Política de tratamiento de datos
Preámbulo
Dando cumplimento a lo dispuesto en la Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales" y a su Decreto Reglamentario 1377 de 2013, M3NS S.A.S. con NIT. 901645495 - 9 (la “Compañía”), adopta la presente Política para el Tratamiento de Datos Personales (la “Política”), la cual contiene el marco normativo y el procedimiento que desarrolla el Tratamiento de Datos Personales dentro de la Compañía, bajo el marco de seguridad de la información.
La Compañía manifiesta que garantiza los derechos de la privacidad, la intimidad y el buen nombre en el tratamiento de los Datos Personales (según este término se define más adelante), y en consecuencia sus actuaciones se regirán por los principios de legalidad, finalidad, libertad, veracidad, calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
De esta manera, todas las personas que suministren Datos Personales a la Compañía podrán conocer, actualizar, rectificar, suprimir la información entregada o revocar la autorización previamente otorgada.
- Definiciones:
Las expresiones utilizadas en mayúsculas en esta Política tendrán el significado que les sea otorgado o el significado que la Ley o la jurisprudencia aplicable les den, según dicha Ley o jurisprudencia sea modificada en el tiempo, los cuales serán igualmente aplicables a la forma singular o plural de dichos términos, ya bien sea que sean escritos en masculino, femenino o neutro. Cualquier diferencia que exista entre los términos aquí definidos y los establecidos en la Ley, se preferirán aquellos señalados en la Ley.
- Autorización: Consentimiento previo, expreso e informado del Titular de la información para llevar a cabo el Tratamiento de Datos Personales.
- Aviso de privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se informa acerca de la existencia de las políticas de Tratamiento de Datos Personales que le sean aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento de los Datos Personales.
- Base de Datos: Conjunto organizado de Datos Personales que sean objeto de Tratamiento.
- Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales, determinadas o determinables. Pueden ser datos numéricos, alfabéticos, gráficos, visuales, biométricos, auditivos, perfiles o de cualquier otro tipo.
- Dato Sensible: Aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, los datos biométricos y las imágenes.
- Dato Público: Es el Dato Personal que no sea Semiprivado, Privado o Sensible y pueda estar contenido, entre otros, en registros y documentos públicos, gacetas, boletines oficiales y sentencias judiciales debidamente ejecutoriadas y no sometidas a reserva.
- Dato Privado: Es el Dato Personal que por su naturaleza íntima o reservada solo es relevante para el Titular.
- Dato Semiprivado: Es el Dato Personal que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar no solo a su Titular, sino a cierto sector o grupo de personas.
- Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable.
- Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros recolecta y realiza el Tratamiento de Datos Personales.
- Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
- Transferencia de Datos: Tiene lugar cuando el Responsable y Encargado del Tratamiento de Datos Personales, ubicado en Colombia, envía la información o los Datos Personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
- Transmisión de Datos: Tratamiento de Datos Personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia, con el objeto de que un Encargado realice Tratamiento por cuenta del Responsable.
- Tratamiento: Cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación o supresión y en general el procesamiento de Datos Personales, así como su Transferencia o Transmisión a terceros a través de comunicaciones, consultas o mensajes de datos.
- Imágenes: Imágenes de personas determinadas o determinables captadas, grabadas, transmitidas o almacenadas por la Compañía.
Por medio de esta Política se pone en conocimiento de los Titulares de los Datos Personales (según estos términos se definen más adelante) los derechos que les asisten, los procedimientos y mecanismos dispuestos por la Compañía para hacerlos efectivos; se informa cuál es el proceso aplicable a la Compañía de atender las consultas, reclamos y quejas, y se da a conocer el alcance y la finalidad del Tratamiento al cual serán sometidos los Datos Personales en caso de que el Titular otorgue su autorización expresa, previa e informada a la Compañía.
Las reglas contenidas en esta Política, se expiden en cumplimiento a lo dispuesto en el Artículo 15 de la Constitución Política de Colombia y en la Ley 1581 de 2012, en cuanto a la garantía de la intimidad de las personas, ejercicio del habeas data y protección de datos personales, en concordancia con el derecho a la información, de manera que se regulen proporcionalmente estos derechos en la Compañía y se pueda prevenir la vulneración de los mismos.
