015, capitulo 4, por medio del cual se expide el Decreto Reglamentario Único del Sector Presidencia de la República. Sentencia C-748 de 2011, control constitucional al Proyecto de Ley Estatutaria No.184 de 2010 Senado; 046 de 2010 Cámara, “por la cual se dictan disposiciones generales para la protección de datos personales”.
II. Definiciones
Para los efectos de la presente política y en concordancia con la normatividad vigente en materia de protección de datos personales, se tendrán en cuenta las siguientes definiciones:
• Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
• Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
• Causahabiente: Persona que ha sucedido a otra por causa del fallecimiento de ésta (heredero).
• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
• Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
• Titular: Persona natural cuyos datos personales sean objeto de tratamiento. 2 Las definiciones incluidas en este documento son tomadas de los artículos 3 y 4 de Ley 1581 de 2012.
• Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
• Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es responsable del tratamiento y se encuentra dentro o fuera del país.
• Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el encargado por cuenta del responsable.
III. Identificación del responsable del Tratamiento.
SafePharma Servicios Integrados S.A.S., NIT 901187019-0, Teléfono: (+57) 313-287-1266., Correo electrónico: info@safepharma.com.co, Página Web: https://www.safepharma.com.co
IV. ámbito de aplicación
La presente política será aplicable a los datos personales registrados en cualquier base, documento, guía, comunicado y estará guiado en Base a las Políticas de Privacidad y Confidencialidad.
V. PRINCIPIOS
Para efectos de garantizar la protección de datos personales, SafePharma Servicios Integrados de Salud, aplicará de manera armónica e integral los siguientes principios, a la luz de los cuales se deberá realizar el tratamiento, transferencia y transmisión de datos personales
• Principio de legalidad: El tratamiento de datos personales debe estar sujeto a lo establecido en la normatividad vigente y aplicable.
• Principio de finalidad: la actividad del tratamiento de datos personales que realice SafePharma Servicios Integrados o a la cual tuviere acceso, obedecerán a una finalidad legítima en consonancia con la Constitución Política de Colombia, la cual deberá ser informada al respectivo titular de los datos personales.
• Principio de libertad: el tratamiento de los datos personales sólo puede realizarse con el consentimiento, previo, expreso e informado del titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
• Principio de veracidad o calidad: la información sujeta a tratamiento de datos personales debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error. Principio de transparencia: En el tratamiento de datos personales, SafePharma Servicios Integrados garantizará al titular su derecho de obtener en cualquier momento y sin restricciones, información acerca de la existencia de cualquier tipo de información o dato personal que sea de su interés o titularidad.
• Principio de acceso y circulación restringida: El tratamiento de datos personales se sujeta a los límites que se derivan de la naturaleza de éstos, de las disposiciones de la ley y la Constitución. En consecuencia, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la normatividad vigente. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley. 3
Los principios incluidos en este documento son tomados de la normatividad vigente en Colombia que regula la protección de datos personales y de la guía técnica para la implementación de políticas de seguridad y privacidad de la información del Manual de Gobierno en Línea.
• Principio de seguridad: la información sujeta a tratamiento por SafePharma Servicios Integrados, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Principio de confidencialidad: Todas las personas que en SafePharma Servicios Integrados SAS, administren, manejen, actualicen o tengan acceso a la información de cualquier tipo que se encuentre en las bases de datos, están obligadas a garantizar la reserva de la información, por lo que se comprometen a conservar y mantener de manera estrictamente confidencial y no revelar a terceros la información que llegaren a conocer en la ejecución y ejercicio de sus funciones; salvo cuando se trate de actividades autorizadas expresamente por la ley de protección de datos. Esta obligación persiste y se mantendrá inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento de los datos.
VI. Derechos de Los Titulares: De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los siguientes son los derechos de los titulares de los datos personales:
a) Acceder, conocer, actualizar y rectificar sus datos personales frente a SafePharma en su condición de responsable o encargado del tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
b) Solicitar prueba de la autorización otorgada a SafePharma para el tratamiento de datos personales, mediante cualquier medio válido, salvo en los casos en que no es necesaria la autorización5.
c) Ser informado por SafePharma, previa solicitud, respecto del uso que les da a sus datos personales.
d) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento SafePharma han incurrido en conductas contrarias a la Ley 1581 de 2012.
e) Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento, al menos una vez cada mes calendario, y cada vez que existan modificaciones sustanciales de la presente política que motiven nuevas consultas.
