Objetivo general

Dar tratamiento adecuado a la información recolectada de personas naturales o jurídicas que por actividades comerciales o contractuales se conservan en bases de datos físicas o electrónicas, garantizando la protección de los mismos.

Objetivos específicos

• Brindar los canales de comunicación a partes interesadas: clientes, proveedores, colaboradores, accionistas, socios, pensionados, y en general, la de todos los que por relación comercial se requiera para la adquirir los derechos como titulares de la información.

Responsables

• Gerentes de unidad de negocio
• Oficial de Protección de Datos Personales

Metas

0% de operaciones sospechosas

Descripción del programa

El Programa Integral de Datos de Personales consiste en desarrollar actividades que permitan garantizar la protección de los datos personales de las personas naturales o jurídicas de las partes interesadas, para lo cual:

1. Se considera datos personales: a toda pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica.
2. Los datos personales se clasifican en:
   • Dato público: Dato que no es semiprivado, privado o sensible, ejemplo: relativos al estado civil de las personas, su profesión u oficio, su calidad de comerciante o servidor público y aquellos que pueden obtenerse sin reserva alguna.
   • Dato semiprivado: Dato que no tiene naturaleza intima, reservada, ni púbica y cuyo conocimiento interesa al titular y a cierto sector o grupo de personas o a la sociedad en general, ejemplo: Datos Financieros y crediticios, dirección, teléfono, correo electrónico.
   • Dato privado: dato que solo es relevante para su titular, ejemplo: fotografías, videos, datos relacionados con su estilo de vida.
   • Dato sensible: Protección reforzada.
3. Derechos de los titulares:
   • Conocer, actualizar y rectificar la información
   • Prueba de autorización
   • Información sobre el uso
   • Revocar la autorización y/o solicitar supresión
   • Consulta gratuita
   • Quejarme ante la SIC
4. Deberes de los titulares
   • Garantizar que la información suministrada sea veraz, completa, exacta, actualizada y comprobable
   • Reportar las novedades de los datos suministrados
   • Rectificar la información cuando sea incorrecta
5. Obligaciones de los administradores de la información:
   
   • Guardar reserva sobre la información suministrada
   • Informar a los titulares sobre la utilización de la información suministrada
   • Conservar los controles establecidos en la empresa con el fin de impedir su deterioro, perdida, alteración, uso no autorizado o fraudulento.
6. El tratamiento de la información se realizara bajo los principios:
   • Veracidad y calidad de los registros: la información recolectada deberá ser veraz, completa, exacta, actualizada, comprobable, legible y los formatos no deben presentar tachones, ni enmendaduras. Se prohíbe el registro y divulgación de datos parciales, incompletos, fraccionados o que induzcan a error.
   • Finalidad: La administración de la información debe obedecer a una finalidad netamente de relación contractual o comercial con las partes interesadas, la finalidad deberá informarse al titular de la información previa o concomitantemente con el otorgamiento de la autorización, cuando ella sea necesaria o en general siempre que el titular solicite información al respecto.
   • Circulación restringida: La administración de datos personales se sujeta a los límites que se derivan de la naturaleza de los datos, personales especialmente de los principios de temporalidad de la información y la finalidad del banco de datos.
   • Temporalidad de la información: La información del titular no podrá ser suministrada a usuarios o terceros cuando deje de servir para la finalidad del banco de datos.
   • Interpretación integral de derechos constitucionales: Se realizara bajo el sentido en que se ampare adecuadamente los derechos constitucionales, como son el habeas data, el derecho al buen nombre, el derecho a la honra, el derecho a la intimidad y el derecho a la información.
   • Seguridad: La información que conforma los registros individuales constitutivos de los bancos de datos personales, así como la resultante de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas técnicas que sean necesarias para garantizar la seguridad de los registros evitando su adulteración, perdida, consulta o uso no autorizado.
   • Confidencialidad: Todos los colaboradores que intervengan en la administración de datos personales están obligados a dar cumplimiento a los controles establecidos por la empresa con el fin de garantizar la reserva de la información.
7. La circulación de la información recolectada o suministrada podrá ser entregada de manera verbal, escrita o puesta a disposición en los siguientes términos:
   • A los titulares, a las personas debidamente autorizadas por estos causahabientes mediante solicitud escrita del titular y radicada por los canales de comunicación establecidos.
   • A los usuarios de la información, dentro de los parámetros establecidos en los procedimientos del sistema de gestión.
   • A cualquier autoridad judicial, previa orden judicial.
   • A las entidades públicas del poder ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.
   • A los órganos de control y demás dependencias de investigación disciplinaria, fiscal o administrativa, cuando la información sea necesaria para el desarrollo de una investigación en curso.
   • A otros operadores de datos, cuando se cuente con autorización del titular, o cuando sin ser necesaria la autorización del titular el banco de datos de destino tenga la misma finalidad o una finalidad que comprenda la que tiene el operador que entrega los datos.
8. Conservación de la información: La información estará almacenada de forma segura, ordenada, en buen estado por el administrador de la información, la disposición final se realizara acorde a las tablas de retención documental establecida. 