Esta Política aplica para todos los Datos Personales registrados en las Bases de Datos de la Compañía y su cumplimiento es obligatorio para todas las áreas o cargos que realicen el Tratamiento de Datos Personales.
Todos los procesos de la Compañía, que involucren el Tratamiento de Datos Personales, deberán someterse a lo dispuesto en esta Política.
La Compañía, en el desarrollo de su objeto social recolectará, utilizará, almacenará, transmitirá, transferirá y en general tratará los Datos Personales de los Titulares, de conformidad con las finalidades establecidas en la presente Política. En todo Tratamiento de Datos Personales realizado por la Compañía, los Responsables, Encargados y terceros a quienes se les transfieran Datos Personales, deberán dar cumplimiento a los principios y reglas establecidas en la Ley y en esta Política, con el fin de garantizar el derecho a la protección de Datos Personales de los Titulares y dar cumplimiento a las obligaciones de Ley.
Los principios que rigen el Tratamiento de los Datos Personales son:
- Autorización previa: Todo Tratamiento de Datos Personales se llevará cabo una vez se haya obtenido la Autorización previa, expresa e informada del Titular, salvo que la Ley establezca una excepción a esta regla o que el consentimiento se otorgue en el ámbito de una relación contractual con la Compañía.
- Legalidad en materia de Tratamiento de Datos Personales: El Tratamiento de Datos Personales es una actividad reglada que debe sujetarse a lo establecido en la Ley y en las demás disposiciones que lo desarrollan.
- Finalidad: El Tratamiento de Datos Personales debe obedecer a una Finalidad legítima conforme a la Constitución y la Ley, la cual debe ser informada al Titular.
- Libertad: El Tratamiento de Datos Personales solo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los Datos Personales no podrán ser obtenidos o divulgados sin previa Autorización, o ausencia de mandato legal o judicial que releve el consentimiento.
- Veracidad: Los Datos Personales sujetos a Tratamiento deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles, en este sentido, se prohíbe el Tratamiento de Datos Personales parciales, incompletos, fraccionados o que induzcan a error.
- Transparencia: En el Tratamiento de Datos Personales debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento en cualquier momento y sin restricciones, información de la existencia de sus Datos Personales.
- Acceso y circulación restringida: El Tratamiento de Datos Personales está sujeto a los límites que se derivan de la naturaleza de los mismos, de las disposiciones de la Ley y la Constitución. En este sentido, su Tratamiento solo podrá hacerse por personas autorizadas por el Titular o las personas previstas en la Ley. Cuando los Datos Personales bajo custodia de la Compañía, estén disponibles en Internet o en cualquier otro medio de divulgación masiva, se procurarán medidas de acceso técnicamente controlables y seguras, con el fin de brindar seguridad a la información y un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a lo dispuesto en la Ley.
- Confidencialidad: Todas las personas que intervengan en el Tratamiento de Datos Personales que no tengan la naturaleza de públicos, están obligados a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo solo realizar suministro o comunicación de Datos Personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley y en los términos de la misma.
- Temporalidad: La Compañía no usará la información del titular más allá del plazo razonable que exija la finalidad que fue informada al Titular de los Datos Personales.
La Compañía, en desarrollo de su objeto social y sus relaciones con terceros (accionistas, empleados, proveedores, clientes, contratistas, acreedores, aliados, entre otros), usará información personal que estará sujeta a la aplicación de esta Política, previa autorización por parte de los Titulares de la información.
Los Datos Personales recolectados serán aquellos pertinentes y adecuados para la ejecución de la relación con la Compañía y en términos generales se recolectarán para el desarrollo de actividades comerciales, laborales, legales, mercadeo, de investigación, entre otras, dentro de las que se encuentran:
- Celebración y ejecución de relaciones contractuales laborales, civiles y comerciales.
- Búsqueda de conocimiento más cercano de clientes, proveedores, empleados y terceros vinculados a la Compañía.