Estos derechos podrán ser ejercidos por: 4 Ley 1581 de 2012. Artículo 8. 5 Ley 1581 de 2012. a) El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición b) Los causahabientes del titular, quienes deberán acreditar tal calidad. c) El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento. d) A los terceros autorizados por el titular o por la ley6.
Con respecto a los derechos de los niños, niñas y adolescentes, SafePharma asegura el respeto de los derechos prevalentes de los menores, quedando prohibido cualquier tratamiento de sus datos personales salvo aquellos que sean de naturaleza pública y cuando sea el caso se deberá cumplir con los siguientes requisitos adicionales: a) Responder y respetar el interés superior de los niños, niñas y adolescentes. b) Asegurar el respeto de los derechos fundamentales de los niños, niñas y adolescentes.
VII. Deberes del SafePharma como responsable y encargado del tratamiento.
En el tratamiento y protección de datos personales, SafePharma tendrá los siguientes deberes, sin perjuicio de otros previstos en las disposiciones que regulen o lleguen a regular esta materia: a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data. b) Solicitar y conservar, copia de la respectiva autorización otorgada por el titular para el tratamiento de datos personales. c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en virtud de la autorización otorgada. d) Conservar la información bajo las condiciones de seguridad necesarias k) Adoptar un manual de políticas y procedimientos para garantizar la adecuada protección de datos personales. l) Informar a solicitud del titular sobre el uso dado a sus datos. m) Cumplir los requerimientos e instrucciones que imparta la Superintendencia de Industria y Comercio sobre el tema en particular. n) Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012. o) Velar por el uso adecuado de los datos personales de los niños, niñas y adolescentes, en aquellos casos en que se está autorizado el tratamiento de sus datos. p) Registrar en la base de datos las leyenda «reclamo en trámite» en la forma en que se regula en la Ley 1581 de 2012. q) Insertar en la base de datos la leyenda «información en discusión judicial» una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal. r) Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. s) Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella. t) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. u) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. v) Usar los datos personales del titular sólo para aquellas finalidades para las que se encuentre facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos personales.
VIII. AUTORIZACIÓN DEL TITULAR SafePharma no requiere autorización del titular cuando obtenga información personal para el cumplimiento de sus funciones. Manifestación de la autorización La autorización SafePharma para el tratamiento de los datos personales será otorgada por: a) El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a disposición. b) Los causahabientes del titular, quienes deberán acreditar tal calidad. c) El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento. d) Otro a favor o para el cual el titular hubiere estipulado. Medios para otorgar la autorización. SafePharma obtendrá la autorización mediante diferentes medios, entre ellos el documento físico, electrónico, mensaje de datos, internet, sitios web, o en cualquier otro formato que en todo caso permita la obtención del consentimiento mediante conductas inequívocas a través de las cuales se concluya que de no haberse surtido la misma por parte del titular o la persona legitimada para ello, los datos no se hubieran almacenado o capturado en la base de datos. La autorización será solicitada por SafePharma de manera previa al tratamiento de los datos personales. Prueba de la autorización, SafePharma conservará la prueba de la autorización otorgada por los titulares de los datos personales para su tratamiento, para lo cual utilizará los mecanismos disponibles a su alcance en la actualidad al igual que adoptará las acciones necesarias para mantener el registro de la forma y fecha y en la que obtuvo ésta. En consecuencia, SafePharma podrá establecer archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados para tal fin. Revocatoria de la autorización. Los titulares de los datos personales pueden en cualquier momento revocar la autorización otorgada a SafePharma para el tratamiento de sus datos personales o solicitar la supresión de los mismos, siempre y cuando no lo impida una disposición legal o contractual. Para revocar una autorización o solicitar la supresión los datos personales, deberá tenerse en cuenta que puede expresarse, por una parte, de manera total en relación con las finalidades autorizadas, y por lo tanto SafePharma deberá cesar cualquier actividad de tratamiento de los datos; y por la otra de manera parcial en relación con ciertos tipos de tratamiento, en cuyo caso serán estos sobre los que cesarán las actividades de tratamiento. En este último caso, SafePharma podrá continuar tratando los datos personales para aquellos fines en relación con los cuales el titular no hubiera revocado su consentimiento. Personas a quienes se les puede suministrar información. Conforme al artículo 13 de la Ley 1581 de 2012, SafePharma podrá suministrar información que reúna las condiciones establecidas en dicha Ley a las siguientes personas: a) A los titulares, sus causahabientes o sus representantes legales. b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial. c) A los terceros autorizados por el titular o por la ley.