Desarrollo del Programa

El presente programa se desarrollara en las siguientes etapas:

1. Inventario de las bases de datos: Se identifica las fuentes de recolección de información de la empresa, obteniendo:

• Proceso responsable de la recolección
• Formatos de recolección
• Motivo de la información
• Tipo de Información
• Clasificación de los datos
• Tipo de conservación
• Nombre de la base de datos
• Responsable de la información

1. Política de Tratamiento de Datos Personales: se encuentra disponible dentro del documento GE-DOC-05 Política de Tratamiento de Datos Personales, la cual estará disponible a las partes interesadas a través de la intranet. 
2. Identificación y Control de Riesgos: Se identifica los procesos que recolectan información, los riesgos a los cuales está expuesta la información, valoración del riesgo según su nivel de exposición y establecimiento de los controles para la mitigación del riesgo según el procedimiento GI-PT-05 Identificación y Evaluación de Riesgos.
3. Establecimiento de controles:

4.1. Proceso Comercial: Mediante el procedimiento de Gestión Comercial se establece las autorizaciones para el tratamiento de los datos recolectados de los clientes como se relaciona a continuación:

• Procedimiento GC- PT-01 Gestión comercial, Formato GC- FT-01 Estudio de Cliente.

4.2. Proceso de Operaciones: Mediante el Procedimiento de Operaciones se establece las autorizaciones para el tratamiento de los datos recolectados a los agentes de aduanas así:

• Procedimiento GO-PT-01 operaciones marítimas de importación, Procedimiento GO-PT-02 operaciones aéreas de importación, Procedimiento GO-PT-03 operaciones marítimas de exportación.     

4.3. Proceso de Proveedores: Mediante el procedimiento COM-PT-01 Selección y Contratación de Proveedores y se establece las autorizaciones para el tratamiento de datos de los proveedores, en el formato COM-FT-01 Registro de Proveedores.

4.4. Proceso Administrativo: Mediante el Procedimiento ADM-PT-01 Selección y Contratación de Personal y el procedimiento ADM-PT-04 Retiro de Personal se establece las autorizaciones para el tratamiento de datos recolectados a los colaboradores de las empresa, en el formato ADM-FT-24 Hoja de vida empresarial y el formato ADM-FT-13 Paz y Salvo.

• Divulgación de los procedimientos a los administradores de las bases de datos de las partes interesadas.
• Divulgación del Programa Integral de Gestión de Datos Personales a las partes interesadas
• Capacitación sobre los riesgos expuestos en el tratamiento de datos  

6.1.  Sucursal Bogotá

• Intranet
• Teléfono: 3906218
• Escrito: Calle 100 No 8ª-37 oficina 901

6.2.  Sucursal Yumbo

• Intranet
• Teléfono: 3906218
• Escrito: Carrera 23 No. 13 – 250 Acopi Yumbo

Amenazas

Operacional

Riesgo  

• Alteración de los documentos
• Perdida de la información
• Uso inadecuado de la información
• Inapropiada disposición final de la información

Aspectos legales

• Ley 1266 de 2008 Ley de Habeas Data Financiero
• Ley 1581 de 2012 Régimen General de Protección de Datos Personales
• Decreto 1074 de 2015 Reglamentario del sector Comercio, Industria y Turismo

Recursos Financieros y Tecnológicos

Los recursos financieros requeridos para el mantenimiento de la información en la intranet