- Compartir y consultar datos del comportamiento crediticio y financiero con centrales de información y riesgos para prevenir, controlar fraudes y seleccionar riesgos.
- Acceder y tratar Datos Sensibles, siempre que estos sean necesarios para la correcta ejecución de la relación comercial o contractual.
- Transmitir y transferir Datos Personales con la finalidad de atraer, valorar, fidelizar, captar y estudiar comportamientos del mercado y de atención al cliente; así como para la ejecución de aquellos contratos que sean necesarios para soportar la operación de la Compañía.
- Transferir los Datos Personales o información parcial o total a sus filiales, comercios, empresas, entidades afiliadas, aliados estratégicos y contratistas.
- Compartir información con los prestadores o proveedores autorizados por la Compañía, para la coordinación de un servicio o solicitud.
- Gestión de Datos Personales, incluyendo Datos Sensibles, para adelantar procesos de selección de personal, prevenir enfermedades, accidentes o incidentes, ejecutar y monitorear las actividades propias del Sistema de Gestión de Seguridad y Salud en el Trabajo.
- Gestión propia de la vigilancia y seguridad de las personas, los bienes e instalaciones de la Compañía, pudiendo desarrollarse a través de captura y tratamiento de Datos Personales y Sensibles mediante Imágenes en sistemas de videovigilancia, identificación biométrica y reconocimiento facial; comprende el uso de dicha información en diferentes procesos y procedimientos laborales y administrativos, tales como, investigación para fraudes, prevención del mismo, procesos disciplinarios y sancionatorios.
Para la Autorización del manejo de Datos Personales como Imágenes de personas determinadas o determinables en cuanto a los sistemas de videovigilancia y seguridad de la Compañía, bastará que el consentimiento se otorgue mediante conductas inequívocas del Titular que permitan concluir de forma razonable que otorgó la autorización, por lo cual la Compañía informará de forma visible e inequívoca a los Titulares de los Datos Personales que se encuentran en una zona de videovigilancia mediante avisos distintivos, en especial, en las zonas de ingreso a los mismos e incluso dentro de estos.
En virtud de la normatividad de tratamiento de Datos Personales, el Titular tienen los siguientes derechos:
- Acceder a sus Datos Personales de forma gratuita.
- Acceder a la prueba de la Autorización otorgada para el Tratamiento de su información, salvo cuando esta no sea necesaria.
- Ser informado, previa solicitud, respecto del uso o finalidad.
- Actualizar sus Datos Personales cuando sean parciales, fraccionados o incompletos.
- Rectificar sus Datos Personales cuando sean inexactos, induzcan a error o cuando su tratamiento este expresamente prohibido o no haya sido autorizado.
- Revocar la autorización o solicitar la supresión del Dato Personal cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales o legales. La revocatoria o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el tratamiento se ha incurrido en conductas contrarias a la Ley y a la Constitución. No procederá la revocatoria cuando el Titular tenga el deber legal o contractual de permanencia en la base de datos.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en las normas sobre protección de Datos Personales.
- Suministrar sus Datos Personales solo cuando ha mediado autorización previa y expresa, excepto en aquellos casos donde dicha Autorización no sea necesaria.
El tratamiento de Datos Personales de los niños y adolescentes estará prohibido, excepto cuando se trate de datos de naturaleza pública, de conformidad con lo establecido en el artículo 7 de Ley 1581 de 2012 y cuando dicho tratamiento cumpla con los siguientes parámetros y requisitos:
- Que responda y respete el interés superior de los niños, niñas y adolescentes.
- Que se asegure el respeto de sus derechos fundamentales.
Cumplidos los anteriores requisitos, el representante legal del niño, niña o adolescente otorgará la Autorización previo ejercicio del menor de su derecho a ser escuchado, opinión que será valorada teniendo en cuenta la madurez, autonomía y capacidad para entender el asunto.
- Garantizar al Titular de los Datos Personales, en todo tiempo, el pleno y efectivo ejercicio de sus derechos.