IX. PROCEDIMIENTO PARA CONOCER, ACTUALIZAR, RECTIFICAR Y SUPRIMIR INFORMACIÓN Y REVOCAR LA AUTORIZACIÓN. SafePharma a través del link de solicitudes, sugerencias, quejas o reclamos publicado en su página web o directamente en la oficina de atención al ciudadano, permitirá al titular ejercer los derechos a conocer, actualizar, rectificar, suprimir información y revocar la autorización.
X. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS Y FINALIDAD DEL MISMO La recolección y tratamiento de los datos personales tiene las siguientes finalidades: a) Desarrollar la misión institucional, cumpliendo los objetivos y funciones según el decreto 4107 de 2011 y las normas que le fijen funciones a Safepharma. b) Cumplir la normatividad vigente. c) Gestionar y administrar los trámites y servicios ofrecidos por el SafePharma. d) Enviar por medios tradicionales y electrónicos información relacionada con SafePharma, sus programas, actividades, noticias y demás trámites y servicios ofrecidos por la entidad. e) Tramitar servicios de Gobierno en Línea.
Finalidad
SafePharma, recopila continuamente información (datos personales) de los colaboradores, proveedores, candidatos en procesos de selección, clientes, acreedores y aliados estratégicos para llevar a cabo distintas finalidades y usos dentro del desarrollo de su objeto social, como los siguientes: 1. Administrativos 2. Promocionales y Comerciales 3. Mercadeo 4. Informativos 5. Campañas de Marketing y Publicidad 6. Acercamiento con trabajadores, proveedores, clientes y terceros vinculados a la organización. 7. Cumplimiento de las obligaciones laborales a cargo de la compañía 8. Desarrollar programas de bienestar (para los colaboradores).
XI. TRANSFERENCIA DE DATOS SafePharma no realizará transferencia de datos personales de ningún tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los exigidos por la Ley 1581 de 2012 con las excepciones previstas en su artículo 26. SafePharma en ejercicio de sus funciones, podrá celebrar contratos que impliquen la transmisión de datos con proveedores y contratistas quienes serán los encargados del tratamiento de la información. Los contratos estarán bajo control y responsabilidad de SafePharma, quien señalará el alcance, las actividades y las obligaciones del encargado del tratamiento para con el titular y SafePharma. Mediante dicho contrato el encargado se comprometerá a aplicar las obligaciones que disponga SafePharma según la presente política de privacidad y confidencialidad, cumplir con las obligaciones de protección y garantía que se derivan de la legislación aplicable y realizar el tratamiento de datos bajo el entendido que la información personal que reciban, únicamente podrá ser utilizada para asuntos directamente relacionados con SafePharma durante la vigencia del contrato y no podrá ser usada o destinada para propósito o fin diferente al contratado. Además de las obligaciones que impongan las normas aplicables dentro del contrato, SafePharma incluirá las siguientes obligaciones en cabeza del respectivo encargado del tratamiento: a) Dar tratamiento, a nombre de SafePharma, a los datos personales conforme a los principios que los tutelan. b) Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales. c) Guardar confidencialidad respecto del tratamiento de los datos personales. En igual sentido, las transmisiones internacionales de datos personales que se efectúen entre SafePharma y el encargado no requerirán ser informadas al titular ni contar con su consentimiento cuando medie un contrato de transmisión de datos personales de conformidad al artículo 25 del Decreto 1377 de 2013.
XII. POLÍTICA DE CONFIDENCIALIDAD Todo funcionario, contratista y/o tercero vinculado al SafePharma debe firmar un compromiso de confidencialidad y no divulgación de información. Lo anterior implica que la información conocida por todo funcionario, contratista y/o tercero, bajo ninguna circunstancia deberá ser revelada por ningún medio electrónico, verbal, escrito u otro, ni total ni parcialmente, sin contar con previa autorización. La firma del compromiso de confidencialidad y no divulgación de información se deberá realizar antes de otorgarse los permisos de ingreso a los sistemas de información.
XIII. DISPOSICIONES PARA LAS PERSONAS QUE ACCEDEN A DATOS PERSONALES De conformidad con la sentencia C-748/11 de la Corte Constitucional, cuando un funcionario, contratista y/o tercero accede a un dato personal adopta la posición jurídica de usuario dentro del proceso de administración de datos personales, lo que le impone el deber de garantizar los derechos fundamentales del titular de la información, previstos en la Constitución Política y en la Ley 1581 de 2012 y en consecuencia deberá: a) Guardar reserva de la información que le sea suministrada y utilizarla únicamente para los fines que justificaron la entrega, esto es, aquellos relacionados con la competencia funcional específica que motivó la solicitud de suministro del dato personal. b) Informar a los titulares del dato el uso que le esté dando al mismo.