dando cumplimiento a lo dispuesto por la Ley 1581 de 2012 que regula la recolección, almacenamiento, uso, circulación, supresión y de todas aquellas actividades que constituyan tratamiento de datos personales , y que además establece las garantías legales que deben cumplir todas las personas en Colombia para el debido tratamiento de dicha información, realiza y publica la siguiente norma que desarrolla la política de seguridad de la información para el tratamiento de datos personales dentro de la organización.
Para efectos de la ejecución de la presente política y de conformidad con la normatividad legal, serán aplicables las siguientes definiciones:
Authorization: Prior, express and informed consent of the Holder to carry out the processing of personal data.
viso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el Responsable que se pone a disposición del Titular para el tratamiento de sus datos personales. En el Aviso de Privacidad se comunica al Titular la información relativa a la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las características del tratamiento que se pretende dar a los datos personales. Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
Base de datos personales: Es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Base de datos automatizada: Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas y/o aplicaciones de computador.
Base de datos no automatizada: Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas y/o aplicaciones de computador.
Cesión de datos: Tratamiento de datos que supone su revelación a una persona diferente al titular del dato o distinta de quien estaba habilitado como cesionario.
Custodio de la base de datos: Es (son) la (s) persona(s) física (s) que tiene (n) bajo su custodia las bases de datos personales al interior de .
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales.
Dato público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y que no sea semiprivado, privado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio, a su calidad de comerciante o de servidor público y aquellos que puedan obtenerse sin reserva alguna. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales.
Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
Fuentes Accesibles al Público : Se refiere a aquellas bases de datos personales cuya consulta puede ser realizada, por cualquier persona, que puede incluir o no el pago de una contraprestación a cambio del servicio de acceso a tales datos. Tienen esta condición de fuentes accesibles al público las guías telefónicas, los directorios de la industria o sectoriales, entre otras, siempre y cuando la información se limite a datos personales de carácter general o que contenga generalidades de ley. Tendrán esta condición los medios de comunicación impresos, diario oficial y demás medios de comunicación.
Habeas Data: Derecho fundamental de toda persona para conocer, actualizar, rectificar y/o cancelar la información y datos personales que de ella se hayan recolectado y/o se traten en bases de datos públicas o privadas, conforme lo dispuesto en la ley y demás normatividad aplicable.
Procedimiento de análisis y creación de Información: Es la creación de información respecto de una persona, a partir del análisis y tratamiento de los datos personales recolectados y autorizados, para fines de analizar y extraer perfiles o hábitos de comportamiento, que generan un valor agregado sobre la información obtenida del titular de cada dato personal.
Procedimiento de Disociación: Hace referencia a todo tratamiento de datos personales donde la información que se obtiene no puede asociarse a una persona identificada o identificable.
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre las bases de datos y/o el Tratamiento de las mismas.
Titular: Persona natural cuyos datos personales pueden ser objeto de Tratamiento.
Tratamiento: Cualquier operación(es) sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión de los mismos.
Usuario: Es la persona natural o jurídica que tiene interés en el uso de la información de carácter personal.
Violación de datos personales: Es el delito creado por la ley 1273 de 2009, contenido en el artículo 269 F del Código Penal Colombiano. La conducta prohibida es la siguiente: “El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”.
Violaciones de las Medidas de Seguridad de los Datos Personales: Será considerado incidente de seguridad aquella situación que implique una violación de las medidas de seguridad adoptadas por para proteger los datos personales entregados para su custodia, sea como Responsable y/o Encargado, así como cualquier otra conducta que constituya un tratamiento inadecuado de datos personales en contravía de lo aquí dispuesto o de lo señalado en la Ley.