- Solicitar y conservar copia de la Autorización otorgada por el Titular o prueba de esta. La Autorización del Titular no será necesaria cuando se trate de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, Datos Personales de naturaleza pública, casos de urgencia médica o sanitaria, tratamiento de información autorizada por la Ley para fines históricos, estadísticos o científicos, Datos Personales relacionados con el registro civil de las personas. La Autorización se podrá solicitar en cualquier formato que permita su posterior consulta a fin de constatar de forma inequívoca que sin el consentimiento del Titular los datos nunca hubieran sido capturados y almacenados en medios electrónicos o físicos. La Autorización también se podrá obtener por medio de conductas claras e inequívocas del Titular que permitan concluir que ha dado la autorización.
- Informar debidamente al Titular sobre la finalidad de la recolección, los usos de sus Datos Personales y sus derechos en razón a la Autorización otorgada.
- Conservar la información bajo las condiciones de seguridad para prevenir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
- Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los Datos Personales que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
- Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
- Tramitar las consultas y reclamos formulados en los términos señalados en esta Política y en la Ley.
- Informar a la autoridad de protección de Datos Personales cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.
- Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
- Eliminar los Datos Personales cuando su Titular lo requiera, siempre que dichos datos no deban permanecer en la base de datos a disposición legal o contractual que así lo exija. En caso de proceder revocatoria de tipo parcial de la Autorización para el Tratamiento de Datos Personales para alguna de las finalidades, la Compañía podrá seguir utilizando los Datos Personales para las finalidades respecto de las cuales no proceda dicha revocatoria.
- Advertir a sus empleados y contratistas, que al finalizar su vínculo contractual con la Compañía continúan obligados a mantener la reserva de la información de acuerdo con la normatividad vigente en la materia.
- Darle publicidad a esta Política.
- Modificar esta Política cuando la normatividad lo exija o la Compañía lo considere pertinente.
Para presentar consultas, quejas, reclamaciones, ampliar la información o para consultar Datos Personales almacenados por la Compañía, solicitar que sean actualizados, rectificados o suprimidos o para revocar la autorización para su tratamiento puede contactarse con los siguientes medios:
- Línea de atención: 323 4868180
- Correo electrónico: hola@m3ns.co
- Dirección: Carrera 43g #19-142, Medellin, Colombia.
El reclamo se formulará mediante solicitud dirigida a la Compañía - área de Asuntos Legales Corporativos, con la identificación del Titular, la descripción de los hechos que den lugar al reclamo, la dirección, y acompañado de los documentos que se pretendan hacer valer.
Si el reclamo resultare incompleto, se requerirá al interesado dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos diez (10) días hábiles desde la fecha del requerimiento, sin que el solicitante presente la información requerida por la Compañía, se entenderá que ha desistido del reclamo.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Si no fuere posible dar respuesta dentro del término de quince (15) días, se informarán al interesado los motivos de demora y la fecha en la que se atenderá el reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento de los primeros quince (15) días.
La Compañía ha adoptado medidas técnicas, administrativas y humanas razonables para proteger los Datos Personales de los Titulares e impedir adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
El acceso a los datos personales está restringido a sus Titulares y a las personas autorizadas por la Compañía. La Compañía no permitirá el acceso a esta información por parte de terceros en condiciones diferentes a las anunciadas, a excepción de un pedido expreso del Titular o de las personas legitimadas de conformidad con la normatividad nacional.
En el Tratamiento de Datos Personales que efectúa la Compañía, la permanencia de los datos en sus sistemas de información, estará determinada por la finalidad de dicho tratamiento. En consecuencia, agotada la finalidad para la cual se recolectaron los datos, la Compañía procederá a su destrucción o devolución, según el caso, o bien a conservarlos según lo dispuesto en la ley, adoptando las medidas técnicas que impidan un tratamiento inadecuado.
La Política para el tratamiento de datos personales rige a partir del 1 de diciembre de 2023 y tendrá una vigencia de cinco (5) años, momento en el cual deberá necesariamente realizarse una actualización de la misma.
No obstante, en caso de considerarse pertinente por parte de la Compañía o entrar en vigencia normas que modifiquen o prohíban algunas de las políticas aquí descritas, esta Política podrá ser objeto de revisión o actualización.